seguridad-y-alta-disponibilidad-rama

I
Seguridad y Aita
Disponibilidad
JESUS COSTAS SANTOS
SEGURIDAD Y ALTA DISPONIBILIDAD
0 Jesús Costas Santos
© De la edición: Ra-Ma 2011
MARCAS COMERCIALES. Las designaciones utilizadas por las em presas para dist inguir sus productos
(hardware, software, sistem as operativos, etc.) suelen ser m arcas registradas. RA-MA ha intentado a lo
largo de este libro distinguir las m arcas comerciales de los térm inos descriptivos, siguiendo el estilo que
utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma.
Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario.
RA-MA es m arca comercial registrada.
Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. Sin embargo,
RA-MA Editorial no asum e ninguna responsabilidad derivada de su uso ni tampoco de cualquier
violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. E sta publicación tiene
por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta
no supone para el editor ninguna forma de asistencia legal, adm inistrativa o de ningún otro tipo. En
caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un
profesional competente.
Reservados todos los derechos de publicación en cualquier idioma.
Según lo dispuesto en el Código Penal vigente ninguna parte de este Libro puede ser reproducida,
grabada en sistem a de almacenamiento o transm itida en forma alguna ni por cualquier procedimiento,
ya sea electrónico, mecánico, reprográfieo, magnético o cualquier otro sin autorización previa y por
escrito de RA-MA; su contenido está protegido por la Ley vigente que establece penas de prisión y/o
m ultas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria,
artística o científica.
Editado por:
RA-MA Editorial
Calle Jaram a, 3A, Polígono Industrial Igarsa
28860 PARACUELLOS DE JARAMA, Madrid
Teléfono: 91658 42 SO
Fax: 91 662 81 39
Correo electrónico; editorial@ra-ma.com
Internet: w w w .ra-m a.es y w w w.ra-m a.com
ISBN: 978-84-9964-089-1
Depósito Legal: M-24.265-2011
Maquetación: Antonio García Tomé
Diseño de Portada: Antonio G arcía Tomé
Filmación e Impresión: C losas-Or coy en, S.L.
Impreso en España
índice
IN T R O D U C C IÓ N ............................................................................................................................................................................ 7
C A P ÍT U L O 1. P R I N C IP IO S D E S E G U R ID A D Y ALTA D IS P O N IB IL ID A D .........................................................9
1.1 IN TRO D U CCIÓ N A LA SEGURIDAD IN FO R M Á TICA ...............................................................................................10
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y D IS P O N IB IL ID A D ...................................................... 11
1.2.1 A lta d isp o n ib ilid ad ........................................................................................................................................................ 21
1.3 ELEM EN TO S VULN ERA BLES EN EL SISTEM A INFORMÁTICO:
HARDWARE, SOFTWARE Y DATOS................................................................................................................................. 22
1.4 AM ENAZAS................................................................................................................................................................................ 24
1.4.1 A m enazas provocadas por p e rs o n a s ......................................................................................................................... 24
1.4.2 A m enazas físicas y lógicas............................................................................................................................................24
1.4.3 Técnicas de a ta q u e ......................................................................................................................................................... 25
1.5 P R O T E C C IÓ N ...........................................................................................................................................................................26
1.5.1 A u ditoría de seguridad de sistem as de info rm ación ............................................................................................ 27
1.5.2 M edidas de seg u rid a d ....................................................................................................................................................28
1.6 REFERENCLAS W E B .............................................................................................................................................................. 29
R ESU M EN D EL C A PÍTU LO ........................................................................................................................................................ 29
EJE R C IC IO S P R O P U E S T O S ....................................................................................................................................................... 30
T E S T DE C O N O C IM IE N T O S......................................................................................................................................................32
C A P ÍT U L O 2. S E G U R ID A D P A S IV A ....................................................................................................................................33
2.1 P R IN C IPIO S DE LA SEGURIDAD PASIVA.................................................................................................................... 34
2.2 COPIAS DE S E G U R ID A D .....................................................................................................................................................35
2.2.1 Modelos de alm acén de dato s .................................................................................................................................... 36
2.2.2 Recom endación sobre el tipo de copia a efe c tu a r................................................................................................... 37
2.2.3 R ecuperación de d a to s ...................................................................................................................................................44
2.3 SEGURIDAD FÍSICA Y A M B IEN TA L...............................................................................................................................47
2.3.1 C entros de Procesado de D atos (C P D )..................................................................................................................... 47
2.3.2 Ubicación y acondicionam iento físico .......................................................................................................................48
2.3.3 Control de acceso físico ................................................................................................................................................ 49
2.3.4 S istem as b io m é tric o s ................................................................................................................................................... 50
2.3.5 Circuito C errado de Televisión CCCTV)................................................................................................................... 51
2.4 SISTEM AS DE ALIM ENTACIÓN IN INTERRUM PIDA (SAI)................................................................................... 52
2.4.1 Tipos de S A I.....................................................................................................................................................................53
2.4.2 P otencia n e c e s a ria ......................................................................................................................................................... 53
2.5 R EFE R EN C IA S W E B ..............................................................................................................................................................60
R E S U M E N D E L CA PÍTU LO ........................................................................................................................................................ 61
E JE R C IC IO S P R O PU E ST O S .......................................................................................................................................................62
TEST DE C O N O C IM IE N T O S ......................................................................................................................................................64
3
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
C A P ÍT U L O 3. S E G U R ID A D L Ó G IC A ................................................................................................................................. 65
3.1 P R IN C IP IO S DE LA SEGURIDAD LÓ G IC A ................................................................................................................... 66
3.2 CONTROL DE ACCESO L Ó G IC O ....................................................................................................................................... 67
3.2.1 Política de c o n tra s e ñ a s ................................................................................................................................................. 67
3.2.2 C ontrol de acceso en la BIOS y gestor de a rra n q u e ...............................................................................................73
3.2.3 C ontrol de acceso en el sistem a o p erativ o ................................................................................................................77
3.3 PO LÍTICA DE USUARIOS Y G R U PO S..............................................................................................................................82
3.4 R EFE R E N C IA S W E B .............................................................................................................................................................. 84
R E SU M E N D E L C A PÍTU LO ........................................................................................................................................................ 85
E JE R C IC IO S P R O P U E S T O S ....................................................................................................................................................... 86
T E S T DE C O N O C IM IE N T O S ...................................................................................................................................................... 87
C A P ÍT U L O 4. S O F T W A R E A N T IM A L W A R E .....................................................................................................................89
4.1 SOFTW ARE M A LIC IO SO ......................................................................................................................................................90
4.2 CLA SIFICACIÓN D EL MALWARE.....................................................................................................................................91
4.2.1 M étodos de infección......................................................................................................................................................92
4.3 PR O T EC C IÓ N Y D E S IN F E C C IÓ N .....................................................................................................................................94
4.3.1 C lasificación del softw are a n tim a lw a re ................................................................................................................... 94
4.3.2 L a m ejor h e rra m ie n ta a n tim a lw a r e .......................................................................................................................100
4.4 R E FE R EN C IA S W E B ............................................................................................................................................................102
R E S U M E N DEL C A PÍTU LO ......................................................................................................................................................102
E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................103
T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................104
C A P ÍT U L O 5. C R IP T O G R A F ÍA ............................................................................................................................................107
5.1 P R IN C IP IO S DE C R IPT O G R A FÍA .................................................................................................................................. 108
5.2 TIPO S DE ALGORITM OS D E C IF R A D O ...................................................................................................................... 109
5.2.1 C riptografía s im é tric a ................................................................................................................................................ 111
5.2.2 C rip to g rafía de clave a s im é tric a ............................................................................................................................. 115
5.2.3 C riptografía h íb r i d a ................................................................................................................................................... 117
5.2.4 F irm a d ig ita l................................................................................................................................................................. 120
5.3 CER TIFIC A D O S D IG IT A L E S ........................................................................................................................................... 122
5.3.1 T erceras p a ite s de confianza.....................................................................................................................................125
5.3.2 D ocum ento N acional de Iden tid ad electrónico (D N Ie )..................................................................................... 125
5 .4 R E FE R EN C IA S W E B ........................................................................................................................................................... 126
R E S U M E N D EL C A PÍTU LO ......................................................................................................................................................127
E JE R C IC IO S P R O P U E S T O S .................................................................................................................................................... 128
T E S T DE C O N O C IM IE N T O S ................................................................................................................................................... 129
C A P ÍT U L O 6. S E G U R ID A D E N R E D E S C O R P O R A T IV A S .................................................................................... 131
6.1 AMENAZAS Y A T A Q U E S ................................................................................................................................................... 132
6.1.1 A m enazas e x te rn a s e in te r n a s .................................................................................................................................136
6.2 SISTEM AS DE D ETEC C IÓ N DE INTRUSOS (ID S)...................................................................................................137
6.3 R IESG O S PO T EN C IA LE S E N LOS SERV ICIO S DE R E D ...................................................................................... 139
6 .4 COM UNICA CIONES SEG U R A S...................................................................................................................................... 140
6.4.1 V P N ................................................................................................................................................................................. 145
4
© RA-MA
INDICE
6.5 R E D E S IN A LÁ M B R IC A S....................................................................................................................................................148
6.5.1 S istem as de seguridad en W LA N .............................................................................................................................149
6.5.2 Recom endaciones de seg u rid ad en W L A N ........................................................................................................... 155
6.6 R E FE R E N C IA S W E B ............................................................................................................................................................158
R E SU M E N D EL C A PÍT U L O ...................................................................................................................................................... 158
E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................159
T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................160
C A P ÍT U L O 7. S E G U R ID A D P E R IM E T R A L ....................................................................................................................161
7.1 C O R TA FU EG O S..................................................................................................................................................................... 162
7.1.1 Tipos de c o rta fu e g o s....................................................................................................................................................168
7.1.2 DM Z..................................................................................................................................................................................173
7.2 PRO XY........................................................................................................................................................................................174
7.2.1 Tipos, ca racterísticas y funciones p rin c ip a le s ......................................................................................................174
7.3 R EFE R EN C IA S W E B ............................................................................................................................................................181
R E SU M E N D EL C A PÍTU LO ...................................................................................................................................................... 182
E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................182
T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................183
C A P ÍT U L O 8. C O N F IG U R A C IO N E S D E ALTA D IS P O N IB IL ID A D ................................................................... 185
8.1 SO LU CIO N ES DE ALTA D ISPO N IBILID A D ................................................................................................................ 186
8.2 R A ID ...........................................................................................................................................................................................187
8.3 BALANCEO DE CA RG A ......................................................................................................................................................194
8.4 VIRTUALIZACIÓN................................................................................................................................................................ 199
8.4.1 V irtualización de servidores......................................................................................................................................205
8.5 REFEREN CIA S W E B ............................................................................................................................................................210
R ESU M EN D EL CA PÍTU LO ......................................................................................................................................................211
E JE R C IC IO S P R O PU E ST O S .....................................................................................................................................................212
T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................213
C A P ÍT U L O 9. N O RM A TIV A L E G A L E N M A TER IA D E S E G U R ID A D IN F O R M Á T IC A ............................. 215
9.1 LEY ORGÁNICA DE PR O TEC C IÓ N DE DATOS (LO PD ).........................................................................................216
9.1.1 Á m bito de aplicación de la L O P D .............................................................................................................................216
9.1.2 Agencia E spañola de Protección de D atos ........................................................................................................... 217
9.1.3 T ra ta m ie n to de los d a to s ........................................................................................................................................... 218
9.1.4 N iveles de se g u rid a d ................................................................................................................................................... 219
9.2 LEY DE SERV ICIOS DE LA SOCIEDAD DE LA INFORM ACIÓN Y DE COM ERCIO ELEC TR Ó N IC O
(L S S IC E )................................................................................................................................................................................... 221
9.2.1 E n to rn o s W eb................................................................................................................................................................ 222
9.2.2 C om unicaciones com erciales.................................................................................................................................... 222
9.3 R E FE R E N C IA S W E B ........................................................................................................................................................... 224
R E SU M E N D E L C A PÍTU LO ......................................................................................................................................................224
E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................225
T E S T DE C O N O C IM IE N T O S ................................................................................................................................................... 226
M A T E R IA L A D IC IO N A L ......................................................................................................................................................... 227
ÍN D IC E A L F A B É T IC O .............................................................................................................................................................229
5
Introducción
E ste libro surge con el propósito de acercar al lector a los aspectos m ás im portantes que encierra la seguridad
inform ática y los relativos a g aran tizar alta disponibilidad en los sistem as críticos, ante las crecientes am enazas
sobre los sistem as informáticos, donde cada vez contenemos m ás valiosa información. Con la reform a curricular
de formación profesional, enm arcada en la Ley Orgánica do Educación (LOE), los ciclos formativos de la familia
profesional de Inform ática y Comunicaciones poseen como contenido transversal la m ateria de seguridad inform ática,
debido a la creciente dem anda de personal cualificado para su adm inistración. Con tal propósito, puede servir de apoyo
tam bién para estudiantes del las Ingenierías Técnicas.
Hoy en día, existen muchos usuarios y profesionales de la Inform ática que discuten las ventajas e inconvenientes
de la utilización de un determ inado sistem a operativo, antivirus o cortafuegos como solución única a los problem as de
la seguridad informática, no entendiendo que en esta m ateria ha de trab ajarse en todos los frentes posibles. Aquí no
hay preferencia por ningún sistem a en particular, ni se in ten ta com pararlos para descubrir cuál es el mejor de todos,
sino enriquecer los contenidos al exponer sus principales características, manejo y métodos para conseguir la máxima
fiabilidad de los sistem as.
A lo largo del libro se analiza la seguridad inform ática y la alta disponibilidad desde d istintas perspectivas, con un
total de 51 p rácticas, p ara com pletar una visión global de la m ateria y no dejar ningún aspecto vulnerable:
P r in c ip io s b á sic o s y problem ática de la Seguridad y Alta disponibilidad. Capítulo 1.
S eg u rid a d p asiva, analizando soluciones de copia de seguridad y seguridad física y am bienta) en ios sistem as
informáticos. Capítulo 2.
S egu rid ad lógica. Gestión de usuarios, privilegios, contraseñas y actualizaciones de sistem as y software.
Capítulo 3.
S o ftw a re d e seg u rid a d antim alware. Capítulo 4.
C rip tografía en comunicaciones y protección de la información. C apítulo 5.
S eg u rid a d en re d e s corp orativas, atendiendo a las am enazas in tern as y estudiando los fundam entos de
comunicaciones seguras, con especial atención a inalám bricas. Capítulo 6.
S eg u rid a d p erim etra l m ediante configuración de cortafuegos y proxy. Capítulo 7.
C o n fig u racion es a v an zad as de alta d isp o n ib ilid a d , como redundancia en el alm acenam iento m ediante
RAID, balanceo de carga, vírtualización de servidores. C apítulo 8.
N o rm a tiv a leg al en m ateria de seguridad inform ática. LOPD y LSSICE. C apítulo 9.
Uno de los objetivos de este Libro es dam os a conocer las innovaciones en ataques y vulnerabilidades m ás actuales
en m ateria inform ática, haciéndonos m ás prevenidos y aprendiendo a realizar acciones totalm ente seguras. Para
ello se presentan en cada capítulo n o tic ia s d e a ctu a lid a d relacionadas con la tem ática del mismo, que perm itan la
reflexión y el conocimiento de nuevos avances.
7
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
P ara todo aquel que use este libro en el entorno de la enseñanza (Ciclos Formativos o Universidad), se ofrecen
varias posibilidades: utilizar los conocimientos aquí expuestos p ara inculcar aspectos genéricos de la seguridad
inform ática y alta disponibilidad o sim plem ente centrarse en preparar a fondo alguno de ellos.
Ra-Ma pone a disposición de los profesores una guía didáctica para el desarrollo del tem a que incluye las soluciones
a los ejercicios expuestos en el texto. Puede solicitarla a editorial@ra-ina.com, acreditándose como docente y siem pre
que el libro sea utilizado como texto base para im partir las clases.
8
•
•
•
/
Analizar la problemática general
de la seguridad informática.
/
Conocer los principios sobre los
que se sustenta.
/
Conocer el significado de alta
disponibilidad.
/
Identificar las principales
vulnerabilidades, ataques y
medidas de seguridad a adoptar
sobre los sistemas.
/
Diferenciar la seguridad física y
lógica, y la pasiva de la activa.
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Con la proliferación de la inform ática en todos los ám bitos de la vida, el núm ero de usuarios y profesionales de
inform ática ha crecido exponencialm ente en los últim os años, del mismo modo que las necesidades de comunicación
y com partición de recursos en red.
L as dos nuevas problem áticas que subyacen de esta nueva realidad son, por un lado asegurar los sistem as y la
información que disponemos, y por otro poder tener acceso a los servicios el mayor tiempo posible, sin interrupciones
y con un cierto nivel de calidad, siendo la base para el estudio de la seguridad inform ática y la alta disponibilidad
respectivam ente.
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA
Las tecnologías de la información y la comunicación (TIC), y concretam ente la inform ática, se ha instalado en todos
los ám bitos de la sociedad: sanidad, educación, finanzas, prensa, etc., siendo cada vez m ás útil e im prescindible para
el desarrollo de su s actividades cotidianas. Del mismo modo que se extiende el uso de la informática, la seguridad
inform ática debe ten er una im portancia cada vez mayor, teniendo en cuenta que el funcionamiento correcto de sus
sistem as depende en gran medida, de protegerlos como el mayor de sus tesoros.
La seguridad informática consiste en asegurar que los recursos del sistema de información de una
organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida,
así como su modificación, solo sea posible a las personas que se encuentren acreditadas y dentro de los
límites de su autorización.
Los p rin c ip a les ob jetivos de la seguridad inform ática por tanto son:
Detectar los posibles problemas y am enazas a la seguridad, m inim izando y gestionando los riesgos.
G aran tizar la adecuada utilización de los recursos y de las aplicaciones de los sistem as.
L im itar las pérdidas y conseguir la adecuada recuperación del sistem a en caso de un incidente de seguridad.
C um plir con el marco legal y con los requisitos im puestos a nivel organizativo.
D u ran te el desarrollo del libro, veremos que el conjunto de vulnerabilidades, am enazas, ataques y m edidas de
seg u rid ad han ido aum entando y modificándose con el tiempo, sien d o n ece sa rio esta r al d ía en esta m ateria.
P a ra ello harem os uso de diversas noticias de actualidad y reflexiones sobre las mismas.
La comunidad de usuarios y profesionales en m ateria de seguridad inform ática m antienen al día al resto de
u su ario s m ediante noticias y post en blogs y webs especializadas. Sírvase como ejemplo el blogv repositorio de blogs de
seg u rid ad inform ática disponible en la web del Instituto Nacional de Tecnologías de la comunicación S.A. (en adelante
INTECO), sociedad anónim a estatal adscrita a la S ecretaría de Estado de Telecomunicaciones y para la Sociedad de
la Inform ación:
http ; / / www. inteco.es/ blog / Seg u rid a d ! Observatorio / BlogSeguridad
10
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
i
La seguridad informática lleva asociada un conjunto de palabras, en muchos casos nuevos términos en
inglés. A lo largo del libro y en los artículos de actualidad se irán repitiendo, por lo que es recomendable
ir construyendo nuestro glosario de términos con palabras como pharm ing, tabnabbing, malware,
sniffíng, spoofing, phishing, scam, spam, botnet, spyware, keylogger, etc.
Te proponemos que leas un artículo de actualidad, que podrás encontrar descargando el material
adicional y en la web www.securitybydefault.com /2010/01/origen-y-evolucion-del-efraude.htm l, en et
cual deberás identificar palabras relacionadas con conceptos de seguridad informática que no conozcas
y realizar un glosario de términos con sus definiciones. Comenta en grupo las siguientes cuestiones:
•
¿Has recibido alguna vez un intento de phishing mediante correo electrónico de tipo
spam ? ¿Podrías indicar algún ejemplo?
•
Realizar un debate en el que se analicen las más conocidas am enazas existentes en la
actualidad y qué tipo de medidas de prevención prelim inares se podrían tomar.
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD
Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Conviene aclarar que no siendo
posible la certeza absoluta, el elemento de riesgo está siempre presente, independientem ente de las m edidas que
tomemos, por lo que debemos hab lar de niveles de seguridad. La seg u rid a d ab so lu ta n o e s p o sib le y rn adelante
entenderem os que la seguridad inform ática es un conjunto de té c n ic a s encam inadas a obtener a lto s n iv e le s d e
seg u rid a d en los sistem as informáticos.
Podemos entender como seguridad una característica de cualquier sistem a que nos indica que ese sistem a está
Libre de todo peligro, daño o riesgo, y que es, en cierta m anera, infalible. Como esta característica, particularizando
p ara el caso de sistem as informáticos, sistem as operativos o redes de computadores, es muy difícil de conseguir (según
la m ayoría de expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de fiab ilid ad , probabilidad
de que un sistem a se comporte tal y como se espera de él. Por tanto, se habla de tener sistem as fiables en lugar de
sistem as seguros.
El experto Eugene H. Spafford cita en su frase célebre: "el único sistema que es totalmente seguro
es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio que está
enterrada en cemento, rodeada de gas nervioso y de un grupo de guardias fuertemente armados. Aún
así, no apostaría mi vida en ello".
11
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
A grandes rasgos so entiende que m antener un sistem a seguro (o fiable) consiste básicam ente en garantizar tres
aspectos: confidencialidad, integridad y disponibilidad.
C on fid en cialid ad : cualidad de un mensaje, comunicación o datos, p ara que solo se entiendan de m anera
comprensible o sean leídos, por la persona o sistem a que esté autorizado. Comprende por tanto la privacidad o
protección de dicho m ensaje y datos que contiene.
I n te g r id a d : cualidad de mensaje, comunicación o datos, que perm ite comprobar que no se ha producido
m anipulación alguna en el oingtnal, es decir, que no h a sido alterado.
D isp o n ib ilid ad : capacidad de un servicio, de unos datos o de un sistem a, a ser accesible y utilizable por Los
usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la información pueda ser recuperada
en el momento que se necesite, evitando su pérdida o bloqueo.
H ay que tener en cuenta que, tanto las am enazas como los m ecanismos para contrarrestarlas, suelen afectar a
ta ta s tres características de form a conjunta. Así por ejemplo, fallos del sistem a que hacen que la información no sea
accesible pueden llevar consigo una pérdida de integridad. G eneralm ente tien en q u e e x istir los tr es a sp ecto s
d e s c r ito s para q u e h aya segu rid ad .
Dependiendo del entorno en que un sistem a trabaje, a sus responsables les in teresará dar prioridad a u n cierto
aspecto de la seguridad. Por ejemplo, en un sistem a m ilitar se antepondrá la confidencialidad de los datos alm acenados
o tran sm itid o s sobre su disponibilidad. En cambio, en un servidor de archivos en red, se priorizará la disponibilidad
fre n te a la confidencialidad. En un entorno ba ncario, la faceta que más ha de preocupar a los responsables del sistem a
es la integridad de los datos, frente a su disponibilidad o su confidencialidad: es menos grave que un usuario consiga
leer el saldo de otro que el hecho de que ese usuario pueda modificarlo.
Ju n to a estos tres conceptos fu ndam entales se suelen e stu d ia r conjuntam ente la a u te n tic a c ió n y el n o
re p u d io .
A u ten tica ció n : verificar que un documento ha sido elaborado (o pertenece) a quien el docum ento dice.
Apficado a la verificación de la identidad de un usuario en inform ática, cuando el usuario puede ap o rtar
algún modo que perm ita verificar que es quien dicc ser, se suele realizar m ediante un usuario o Login y una
contraseña o password.
N o rep u d io o irren u n cia b ilid a d : estrecham ente relacionado con la autenticación y perm ite probar la
participación de las partes en una comunicación. Existen dos posibilidades:
No rep u d io en origen: el em isor no puede negar el envió. La prueba la crea e) propio em isor y la recibe
el destinatario.
No rep u d io en destino: el receptor no puede negar que recibió el m eusaje porque el em isor tiene pruebas
de la recepción. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.
Si la autenticidad prueba quién es el autor o el propietario de un documento y cuál es su destinatario, el no
repudio prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio
en destino).
Al grupo de estas características y objetivos de la seguridad se les conoce como CEDAN, nombre sacado de la inicial
de cad a característica. La relación de los mismos se presenta en la figura siguiente.
12
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
En la imagen superior se ilustra cómo se relacionan los diferentes servicios de seguridad, unos dependen de otros
jerárquicam ente, así si no existe el de nivel interior, no puede aplicarse el exterior. De esta m anera, la d isp o n ib ilid a d
se convierte en el p rim er re q u isito d e segu rid ad , cuando existe ésta, se puede disponer de co n fid en cia lid a d , que
es im prescindible para conseguir in tegrid ad , imprescindible para poder obtener a u te n tic a c ió n y, por último, el no
rep u d io, que solo se obtiene si se produce previam ente la autenticación.
A continuación verem os tre s casos prácticos a modo de ejem plo sobre confidencialidad, in teg rid ad y
disponibilidad.
PRÁCTICA 1.1
CONFIDENCIALIDAD
En esta práctica guiada estudiaremos cómo se puede asegurar la confidencialidad de los datos en sistema
Windows, mediante la encriptación de archivos y carpetas.
La confidencialidad o privacidad de datos es uno de los aspectos críticos de la seguridad, por esto Microsoft
incluyó a partir de su sistema Windows 2000, y posteriores, el método de archivos encriptados conocido como
EFS (Encrypted File System) que cumple este propósito.
Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a
nivel de sistema. Permite a los archivos administrados por el sistema operativo ser cifrados en las particiones
NTFS en donde esté habilitado, para proteger datos confidenciales. EFS es Incompatible con la compresión de
carpetas.
El usuario que realice la encriptación de archivos será el único que dispondrá de acceso a su contenido, y al único
que se le permitirá modificar, copiar o borrar el archivo, controlado todo ello por el sistema operativo.
Amenaza o vulnerabilidad
Como veremos en capítulos posteriores, en un sistema personal es posible obtener el acceso al sistema de
ficheros si podemos arrancar desde una distribución USB o CD/DVD Uve, o incluso acceder al sistema local como
administrador, realizando una escalada de privilegios, teniendo de este modo permisos para acceder al sistema
de ficheros por completo y por tanto incluso a carpetas restringidas por el sistema operativo. Para evitar la
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
apertura, lectura o modificación de información privada bajo sistemas Windows podemos utilizar las opciones de
encriptación EFS.
Proceso de encriptación
Para probarlo podemos crear un archivo de texto plano (no cifrado) con una información confidencial en su
Interior. En primer lugar seleccionaremos el archivo (o carpeta) a encriptar y con el botón derecho accederemos
a la ventana de Propiedades. En su pestaña General pulsaremos sobre Opciones Avanzadas y en Atributos
de compresión y cifrado marcaremos la opción de Cifrar contenido para proteger datos.
Mota: En caso de no tener habilitada dicha opción deberá ejecutar gpedlt.msc (editor de directivas de grupo)
y habilitar la directiva local, Directiva de equipo !ocal\Conñguración de Windows\Configuración de seguñdad\
Directivas de clave púb¡ica\Sistema de cifrado de archivos. Gpedit no se encuentra preinstalado en las versiones
Home de los sistemas operativos Windows.
tiitU M é» n V * t
W V t»
: *rrtt*iteot*r$w¿r*m tn i n n a i
--j Nrwffr «r>«3>4i Mfci t e w n je a t« f *rfngp«raicA i«H bw di
latita» * <>nti»«r r -fra*»
1Ceeener cartende o e • ^ qn • eeeeoo en * 6»
!
- 'CJim
CWolKM»Qc^o
| HayiM
|
Cf jái ___ I
topoanM—xtúrn ]
| Carcdm j
Verificaciones
1. Si accedemos con otro usuario al sistema que tenga permisos para acceder a todo el sistema de archivos,
por ejemplo desde una cuenta de tipo administrador (distinta a la que ha cifrado el archivo), podemos ver
que ei nombre del archivo nos aparecerá en color verde y, al intentar acceder a él, nos indicará acceso
denegado. Igualmente si intentamos modificar el archivo para que deje de estar cifrado y aplicamos los
cambios nos indicará error al aplicar los atributos. Aunque no es posible leer ni modificar su contenido, sí
es posible borrarlo.
2. El archivo cifrado no es portable o copiable a una unidad externa ya que el sistema operativo pierde el
control sobre su cifrado. En caso de intentar enviarlo a unidad USB nos indicará lo siguiente.
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
A rc h ir o c if r a d o
•*
Swthn-oYiomwx)nf<wiilwx>«rno«pued»ropw6wnwm
OJC pan)« d
Carado
*V*0» owtr «te«ñor y c o r i n m , oc«nc«Ur
i
Onéf
1 ( Cwbr lofl* j | Cw i Ib
)
Una recomendación más, no comprimir los archivos cifrados ya que dejan de estarlo.
3. En caso de tener acceso al sistema de archivos con un arranque desde una distribución modo Uve (en
nuestro ejemplo Ubuntu), montando la partición correspondiente (en este caso el punto de montaje/mnt/
win) podremos borrar el archivo, pero no se nos permitirá ni copiarlo ni leer la información contenida. Si
hemos comprimido el archivo en zip desde Windows, sí podremos acceder a su contenido confidencial.
g
root-aufauntu >mntm)n/Oocuni«nu and SM tlnflt/adm lrvU rritorto
4rrr.*>
£n( v
yrr
’ermr.,;
.
n
« I
Ayuda
rootSubontu:/«nt/Kin/Docuacnti and
c a t : Ipforaaclon con fid en cial,t«t:
rootiíulXjniu:/»rl/»in/00Cu»eMs and
cp: no s r puede abrir -informador
roo(«iu»>umii:/iint/win/Oocu»en{i and
Selting i/ad ^ ln/Eicritorioa cat infor»acion\ confidenctai.1«!
- ■
Peralto denegado
Seu irg i/nd iiiri/Escritorlo a cp infoiw cion \ confidencial t it /haneMnfo.c«t I
con fid en cia l.txt- para lectura. Peralto denegado
SetUngs/adiiirVEicritoM oa l l
J
L
f
r
.
...
rooteuburtu:/ant/xln/Oocuacnti and S em n 9 s/ed « ln /ticrlto rio * ra inforaacionx c o n fid e n c ia l.u t
rooteubuntu: /nnt/vln/Oocu»eflts and Sem ngs/ad«ln/Escritorioa Is
root&jbuniu./nr.t.’Mln/Oocimenu and Seu in g i/a d a ln /ticrH o rlo » [¡
■
\ l BK11ÁT
£rrn.vo
6
Nuevo
fcdiUr
yer
Atirv
gu-vor
_
GuartUr
herramienta*
H
impomir
Documento*
R
A^ula
inform acíoficonfídem inl./lp
&rcr»vador f a u r
o
Nuevo
información conftdenctal.txt O
„
Abrir
yw
%yda
*
Extraer
®
<1
4
AftaUtr arcWvos Atoar.
lugar
|¿¿ /
|pa*S Toledo 067?
Nombre
ir* orrnaoon conftdcocüi W
v- femaAo
16 bytn
Tipo
docur
| PRÁCTICA 1.2
INTEGRIDAD
Amenaza o vulnerabilidad
En caso de que algún tipo de malware reemplace o falsifique archivos del sistema operativo, ocultándose para
realizar tareas no autorizadas, la búsqueda y detección del mismo se complica ya que los análisis antimalware y de
los procesos sospechosos por parte de administradores de sistemas, no dudarán de la veracidad de dichos archivos
y procesos. A este tipo de malware se le denomina rootkit, programa que sustituye los ejecutables binarios del
sistema para ocultarse mejor, pudiendo servir de puertas trasera o backdoor para la ejecución malware remota.
System File Checker (SFC) es una utilidad de los sistemas Windows que comprueba la integridad de los archivos
de sistema. Rootkit hunter es una herramienta más completa bajo GNU/Linux que entre otras tareas, como
examinar los permisos de los ejecutables del sistema, buscar rootkits conocidos rastreando ficheros ocultos,
realiza la comprobación de integridad de los archivos de sistema, es decir, verifica que no han sido modificados.
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Verificación Windows
SFC examina la integridad de todos los archivos de sistema protegidos de Windows y reemplaza los que están
corruptos o dañados por versiones correctas, si es posible.
En este proceso, si el sistema detecta que tiene algún problema, puede ser que nos solicite el disco de instalación
de Windows en el caso de que necesite reparar algún fichero dañado. Si el proceso determina que no hay errores,
a) final nos mostrará un texto como el de la ventana de arriba, "Protección de recursos de Windows no encontró
alguna infracción de integridad".
Si recibes un mensaje diciendo que no puede reparar algunos archivos, podemos averiguar qué archivos son y qué
pasa con ellos. Cuando se ejecuta sfc, crea un archivo LOG que podemos consultar en la carpeta C: \ WINDOWS
\LOGS\CBS\CBS.log.
Sintaxis de sfc
sfc[/scannow] [/scanonce] [/scanboot] [/revert] [/purgecache] [/cachesize=x]
Los parámetros más usados son:
/scannow. explora de inmediato todos los archivos del sistema protegidos.
/ scanboot: explora todos los archivos del sistema protegidos cada vez que se reinicia el equipo.
/?: muestra la Ayuda en el símbolo del sistema.
Si sfc descubre que un archivo protegido se ha sobrescrito, recupera la versión correcta del archivo de la carpeta
raízDelSistema\system32\dllcache y luego reemplaza el archivo incorrecto.
Si la carpeta ra¡zDelSistema\system32\dllcache está dañada o es inservible, se puede utilizar sfc /scannow o sfc
/scanboot para reparar el contenido del directorio Dllcache.
Verificación GNU/Linux
1. Rootkit Hunter se puede instalar mediante el comando:
sudo aptitude install rkhunter
Se recomienda antes de ejecutarlo, como todo software de seguridad actualizará a la versión más actual:
sudo rkhunter - -update
2. Para la ejecución sobre el sistema, verificando todas sus opciones:
sudo rkhunter - -checkall
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
¿retuvo
Edit*
Ver
]knmnal
Ayuda
root$ubuntu:/hoac/alunno* rkhunter
[ R o o t k u Hunter version 1.3.2 )
-checkall
Checking systen coanands ..
Perforoing 'strings' coatand checks
Checking 'strings' contend
I OK ]
Perforwng
Checking
Checking
Checking
[ >*g n t found
[ Mot found
[ Hot found
'shared libraries' checks
for preloading variables
tor preload file
ID LIBRARY PATH variable
Performing file properties checks
Checking for prerequisites
/bin/bash
/bin/cat
/bin/chaod
/bln/chown
/btn/cp
/bin/date
/bm/df
/bin/daesg
/bln/echo
[
I
1
I
I
1
1
1
OK
OK
OH
OK
OK
OK
OK
OK
I OK
1 OK
]
1
|
)
]
)
|
I
I
]
Comprueba, entre otros aspectos, las cadenas y atributos de los comandos o ejecutables del sistema, la existencia
de archivos rootkits, etc.
Una vez finalizado nos dará un informe completo con las advertencias y posibles archivos sospechosos
encontrados.
PRÁCTICA 1.3
DISPONIBILIDAD
Identificar y analizar la disponibilidad de servicios o servidores, puertos abiertos y versiones de sistemas
operativos que los soportan, supone la información base para el estudio de las innumerables vulnerabilidades
de los sistemas en red. De este modo se podrán tomar medidas frente a estos puntos débiles de nuestros
sistemas.
Nmap ("mapeador de redes") es una herramienta de código abierto para exploración de red y auditoría de seguridad.
Utiliza paquetes IP para determinar qué equipos se encuentran disponibles en una red, qué servicios ofrecen
y medíante qué aplicaciones (nombre y versión de la aplicación), qué sistemas operativos (y sus versiones)
ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando, así como otras características.
Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas
lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de
actualización de servicios y la monítorízación del tiempo que los equipos o servicios se mantiene activos.
Amenaza o vulnerabilidad
Para las versiones de software de servidores y de los sistemas operativos es posible buscar posibles
vulnerabilidades existentes:
wvjw.securityfocus.com. Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se puede
buscar información sobre las versiones de los productos de distintos fabricantes e incluso descargar
exploits de verificación.
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
ovt
(P*goi ofttl l / »«Stt J■■»(>li tm*r*
Ven tor:
M m ocot
litlr
S ÍM T ih .
V k m ío c :
S*o d V o»w y
||
-
S t a r t h Uv CVE
CYE;
1StilCW
I1
M uftlplv V u n d o r T IS P ro lo c o l H u iito n R o n * g o lia t Ion HwcuiHy V u ln a ra b iltty
h ttp /* w « r *m¿r*y1t>zut ct«T\Axl/~)bV2)
M ic ro so ft W ln d o m U vor A c c e i v C on trol (l)A C ) n y p o t t l o c a l P rtviin g o f t c a l a t k i i i Vuln«ro*»il!ty
M tcroiu ft O u tlook F Un A U a c Jim ertf DefU al Of K w rv Jt» VuinurdbMKy
M tcro to n Officw Art O raw ln q R a c o n l R a m o ta C od o l n o ctli ion V o ln o ra tilllly
rcc //w»wtaeuitvfocufc&nAnt+Mtt
Ejemplo de búsqueda de vulnerabilidades por fabricante, en este caso Microsoft.
www.nessus.org. Aplicación que detecta vulnerabilidades, tanto para sistemas y aplicaciones de Windows
como GNU/Linux. En su última versión Nessus4 funciona como servidor web.
Microsoft Baseline Securíty Analyzer (MBSA) es una herramienta diseñada para analizar el estado de
seguridad según las recomendaciones de seguridad de Microsoft y ofrece orientación de soluciones
específicas. Sirve para detectar los errores más comunes de configuración de seguridad y
actualizaciones de seguridad que falten. En la siguiente imagen, a modo de ejemplo, vemos el resultado
de un análisis en el cual se analizan aspectos como:
Sistema de ficheros. Recomendado NTFS por su mayor nivel de seguridad.
Cuentas de usuario. Analiza si poseen contraseñas y son seguras.
Actualizaciones. Analiza si el sistema posee las últimas actualizaciones que previenen de vulnerabilidades
actuales.
Cortafuegos activo y configurado.
Número de cuentas de administrador.
18
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
i " M icrosoft lio t tlin c S c c u n ty A n a ly/er 7.1
Microsoft
^ Baseline Security Analyzer
Scoro
Issue
Result
1
F U & r to m
(J%sWe to d e te rra n e the He ly stem o n fu©d dnvesO 4)
w as te a m e d
How to corract tN*
**
Local Acícüx*
Password Tc*t
Soma user accounts (7 of 7) h a v t biar*. or unp la passw ord%t or coufcj not ba arw#y?ed
was se am e d
to co riv .t
r
¿V/omeüc
I t- ls f «
Update* « e not a u to m a tic a l do»*rtoadedor r o ta te d c n t t a s c o r n e r
"•Wxat m t s e a m e d
No*» to corract rtw
O
In co rro tte
U pdatw
No rc o irc W e softw are update w t i K W t f Mere found
a n * w a »canned
O
Windows
F f íw il
Window* F a e w a l* n o t r o ta te d or corfi>**td property, or o not avalafelc on tfw version of W Wow*.
o
/i u * « Account
The 'i u r « a c c o u n t« not d e a b b d on th e c e n p i n .
VHhtf ««at te a m e d
*
A d m tr M o r t
No more tKan 2 AAnnrUrator* « « f <xr»d on tlw computer
* * * mat s e v n e d
P w J td e ia f o
Windows
Van»cr
Corrcuter s not r v m n g Windows OS
w*»at w as te a m e d
kxd oq co
TTot (hack w as stapped be ca m e tfte computer a n e t » r e d (o a da m an
W h a w as te a m e d
ReUncT
Anonymous
TTn ctedc can b e perfortred cr*t on Windows NT, W rdow s 2000 and Windows *P.
w as te a m e d
Password
L «pr«bon
Thn f hcei w as tfc£ped because th e computer n not p r w d Co a dom an
Mtiat w as se am e d
**
**
Del análisis y estudio de estas vulnerabilidades se aprovechan los desabolladores de exploits (del inglés to
exploit, explotar o aprovechar), software, un fragmento de datos o una secuencia de comandos que pretende
aprovecharse de un error, fallo o vulnerabilidad de una aplicación o sistema operativo. El fin del exploit puede ser
violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio
propio o como origen de otros ataques a terceros. Como ejemplo de posible consecuencia de la ejecución de un
exploit, la toma de control de un sistema, mediante su consola de comandos.
Para explorar las vulnerabilidades más comunes existen aplicaciones como metasploits, herramienta con interfaz
modo comando y web, que posee un conjunto de exploits para aprovechar las vulnerabilidades más conocidas de
puertos, sistemas y aplicaciones.
M ic r o s o ft M o s s n q n Q u ir u n in q H n r v k a M S 0 5 - D 1 ’/ (w in37_O M B C )
HMAMC
R e q u ir e d
DATA
T h« r.« (bien na'n© o» th * t a n ja t
R H 08I
R o q u irm l
ADDR
T h « t M<jß\ a d d re s s
T h e ta rg e « p o r t
RPORT
R a q u lr o d
PORT
CMO
H u q u lred
DATA
Th« command stnng «o «■•cut«
I XI IT UVC
R o q u im d
DATA
E û t techruqua “process*. 'thread*. ’ se#»*
P r n ln r r B d f n c o d o r :
UofouM E n c o d e t
to p C enorntor:__
Qe1<uitf G e n e r a to r
1 Expío»» I
Metasploits en su formato web, a través del puerto 55555. Tras buscar y seleccionar la vulnerabilidad a explorar
(dispone de filtros de búsqueda por fabricante, puerto o aplicación), indicaremos la máquina (IP destino) en la
cual queremos rastrear la vulnerabilidad y, a continuación, ejecutaremos el escaneo.
19
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Recomendación
Por todo esto es de vital importancia actualizar los sistemas, tanto el sistema operativo como el resto de
aplicaciones, tan pronto como sea posible.
Para facilitar esta tarea, la mayoría de aplicaciones tienen la opción de que las actualizaciones se realicen
automáticamente, lo que permite tener los programas actualizados sin la necesidad de comprobar manual y
periódicamente sí la versión utilizada es la última disponible, y por tanto la más segura.
Recomendamos activar la notificación de actualizaciones automáticas, sobre todo de las aplicaciones más
utilizadas y más expuestas a un posible ataque, sistema operativo, navegadores web, programas de ofímática,
reproductores multimedia, etc., y controlar la veracidad de las actualizaciones antes de instalarlas.
Actualmente existe software malicioso (malware) que sobrescribe las actualizaciones de aplicaciones
conocidas, como es el caso de algunos de los productos de Adobe y Java. A modo de ejemplo, existe una
variante del malware que imita Adobe Reader 9 y sobrescribe Adobellpdater.exe encargado de comprobar
si está disponible una nueva versión del software. De esta forma si hemos sido infectados y se ha sobrescrito
dicha aplicación, al notificarnos que una nueva versión está disponible, si la instalamos, en realidad estaremos
instalando aplicaciones malware.
Verificación
Nmap es una aplicación que puede utilizarse en modo comando o mediante una interfaz gráfica denominada
znmap o zenmap. Se puede obtener la versión más reciente de Nmap en http://www.insecure.org/nmap/.
A continuación se puede ver un resumen de un análisis típico en modo comando con Nmap. Los únicos parámetros
de Nmap que se utilizan en este ejemplo son la opción -A, que habilita la detección de sistema operativo y versión,
y la opción -T4 que acelera el proceso, y después el nombre de los dos objetivos.
# nmap -A -T4 scanme.nmap.org saladejuegos
Starting nmap { http://www.insecure.org/nmap/ )
Interesting ports on scanme.nmap.org (205.217.153.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT
STATE SERVICE VERSION
ssh
OpenSSH 3 . 9pl (protocol 1.99)
22/tcp open
domain
53/tcp open
7 0 / tcp closed gopher
Apache httpd 2.0.52 ((Fedora))
8 0 / tcp open
http
113/tcp closed auth
Running : Linux 2 .4 .X |2
OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2 .6.11
Interesting ports on saladejuegos.nmap.org (192.168.0.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT
STATE SERVICE
VERSION
135/tcp open msrpc
Microsoft Windows RPC
139/tcp open netbios-ssn
5900/tcp open vnc
VNC (protocol 3.8)
MAC Address: 00 :AO :C C :63 :85 :4B (Lite-on Communications)
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
20
© RA-MA
1 ■ PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
Podemos ver después de este escaneo modo comando las versiones de los sistemas operativos de dichas
máquinas, direcciones MAC e IP, puertos abiertos (22 SSH, 80 HTTP, 53 DNS, 135 MSRPC, etc.) o cerrados y
versiones de las aplicaciones (OpenSSH 3.91( Apache httpd 2.0.52, etc.).
En el caso de distribuciones GNU/Linux es posible descargarse de la web del desarrollador el paquete de
instalación, descomprimirlo y compilarlo, mediante los siguientes comandos (versión del ejemplo nmap 5.35):
bzip2 -cd nmap-5.35DCl.tar.bz2
cd nmap-5.35DCl
. / c o n f ig u r e
make
su root
make install
| tar xvf -
La versión gráfica ZNMAP o ZENMAP para Linux puede obtenerse medíante el comando: sudo apt-get install
zenmap.
A continuación se muestra un escaneo rápido {Quick sean) sobre la red 192.168.0.0/23 equivalente al comando
nmap -T4 -F 192.168.0.0/23. Por cada máquina encontrada en la red informa sobre IP, nombre dentro del
dominio, puertos abiertos, etc.
mi
197.168.0.0/23
>1
ProfVr
G uie* K A n
nmop T4 F 19? 168.0 0/73
P o n y , ►icvli
ttopc<ogr'
fK
amt u ■*iwi«8ttaai
pe62-1 4 1 0 0 9 1 /3 41 anda
pC&ft i 4iOPW J 41
petC: \ 410091 •;: inda
pc6l ) 4 1 00 9173 41 anda
pcf>6-l 4100 9173 41 anda
PC67-1 4 1 00 9173 41 anda
pc64 1 41 0 0 9 1 7 3 41 anda
pc6Vl 4100 9173 41 anda
pc66-1.4 1009173.4 Landa
pC69-1 4100 9173 41 anda
pe 138-0 4100 9173 41 and
p c !3 9 - 0 .4 l0 0 9 1 73.41 ana
PC134-0 4 1 00 9173 41
pe 131-0 4 100 9173
41
p e l3 6 -0 4 1 00 9173 41
«nú
and
and
PC137-0 4 1 00 9173 4 land
p c l3 0 - 0 .4 1 0 0 9 l7 3 41
pe 131-O 4 100 9173
pel37 0 4 100 9173
pe 133-0 4100 9173
41
41
41
and
and
and
and
Starting Hw? l . N ( http://n«ap.Offl ) at 2616*11-26 14:1« CET
Interesting port*, on 192.168.6.6:
Hot ih w n ; 99 filtered port*
PORT STATE SERVICE
66/tcp op*« http
Interesting port» on f8 .41669173.41 .andared.cec.Junta Andalucía.es
H92.166.6.1)
Wot show: 93 filtered porti
P€*7
STATE SERVI«
21/tcp op*n
ftp
S3/tcp
open
doaala
86/tcp open
http
389/tcp opeo
Idap
443/tcp opeo
http»
873/tcp closed rsyne
SOOO.tcp open
http-proxy
Interesting ports on c6 .41669173.41.andared.cec. Junta andalueia.es
<192.168.6.2
Hot shown; 91 filtered portn
POUT
STATE SERVICE
21/tcp open ftp
S3/tcp
opan deoaln
66/tcp
op«n http
lllV tcp open rpcblad
W / i r r mm libn
Una vez finalizado podremos buscar para los puertos o servicios más vulnerables e inseguros, como por ejemplo
telnet (puerto 23), qué equipos se encuentran con dicho puerto abierto. En el capítulo 6, sobre seguridad en redes
corporativas volveremos a hacer uso de esta aplicación.
ALTA DISPONIBILIDAD
La alta disponibilidad (High AvailahilUy ) .se refiere a Ja cap acid ad d e q ue a p lic a cio n e s y d atos se en cu en tr en
o p era tiv o s para los u su a r io s au to riza d o s en tod o m om en to y sin in terru p cio n es, d eb id o p rin cip a lm en te
a su ca rá cter crítico. Eí objetivo de la m isma es m antener nuestros sistem as funcionando las 24 horas del día, 7
días a la sem ana, 365 días al año, m anteniéndolos a salvo de interrupciones, teniendo en cuenta que se diferencian
dos tip o s de in terru p cion es;
21
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Las in te r r u p c io n e s p rev ista s, que se realizan cuando paralizam os el sistem a para realizar cambios o
m ejoras en nuestro hardw are o software.
Las in terr u p cio n es im p revistas, que suceden por acontecimientos im previstos (como un apagón, un error del
hardw are o del software, problem as de seguridad, un desastre natu ral, virus, accidentes, caídas involuntarias
del sistema).
Las m é trica s com únm ente utilizadas p ara medir la disponibilidad y fiabilidad de un sistem a son el tiempo medio
en tre fallos o MTTF (Mean Time To Failure) que mide el tiempo medio transcurrido hasta que un dispositivo falla, y
el tiempo medio de recuperación o MTTR (Mean Tíme To Recouer) m ide el tiempo medio tomado en restablecerse la
situación norm al una vez que se ha producido el fallo. El tiempo en el que un sistem a está fuera de servicio se mide
a m enudo como el cociente MTTR/MTTF. Lógicamente, nuestro principal objetivo es aum entar el MTTF y reducir el
M TTR de forma que minimicemos el tiempo de no disponibilidad del servicio.
Existen distintos n iv e le s d e d is p o n ib ilid a d del sistem a, según el tiempo aproximado de tiempo en inactividad
por año se determ ina el porcentaje de disponibilidad. El m ayor nivel de exigencia de alta disponibilidad acepta 5
m inutos de inactividad al año, con lo que se obtiene una disponibilidad de 5 nueves: 99,999%.
Como ejem p lo s d e siste m a s y se r v ic io s d e a lta d isp o n ib ilid a d podemos m encionar sistem as sanitarios,
control aéreo, de comercio electrónico, bancarios, transporte m arítim o, m ilitares, etc., donde la pérdida o interrupción
de conectividad pueden suponer graves consecuencias personales y económicas. En el Capítulo 8 profundizarem os en
a lg u n as de las técnicas que perm iten m ejorar la disponibilidad de los sistem as y servicios ofrecidos por estos.
ELEMENTOS VULNERABLES EN EL SISTEMA INFORMÁTICO:
HARDWARE, SOFTWARE Y DATOS
L a seg uridad es u n p ro b lem a in tegral: los problem as de seguridad inform ática no pueden ser tratad o s
aislad am en te ya que la seguridad de todo el sistem a es igual a la de su punto más débil. Ai asegurar nuestra casa no
sirv e de nada ponerle una p u erta blindada con sofisticada cerradura si dejamos las ventanas sin protección.
La educación de los usuarios es fundam ental p ara que la tecnología de seguridad pueda funcionar. Es evidente
q ue por mucha tecnología de seguridad que se im plante en una o rg a n iza ció n , si no existe una clara disposición por
p arto de los directivos de la em presa y una cultura a nivel de usuarios, no se conseguirán los objetivos perseguidos con
la im plantación de un sistem a de .seguridad. Por tanto, la seguridad inform ática precisa de un n iv el organ izativo,
q u e posibilite unas norm as y pautas comunes por parte de los usuarios de sistem as dentro de una em presa, por lo
q ue diremos que:
S istem a d e S egu rid ad = TECNOLOGÍA + ORGANIZACIÓN
Los tres elem entos principales a proteger en cualquier sistem a informático son el software, el hardware y los datos.
E n las auditorias de seguridad se habla de un cuarto elem ento a proteger, de m enor im portancia desde el punto de
v is ta de la seguridad inform ática, los fungibles (elementos que se gastan o desgastan con el uso continuo, como papel
d e im presora, tóner,...).
H ab itu al m ente lo s d a to s c o n s titu y e n el p r in c ip a l e le m e n to de los tres a p ro teg er, ya que es el más
am enazado y seguram ente e l m ás d ifíc il d e recuperar: con toda seguridad un servidor estará ubicado en un lugar
22
© RA-MA
1 * PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
de acceso físico restringido, o al menos controlado, y adem ás en caso de pérdida de una aplicación (o un program a
de sistem a, o el propio núcleo del sistem a operativo) este software se puede re sta u rar sin problemas desde su medio
original (por ejemplo, el CD o DVD con el sistem a operativo que se utilizó p ara su instalación). Sin embargo, en caso de
p érdida de una base de datos o de un proyecto de un usuario, no tenemos un medio ‘‘originar’ desde el que restaurar,
hemos de pasar obligatoriam ente por un sistem a de copias de seguridad, y a menos que la p o lític a de co p ia s sea
m uy estricta, es difícil devolver los datos al estado en que se encontraban antes de la pérdida.
También debemos ser conscientes de que las m edidas de seguridad que deberán establecerse se deben contem plar
a diferentes niveles, desde aspectos m ás lo ca les, p erso n a les o in d iv id u a le s h a sta los g lo b a les que afectan a
una o rg a n iza ción , o incluso la ciudadanía y em presas en su conjunto, como son las leyes. Por tan to la seguridad
inform ática comprenden el hardw are y el sistem a operativo, las comunicaciones (por ejemplo, protocolos y medios de
transm isión seguros), m edidas de seguridad físicas (ubicación de los equipos, sum inistro eléctrico, etc.), los controles
organizativos (políticas de seguridad de usuarios, niveles de acceso, contraseñas, norm as, procedimientos, etc.) y
legales (por ejemplo, la Ley Orgánica de Protección de Datos, LOPD).
LEGALES
ORGANIZATIVAS
FÍSICAS
Ù
Distintos mueles de profundidad relativos a la seguridad informática
E ste esquem a sirve de base para el desarrollo del libro analizando la seguridad inform ática desde distin tas
perspectivas, completando una visión global de la m ateria:
S egu rid ad pasiva: Seguridad física y am biental y copias de seguridad en los sistem as informáticos. Capítulo 2.
S eg u rid ad lógica: control de acceso a Los sistem as, gestión de sistem as operativos: usuarios, privilegios,
contraseñas en el C apítulo 3, software de seguridad antim alw are en el Capítulo 4 y cifrado en la información
y comunicaciones m ediante el estudio de la criptografía en el Capítulo 5.
S eg u rid ad en re d e s corporativas: estudiando protocolos y aplicaciones seguras como SSH, TLS/SSL y VPN,
configuraciones seguras en inalám bricas en el Capítulo 6 y protegiendo especialm ente ¡a seguridad peri m etra 1
m ediante cortafuegos y proxy en el Capítulo 7.
C o n fig u ra cio n es d e alta d isp on ib ilid ad : m ediante redundancia en el alm acenam iento RAID, balanceo de
carga, virtualización de servidores. Capítulo 8.
N orm ativa legal en m ateria d e segu rid ad inform ática: LOPD y LSSICE. Capítulo 9.
23
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
AMENAZAS
Las am enazas a un sistem a informático pueden provenir desde un kacker remoto que en tra en nuestro sistem a
con un troyano, pasando por un program a descargado gratuito que nos ayuda a gestionar nuestras fotos, pero que
supone una p u e rta tra se ra a nuestro sistem a perm itiendo la en tra d a a espías, h asta la en trad a no deseada al
sistem a m ediante una contraseña de bajo nivel de seguridad. Las am enazas pueden ser p rovocad as por: personas,
condiciones físicas-am bientales y software, o lógicas.
AMENAZAS PROVOCADAS POR PERSONAS
L a mayoría de ataques a nuestro sistem a provienen de personas que, intencionadam ente o no, pueden causam os
enorm es pérdidas. G eneralm ente se tra ta ra de p irata s inform áticos, ciberdelincuentes, hackers o crackers, que
in ten tan conseguir el máximo nivel de privilegio posible aprovechando algunas vulnerabilidades del software. Se
dividen en dos grandes grupos: los atacantes pasivos que fisgonean el sistem a pero no lo modifican o destruyen, y los
activos que d añan el objetivo atacado o lo modifican en su favor.
D en tro d e u n a organ ización : El propio personal puede producir un ataque intencionado, nadie mejor conoce
los sistem as y sus debilidades, o un accidente causados por un error o por desconocimiento de las norm as básicas de
seguridad. Por otro lado ex empleados o personas descontentas con la organización pueden aprovechar debilidades
que conocen o incluso realizar chantajes.
H acker: Experto o gurú en aspectos técnicos relacionados con la inform ática. Personas que les apasionan el
conocimiento, descubrir o aprender nuevas cosas y entender el funcionam iento de éstas. Suele distinguirse entre
aquellos cuyas acciones son de carácter constructivo, inform ativo o solo intrusivo, o que adem ás lo son de tipo
destructivo, catalogados respectivam ente de hackers y crackers, o w b ite h at y black hat. Recientem ente ha aparecido
el térm ino, más neutro, grey hat (sombrero gris), que ocasionalm ente traspasan los lím ites entre am bas categorías.
O tros térm inos y categorías son:
N ew bie: Hacker novato.
W annaber: Les interesa el tem a de hacking pero que por estar empezando no son reconocidos por la élite.
L am m er o Script-K iddies: P retenden hacer hacking sin tener conocimientos de inform ática. Solo se dedican
a buscar y descargar program as de hacking p ara luego ejecutarlos.
L user {looser + user): Es un térm ino utilizado por hackers para referirse a los usuarios comunes, de m anera
despectiva y como burla.
P ir a ta in fo rm á tico , c ib e r d e lin c u e n te o d e lin c u e n te in form ático: Personas dedicadas a realizar actos
delictivos y perseguidos legalm ente: como la copia y distribución de software, m úsica o películas de forma ilegal,
frau d es bancarios o estafas económicas.
AMENAZAS FÍSICAS Y LÓGICAS
L as am en a za s física s y a m b ien ta les afectan a las instalaciones y/o el hardw are contenido en ellas y suponen el
p rim e r nivel de seguridad a proteger para garan tizar la disponibilidad de los sistem as. En el capítulo 2 veremos con
m ás profundidad los aspectos asociados a:
24
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
Robos, sabotajes, destrucción de sistem as.
Cortes, subidas y bajadas bruscas de sum inistro eléctrico.
Condiciones atm osféricas adversas. H um edad relativa excesiva o tem p eratu ras extrem as.
Catástrofes (naturales o artificiales) terrem otos, inundaciones, incendios, hum o o atentados de baja m agnitud,
etc.
Interferencias electrom agnéticas que afecten al normal com portamiento de circuitos y comunicaciones.
U na am en aza ló g ica es software o código que de una forma u otra pueden afectar o d añ a r a nuestro sistem a,
creados de forma intencionada para ello (el software malicioso, tam bién conocido como malware, se analizará a fondo
en eí Capítulo 4) o sim plem ente por error (bugs o agujeros). E ntre otros encontramos:
H erra m ien tas de seguridad: Existen herram ientas para detectar y solucionar fallos en los sistem as, pero se
pueden utilizar para detectar esos mismos fallos y aprovecharlos para atacarlos.
Rogueware o fa lso s p rogram as d e segu rid ad: También denominados Bogue, FakeAVs, Badware, Scareware,
son falsos an ti virus o an ti espías.
P u erta s tra sera s o backdoors: Los program adores insertan “atajos” de acceso o adm inistración, en ocasiones
con poco nivel de seguridad.
Virus: Secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando
el archivo se ejecuta, el virus tam bién lo hace. D etrás de la palabra virus existe todo un conjunto de térm inos
que analizarem os con m ás detalle en el Capítulo 4, dentro de lo que se conoce como malware.
G usan o o Worm: Program a capaz de ejecutarse y propagarse por sí mismo a través de redes, norm alm ente
m ediante correo electrónico basura o spcim.
T ro y a n os o C ab allos d e Troya: Aplicaciones con instrucciones escondidas de forma que éste parezca
realizar las tareas que un usuario espera de él, pero que realm ente ejecute funciones ocultas (generalm ente en
detrim ento de la seguridad) sin el conocimiento del usuario.
P rogram as con ejo o bacterias; Program as que no hacen nada útil, sim plem ente se dedican a reproducirse
h a sta que el núm ero de copias acaba con los recursos del sistem a (memoria, procesador, disco...), produciendo
una negación de servicio.
C a n a les cubiertos: C anales de comunicación que perm iten a un proceso tran sferir información de forma que
viole la política de seguridad del sistem a; un proceso transm ite información a otros que no están autorizados
a leer dicha información.
TECNICAS DE ATAQUE
Del mismo modo que hemos analizados las am enazas de los sistem as informáticos desde un punto de vista de
quién o qué la genera, los tipos de am enazas pueden clasificarse en función de la té c n ic a q u e se em p lea n para
rea liz a r el ataq u e. Las técnicas m ás usuales son las que se indican en la Tabla 1.1.
25
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Tabla 1.1
Malware
Programas malintencionados (virus, espías, gusanos, troyanos, etc.) que afectan a
los sistemas con pretensiones como: controlarlo o realizar acciones remotas, dejarlo
inutilizable, reenvío de spam, etc.
Ingeniería
social
Obtener información confidencial como credenciales (usuario-contraseña), a través de
la manipulación y la confianza de usuarios legítimos. El uso de dichas credenciales o
información confidencial servirá para la obtención de beneficios económicos mediante
robo de cuentas bancarias, reventa de información o chantaje,
Scam
Estafa electrónica por medio del engaño como donaciones, transferencias, compra de
productos fraudulentos, etc. Las cadenas de mail engañosas pueden ser scam si hay
pérdida monetaria y hoax (bulo) cuando solo hay engaño.
Spam
Correo o mensaje basura, no solicitados, no deseados o de remitente no conocido,
habitualmente de tipo publicitario, enviados en grandes cantidades que perjudican de
alguna o varias maneras al receptor. Suele ser una de las técnicas de ingeniería social
basada en la confianza depositada en el remitente, empleadas para la difusión de scam,
phishing, hoax, malware, etc.
Sniffing
Rastrear monítorizando el tráfico de una red para hacerse con información confidencial.
Spoofing
Suplantación de Identidad o falsificación, por ejemplo encontramos IP, MAC, tabla ARP,
web o mail Spoofing.
Pharming
Redirigir un nombre de dominio (domain ñame) a otra máquina distinta falsificada y
fraudulenta.
Phishing
Estafa basada en la suplantación de identidad y la ingeniería social para adquirir acceso
a cuentas bancarias o comercio electrónico ilícito.
Password
cracking
Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son
mediante sniffing, observando directamente la introducción de credenciales (shoulder
surfing), ataques de fuerza bruta, probando todas las combinaciones posibles, y de
diccionario, con un conjunto de palabras comúnmente empleadas en contraseñas.
Botnet
Conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y
automática, en multitud de host, normalmente infectados, permite controlar todos
los ordenadores/servidores Infectados de forma remota. Sus fines normalmente son
rastrear información confidencial o incluso cometer actos delictivos.
Denegación
de servicio
o Denial of
Service (DoS)
Causar que un servicio o recurso sea inaccesible a los usuarios legítimos. Una
ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio,
también llamado ataque DDoS, a través de una botnet, siendo esta técnica el
ciberataque más usual y eficaz.
PROTECCIÓN
H a sta ahora hemos hablado de los aspectos que engloba la seguridad inform ática, de los elem entos a proteger, de
los tipos de am enazas que contra ellos se presentan y del origen de tales am enazas; parece claro que, para com pletar
n u e s tra visión de la seguridad, hemos de hablar de las form as d e p ro tecció n d e n u e stro s sistem as.
26
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
P ara proteger nuestro sistem a hem os de realizar un a n á lisis de la s am en azas p o te n c ia le s que puede sufrir, las
p érd id a s que podrían generar y la p rob ab ilid ad d e su ocu rren cia. E ste análisis convencionalmente se realizará
m ediante auditorías de seguridad.
AUDITORÍA DE SEGURIDAD DE SISTEMAS DE INFORMACIÓN
U na auditoría de seguridad inform ática o auditoría de seguridad de sistem as de información (SI) es el estudio
que comprende el a n á lisis y g e stió n d e sistem a s para id e n tific a r y p o sterio rm en te co rreg ir las d iv ersa s
v u ln e r a b ilid a d e s que pudieran p resentarse en una revisión exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.
U na vez obtenidos los resu ltad os, se d etallan , arch ivan y rep o rta n a los resp o n sa b le s q u ie n e s d eb erán
e s ta b le c e r m e d id a s p r e v e n tiv a s d e refu erzo , siguiendo siem pre un proceso secuencial que perm ita a los
adm inistradores m ejorar la seguridad de sus sistem as aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI perm iten conocer en el momento de su realización cuál es la situación exacta de
sus activos de información en cuanto a protección, control y m edidas de seguridad. Los o b jetiv o s de u n a auditoría de
seguridad de los sistem as de información son:
Revisar la seguridad de los entornos y sistem as.
Verificar el cum plimiento de la norm ativa y legislación vigentes
E laborar un informe independiente.
U na auditoría se realiza con base a un patrón o conjunto de directrices o b u en as p rá ctica s su g erid a s. Existen
e stá n d a re s o rien ta d o s a servir com o b a se p ara a u d ito ría s d e inform ática. Uno de ellos es COBIT (Objetivos
de Control de las Tecnologías de la Información), y adicional a éste podemos encontrar el están d ar ISO 27002, el cual
se conforma como un cód igo in tern a cio n a l de b u e n a s p rá ctica s d e seg u rid a d de la inform ación , éste puede
constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que
definen los r e q u isito s d e a u d ito r ía y sistem a s de g estió n d e segu rid ad , como lo es el estándar ISO 27001.
Los servicios de auditoría constan de las siguientes fases:
Enum eración de sistem as operativos, servicios, aplicaciones, topologías y protocolos de red.
Detección, comprobación y evaluación de vulnerabilidades.
Medidas específicas de corrección.
Recomendaciones sobre im plantación de m edidas preventivas.
1.5.1.1 T ip o s d e a u d ito r ía
Los servicios de auditoría pueden ser de distinta índole:
A u d ito ría d e seg u rid a d intern a: se contrasta el nivel de seguridad de las redes locales y corporativas de
carácter interno.
A u d itoría de segu rid ad perim etral: se estudia el perím etro de la red local o corporativa, conectado a redes
públicas.
T est d e in tru sión : se in ten ta acceder a los sistem as, para comprobar el nivel de resistencia a la intrusión no
deseada.
27
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
A n á lisis forense: análisis posterior de incidentes, m ediante el cual se tra ta de reconstruir cómo se ha penetrado
en el sistem a, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del
sistem a, se denom ina análisis post mórtem.
A u d ito ría d e cód igo d e a p licacion es: análisis del código independientem ente del lenguaje empleado, un
ejemplo concreto y frecuente se realiza con los sitios web, m ediante el análisis externo de la web, comprobando
vulnerabilidades como la inyección de código SQL, Cross Site Scri.pting (XSS), etc.
R ealizar auditorías con c ie r ta fr e c u e n c ia asegura la integridad de los controles de seguridad aplicados a
los sistem as de información. Acciones como el constante cambio en las configuraciones, la instalación de parches,
actualización del software y la adquisición de nuevo hardw are hacen necesario que los sistem as estén continuam ente
verificados m ediante auditoria.
A lgunas de las auditorías que trabajarem os a lo largo del libro son em pleadas en ocasiones para acceder a
sistem as y conexiones rem otas no autorizadas, aunque en nuestro caso deben servir para ver el nivel de seguridad
que disponemos en nuestros sistem as. E n tre las m ás comunes son las auditorías de contraseñas de acceso a sistem as
y de conexiones inalám bricas o wireless.
MEDIDAS DE SEGURIDAD
A p a rtir de los análisis realizados m ediante auditorías, hem os de d ise ñ a r una p o lític a d e seg u rid a d que
defina responsabilidades y reg la s a seg u ir para evitar tales am enazas o m inim izar sus efectos en caso de que se
produzcan. A los mecanismos utilizados para im plem entar esta política de seguridad se les denomina m ecan ism os
d e seg u rid a d , son la parte m ás visible de nuestro sistem a de seguridad y se convierten en la herram ienta básica
p a ra g aran tizar la protección de los sistem as o de la propia red. Se distinguirán y estudiarán en los próximos capítulos
las m edidas de seguridad:
S egú n el recu rso a proteger:
S eg u rid a d física: tra ta de proteger el hardw are, teniendo en cuenta entre otros aspectos Ja ubicación y
las am enazas de tipo físico: robos, catástrofes n atu ra les o artificiales, etc. Algunas m edidas son el estudio
de la ubicación correcta, medidas preventivas contra incidentes como incendios o inundaciones o el control
de acceso físico.
S egu rid ad lógica: protege el software tanto a nivel de sistem a operativo como de aplicación, sin perder
nunca de vista el elemento fundam ental a proteger, la información o datos de usuario. Dentro de sus m edidas
se encuentran; copias de seguridad, contraseñas, perm isos de usuario, cifrado de datos y comunicaciones,
software específico antim alw are, actualizaciones o filtrado de conexiones en aplicaciones de red.
S eg ú n el m om en to en el q ue se p on en en m archa las m ed id as d e segu rid ad:
S eg u rid a d activa: son p r e v e n tiv a s y evitan grandes daños en los sistem as informáticos, por tanto se
consideran acciones p rev ia s a u n ataque. Son de este tipo todas las m edidas de seguridad lógica.
S egu rid ad pasiva: son correctivas, m inim izan el impacto y los efectos causados por accidentes, es decir
se consideran m edidas o acciones p o ster io r es a un ataque o incidente. Son de este tipo todas las m edidas
de seguridad física y las copias de seguridad que perm iten m inim izar el efecto de un incidente producido.
28
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
REFERENCIAS WEB
INTECO - Instituto NacionaJ de Tecnologías de la Comunicación:
www.inteco.es
Hispasec Sistem as: Seguridad y Tecnologías de información. Noticias diarias y resúm enes anuales de noticias
de actualidad sobre seguridad informática:
www.hispasec. com
Guía completa de seguridad informática:
h ttp :! / www.rediris.es / cert tdoc / unixsec / unixsec. html
Web de seguridad inform ática de la em presa de tecnologías de información (IT) IDG:
www.idg.es
Blog de seguridad inform ática de la em presa Trend Micro con noticias actuales:
h ttp: / / blog.trendmicro.es
Portal de ISO 27001 en español:
www. iso27000. es
Blog sobre auditoría y seguridad inform ática ISO 27001:
h ttp :/1 sg si■iso27001.blogspot.com
RESUMEN DEL CAPÍTULO
H ablar hoy en día de un sistem a informático totalm ente seguro es imposible, ía conectividad global
perm ite extender el campo de posibles am enazas. Aunque éstas provienen de dist intos ámbitos: p erso n a s
(personal de u n a organización, hackers y crackers en red), am en a za s ló g ica s (malware y exploits sobre
vulnerabilidades de las aplicaciones), así como todo tipo de am en azas física s como robos o catástrofes
(n atu rales o artificiales como incendios).
En este capítulo se han analizado los fundam entos y conceptos para conseguir sistem as y configuraciones
fiables, partiendo del principio de g aran tizar d isp on ib ilid ad .
Hoy en día se realizan un im p o rtan te y gran núm ero de operaciones a trav és de las redes de
comunicaciones y la disponibilidad de sus servicios ofrecidos se convierten en ocasiones en algo crítico,
pasam os a hablar de a lta d isp o n ib ilid a d cuando son necesarias m edidas específicas que garanticen la
operatibilidad 24 horas al día, 7 días a la sem ana, los 365 días al año.
Sobre la disponibilidad de los sistem as se sustentan otros aspectos que se deben perseguir para m ejorar
la seguridad inform ática como la c o n fid en cia lid a d , in tegrid ad , a u ten tica c ió n y el no repudio.
29
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
Debemos ser conscientes de que las m ed id a s de seg u rid a d comprenden un conjunto de elem entos
que no pueden ser tratados dejando de lado o desprotegido ninguno de ellos: hardw are, sistem a operativo,
comunicaciones, m edidas de seguridad físicas (ubicación de los equipos, sum inistro eléctrico, etc.), los
controles organizativos (políticas de seguridad, norm as, procedim ientos, etc.) y legales (como la Ley
O rgánica de Protección de Datos, LOPD). Dichas m edidas se diferencian en función de qué elem ento
protegen seg u rid a d físic a y seg u rid a d ló g ica , y según sean preventivas (activas) o correctivas después
de un incidente (pasivas).
En los siguientes capítulos analizarem os periódicam ente el nivel de seguridad proporcionado por
nuestros sistem as m ediante a u d ito r ía s y estudiarem os las m edidas oportunas para hacer de la seguridad
la seña de identidad de nuestros sistem as.
EJERCICIOS PROPUESTOS
A lo largo de los siguientes ejercicios propuestos se pre­
se n ta n una serie de recomendaciones y h erram ientas
genéricas para todo tipo de usuarios sean adm inistra­
dores o no.
a través de las redes sociales. ¿Crees que conocer
este tipo de noticias te ayudarán a tom ar ciertas
precauciones? ¿Para qué tipo de usuarios puede
ser útil?
1. M antenerse siem pre inform ado y al día es la pri­
m era y mejor recomendación. Uno de los peligros
m ás comunes p ara los usuarios de Internet ya que
son actualm ente unas de las web más usadas son
las denom inadas redes sociales. P ara ello se pro­
pone a n a liz a r la siguiente noticia: "Cinco nuevas
estafas en Facebook y T w itter”, cuya fuente se en­
c u e n tra descargándose el m a te ria l adicional del
libro y en: htt.p:/ / www.csospain.es/Cinco-nueuasestafas-en-Facebook-y-Tloitter / sección-alertas ¡ articulo-196360, y contestar a las siguientes cuestiones:
2. E n la web de H ispasec existen varios recursos
m uy interesantes, como m ultitud de noticias y estu ­
dios de actualidad, servicio de envío de noticias “Una
al día” al que puedes suscribirte tan solo escribiendo
tu correo electrónico, o VirusTotal analizador de ar­
chivos o URL potencialm ente maliciosas. Analiza las
noticias de la últim a sem ana. ¿Qué vulnerabilidades
y am enazas se describen? ¿Qué tipo de precauciones
se recom iendan? Realiza un resum en de las mismas
y súbelo a tu blog.
¿Qué tipo de ataques son los más comunes que
se producen en las redes sociales? ¿Crees qué los
ciberdelitos y ciberfraudes proliferarán con el
uso de las redes sociales? ¿Qué es una blcicklist?
Indica alguna web con comprobación de direccio­
nes web o URL, IP, direcciones de m ail, etc., que
sean potencialm ente maliciosas.
Indica qué precauciones tom arías y cómo iden­
tificarías un fraude a través de una red social.
Busca algún nuevo tipo de estafa que se produzca
30
3. Em plea contraseñas fuertes y renuévalas periódi­
camente. Verifica y anota el nivel de fortaleza en tus
contraseñas de acceso al sistem a operativo, correo
electrónico y otras aplicaciones web como redes so­
ciales, banca online, etc.:
http: / / www.m icrosoft.com /latam /protect /yourself! passw ord / checker.mspx
Según las recom endaciones de Microsoft, una
contraseña segura debe parecer le a un atacante
una cadena aleatoria de caracteres. Debe tener 14
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
caracteres o más (como mínimo, ocho caracteres).
Debe incluir una combinación de letras m ayúscu­
las y m inúsculas, núm eros y símbolos especiales.
¿Tus contraseñas de acceso a sistem as operativos,
aplicaciones web como m ail o redes sociales, son
seguras? ¿Cada cuanto tiempo cam bias las con­
traseñas?
4. M antón actualizado tu sistem a operativo y apli­
caciones, sobre todo los navegadores web, ya que las
vuln erab ilid ades y am enazas cam bian co nstante­
m ente a través de la red. Comprueba el estado de
actualización de tus aplicaciones, especialm ente el
de navegadores web. Realiza un análisis desde la
web de S ecu n ia con su inspector online:
http'.l /secunia.com / vniñera bility_scann in g /
online / ?lang=es
¿Qué aplicaciones disponían posibles vulnerabili­
dades al no encontrarse totalm ente actualizadas?
¿Cuál es la solución propuesta?
5. Con respecto a tu navegador web, es recomendable
tenerlo con una correcta configuración, controlar la
aceptación de cookies y el bloqueo de ventanas em er­
gentes, así como no recordar contraseñas en caso de
com partir el equipo con otros usuarios.
C o n testa a las sig u ien tes p reg u n tas, explora
e identifica: ¿Qué opciones de seguridad o p ri­
vacidad perm iten configurar tus navegadores
web? ¿Se aceptan cookies? ¿Recuerdan contrase­
ñas? ¿Cuáles? ¿Bloquean ventanas em ergentes?
¿Dispones de restricciones de acceso a determ ina­
dos sitios web?
dos, ocupación en disco de los archivos analizados,
% de ocupación de CPU en ejecución, opciones
avanzadas de escaneo, tiempo de escaneo, vulne­
rabilidades y malware encontrado, malware des­
infectado, soluciones propuestas de desinfección.
7. Realiza copias de seguridad periódicam ente de
la información fundam ental para ti, recuerda que
es el elem ento fundam ental a proteger. P ara reali­
zar copias de seguridad hoy en día existen diversas
opciones en In te rn e t podemos em plear un sitio FTP
gratuito, o servicios más especializados y seguros
como D ropbox, Id riv e o Mozy, que ofrecen alm ace­
nam iento virtual de datos para copias de seguridad
remotas. Crea una cuenta y realiza una configura­
ción y prueba de copia de seguridad online de archi­
vos de tu equipo.
8. Em plea y conoce a fondo la configuración de todas
las herram ientas de configuración que te perm iten
tu sistem a operativo y aplicaciones de red. Los siste­
m as Windows incorporan un c e n tro d e seg u rid a d
donde encontrarem os inform ación sobre: firew all,
actualizaciones autom áticas y protección antivirus
(solo detecta si tenemos instalado alguno).
Se reco m ien d a tener activado el firew all o cor­
tafuegos para ev itar posibles accesos externos,
notificar periódicam ente y descargar e in s ta la r
m anualm ente actualizaciones, así como disponer
de protección antivirus. Si deseam os acceder a
Microsoft U pdate para ver las últim as actualiza­
ciones de n u estro sistem a operativo Windows,
podremos hacerlo entrando con In tern et Explorer
5 o superior a: http:11www.apdate.microsoft.com.
C ontesta a las siguientes cuestiones:
6. Verifica periódicam ente si estás infectado por
malware. Actualm ente la m ayoría de las em presas
de seguridad inform ática y creadores de antivirus
g ra tu ito s y de pago, ofrecen servicios de escaneo
online p ara poder probar sus soluciones. Aunque nor­
m alm ente no disponen de funcionalidades completas
como la desinfección, si sirven p a ra ten er conoci­
m iento de que vulnerabilidades y malware tenemos
en nuestro sistem a. Busca al menos dos an tiv iiu s en
línea y realiza análisis de tu sistem a para tener un
co n traste en la información obtenida. E n tre otras
em presas que lo facilitan so encuentran: P anda,
Bitdefender, Eset, Kaspersky, Mcafee, TrendMícro,
Symantec, etc.
Configura el firewall de Windows para evitar con­
testar a peticiones de red de eco en tran te. ¿Es
posible realizar la configuración de cada puerto
de red?
Realiza una com parativa en tre las soluciones em ­
pleadas anotando: núm ero de archivos an aliza­
Configura el firew all para evitar que tu navega­
dor web tenga acceso a Internet.
¿Crees que los sistem as GNU/Linux al no dispo­
ner de tan tas opciones de herram ientas an tivirus
son m ás seguros que los sistem as Windows? ¿Por
qué? ¿Y en caso de tener un servidor FTP bajo
Linux, alojando archivos potencialm ente malicio­
sos, sería recomendable tener alguna herram ien ­
ta que rastree posibles archivos infectados?
31
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
TEST DE CONOCIMIENTOS
La p rim era c a ra c te rístic a a g a ra n tiz a r en un
sistem a seguro es:
Confidencialidad.
Integridad.
Disponibilidad.
No repudio.
Indica qué sentencia es falsa:
La integridad perm ite asegurar que los datos no
se h an falseado.
Confidencialidad es desvelar datos a usuarios no
autorizados; que comprende tam bién la privaci­
dad (la protección de datos personales).
Disponibilidad es que la información se encuen­
tre accesible en todo m omento a los distintos
usuarios autorizados.
U na de las siguientes m edidas no pertenece a la
seguridad lógica:
C ontraseñas.
SAI.
Copia de seguridad.
SW antim alware.
¿Qué elem ento de un siste m a inform ático se
considera m ás critico a la hora de protegerlo?
Comunicaciones.
Software.
Hardware.
Datos.
U n hacker:
Siem pre tiene una finalidad maliciosa.
La m ayoría de las veces tiene u na finalidad
maliciosa.
A veces posee una finalidad maliciosa, entonces
se denom ina cracker.
Es un curioso con una finalidad conocida.
32
El phishing'.
Es un tipo de fraude bancario.
Es u n tipo de maluoare o virus.
Se contrarresta con un spywctre.
Se propaga m ediante correo electrónico siempre.
¿Cuál es el estándar ISO en m ateria de auditoría de
sistem as de información?
IS O 9001.
ISO 27000.
ISO 27002.
ISO 27001.
COBIT.
¿Y el están d ar de buenas prácticas en m ateria de
seguridad informática?
ISO 9001.
ISO 27000.
ISO 27002.
ISO 27001.
COBIT.
Con respecto a un análisis forense:
Se realiza siem pre a posteriori de detectar
vulnerabilidades.
Se debe realizar sem analm ente.
Se realiza ta n solo cuando el sistem a de inform a­
ción ‘‘ha muerto".
Se realiza siem pre a priori de detectar vu ln era­
bilidades.
Una vez se realiza una auditoría:
Si todo se encuentra correcto no es necesario
volver a realizar auditorías.
Es recomendable volver a realizarlas periódica­
mente.
Es poco probable que todo esté perfecto.
Es recom endable volver a realizarías periódica­
mente, pero ya no tan exhaustivas.
•
•
•
/
Profundizar en aspectos de seguridad
pasiva, como son las copias de
seguridad y medidas específicas de
seguridad física y ambiental.
/
Valorar la importancia de realizar
periódicamente copias de seguridad
de la información sensible de nuestros
sistemas.
/
Analizar los distintos aspectos que
influyen en la ubicación física de los
sistemas.
✓ Valorar la importancia para
la empresa de un centro de
procesamiento de datos (CPD) y
analizar qué medidas específicas
requiere.
✓ Analizar los distintos dispositivos
hardware que permiten mejorar la
seguridad física, como sistemas de
alimentación ininterrumpida (SAI),
sistemas de refrigeración, armarios
de seguridad, circuitos cerrados de
televisión, etc.
Investigar sobre nuevos métodos de
seguridad física y de control de acceso
a los sistemas medíante biometría.
© RA MA
SEGURIDAD Y ALTA DISPONIBILIDAD
PRINCIPIOS DE LA SEGURIDAD PASIVA
La seg u rid a d p asiva in ten ta m inim izar el impacto y los efectos causados por accidentes, es decir, se consideran
m e d id a s o a cc io n es p o sterio res a un ataque o incidente. A continuación se presenta una tabla que relaciona los
posibles problemas con soluciones propuestas:
Tabla 2.1
Medidas paliativas
Amenazas
Suministro eléctrico: cortes, variaciones
del nivel medio de tensión (subidas y
bajadas), distorsión y ruido añadido.
Robos o sabotajes: acceso físico no
autorizado al hardware, software y copias
de seguridad
Condiciones atmosféricas y
naturales adversas: temperaturas
extremas, humedad excesiva, incendios,
inundaciones, terremotos.
Sistema de alimentación ininterrumpida (SAI o UPS).
Generadores eléctricos autónomos.
Fuentes de alimentación redundantes.
- Control de acceso físico: armarios, llaves, blindaje, biometria.
- Vigilancia mediante personal y circuitos cerrados de
televisión (CCTV).
Elegir la correcta ubicación de sistemas, teniendo en cuenta
en la construcción la probabilidad de catástrofes naturales y
ambientales.
Centro de respaldo en ubicación diferente al centro de
producción.
Proporcionar mecanismos de control y regulación de
temperatura, humedad, etc.
Las consecuencias o efectos producidos por las distintas am enazas previstas son:
Pérdida y/o mal funcionam iento del hardware.
F alta de disponibilidad de servicios.
Pérdida de información.
Como hem os visto en el capítulo anterior la pérdida de información es el aspecto fundam ental en torno a la que
g ira gran p arte de la seguridad inform ática, por lo que, como medida transversal y siem pre recom endada en prim er
lug'ar abordarem os la planificación y realización de c o p ia s d e segu rid ad , que perm itan recuperar los datos.
34
© RA-MA
2 ■SEGURIDAD PASIVA
A
A continuación se propone leer una noticia de actualidad relacionada con la seguridad pasiva y
com entar en clase determinadas preguntas de análisis de la misma, en concreto la podemos encontrar
en ia URL http://www.weblogssl.corn/2008/09/23-caida-general-de~x-horas-durante-la-m adrugadadeh23~de-septiembre-de-2008, también descargándote el material adicional del libro.
•
¿A qué se dedica la empresa? ¿Qué ha ocurrido y qué consecuencias ha tenido? ¿Por qué ha
existido corte en el servicio de la empresa? ¿Crees que se encontraban bien dimensionados los
generadores de gasoil para la carga que tenían que soportar?
•
¿Qué equipos se apagaron primero al intentar reiniciar con el segundo grupo de em ergencia? ¿A
qué temperatura deben de perm anecer las salas de estos equipos? ¿Qué peligros se corrían?
•
¿Qué tipos de medidas ha tom ado la empresa a p osteñorí? ¿Las ves acertadas?
•
¿Qué tipo de m edidas y recomendaciones crees que podrías aportar personalmente para evitar
este tipo de incidentes en el futuro?
COPIAS DE SEGURIDAD
Por acción de algún tipo de mahuare, acceso no autorizado a nuestro sistem a, por fallos en el hardw are o,
sim plem ente, por accidente o descuido, la in form ación co n ten id a en n u e stro eq u ip o p u ed e r e su lta r d añad a o
in clu so d esa p arecer. Las c o p ia s d e seg u rid a d o backup, son r é p lic a s d e d atos q u e n os p erm iten recu p era r
la in fo rm a ció n orig in a l en ca so d e ser n ece sa rio , es un ai-chivo digital, on conjunto de archivos o la totalidad de
los datos co n sid era d o s lo su fic ie n te m e n te im p o rta n tes para ser con servad os.
Uno de los principios de seguridad: "Ordenar de mayor a menor prioridad qué archivos, datos y
configuraciones son difíciles de volver a realizar o recuperar, y mantener de forma segura copias de
seguridad de los mismos, distribuidas en espacio y tiempo".
Corresponde a cada usuario determ inar los datos, que por su im portancia, serán alm acenados en la copia de
seguridad. E stas copias, se pueden alm acenar en soportes extraíbles (CD/DVD, pendrive, cintas de backup, etc.), en
otros directorios o particiones de datos de n u estra propia m áquina, en unidades com partidas de otros equipos o en
discos de red, en servidores remotos, etc. Es aconsejable que dichas copias de seguridad se encuentren cifradas y
com prim idas en un solo archivo facilitando su confidencialidad, m antenim iento y distribución.
Teniendo en cuenta los m od elos de a lm acen am ien to masivo de los sistem as hoy en día encontramos:
35
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
D irect A ttach ed S to ra g e (DAS): es el método tradicional de alm acenam iento y el más sencillo. El dispositivo
de alm acenam iento se encuentra directam ente conectado físicam ente al sistem a que hace uso de él. Es el caso
convencional disponer un disco duro conectado directam ente al sistem a informático. Los discos duros extraíbles,
y las particiones de datos, son una solución sencilla y económica para realizar copias de seguridad locales.
N etw ork -A ttach ed S torage (ÑAS): alm acenam iento conectado en red. Las aplicaciones hacen las peticiones
de datos a los sistem as de ficheros de m anera rem ota m ediante protocolos de red, como NFS, FTP, CIFS o
SMB. Las carpetas com partidas en red y servidores específicos ÑAS son una buena solución para una LAN de
tam año pequeño o medio.
S to ra g e A rea N etw ork (SAN): red de área de alm acenam iento. Los dispositivos de alm acenam iento se
encuentran conectados a una red de alta velocidad directam ente y resuelven las peticiones que se le realizan.
La in fraestru ctura necesaria hace que solo sea posible en grandes organizaciones.
A modo de ejemplo veremos cómo im plem entar un servidor ÑAS como servidor de arcbh'os para distintos usuarios
en una red corporativa en el capítulo 8.
MODELOS DE ALMACÉN DE DATOS
Los datos de la copia deben ser alm acenados de alguna m anera y probablem ente deban ser organizados con algún
criterio. Para ello se puede usar desde una hoja de papel con una lista de las cintas de la copia de seguridad y las
fechas en que fueron hechas, h asta un sofisticado program a con una base de datos.
U n almacén d esestr u c tu ra d o o conjunto de disquetes, CD/DVD, m em orias USB, discos duros externos o cintas de
b a cku p , con una m ínim a información sobre qué h a sido copiado y cuándo. É sta es la form a m ás fácil de im plem entar
pero ofrece pocas g arantías de recuperación de datos. Lo habitual es trab ajar con alm acenes estructurados, en función
de la cantidad de archivos que se salvaguardan a la hora de realizar la copia de seguridad, podemos distinguir tres
tipos de copia:
C om pleta, total o íntegra: es una copia de seguridad total de todos los archivos y directorios seleccionados.
Increm enta!: se hace una copia de seguridad solo de los archivos que han cambiado desde la últim a copia de
seguridad realizada, sea del tipo que sea. Tiene en cuenta los bits de archivo modificado.
D iferen cial: es sim ilar a la íncrem ental pero realiza una copia de todos los archivos que han cambiado desde
la últim a copia de seguridad total que hayamos hecho.
Si hacemos una copia de seguridad total el día 1 de cada mes y copia de seguridad increm ental el resto de los
días, cada copia increm ental solo g u ard ará los archivos que se hayan modificado ese día, por tanto el volumen de
inform ación de cada backup increm ental será m enor que el de la total. Si tenemos que realizar la restauración de
archivos a n te u n d esastre, d eb em os d isp o n er de la co p ia to ta l y de to d a s la s co p ia s in c rem en ta les q u e
h a y a m o s re a liza d o d esd e la cop ia total.
Si hacemos copia de seguridad total el día 1 de cada mes y copia de seguridad diferencial el resto de los días, cada
copia diferencial g u ard ará los archivos que se hayan modificado desde el día 1. La ventaja es que se requiere menos
espacio que la copia total y que en el p ro ceso de resta u ra ció n ú n ica m en te n ecesita rem o s la ú ltim a cop ia
to t a l y la ú ltim a co p ia d iferen cial. U na copia diferencial anula a la copia diferencial anterior. Por el contrario, se
consum e más tiempo en realizar la copia y tam bién m ás espacio que en el caso de copia increm ental.
36
© RA-MA
2 ■SEGURIDAD PASIVA
RECOMENDACIÓN SOBRE EL TIPO DE COPIA A EFECTUAR
Si el volumen de datos de n u e stra copia de seguridad no es muy elevado (menos de 4 GB), lo m ás práctico es
realizar siem p re c o p ia s to ta les ya que en caso de desastre, tan solo debemos re c u p e ra rla últim a copia.
Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) pero el volumen de datos
que se modifican no es elevado (sobre 4 GB), lo más práctico es realizar una prim era copia total y, posteriorm ente,
realizar siem p re co p ia s d iferen cia les. Así, en caso de desastre, tan solo debemos recuperar la copia total y la últim a
diferencial. Periódicam ente debemos realizar una copia total y así em pezar de nuevo.
Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) y el volumen de datos que
se modifican tam bién lo es, las copias diferenciales ocuparán mucho espacio, por lo tanto en este caso lo m ás práctico
será realizar una prim era copia total y posteriorm ente realizar siem p re cop ias in crém en ta les, ya que son las que
m enos espacio ocupan. El problema es que en caso de desastre debemos recuperar la últim a copia total y todas las
incrém entales realizadas desde que se hizo la últim a copia total. E n estos casos, conviene hacer copias totales más a
m enudo p ara no tener que m antener un núm ero m uy elevado de copias incrém entales.
Tabla 2.2
Método de copia
Espacio de
almacenamiento
Velocidad de
copia
Restauración
Copia
recomendada
Completo
Máximo
Muy lento
Muy simple
Pocos datos a copiar
Completo +
Incremental
Mínimo
Rápido
Compleja
Muchos datos
que cambian
frecuentemente
Intermedio
Lento
Sencilla
Datos cuya velocidad
de cambio es
moderada
Completo +
Diferencial
En grandes com pañías donde la realización de copias de seguridad está perfectam ente p lan ificad a , se suelen
u tilizar sistem a s m ixtos. Por ejemplo en un caso típico se realizarían las siguientes tareas:
Todos los días 1 de cada mes, a las 23:00 horas: copia de seguridad total.
Todos los viernes a las 23:00 horas: copia de seguridad diferencial desde la copia de día 1.
Todos los días (excepto los viernes y el día 1) a las 23:00 horas: copia de seguridad increm ental desde la copia
del día anterior.
Con esta planificación nos aseguram os disponer de copia de seguridad diaria. En caso de desastre deberíamos
recuperar la copia total, la últim a diferencial y todas las increm entales desde la últim a diferencial.
P ara g aran tizar la disponibilidad de los datos, en caso de desastre en la ubicación principal, es recomendable
d istribuir en distintas ubicaciones las copias de seguridad. P ara ello se puede utilizar una em presa especializada que
tra n sp o rte y cu sto d ie duplicados de las copias, así como em plear alojam ien to rem oto, o bachup online o en la
nube.
37
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
PRÁCTICA 2.1
COPIAS DE SEGURIDAD CON HERRAMIENTAS DEL SISTEMA
Como hemos analizado, las copias de seguridad son parte fundamental de los sistemas, existen multitud de
herramientas, algunas preinstaladas en los propios sistemas operativos, otras como aplicaciones específicas.
Algunas de las opciones que se deben de analizar son:
Compresión: es el mejor método para disminuir el espacio de almacenaje necesario y de ese modo reducir
el coste.
Duplicación: copias de seguridad duplicadas en un segundo soporte de almacenamiento. Esto puede
hacerse para cambiar de lugar las copias, para optimizar velocidades de restauración, o incluso para
disponer de una segunda copia a salvo en lugar o soportes diferentes. Se suele realizar en un soporte
portable, económico y de alta capacidad como: CD/DVD, discos duros o unidades de cinta externas/
extraíbles, o en memorias de estado sólido.
Cifrado: la alta capacidad de los soportes de almacenamiento desmontables implica un riesgo de perderse
o ser robados. Si se cifra la información de estos soportes se puede reducir el problema, aunque esto
presenta nuevos inconvenientes. Primero, cifrar es un proceso que consume mucho tiempo de CPU y puede
bajar la velocidad de copiado. En segundo lugar, una vez cifrados los datos, la compresión es menos eficaz.
Aunque para información confidencial es recomendable emplear esta opción.
Nombre del archivo: suele incluir el tipo de copia y la fecha (en ef caso de copias totales) o fechas (en el caso
de copias diferenciales e incrementales) de los datos. En ocasiones se indican las carpetas que contiene.
Ejemplos: copia de seguridad total el 1 de enero de 2011: copiatotal_01enell.tar.bz2
Copia diferencial el 8 de enero de 2011: copiadiferencial_01enell-08enell.tar.bz2
GNU/Linux
Bajo los sistemas GNU/Linux las operaciones de administración son habituales realizarlas mediante comandos del
sistema, en este caso se propone un modelo de gestión de copias de seguridad con 2 herramientas en modo comando,
tar para el empaquetado de archivos y cron para la automatización de tareas. Alternativamente se podría emplear
para la compresión y cifrado de las copias de seguridad otras herramientas como gzip, zip, bzip2, rar, etc., y cfs o
herramientas más sofisticadas de cifrado de particiones como Truecrypt, la cual veremos en el Capítulo 5.
Centrándonos en las 2 primeras propuestas tar y cron, veamos en primer lugar sus opciones:
TAR
Empaquetando con tar, opciones más comunes:
tar -vcf nombre_archivo.tar nombre_carpetas_a_empaquetar.
v: (verbose) permite obtener una descripción de los archivos empaquetados/desempaquetados,
c: {create/crear) crea un archivo tar.
f: {file/archivo) índica que se dará un nombre al archivo tar.
--newer-fecha: realiza un empaquetado incremental teniendo en cuenta que archivos han sido
modificados desde la fecha que se le indique.
Desempaquetando con tar, opciones más comunes:
tar -tvxf mi_archivo.tar.
t: ver el contenido (sin extraer).
x: (extract/extraer) extrae los archivos en la carpeta que contiene el tar.
38
© RA-MA
2 ■ SEGURIDAD PASIVA
CRONTAB
La sintaxis crontab es la siguiente: crontab [-e | -I | -r ] [usuario].
El parámetro -e indica la edición del cron, -I ver las tareas programadas en el archivo cron y -r borrar un archivo
cron. Si no se especifica el usuario, el comando se ejecutará para el usuario en sesión. Editaremos el archivo
crontab con la instrucción:
crontab-e
Con este comando nos mostrará un listado de editores de texto para editar la tabla cron de tareas programadas.
Una vez seleccionado el editor deseado, por ejemplo nano, seleccionado por su facilidad de uso, podremos definir
líneas de configuración con la frecuencia con que queremos que se ejecute un determinado proceso, script o
programa.
¿rchivo Edita» y» fcfrnindl Ayuda
Gfcu ra n a ?
F ic h e r o ; / t ffp / c rc r ta t;
fl.fr
/croM -ib
N o tific a d o
dora non do w
com and
0 3 • • • /usr/bin/backup
a a h
Í
Vcr ayuda jjTjj Guardar
D Leer Fich B
Salir
§Q Justiflcargj Oónde E m -jJ
Pag Ant
Pag S i g
BJ Cortar
pegarTxt
2
2
Ros actual
Ortografía
Cada línea de crontab tiene el siguiente Formato:
* * * * * comando_o_programa_a_ejecutar
I I I I I
l i l i
|----- Q£a ¿le ia semana (0 - 6)
|
|
|
| ------------Mes (1 _ i2 )
I |
---------- D£a ¿el mes (1 - 31)
I |------------ Hora (0 - 23)
I---------------Minuto (0 - 59)
(0 Domingo)
La tarea se ejecutará de acuerdo a estos parámetros, por ejemplo, si quisieras ejecutar el programa /usr/bin/
backup, todos los días viernes a las 3 de la mañana la sintaxis sería la siguiente:
0
3 * * 5
/usr/bin/backup
Para especificar más de un valor en un registro se puede utilizar la coma (,) para separar los valores; en el
ejemplo anterior puedes definir que la tarea se repita los lunes y los viernes a las 3 de la mañana de la siguiente
manera:
0
3
*
*
1,5 /usr/bin/backup
A modo de ejemplo se mostrará un script para realizar un backup completo o total del sistema cada 1 de
mes (nomenclatura CTM_fecha), otro backup completo semanal cada Domingo (CTS_fecha) y backups diarios
incrementales (ID_fecha) (solo de los cambios realizados desde el último backup completo).
Lo primero que tenemos que hacer es tener claro dónde guardaremos nuestras copias de seguridad y qué
directorios queremos resguardar, ya que deberemos modificar un par de líneas del script, también debemos
indicarle dónde se almacenará la fecha del último backup completo, para que se tenga en cuenta en la copia
incremental.
39
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Las copias de seguridad se realizarán sobre la carpeta que indiquemos en BACKUPDIR en nuestro caso /home/
Backups. Lo recomendable es realizar la copia de seguridad sobre un dispositivo extraíbie, por ejemplo, un disco
duro externo USB, indicando una carpeta donde esté montado el dispositivo.
Una mejora añadida sería la creación de la copia en una carpeta remota. Al igual que se automatiza la creación
de la copia, se podría ejecutar automáticamente un comando que, vía NFS, SMB, FTP o SSH, vuelque los archivos
en un servidor remoto para mayor seguridad. También existen herramientas para realizar directamente copias de
seguridad remotas como rsync.
# ! /bin/bash
# script de copia completa e incremental
# modificar directorios a respaldar y destino del Backup
DIRECTORIOS="/bin /boot /etc /initrd /home /lib /opt /root /sbin /srv /usr /var"
# Directorio donde se guarda el backup
BACKUPDIR=/home/Backups
# Directorio que guarda la fecha del último backup completo
FECHADIR=/home/Backups
DSEM='date +%a'
# Día de la semana (por e j . mié)
DMES='date +%d'
# Día del mes (por e j . 06)
DYM='date + % d % b ‘ # Día y mes (por e j . 06jun)
# "NUEVO" coge la fecha del backup completo de cada domingo # Backup mensual
completo - sobrescribe el del mes anterior
if [ $DMES = "01" ); then
tar -cf $BACKUPDIR/CTM_$DYM.tar $DIRECTORIOS
fi
# Backup semanal completo
# Actualiza fecha del backup completo
if ( $DSEM = "dom" ]; then
A H O R A = 'date +%d-%b'
echo 5AHORA > $FECHADIR/fecha-backup-completo
tar -cf $BACKUPDIR/CTS_$DSEM.tar $DIRECTORIOS
H Backup incremental diario - sobrescribe semana anterior
# Obtiene fecha del último backup completo, opcion newer.
else
N U E V O = " - - n e w e r = 'cat $ F E C H ADIR/fecha-backup-completo‘
"
tar SNUEVO -cf $ B A C K U P D IR/ID_$DSEM.tar $DIRECTORIOS
fi
Cuando tengamos el script retocado a nuestro gusto le damos permisos de ejecución y lo copiamos a la carpeta
/usr/bin, por ejemplo:
chmod u+x backup-script
cp backup-script /usr/bin/
Después bastará con hacer que el script se ejecute cada día mediante cron, por ejemplo a las 3 de la mañana,
para que no nos moleste mientras trabajamos con el PC.
crontab -e
escribiremos en la tabla:
0 3 * * * /usr/bin/backup-script
40
© RA-MA
2 ■SEGURIDAD PASIVA
Para determinar la fecha del último backup completo y poder hacer así el backup ¡ncremental, se utiliza un fichero
de texto con la fecha en cuestión, denominado Fecha-backup-completo, que se actualiza cada domingo. La primera
vez que se ejecute el scrípt se creará un backup completo en vez de incremental diario, sea el día que sea, ya que
ese archivo todavía no existe. Lo que debemos hacer es ejecutar el script, invocando el script (sin esperar a la
ejecución automática con cron) la primera vez para realizar el backup completo y después crear este fichero con
la fecha actual. Podemos crear dicho fichero Fácilmente así:
echo "date +%d-%b' > /home/Backups/fecha-backup-completo
Sustituyendo /home/Backups/ por la ruta pertinente.
Si queremos restaurar el sistema lo único que debemos hacer es entrar a un terminal, loguearnos como root
y, situados en el directorio raíz o punto donde queramos, restaurar el backup e introducir estos comando:
cd /
tar -xf ruta_del backup_que_que r e m o s _ r e s u t a u r a r .tar
WINDOWS
En Windows existen varias utilidades del sistema para realizar copias de seguridad. Los archivos del sistema se
almacenan en la carpeta Windows por defecto en la instalación. De las recomendaciones más habituales a la hora
de poder realizar copias de seguridad para restaurar el sistema operativo son:
Realizar una instalación del sistema operativo diferenciando 2 particiones una con suficiente tamaño para
el sistema operativo y aplicaciones a instalar, y otra dedicada a datos de usuarios. Una posible restauración
o sobreinstalación del sistema operativo no afectará a la partición independiente de datos de usuario.
No guardes información relevante en las carpetas facilitadas por el propio sistema operativo como Mis
Documentos, Escritorio, etc., ya que son carpetas que, en caso de tomar la decisión de sobre instalar el
sistema operativo, no te asegura su continuidad tal y como estaban, ya que vuelve a configurarlas.
Realizar una vez instalado y conFigurado el sistema, controladores, sus aplicaciones fundamentales estables,
y configurado, puntos de restauración, que permitan en un momento determinado de inestabilidad volver
a dicha configuración anterior conocida y estable.
Windows posee 2 herramientas interesantes para realizar copias de seguridad y puntos de restauración, en
Inicio/Todos los programas/Accesorios/Herramientas del sistema.
Por un lado, Copia de seguridad para generar backups de los archivos origen deseados, con un formato específico
.bkf, en un soporte como dispositivos de aimacenamiento externos. Estos archivos de backup se pueden restaurar
a partir de la propia herramienta. El asistente proporcionado facilita la tarea para crear tus copias de seguridad.
Por otro, Restaurar Sistema permite crear puntos de restauración así como restaurar anteriores, con la finalidad
de guardar o restablecer la configuración de nuestro equipo en un momento determinado. En caso de
tener un problema de configuración por causa de un programa o cambios inesperados o indeseados producidos
por malware, podremos volver a una la configuración en la que nuestro equipo funcionaba correctamente, y por
precaución creamos un punto de restauración, configuración en la que nuestro equipo funcionaba correctamente.
El propio sistema crea sus propios puntos de restauración, pero es recomendable crear unos cuando vamos a
realizar un cambio importante de software o hardware en nuestro equipo.
41
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
I PRÁCTICA 2.2
COPIAS DE SEGURIDAD CON APLICACIONES ESPECÍFICAS
Las herramientas propias del sistema poseen funcionalidades óptimas y suficientes en la mayoría de los casos,
pero vamos a analizar varias herramientas que pueden resultar de interés para usos específicos como disponer
de opciones como distintos algoritmos de cifrado, contraseñas, compresión, gestionar copias remotas,
etc.
Windows
En el caso de Windows existen muchas aplicaciones de gestión de copias de seguridad pero las opciones que
permite tas analizaremos con la herramienta Cobian Backup.
Cobian Backup es un programa gratuito, multitarea, capaz de crear copias de seguridad en un equipo, unidad
extraíble, red local (carpetas compartidas o ubicación de servidor) o incluso en/desde un servidor FTP. Soporta
conexiones seguras mediante SSL. Se ejecuta sobre Windows y uno de sus grandes fuertes es que consume muy
pocos recursos y puede estar funcionando en segundo plano.
Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria, semanal, mensual o anualmente,
o en un tiempo especificado. Hace copias completas, incrementales y diferenciales.
Soporta compresión ZIP, Zip64 o SQX. Además ofrece la opción de proteger todas las funciones del programa por
contraseña.
Existe la opción de cifrar sus ficheros usando 4 métodos diferentes de cifrado fuerte: RSA-Rijndael (1024-256bits), Blowfish (128-bits), Rijndael (128-bits) o DES (64-bits). Estos y otros algoritmos se clasificarán en el
capítulo 5 de criptografía.
También pueden definir eventos disparados antes o después de la copia, como por ejemplo provocar el cierre de
un determinado programa que utilice un fichero que se va a copiar y hacer que, una vez finalizada la copia, se
vuelva a iniciar.
La aplicación permite generar distintas tareas de ejecución programadas en tiempo, en cada una de las cuales
podremos indicar principalmente una serie de características, tras pulsar el botón de Tarea nueva (reloj),
podremos configurarle paso por paso:
General: Nombre nombre y tipo de copia completa, incremental o diferencial.
X
■knet^
Ow«
•
0 H o u re
tonbr«
^Ddjacm
j^Avinuds
i« « «
______
T jr M n j * *
Qncm
[^iln d u f «ubárcctcnc*
rnpéju
uwndo led*»
QUMrbvc«<k«IrtKjKOi
j*jUMr
CoPV
rcx><*'M04da
(ri Constato
inatm mtd
W ®mciM
' j T« m
CaCMt corrc«r«t « 9*ar4ar
I»
42
'
I
© RA-MA
2 ■SEGURIDAD PASIVA
Ficheros: Ubicación ubicación de ficheros/carpetas a copiar y ubicación destino que puede ser un sitio
FTP, para realizar copias remotas.
Horario: Indicando indicando que periodicidad y en qué momento fecha y hora queremos que se
ejecute.
Archivo: Opciones opciones de compresión y protección mediante algoritmo de cifrado con contraseña,
del backup.
ijc
Opaonr* de (M udn
Too d» c o a p a a to
ConpreaónZ©
+ ¡
¡B
_] Cc<%rrw ndvtXMftnaríe
conc«rt>M«Aa
<Lattt*uP+
C c rtitw A t (can/m ur)
Cetnorttn) d* 0 <trvo
__________________________________
AftfirvooMtJopor CotMT lUctlO 10
fra fo hjotm
Too d c c Ir »¿o
C a ^ d tlih M d M
U n n la h (l2Stes>
y.
f r a » d*v»
&
GNU/Linu x
En el caso de GNU/Linux nos encontramos en la misma situación, existen gran cantidad de herramientas de
automatización de backups en los repositorios disponibles. En concreto comentamos la herramienta fwbackups
por su intuitiva interfaz gráfica.
Es multiplataforma y puede hacer backups individuales o recurrir a backups programados, en local o remoto, así
como completos, incrementales, o diferenciales. También te permite hacer backups en formato tar, tar.gz, tar.bz2
o rsync. Desde la web www.difTingo.com podemos descargar la última versión e instalarlo con el instalador de
paquetes GDebi, por ejemplo bajo Ubuntu.
0
fw bacfcupt
gd»!*' ypr H'jtorvll H
ot
/KW«
Download
DifRngo S o lu u o m Inc. • M o /n li Flrvfex
HenWKWlM
-
¡13 KtpJMww.<Siftngo<cwTX/oisVfwt»ckup$A3ownk>dd
||M A svM ad nv
IjQv- f*b<Kku|
fKJecnngStarted Q U t r t t H ead H n n v
(. >fwt»cfcup* - Download! D*fT
-faiM C *upi lnü.in.*:><i* | O»
Ha evcoguo abru
fwbacltupi_I.43.Srx4-OuburTtul-ppaS_l3M.dob
rtauieau n toouece de software
de hop/yiaunchpadlibranan ne<
¿Q u é d a b a ria hacer F ircfo x con a sta a rc h iv o ?
• AM 'cyn
invtoUdor depjKji^teiGOebi (pret?e<rrTT ;ruwia)
Guardar arrfwo
H#cer rita automacamente para lo» «relavo* como éve de ahora en adelante
©Cancel»?
N
Fldtn W M (MtlUf* hrf>
43
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
r i y t > » rm r n f á
V («.. CoAjMJtton
MMim
D«T* • ( llM M « k
• ter« tf 11« m
InWf
finn
I Unuerv
{> K * . r C«rtf » • « I»
Otr»-*
La configuración de arch ¡vos/carpetas origen (pestaña path), destino (destination), tipo de copia, compresión y
temporización es sencilla e intuitiva, pudiendo realizar backups programados o en el momento.
RECUPERACION DE DATOS
¿Podemos recuperar archivos borrados definitivam ente de nuestro sistem a? E n el caso de haber sido víctima de un
a taq u e o haber sufrido un accidente como corte de sum inistro eléctrico o fallo de hardw are, la recuperación de archivos
en disco lo intenta. C uanto menor tiempo y modificaciones de disco tran sc u rra n entre el borrado o accidente y nuestro
in ten to de recuperación, mejor será nuestro resaltado. Por ejemplo, cuando en un sistem a de ficheros de u.n sistem a
operativo se borra un fichero de un medio de alm acenam iento (disco duro,pendriue USB, cinta, etc.), marca aquellas
posiciones que ocupaba dicho fichero en el dispositivo como libres, para poder alm acenar nueva información, pero no
las borra. Los datos perm anecerán en esas posiciones hasta que se sobrescriban con nueva información. Por lo que es
posible recuperarlo m ediante alguna h erram ien ta software.
I
PRACTICA 2.3
RECUPERACION DE DATOS
Existen diferentes soluciones que realizan el rastreo de información marcada como borrada en un medio de
almacenamiento y que puede ser recuperable.
Windows
Recuva es una aplicación de archivos borrados para sistemas Windows, permite seleccionar el tipo de archivo y
en qué unidades buscar archivos que están borrados o no visibles directamente en la unidad.
44
2 ■SEGURIDAD PASIVA
© RA-MA
InUemrm
Hw rt* «Oblo» vttvw u4»fm urta<onootoadim qot. cssela*rotada
.•Mr»
Mmbar Wto te» artfyrt» da Pi— tfin wnoadw
«uJo, cowo fa> gtf—ca
"D g ru R M iM
Mc*b • eflli? be »xíw ei de fom«fc» careodoi» d o ru iw tw de Cfft». o a w b i
rtf*»w <3*
*t u M
VMm
Hoat/jr «di» b» » Ü rrw o* «¿ao. csm g r^ « c n ri da m
m
mó
&
a
tet
M M )« i f l t t r d w a f p w to
C o n n efectróMcs
Meato» vj*D kx iwflMim di cwrw» d»g»dr* j 0«
MMMNrf
W W L>tr«i r
«ido* kM M
á*<
r.
í <»*
»I I
I
n cu a te * ia»J*} «►.»»afci» fe-rapto CD*
***- I
Es importante saber que no siempre es posible recuperar el 100% de los datos, en ocasiones se puede recuperar
parcialmente parte de texto, imágenes, etc.
En muchas ocasiones los nombres de los archivos recuperados no coinciden con el original, en nuestro caso el
archivo nuevo.doc que creamos y borramos definitivamente en una memoria USB (sin pasar por la papelera de
reciclaje), nos lo recuperó con el nombre_uevo.doc.
| C-m
ttrndvtjóatrftn
m
d
o|
■U
*1
0(11/2010itVS
»11/2010 16«
zvivaioitsa
SSZSaSnSZSHu «010
'»><>
'»»
WS5
I «rTfvaa ■ane«’ a to an 0 03 mq*
pciowtí
ÍTOIOOTS5
0910 TO*
«íi icoia
□
n
iva&mmi*
«\A
0*11(301013'»
O • •CHWOM* K\A UW
0*?©10£«9
r«rs. J.rx*
Tañarte £«*30
IICB Cscafcnte
lita
IZ O n iS
5» !
I 77n
kriojfmibtm
V rau cw tf*
irr«cupa>«te
> r« \* « Jta a
¡ a i HopoCra
JJTtt
99 fr?*ae*4iá«
tit rite i trn w rti
1l> l krac^ar Ato
17 117ir a IraciCavaW»
jn a tjc w ti
I «QiiB tira*\**ntaa
H
ote U dat*ct*do »»gui.
No M ha ¿Hartado ranpxt.
(.*•m
*t~
)f t i i aobmot
W *« tfM n U to tr« o t
(« • tfw o n U M tm a i
UU W&TXJ 9*4
( « • « it M I f U t o t r K r t
C«a « t* * e « U *o6re«crl
tal* m
ttrxjn t j tofcr«ot
MomM drtactado n»9 ^ •
Cv» arcf**o arta tdtrm
at
U t « t f M n ía MÍ>no<
No «a ha datarta-to r a ^ r
Lrtf m
ú
*-nM U KCraatrf
»ate»'/,rr»«t«r.c ic-mq
45
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
El método que poseen estos programas para la búsqueda de datos en clúster de un dispositivo esta basado en
comparar los datos contenidos en ellos con las estructuras de datos de los formatos de archivos más comunes:
texto (odt, doc, txt), gráficos (bmp, jpg, gif, png, tiff), vídeos (av¡, mpg, mov), sonido (mp3, wav, wma), otros
como html, pdf, rar, etc.
GNU/Linux
Existen diversas herramientas de recuperación de datos incluso algunas de ellas se encuentran disponibles en USB
o CD/DVD Live para poder recuperar archivos incluso en caso de no poder arrancar el sistema operativo. Algunas
de tas más conocidas y disponibles en los repositorios de descargas son:
TestDisk: incluye TestDisk que puede recuperar particiones perdidas y sectores de arranque, y PhotoRec,
que es una herramienta sencilla de usar para la recuperación de archivos.
Foremost: recupera archivos basándose en una serie de estructuras internas además de otros datos. Fue
desarrollado por la fuerza aérea de los Estados Unidos y trabaja sobre todo con discos duros.
Scalpel: realiza las mismas funciones que Foremost, pero se centra en un mejor rendimiento y un menor
consumo del sistema, de tal manera que trabaja mejor con equipos viejos o con poca RAM.
En el caso de Foremost, es un programa de línea de comandos pero sin interfaz interactiva, como PhotoRec. Para
instalarlo podemos ejecutar: sudo aptitude install foremost.
Para ver la ayuda podemos ejecutar: foremost - h.
En nuestro caso usaremos las siguientes opciones:
-t: con una lista de extensiones de archivo, separadas por comas.
-v: que es el modo detallado, para saber qué está haciendo foremost de una manera más completa,
-o: indicará la carpeta dónde van a ir los archivos recuperados.
-i: donde indicaremos el sitio en el que están los archivos a recuperar.
Ejemplo: sudo foremost - t jpeg,png,g¡f -o foremost -v -i/d e v /sd a l
/ dev/sdal es la partición donde queremos buscar los archivos borrados o perdidos. En ocasiones es necesario
realizar una copia exacta del dispositivo o partición mediante el comando dd (duplícate disk)\ dd if=/dev/sdal
of=/home/usuario/imagen.dd, pudiendo posteriormente emplear como ubicación de entrada (-i) a foremost dicho
archivo con extensión .dd.
Foremost encuentra y guarda en carpetas por cada formato, tanto los disponibles como legibles en el disco duro,
como los recuperados. Los nombres de los archivos pueden no corresponder con los originales por lo que habrá
que realizar un análisis posterior de los mismos hasta encontrar los recuperados. En caso de querer conocer las
particiones disponibles podemos ejecutar previamente sudo fdisk -I.
Arcftvo
£fviar
yw
uro»
roreaoit started at M O « 6 11:27:39 761»
Invocation: foreaoit v -t png 1 /dcv/*do5 o rccyper»do/
Output directory: /taae/aluano/recupcrado
Configuration file : /etc/forraott cor.f
Proceulng: /dev/ida5
I...........................................................
File : /dev/lda5
Start: Med Dec S 11:27.» ?010
length: 31 GB 146172235264 byte«)
Mia
••t:
1:
2:
3:
4:
S:
«:
?r
•:
ft:
•It:
46
nm e
Ib*-512)
»6533298.png
»6373389. png
66325474. png
66575557. png
»6523626.png
»6325706.png
86323663.png
»6326154.png
6632623).png
»6326476. png
»6637389.png
SUe
File orfiet
Co—en!
1 KB
2 KB
2 KB
1 KB
2 KB
1 KB
I KB
2 KB
2 KB
1 KB
1 KB
268652614
26*999566
2696426»
769662711
769126329
269162862
269252699
769391169
269431537
269553616
3365B3463
132 a
14» x
(32 .
132 *
(48 *
<32 a
(32 a
(4B x
(48 a
321
48)
32)
32)
48)
32)
32)
48)
46)
)
(32 x 32)
© RA MA
2 ■ SEGURIDAD PASIVA
SEGURIDAD FÍSICA Y
AMBIENTAL
Es muy im portante ser consciente que por m ás que nuestra em presa sea la m ás segura desde el punto de vista de
ataq u es externos, hackers, virus, etc., la seguridad de la misma será nula si no se ha previsto cómo com batir un robo
o un incendio.
La seguridad física es uno de los aspectos m ás olvidados a la hora del diseño de un. sistem a informático. Si bien
algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacan te interno a la
em presa, que intenta a acceder físicamente a una sala de operaciones de la m ism a, no. Esto puede derivar en que para
u n atacan te sea m ás fácil lograr acceder y robar una cinta o DVD de backup, que in ten tar acceder de forma rem ota o
lógica a los datos que contienen los sistem as.
Así, la seguridad física consiste en la a p lic a ció n de b a rrera s físic a s y p ro ce d im ie n to s d e con trol, com o
m ed id a s de p rev en ció n y co n tra m ed id a s a n te am enazas a los recu rso s e in form ación co n fid en cia l.
Se refiere a los co n tr o le s y m eca n ism o s de segu rid ad , dentro y alrededor de la ubicación física de los sistem as
inform áticos, así como los medios de acceso al mismo, im plem entados p ara proteger el h ard w are y medios de
alm acenam iento de datos.
En este tem a se abarcarán medidas aplicables tanto a equipos de hogar y pequeñas oficinas como a servidores y
centros de procesam iento de datos (CPD), que por su gran valor en la em presa requieren de m edidas de seguridad
específicas.
CENTROS DE PROCESADO DE DATOS (CPD)
Se denom ina procesamiento de datos o CPD a aquella ubicación donde se concentran todos los recursos necesarios para
el procesam iento de la información de una organización.Tam bién se conoce como c e n tro d e cóm p u to (Iberoamérica)
o ce n tro d e cá lcu lo (España), o centro de datos por su equivalente en inglés d ata cen ter. Dichos recursos consisten
esencialm ente en unas dependencias debidam ente acondicionadas, servidores y redes de comunicaciones.
Un CPD, por tanto, es un edificio o sala de gran tam año usada para m an ten er en él una gran cantidad de
equipam iento informático y en general electrónico. Suelen ser creados y m antenidos por grandes organizaciones con
objeto de tener acceso a la información necesaria para sus operaciones.
Por ejemplo, un banco puede tener un data center con el propósito de alm acenar todos los datos de sus clientes
y las operaciones que estos realizan sobre sus cuentas. P rácticam ente todas las com pañías que son m edianas o
grandes tienen algún tipo de CPD, m ientras que las m ás grandes llegan a tener varios in terco nectad os, en d istin tas
ubicaciones geográficas, con distintos cen tro s d e respaldo.
Un centro de respaldo es un centro de procesamiento de datos (CPD) específicam ente diseñado para tom ar el
control de otro CPD principal en caso de contingencia o fallo. Debe elegirse una localización totalm ente distinta a la
del CPD principal con el objeto de que no se vean ambos afectados sim ultáneam ente por la m isma contingencia, Es
h ab itu al situarlos en tre 20 y 40 kilómetros del CPD principal.
El equipam iento hardw are no tiene por qué ser igual al del CPD, aunque el software y los datos sí, por lo que es
necesario contar con una rép lica d e los m ism os d a to s con los que se trabaja en el CPD original. Este es el problema
principal de los centros de respaldo, por lo que existen políticas de gestión de copias síncronas o asincronas de datos.
47
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
E n tre los factores m ás im portantes que m otivan la creación de un CPD se puede destacar el ga ra n tiza r la
c o n tin u id a d y a lta d isp o n ib ilid a d del servicio a clientes, em pleados, ciudadanos, proveedores y em presas
colaboradoras, pues en estos ám bitos es muy im p o rtan te la protección física de los equipos inform áticos o de
comunicaciones implicados, así como servidores de bases de datos que puedan contener información crítica. Requisitos
generales:
D isp o n ib ilid a d y m o n ito riza ció n “24x 7x 365”: proporcionará disponibilidad, accesibilidad y confianza 24
horas al día, 7 días a la sem ana, 365 días aJ año.
F iab ilid ad in falib le (5 nueves): un 99,999% de disponibilidad, lo que se traduce en una única hora de no
disponibilidad al año.
S egu rid ad , red u n d a n cia y d iv ersifica ció n : alm acenaje exterior de datos, tom as de alim entación eléctrica
to talm en te independientes y servicios de telecom unicaciones con balanceo de carga, SAI o sistem as de
alim entación ininterrum pida, control de acceso físico, etc.
C o n tro l a m b ie n ta l/p r e v e n c ió n d e in c en d io s: el control del am biente tra ta de la calidad del aire,
tem peratura, hum edad, inundación, electricidad, control de fuego, etc.
G eneralm ente, en un CPD todos los grandes servidores se suelen concentrar en una sala denom inada sala fría,
nevera o pecera. E sta sala requiere un sistem a específico de refrigeración para m an ten er una tem p eratu ra baja
(en tre 21 y 23 grados centígrados), necesaria p ara evitar averías a causa del sobrecalentam iento. Según las norm as
internacionales, la tem peratura exacta debe ser 22,3 g ra d o s cen tíg ra d o s, recom endada entre 15° y 23“, y hum edad
relativ a en tre 40% y 60%.
La pecera suele contar con m edidas estrictas de seguridad en el acceso físico, así como m edidas de extinción de
incendios adecuadas al m aterial eléctrico, tales como extinción por agua nebulizada o bien por gas INERGEN, dióxido
de carbono o nitrógeno.
U n CPD y sus centros de respaldo por sí solo no bastan p ara hacer frente a una contingencia grave. Es necesario
disponer de un P la n de C o n tin g en cia s corporativo, con las a c tu a c io n e s en ca so de in cid en te.
Veremos algunas de las configuraciones avanzadas em pleadas en alta disponibilidad en CPD y centros de respaldo
en el Capítulo 8.
UBICACIÓN Y ACONDICIONAMIENTO FÍSICO
Aunque son difíciles de predecir con exactitud, las condiciones atm osféricas adversas severas se localizan espacial
y tem poralm ente en ciertas partes del mundo y la p rob ab ilid ad de q u e ocu rran está d ocu m en tad a.
L a frecuencia y severidad de su ocurrencia deben ser tenidas en cu en ta al decidir la ubicación y posterior
construcción de un edificio. La comprobación de los iníórm es climatológicos o la existencia de un servicio que notifique
la proxim idad de condiciones atm osféricas adversas, perm ite que se tomen precauciones adicionales, tales como la
re tira d a de objetos móviles, construcciones antisísm icas, la provisión de calor, iluminación o combustible para la
em ergencia. Algunos de los aspectos a tener en cuenta son:
Incendios: son causados por el uso inadecuado de combustibles, fallo de instalaciones eléctricas defectuosas
y el inadecuado alm acenam iento y traslado de sustancias peligrosas. Algunas precauciones: ubicación en área
no combustible o inflamable, tener extintores m anuales (portátiles) y/o autom áticos (rociadores).
S istem a d e aire acon d icionad o: control de tem peratura y hum edad relativa según recomendaciones, entre
15° - 23° C, y 40 - 60 %, respectivam ente.
48
© RA-MA
2 ■SEGURIDAD PASIVA
In un d aciones: ubicación estanca de agua, con especial precaución en puertas y ventanas.
T errem otos: los fenómenos sísmicos pueden ser tan intensos que causen la destrucción de edificios. Es
recom endable conocer la actividad sísmica de la localización de nuestro centro de datos para disponer de las
técnicas de seguridad constructivas requeridas.
R ayos e in terfere n c ia s elec tro m a g n ética s: para evitar posibles desastres provocados por derivaciones de
carga por rayos, y m inim izar el efecto no deseado do interferencias en las comunicaciones, las salas de sistem as
se protegen m ediante jau la de Faraday, convirtiéndose en un búnker con respecto a radiaciones externas.
CONTROL DE ACCESO FÍSICO
Los ordenadores, servidores, así como las copias de seguridad con datos im portantes y el software, son elementos
valiosos p ara las em presas y están expuestas a posibles robos y actos delictivos como sabotajes o destrozos, por parte
de personal ajeno o propio de la em presa. El software es una propiedad muy fácilm ente sustraíble y las unidades de
alm acenam iento como m em orias USB, cintas y discos son fácilm ente copiados sin dejar ningún rastro.
El uso de cr e d en cia les d e id e n tific a c io n e s uno de los puntos más im portantes del sistem a de seguridad físico,
a fin de poder efectuar un control eficaz del ingreso y salida del personal a los distintos sectores de la em presa. El
control de acceso físico no solo requiere la capacidad de identificación, sino tam bién aso cia rla a la ap ertura o
ce rra m ie n to d e p u ertas, perm itir o negar acceso basado en restricciones de tiempo, área o sector dentro de una
em presa o institución. A las personas se Ies puede identificar por:
A lgo q u e se p o see, por ejemplo u na Llave, una tarjeta de identificación o tarje ta inteligente {,Sm artC ard).
Algo q ue se sab e, por ejemplo un núm ero de identificación único (PIN - Personal Identification Number) o una
passw ord, que se solicitará a su ingreso.
A lgo q u e se es (señas de identidad: manos, ojos, huellas digitales y voz) o sab e h a cer (firma escrita) es un
principio que em plea la b iom etría. Es el método más seguro, ya que es muy difícil de falsificar.
C ada una de estos identificadores asociados a cada persona o usuario se alm acenan en una base de datos que debe
controlar un ser v ic io d e v ig ila n c ia para su posterior seguimiento, si fuera necesario. La principal precaución con el
personal de vigilancia es que éste puede llegar a ser sobornado. Las tarjetas pueden ser copiadas, robadas, etc., y los
núm eros secretos pueden llegar a usuarios no autorizados, perm itiendo e n tra r a cualquier persona que la posea. La
biom etría ayuda a m ejorar el nivel de seguridad.
O tra solución m uy em pleada para la .seguridad de los sistem as inform áticos en las salas de equipam iento
informático, es disponer los mismos en un arm ario o rack bajo llave.
Un rack es un bastidor destinado a alojar equipam iento electrónico, inform ático y de comunicaciones. Sus medidas
están n o rm alizad as para que sea compatible con equipam iento de cualquier fabricante. Constan de un armazón
metálico con un ancho norm alizado de 19 p ulgad as, con 2 guías verticales que poseen agujeros a intervalos regulares
llam ados unidades de Rack (U) agrupados de tres en tres. Verticalm ente, los racks se dividen en regiones de 1,75
p u lg a d a s d e a ltu ra = 1 U, con tres agujeros en cada guía.
El alto (4 - 46U) y la profundidad del bastidor (600, 800,1000 mm) no está norm alizada, ya que así se otorga cierta
flexibilidad id equipamiento.
El arm azón suele contar con bandejas horizontales donde puede apoyarse el equipam iento no norm alizado como
un monitor, PC de sobrem esa y un teclado o un ratón.
49
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
File / Print server
File / Print server
File / Print server
Domain controller
Messaging server
Storage server
Firewall/VPN/Coche
UPS
UPS
Keyboard and display
Rack
Management software
Los dispositivos que se suelen alojar son: servidores, paneles de parcheo (que centralizan todo el cableado
del arm ario) sistem as de audio y vídeo, sistem as de alim entación ininterrum pida (UPS o SAI), sw itches, routers,
cortafuegos, periféricos que perm itan configuración como monitores, ratón, teclado, etc.
SISTEMAS BIOMÉTRICOS
Definimos la b io m etría como la p a rte d e la b io lo g ía q u e estu d ia en form a cu a n tita tiv a la varia b ilid a d
in d iv id u a l de los se r e s v iv o s u tiliz a n d o m étod os e sta d ístic o s. Es una tecnología que realiza mediciones en
form a electrónica, guarda y com para características únicas para la identificación de personas.
La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón
conocido y almacenado en una base de datos, de esta forma perm itirá e! control de acceso físico, incluso es aplicable
como método de identificación y acceso a sistem as operativos y aplicaciones. Las características biom étricas de una
p erso n a son in tra n sfer ib les a otra, por lo que hace a estos sistem as m uy segu ros.
Veamos a continuación algunas de las formas de identificación biométricas m ás comunes:
H uella digital: se basa en el principio de que no existen dos huellas dactilares iguales, este sistem a viene
siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella digital posee pequeños arcos,
ángulos, bucles, remolinos, etc. (llamados m in u cias) características y la posición relativa de cada una de ellas
es lo analizado para establecer la identificación de una persona. E stá aceptado que cada persona posee m ás
de 30 m inucias, y que dos personas no tienen más de ocho m inucias iguales, lo que hace al método sum am ente
confiable, y uno de los más empleados por su baja relación calidad/precio.
V erificación de voz: la dicción de una lo más) frase es grabada y en el acceso se compara la voz (entonación,
diptongos, agudeza, etc.), este sistem a es muy sensible a factores externos como el ruido, el estado de ánimo y
enferm edades de la persona, el envejecimiento, etc., por lo que no es un mecanismo muy adoptado.
V erificación de p a tro n es ocu lares: basado en los patrones del iris o de la retin a y h asta el momento son los
considerados m ás efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0). La principal
desventaja es que es un método intrusivo. Las personas son reacias a que les analicen los ojos, por revelarse en
los mismos enferm edades que en ocasiones se prefiere m antener en secreto.
50
2 ■SEGURIDAD PASIVA
© RA-MA
V erifica ción A u tom ática d e F irm as (VAF): es extrem adam ente difícil reproducir las dinám icas del trazo de
realización de las firmas, aunque el efecto visual final parezca similar. La VAF, usa emisiones acústicas, tom a
datos del proceso dinámico de firm ar o de escribir. La secuencia sonora de emisión acústica generada por el
proceso de escribir constituye un patrón que es ú nico en cad a in d ivid u o.
E xisten algunas otras soluciones a la biom etría más complejas y menos usadas en acceso a organizaciones o a un
sistem a informático concreto, como son la geom etría de la mano, el reconocimiento facial o patrones térmicos.
Lo que sigue a continuación es una tabla en la que se recogen las diferentes características de los sistem as
biométricos:
Tabla 2.3
Ojo (Iris)
Huellas dactilares
Escritura y firma
Fiabilidad
Muy alta
Muy alta
Media
Afta
Facilidad de uso
Media
Alta
Alta
Alta
Prevención de
ataques
Muy alta
Alta
Media
Media
Aceptación
Media
Alta
Muy alta
Alta
Estabilidad
Alta
Alta
Baja
Media
CIRCUITO CERRADO DE TELEVISIÓN (CCTV)
Se llam a p ro tecció n e le c tr ó n ic a a la detección de robo, intrusión, asaito e incendios m ediante la utilización de
se n so r e s co n ecta d o s a ce n tra les d e alarm as. E stas centrales tienen conectados los elem entos de señalización, que
son los encargados de hacer saber al personal de una situación de emergencia. Uno de los métodos más empleados en
las em presas son los circuitos con cám aras de grabación de vídeo o cir c u ito s cerrad os d e te le v isió n (CCTV).
Perm iten el control de todo lo que sucede en la planta según lo captado por las cám aras estratégicam ente colocadas.
Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cám aras pueden e sta r a la
v ista (para ser utilizadas como m edida disuasiva, incluso en ocasiones se instalan falsificaciones o cám aras que no
graban) u ocultas (para evitar que el intruso sepa que está siendo captado por el personal de seguridad).
En la actualidad unas de las cám aras más em pleadas, por bajo coste y buenas prestaciones son las cám aras LP.
Son dispositivos autónomos que cuentan con un servidor web de vídeo incorporado, lo que les perm ite tran sm itir su
im agen a través de redes IP como redes LAN, WAN, o incluso WLAN o inalám brica. Las cám aras IP perm iten al
usuario tener la cám ara en una localización y ver el vídeo en tiempo real desde otro lugar a través de In tern et o una
red local.
51
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
SISTEMAS DE ALIMENTACIÓN ININTERRUMPIDA (SAI)
U n SAI (Sistem a de Alimentación Ininterrum pida), tam bién conocido por sus siglas en inglés U P S (Uninterrup tibie
Power Su p p ly, sum inistro de? energía ininterrum pible), es un dispositivo que gracias a sus b a tería s puede proporcionar
energía eléctrica tras un corte de sum inistro eléctrico a todos los dispositivos que tenga conectados, d u ran te un tiempo
lim itado, perm itiendo de este modo poder apagar los equipos sin que sufran cortes sus fuentes de alim entación.
Los distintos dispositivos hardw are no irán enchufados a las tom as de corriente directam ente, se enchufarán a la
SAI que será la que estará conectada a las tom as de corriente, haciendo de este modo de interm ediario entre la red
eléctrica y los dispositivos hardw are.
Existen distintos modelos de SAI ajustándose a las necesidades energéticas de los equipos conectados a las
m ism as.
O tra de las funciones de los SAI es la de m ejorar la calid ad de la en er g ía e lé c tr ic a que llega a los aparatos,
filtr a n d o su b id a s y boyadas de ten sió n y elim in a n d o a rm ó n ico s d e la red eléctrica. Los SAI dan energía
eléctrica a equipos llamados cargas o eq u ip o s críticos, como pueden ser aparatos médicos, industriales o informáticos
que, como se ha dicho antes, requieren tener siem pre alim entación y que ésta sea de calidad, debido a la necesidad de
e s ta r en todo momento operativos y sin fallos (picos o caídas de tensión).
52
© RA-MA
2 ■SEGURIDAD PASIVA
Tabla 2.4
Descripción
Característica
Tipo y número de
conectores
Los conectores de alimentación de la carga se diferencian entre tipo IEC y
Schucko.
Existen tomas que solo filtran variaciones de la señal eléctrica de entrada
(impresora, fax, escáner), de aquellas que filtran y tienen alimentación de la
batería en caso de corte de suministro (equipos, monitores, dispositivos de
comunicaciones) denominadas de backup.
Otras conexiones
Conectores para la protección de Líneas de Datos RJ11-RJ45 para dispositivos de
Teléfono/Fax/DSL/Internet/MODEM.
Conexiones seriales COM o USB para monitorización y consulta de estado
remoto, mediante software específico.
Tiempo de
funcionamiento solo
con batería
Según el modelo y la carga conectada, la batería suele estar diseñada para
suministrar alimentación desde varios minutos hasta varias de horas y, de esa
forma, apagar los sistemas conectados correctamente.
Regulador de voltaje
Integrado para evitar picos (subidas y bajadas) de tensión que se producen en la
línea de suministro de entrada y que si no se filtran pueden afectar a las fuentes
de alimentación de los equipos.
T IP O S DE SAI
H abitualm ente, Los fabricantes de SAJ clasifican los equipos en función de la tecnología y calidad de la señal
eléctrica generada a su salida:
SAI OFFLINE: los m ás económicos, recomendados para equipos en el hogar. No estabilizan la com en te y solo
generan la tensión de salida cuando se produce un corte de sum inistro eléctrico.
SAI INL7NE o L IN E INTERACTIVE-, equipos de gam a m edia-alta que estabilizan la corriente incorporando
un estabilizador de salida (AVR). Solo general la tensión de salida cuando se produce un corte de sum inistro
eléctrico. Son adecuados para ordenadores, centralitas telefónicas y equipos servidores de pequeñas y m edianas
em presas (Pymes).
SAI ON LIN E o de D O B LE CONVERSION: equipos de gam a alta, pensados para proteger sistem as críticos.
Estos equipos generan siem pre la tensión de salida nueva, independientem ente de la entrada.
PO TE N C IA N EC ESA R IA
P ara a ju sta r las dim ensiones y capacidad eléctrica de la batería de la SAI a la que enchufar nuestros equipos,
tam bién denominados carga, es necesario realizar un cálculo de La potencia que consumimos y por tanto que necesitamos
su m in istra r por las conexiones de batería de la SAI.
La p o ten cia eléc tric a se define como la cantidad de energía eléctrica o trabajo que se tran sp o rta o que se
consum e en una determ inada unidad de tiempo.
Cuando se tra ta de corriente continua (CC) la potencia eléctrica (P) desarrollada en un cierto instante por un
dispositivo de dos term inales, es el producto de la diferencia de potencial entre dichos term inales (V) y la intensidad
53
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
de corriente (I) que pasa a través de) dispositivo. Esto es, P = V x I. Si I se expresa en am perios y V en voltios, P
e s ta rá expresada en vatios.
En circuitos eléctricos de corriente alterna (CA), como son las tom as de corriente (enchufes), se em plean medidas
de potencia eficaz o aparente y potencia real. La unidad de potencia que sum inistran com ercialm ente los SAI es el
v o ltia m p erio (VA), que es p o ten cia ap aren te, tam bién denom inada potencia efectiva o eficaz, consum ida por el
sistem a.
Si tenemos la potencia en vatios (W) p o ten cia real, de forma aproxim ada se m ultiplica por 1,4 para tener en
cu e n ta el pico máximo de potencia que puede alcanzar su equipo y de esta forma obtener la potencia aparen te en
VA.
Por ejem plo: 200 W x 1,4 = 280 VA. En ocasiones el factor 1,4, puede ser 1,33 ó 1,6 o factor divisor 0,7 ó 0,75,
depende de la eficiencia energética del dispositivo electrónico.
Algunos métodos para calcular el consumo en W de nuestros equipos y de esta forma estim ar.
M ediante un medidor de potencia o m ediante una pinza am perim étrica (ver la siguiente figura) que m ida la
corriente su m inistrada para los equipos conectados, de esta forma m ultiplicando por la tensión nominal (en
E spaña 230 V), podremos obtener e! consumo medio aproximado.
Conociendo el consumo medio (W.) sum inistrado en las características del fabricante.
M ediante un modelo aproximado de estim ación de consumos, tomando como referencia estim aciones previas.
Por ejemplo podemos ver estimaciones de consumos en la web de etiquetado de eficiencia energética Energy
Star. Veremos un ejemplo a continuación.
L a carga total enchufada a la batería de la SAI, se recomienda que n o so b rep a se el 70% del total de la potencia
su m in istra d a por la misma.
P o r ejem plo: en caso de querer enchufar a 4 tomas de una SAI, 2 PC y 2 m onitores que consumen en total 200 W,
n u e s tra SAI deberá de su m in istrar 200 x 1,4 = 280 VA. Por tanto, nu estra SAI deberá de tener ai menos u n a potencia
m áx im a su m in istrada de 280 x 100/70 = 400 VA.
54
© RA-MA
2 ■SEGURIDAD PASIVA
Tabla 2.5
Consumo (W)
Dispositivo
Dispositivo
Consumo (W) I
PC Económico
Core2 Dúo (2,8 GHz) o Athlon II X2 / 2
GB RAM / 500 GB
41
Monitor 15" CRT
45
Escritorio multimedia,
Phenom II o Core ¡7 / 2,7 GHz / 4 GB
RAM / 500 GB y gráficos más potentes
67
Monitor 17" CRT
55
PC de escritorio a medida para CAD,
gráficos o investigación científica: Xeon /
2,7 GHz / 8 GB RAM / 500 GB / 64 bit OS
190
Monitor 17" LCD
19
Netbook: Atom o Via Nano, 10" LCD-TFT.
5,9
Monitor 19" LCD
21
Portátil económico: Core2 Dúo or Turion
64 X2, 15-17" LCD-TFT.
12
Monitor 30" LCD
110
Impresora láser
600
Módem externo
9
Multifunción láser
250
Impresora inyección de
tinta
40
Escáner
10
50
Multifunción inyección
PRÁCTICA 2.4
MONITORIZACIÓN DE SAI
A modo de ejemplo se presenta a continuación la parte posterior de una SAI de la compañía Emerson, Liebert
PowerSurew PSP 650VA:
v i v j p o it tn o r Oé u UPS
55
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
Recomendación de conexión del Fabricante, en tomas de backup y filtrado: monitores, equipos de sobremesa y
de comunicaciones (switch, router, etc.), en tomas de protección contra picos de corriente: impresoras, escáner,
Con*et* Im computadoras, pantallas y ejes de
redes a los receptáculos color naranja
Conecte los siguientes tipos de equipos
SOLAMENTE a los receptáculos negros
Las SAI disponen entre otras funciones de conexión para monitorización y consulta de estado remoto, medíante
puerto serial COM o USB normalmente, a través de un software específico suministrado por la compañía fabricante.
A continuación se muestran fas características y funcionamiento del software multiplataforma (Windows, GNU/
Linux, etc.) Multilink que facilita el fabricante Emerson con sus SAI:
Posee un sistema de alertas que indican el estado y posibles incidencias y medidas a tomar sobre los sistemas
conectados a la SAI:
Notificación d e Multil.ink
Sevtndad hoc» de recfco
©
M m i a K oe aten«
Se ha iniciado el software de ccrcroi de la U P S Ocurrió ot
nov-2010 2 2 5 8 1 8 f»-nov.20 t0 2 2 S f r l 3 « i e i a sp ostivo 1192 168 0 213]PCprofesorf
B aervteip de MuMjntc enei toodordaemon" ha comenzado_________
| Aceptar
| [ Recowandaoán
La pantalla de monitorización de estado permite visualizar en una primera pestaña una sinopsis de los principales
parámetros:
Capacidad de la batería, tiempo restante en caso de fafta de suministro de entrada, porcentaje de carga conectado
a la salida de la SAI, es recomendable que se encuentre siempre por debajo del 60 - 80%, voltajes de salida y
entrada y sensor de temperatura.
56
© RA-MA
2 ■SEGURIDAD PASIVA
f u l V l » u j ! i ; ^ o r MiiMit in l
H itr t
Corftpstr t^xU
5*r«p»'
<.crUM»aúr\ <rn m r i c
«rgttifl Ot evarlo
IB PSA650MT-230
C jrg j protegida - Estado normal
i LeuilCap
Oa«c»»c«án ir s
OrtOcot
Valor
O teco
i
«
1
I
j
Portarla* 00 carga
«M i
a
10
«0
n
so
x>
Z¡ H<
b
Jfl
9Q
7B
*oo'
YoU»>«0MM í
o
■0
1«
2«
tx
volata «te er*M »
a
—
3
•0
1*0
----- r30
2«
130
X>
«
«0
IT *
rj %
100*
%
2» V
V
22
«,- C
«O V A
50 Wi
730 v
rSAÍMMT-130
JIJAMOS
rs -
A<*«rienoa •*
« te u
Carpi riy rn /
f iK io r ra nwñÉ de u lM
V ola* no -M A MÉda
Noníra <Mmodro d«i i»aBO*»H>
faor» a» tatacaaún <*■ ilibata u
Valar « M «
Existen otras 2 pestañas de configuración y registro de eventos:
Es posible efectuar eventos sobre la SAI y ver qué tipo de recomendaciones y efectos produciría sobre nuestro
sistema. En el ejemplo se ha producido artificialmente una sobrecarga de salida, más consumo energético del que
puede suministrar la batería de la SAI, y como medida de seguridad en un tiempo límite de 1 minuto et software
apagará e! sistema operativo como medida de seguridad.
.i ViaM«(ir«do» *atw«tM*nk
KAtJr*
'o r h j j *
Ayudi
• A l aM a
Stibncartfa a* MfcM
O
1
2301
<ừ*-2 0 1 0 2JD1 5J a r *
1* 0 213FC croiw r/S*dlrtor U 6« r e e * e
W—l—l i11C
l» H p w < X g aiP
*
tu rn ia rr<jrr«lv* a A|i«<)atln
í M c m a i « * rv « ta i« g * tfn
i
.
T X
Vofcr acaro»
OcutkS al
23*1:3) ao a l «apaaWaa
1 1t2.1M U 1 JrCprofaaaa/SanKteúo*- la f «o * «*■ aafeda tmn e a M a la ta p a iiM da te
urs
MuMLrti alagar A ai aMania oparrfMo al «anear ai t»mpa>u*¿of da la cuanta
ratraaÉaa.
| CancMr A0a9aa> || to a « Ajw^ada
|
A su vez, ia pestaña de registro de eventos, facilita un histórico de eventos en la SAI.
Es posible ver con más profundidad aspectos del grupo de salida, entrada, etc., para analizar por ejemplo el
consumo en W y VA de los equipos conectados, por ejemplo en el caso de tener conectados un PC Pentium 4 a
2 Ghz con 2 GB de memoria RAM y un monitor LCD de 17"" el consumo conjunto es de 92 W y 106 VA. Como
podemos ver et factor multiplicativo entre la potencia real (W) y la aparente (VA) es de 106/92=1,15. Podemos
concluir, de este modo, que el factor multiplicativo 1,4 es aproximado y nos servirá para realizar cálculos
teóricos.
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
E J V »% u.»li/«acliir M u llil inV
M J lI x *
C o n fq u r«
'¿ n o e s r
C onT ^jr «c*5n or* « v c rto
*
Ffed M A ü n k
J
d
*
-
a
x
Ayuda
R egistro tie
I I **•*> Éi ÉDpmMMI
□ P S A S ttM T 230 e n CO M I
G
r u p o
d e
s a l i d a
1 P i p o d e batería
& é«co«
Montare
__ | G rupo d e « r tr a d a
C o m erte de f è d a
G ráfico
.
0
__ I O u p c d e nfcrm *c*¿n OH c q u p g
P o rtá rte le de c arg a d e s a ld a
0
«
SO
ra
V o la r d a &*ida
0
00
100
24Q
1 O \ o o d a Q uarte
1 Otro
10 upo d e atar m ee
Valor
i
3
too
1201___________
un
. _ 4 - —
ia %
1
222, V
1
_ J L ai • d e O s p c t f M » de to red
Par *rwcfto«
Valor
Nombra
C a rpe reaJ d e vaftda
F racuencia d e aafeda
1
V o ie p m è n n o de tafea»
I
________
W tAm mirwno Oto tálete
U id e d e i
« |W
106 VA
C a rpa d e s a ld a a paro-fe
sb ttt
9 Í0 V
;ie v
PRÁCTICA 2.5
CÁLCULO ENÉRGETICO DE SAI
ENERGY STAR es un programa voluntario de etiquetado para ta eficiencia energética iniciado por la
Agencia de protección del medio ambiente estadounidense (EPA) en 1992. La Comunidad Europea, a
E Z2E 2 ; través de un acuerdo celebrado con e! gobierno de ios Estados Unidos, participa en el programa ENERGY
STAR para los equipos ofimáticos (European Councíl Decisión).
El etiquetado ENERGY STAR representa los requisitos de eficacia energética que cualquier fabricante respetuoso
con el medio ambiente debe cumplir. Con esta etiqueta podremos elegir los modelos de los equipos ofimáticos con
mayor eficiencia energética y que mejor se adapten a nuestros criterios de rendimiento.
En la web www.eu-energystar.org podemos encontrar información y consejos sobre las ventajas que supone la
compra del equipo ofimático más eficiente desde el punto de vista energético, qué configuración de ahorro de
energía resulta más ventajosa y cómo sacarle el máximo rendimiento.
Posee también una interesante aplicación de cálculo estimado de consumo energético para usuarios
particulares y empresas. A continuación se muestra una tabla resumen de consumos medios aproximados de
dispositivos ofimáticos en modo encendido o activo:
Podemos concluir que los sistemas con pantalla integrada y multifunción consumen aproximadamente menos del
50% que sus equivalentes con pantalla separada o componentes (escáner, impresora, etc.) separados.
A modo de ejemplo plantearemos el siguiente supuesto práctico:
La empresa Scripting S.L. nos contrata para dímensionar tanto sus armarios de servidores y comunicaciones,
como sus SAIs en un entorno de oficina:
En la entrevista con el responsable de IT nos indica: "Disponemos de 2 PCs de escritorio con sus monitores, 2
portátiles, 1 impresora láser, 1 escáner, 1 servidor para backup con un monitor para su configuración, 1 panel de
parcheoy 1 dispositivo multifunción router inalámbrico. Estamos interesados en poder poner los equipos principales
de nuestra empresa en un armario de 19"" que tenemos de unos 100 cm de alto. Nuestras instalaciones no sufren
demasiadas subidas, bajadas ni cortes de electricidad, pero queremos prevenir posibles eventualidades".
2 ■S E G U R ID A D P A S IV A
© RA-M Ä
Tabla 2.6
20
40
PC escritorio
75 W
30x 35
Portátil
32 W
40
X
30
Im p reso ra lá se r
180 W
20
X
10
Router inalám brico
0,1 A lectura de pinza am p erim étrica
Monitor
30 W
Fu en tes de alim entación 600 W, consum o m edio 3 0 %
X
3 2x 35
4 8 .2 6
X
8 ,88
S erv id o r
4 8 .2 6
X
4 ,4 4
Panel de parcheo
32
X
10
D atos 1 U = 1 ,7 5
E scá n e r
2,3 A lectura de pinza am p erim étrica
1" = 2,54 cm . S A I ofertada por el proveedor APC 8 0 0 VA con 6 to m a s de backup y filtrado y 2
to m as con filtros de b aja d as y picos de tensión, disponibles en m odelos offüne, ¡nline u oniine, tanto versión rack,
de ocupación 1 U, com o para so b rem esa,
C o n testarem o s a las sig u ientes cu e stio n e s:
Tipo de SA I seleccio nada ( on-line, in-line u off-line). Ju stifica la resp u esta.
La m ejor opción en relación calidad precio su ele se r la S A I ¡nline, en caso de ten e r m u ch as alteracion es en el
su m inistro eléctrico, y n e cesita r una disponibilidad m ayor de los siste m a s por las ca ra cte rística s de la em p resa,
o ptaríam os por la opción oniine. Tan solo para usuarios dom ésticos se recom iend a la opción offline.
D iferenciar dispositivos según ubicación:
O ficina: 2 PCs y 2 m onitores, 2 portátiles, 1 im presora, 1 escáner.
Consum o de equipos conectados a S A I (W ): O ptarem os por una S A I de so b rem esa ¡nline. A la S A I
conectados a batería para backup solo serán necesario s los 2 PCs y 2 m onitores. Por tanto el consum o
será de ( 75 + 30 ) x 2 = 210 W -> 210 x 1,4 = 294 VA ap ro xim ad am ente. Si se recom ienda que la S A I
debe e sta r al 6 0 % de carga 294 x 100/60 = 490 VA, por lo que las S A I ofertada por APC (8 0 0 VA) será
su ficien te.
Los 2 portátiles llevan su propia batería no es necesario tenerlos conectados a la S A I. La im presora y el
e scá n e r se conectarán a las 2 conexiones de filtrado disponibles.
A rm ario o rack : 1 servidor, 1 monitor, 1 router, 1 panel de parcheo.
Para el arm ario disponible: ¿ E s posible ubicar los equipos m ás críticos en el arm ario disponible por la
em p resa?
1 U = 1,75 x 2 ,54 = 4 ,4 4 cm de altu ra. Recordam os el ancho norm alizado son 19" = 19 x 2 ,54 = 4 8 ,2 6 cm .
El arm ario en total dispone de 100 cm / 4 ,4 4 cm/U = 2 2 ,5 2 U por tanto tan solo dará cabida a 22 U.
A rm ario o rack\ De ancho norm alizado y por tanto atornillables d ire cta m e n te: 1 se rvid o r (8 ,8 / 4 ,4 = 2 U),
1 panel de parcheo ( 4 ,4 / 4 ,4 = 1 U ), en b an d ejas independientes se p a ra d a s: 1 m onitor (3 5 /4 ,4 = 7 ,9 5 por
tanto 8 U) y 1 router (1 0 /4 ,4 = 2 ,2 7 por tanto 3 U ).
59
© RA-MA
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
En total serán n ecesario s 2 b an d ejas de ocupación 1 U cada una, m ás 1U para la SA I, m ás 14 U para el
resto de equipos = 17 U.
Consum o de equipos conectados a S A I (W ) : O ptarem os por una S A I de rack in-line. A la S A I conectados
a b a te ría p ara backup solo se rá n n e c e s a rio s el se rvid o r, router y 1 m onitor. Por tan to , el co n su m o
re sp e c tiv a m e n te s e rá de (0 ,3
x
6 0 0 W + 0 ,1 A
x
23 0 V + 30 W) = 233 W ^ 233
ap ro xim ad am en te. Si se recom ienda que la S A I debe e s ta r al 6 0 % de carga 3 2 6 ,2
por lo que las SAI ofertada por APC (8 0 0 VA) será suficiente.
El panel de parcheo e s un elem ento pasivo no conectado a red eléctrica.
REFERENCIAS WEB
Soluciones de almacenamiento para empresas HP:
http:/ / welcome.hp.com/ country / es/es 1smb/'storage, html
Soluciones de almacenamiento y copia de seguridad Dell:
http:// www.dell.es /
Empresa dedicada a copias de seguridad remotas:
http: / / www.copiadeseguridad.com/
Blog de seguridad informática. Copias de seguridad:
http: / / www.bLoginformatico.com/etiqaeta / copias-de-seguridad
Almacenar» iento de datos en Internet Idrive:
http: / / Luww.idrive.com
Seguridad física. Red - Iris:
http: / / www.rediris.es/cert/doc/unixsec/node7.html
Sitio web sobre SAI:
http: / / www.newsai.es /
Catálogo, manuales y documentación de SAJ:
http:/ / www.apc.com/es/
Noticias y medidas de seguridad para CPD:
http: / / www.seguridadcpd.com/
Soluciones técnicas para el control de acceso físico:
http:/ / www.accesor.com/
Soluciones técnicas de biometría:
http: / / www.bionietriaaplicada.com/
60
x
x
1 ,4 = 3 2 6 ,2 VA
100/60 = 5 4 3 ,6 6 VA,
RA-MA
2 ■S E G U R ID A D P A S IV A
RESUMEN DEL CAPÍTULO
En este capítulo hemos analizado los principios de la seguridad pasiva para intentar minimizar el
impacto y los efectos causados por accidentes.
Por un lado, después de ver en el Capítulo 1 que el elemento fundamental a proteger en un sistema son
los datos, hemos analizado:
Modelos de almacenamiento según el volumen de información y tamaño de la organización: DAS,
ÑAS y SAN.
La importancia, como recomendación transversal en seguridad informática, de una adecuada
política de gestión de copias de seguridad de !os datos críticos de una organización, analizando tipos
(completa, incrementa! y diferencial), temporización, cifrado y comprensión, así como redundancia
y distribución geográfica de las mismas.
Las posibilidades de recuperar datos perdidos o borrados, mediante software específico.
En cuanto a las medidas relativas a la seguridad física se han estudiado:
Ubicación y acondicionamiento de centros de procesamiento de datos (CPD) y de respaldo, atendiendo
a aspectos como:
Refrigeración y protección frente a incendios e inundaciones.
Control de acceso físico, con medidas como la biometría, armarios de seguridad y circuitos
cerrados de televisión (CCTV) para controlar robos y sabotajes.
SAI - UPS o generadores autónomos, dimensionados para proporcionar energía eléctrica estable
en caso de fallos o alteraciones de suministro.
© RA-M A
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
EJERCICIOS PROPUESTOS
1 . Realiza una tabla comparativa en la que compares
el tamaño en Gigabytes (GB), precio del dispositivo,
y divide el precio/capacidad o tamaño en GB para
obtener el precio por cada GB de distintas memorias
comerciales: memoria RAM, disco duro a 5400 y 7200
rpm, CD, DVD, cinta de backup , memorias y discos
duros USB.
¿Cuál es la memoria más barata? ¿Cuál es la más
rápida? ¿Crees que las memorias de estado sólido
o flash sustituirán a los discos magnéticos como
el disco duro? Busca y comenta algunos sistemas
informáticos que hayan sustituido el disco duro por
memorias de estado sólido.
2. Busca información comercial en HP o Dell sobre
sistemas de almacenamiento en cinta.
¿Crees que hoy en día se siguen utilizando? ¿Cuáles
suelen ser sus aplicaciones? ¿Por qué crees que se
siguen empleando? ¿Cuál es el coste por MB? Busca
una unidad lectora/grabadora de cinta y una cinta
e indica su coste.
3. Busca una empresa que se dedique a recuperar los
datos de fallos físicos de discos e indica sus precios y
servicios ofertados. ¿Te parecen caros los servicios de
recuperación de datos? ¿Cuáles son los principales
fallos, recomendaciones y precauciones que se deben
tener con los discos duros?
4. Para realizar copias de seguridad en Internet
hemos visto que existen sitios FTP gratuitos como
Dropbox, Idrive o Mozy, existen otras empresas
especializadas en backup remoto de pago. Analiza qué
servicios ofrecen y a qué precios, las empresas www.
copiadciiegiiridad.com y www.perfectbackup.es.
5. Para garantizar un espacio seguro de nuestras
copias de seguridad podemos optar por contratar
los servicios de empresas que realicen la recogida
y custodia de copias de seguridad ¿Qué servicios y
precios ofrecen empresas como www.csabe.corn y www.
copiasegura.com?¿Qué normativa deben cumplir con
respecto a seguridad informática?
6 . Realiza una comparativa de distintas aplicaciones
de software de copia de seguridad analizando las
62
opciones que permiten respecto a: tipo (completa/
i n ere mental/diferencial) y temporización de copias,
origen y destino de copias (opciones de alojamiento
remoto), compresión, algoritm os de cifrado y
contraseñas. Ejemplos para Windows: Cobian,
U ranium Backup, Backup4all, Fiabee, FBackup,
etc., y para GNU/Linux: Fwbackups, Rsync, Bacula,
Amanda, Simple Backup, DupLicity, Backup PC, Suite
Simple Backup, Back in time, etc.
7. Dentro de las herramientas de copia de seguridad
encontramos herramientas específicas de realización
de copia exacta, clonado o imágenes de disco, que
permiten la restauración exacta de una determinada
partición de disco. Indica algunos ejemplos de software
de clonado de discos ¿Cómo se guardará la copia de
seguridad por ejemplo para una partición que ocupe
40 GB? ¿Se realiza en un único soporte?
8 . En ocasiones para poder restaurar la configuración
de un equipo es interesante tener una copia de
seguridad de nuestros controladores. Realiza una
copia de seguridad de los controladores o drivers de
tu equipo mediante alguna aplicación específica
como DriverM ax o similar. Valora ventajas e
inconvenientes de este tipo de software en función
de las opciones que permite realizar. ¿Qué utilidad
puede tener una copia de seguridad de tus drivers?
¿Es posible siempre recuperarlos, incluso teniendo el
lisLado de dispositivos? ¿Y en caso de no tener dicho
listado?
9. Análisis de mejoras de un CPD en una solución real.
Lee y analiza el siguiente caso real “Solución integral
de CPD altam ente seguro para Supermercados
Condis”, en la fuente web: http:/ / www.abast.es/ cs_
condis_cpd.shtml.
¿Qué se considera un “traslado en caliente”?
¿Cuáles eran los riesgos que corrían y que podrían
poner en peligro su anterior CPD? ¿Qué es una
auditoría? ¿Quién lomó la decisión de cambio?
¿Cómo se podrían resumirlas soluciones adoptadas
por la empresa en los distintos ámbitos? ¿Las SAIs
y el resto de sistemas se encuentran en la misma
sala? ¿Por qué?
© R A MA
10 . Busca información referente al lector de huella
dactilar y el software asociado Fm gerprint Logon
Manager, que HP integra en sus portátiles y contesta
las siguientes preguntas como entrada en tu blog:
¿Cuáles son las ventajas de usar el lector de huellas
digitales para iniciar sesión en un equipo? ¿Cómo
es el proceso de configuración software del lector de
huellas digitales?
¿Qué precauciones o recomendaciones de uso
se recomiendan a la hora de emplear el lector de
huella? ¿Se puede iniciar la sesión en Windows con
el lector de huellas digitales? ¿Es compatible con
otro tipo de sistemas operativos?
¿Se puede usar un dedo diferente para iniciar
sesión en el PC? ¿Es posible que varios usuarios
inicien sesión con el lector de huellas digitales en
el mismo PC?
11 . Para evitar robos en espacios públicos, o aulas,
existen una serie de soluciones de seguridad física
como: arm arios de seguridad con llave, carritos
móviles para equipos informáticos, cables de seguridad
para portátiles y llaves y candados para equipos y
periféricos.
Encuentra un armario y sus características en
dimensiones para que dé cabida a un siuitch,
panel de parcheo, PC (sobremesa con funciones
de servidor) con monitor, teclado, ratón y SAL
En primer lugar, deberás elaborar una lista con
las dimensiones de cada componente para poder
hacer una estimación del espacio necesario en el
armario.
¿Qué precio y en qué distribuidor has encontrado
dicho armario? ¿Qué características tiene la
puerta y la llave de dicho armario, crees que seria
totalmente seguro? Explica tus razones.
12. A través del distribuidor www.senfor.com podrás
encontrar un conjunto de soluciones de seguridad
para aulas de ordenadores. Diseña una solución
con presupuesto, que permita dar seguridad a un
aula como la que dispones, en la que se quiera tener
también 15 ordenadores portátiles.
13. Busca en la web de alguna empresa que facilite
soluciones de control de accesos a CPD, como por
ejemplo www.zksoftwnre.es , encuentra y explica
las diferencias existentes, entre los terminales de
presencia (con tarjeta identificad ora), terminales de
huella dactilar, y terminales con código y password.
Analiza y explica cómo funciona el software de
control de accesos, para una empresa con cientos de
empleados.
2 ■S E G U R ID A D P A S IV A
14. Si tu equipo no dispone de lector de huella, existen
diversos periféricos que permiten el control del PC
únicamente mediante la utilización de la huella
registrada de usuario. Investiga acerca de los precios
y características de periféricos como teclado, ratón,
disco duro o memoria USB o incluso lector de huella
USB independiente, así como las opciones de software
que existen, como eNDeSS. ¿Qué niveles de acceso
controla dicho software? Realiza una tabla resumen
con precios y características.
15. Analiza las características y el funcionamiento del
sistema BioCloser de reconocimiento de voz. Explica
su principio de funcionamiento y para qué se puede
emplear.
16. Busca información acerca del control de
acceso Biopassword y descubre su principio de
funcionamiento probándolo a través de su demo. ¿Cuál
es el principio de funcionamiento? ¿Qué parámetros
mide? ¿Crees que podría ser útil este sistema como
control de acceso biométrico?
17. Diseña una infraestructura de cám aras de
vigilancia 1P inalám bricas, con 4 cám aras que
permita controlar la planta de un edificio. Indica los
equipos necesarios aparte de las cámaras, espacio de
almacenamiento necesario y períodos de realización
de copias de seguridad.
Crea una tabla con el coste de la instalación
desglosado con cada uno de sus coro ponentes así como
la mano de obra de instalación y configuración.
¿Qué leyes se apLican sobre la filmación de vídeo
en espacios públicos y en privados? A modo de
resumen, ¿qué precauciones y recomendaciones
se deben tomar a la hora de realizar grabaciones
de seguridad? Busca alguna noticia sobre la
implantación de cámaras de seguridad en las vías
públicas de las ciudades y qué tipo de controversias
ba originado.
18. Encuentra una SAI para todos los sistemas de
tu aula, sirviéndote y ajustando los consumos de
los equipos en base a las estimaciones de Energy
Star, y teniendo como máximo una carga del 70%
de la potencia máxima suministrada por la batería.
Justifica tu respuesta e indica tipo, número y tipos de
tomas, potencia suministrada en VA, etc. En caso de
no encontrar una SAI con suficiente capacidad, realiza
una división de la carga entre distint as SAI.
Es necesario disponer una SAI para un portátil
o un notebook? ¿Por qué? ¿Qué función realiza el
transformador de corriente del portátil? ¿Y las
celdas de baterías?
63
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
TEST DE CONOCIMIENTOS
Las medidas de seguridad biométricas:
Permiten el acceso a un sistema mediante contraseña asimétrica.
Emplean la biología paira medir parámetros de
seguridad.
Emplean características biológicas para identifi­
car usuarios.
Son el fundamento de la identificación mediante
certificado digital.
Las SAIs:
Permiten conectarse ininterrumpidamente a la
red eléctrica.
Suministran corriente eléctrica frente a cortes
de luz.
Son dispositivos de almacenamiento de alta dis­
ponibilidad.
Son pro .gramas que permiten mantener confi­
dencialidad.
Los armarios o bastidores para albergar sistemas
no poseen:
Profundidad variable.
Ancho fijo.
Ai tura múltiplo de 1 U.
Profundidad fija.
El sistema biométrico más fiable y seguro es:
Reconocimiento de voz.
Huella dactilar.
Iris.
Escritura y firma.
64
de:
La pinza amperimétrica sirve para realizar medidas
Voltaje (V).
Potencia aparente (VA).
Corriente eléctrica (A).
Potencia real (VV).
En caso de tener una instalación CPD crítico con un
suministro eléctrico muy fluctuante, el tipo de SAI
a utilizar es:
Online o doble conversión.
Offline.
Inline.
Línea interactiva.
Si el espacio que disponemos para realizar copias de
seguridad es limitado éstas deben ser:
Completas.
Incrémentales,
Diferenciales.
Completas + Diferenciales.
El sistema biométrico mas empleado por su relación
fiabilidad/coste es:
Reconocimiento de voz.
Huella dactilar.
Iris.
Escritura y firma.
En los sistemas GNU/Linux para realizar copias
de seguridad autom atizadas no se emplea el
comando:
Bkp.
Crontab.
Tar.
Gzip.
/
/
/
/
Profundizar en aspectos de
seguridad lógica.
Valorar la importancia del uso de
contraseñas seguras.
Restringir el acceso autorizado en
el arranque, sistemas operativos,
ficheros, carpetas y aplicaciones.
Analizar las ventajas de disponer
el sistema y aplicaciones
actualizadas.
Garantizar el acceso restingido
de los usuarios a datos y
aplicaciones, mediante políticas
de seguridad.
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
PRINCIPIOS DE LA SEGURIDAD LÓGICA
El activo más importante que se poseen las organizaciones es la inform ación, y por lo tanto deben existir técnicas
más allá de la seguridad física que la aseguren, estas técnicas las brinda la seguridad lógica.
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a Los
datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo. A los largo de los capítulos 3
(seguridad en el acceso lógico a sistemas), 4 (software antimalware), y 5 (criptografía), veremos algunos de los métodos
fundamentales.
Algunas de las principales amenazas que tendrán que combatir los administradores de sistemas son el acceso y
m odificaciones no autorizadas a datos y aplicaciones.
La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de acceso a
los recursos informáticos, basados en )identificación, autenticación y autorización de accesos.
Como principio básico de seguridad lógica en la configuración de sis te m a s: todo lo que no está perm itido
debe e sta r prohibido.
i
A lo la rg o d e e s te c a p ítu lo v a m o s a c o m p ro b a r la im p o rta n c ia d e e m p le a r c o n t ra s e ñ a s fu e rte s y
la r e s p o n s a b ilid a d q u e t ie n e n so b re el co n tro l d e la s m is m a s los d e s a r r o lla d o r e s d e s o ftw a re y
a d m in is tra d o re s d e s is te m a s .
Para ello s e p ro p o n e la le c tu ra d el a rtíc u lo “ U tiliza n d o m a p a s co m o c o n t ra s e ñ a s d e a c c e s o , un a
n u e v a id ea de se g u rid a d in fo rm á tica ", fu e n te : http://noticias.lainform acion.com /ciencia-y-tecnologia/
tecnología-general/u tilizando-m a pas-com o-contrasenas-de-acceso-una-nueva-idea-de-seguridad inform atica_Kt8uDQyuXZu27JJbyXmVr4 /.
S e p ro p o n e c o m e n t a r en g ru p o la s s ig u ie n te s c u e s t io n e s :
•
¿ Q u é longitud d e c o n tra s e ñ a p re s e n ta e s te n u evo m éto d o ? ¿ Q u é código de c a r a c t e r e s u tiliz a ?
•
¿ Q u é m e c a n is m o s y h e rra m ie n t a s m alware elude ? ¿ Q u é m e to d o lo g ía s e p o d ría e m p le a r p ara
o b te n e r la c o n t ra s e ñ a ?
•
¿ Q u é p re c a u c io n e s d e b e ría m o s d e to m a r a la ho ra d e r e g is t r a r n u e s t r a s c o n t r a s e ñ a s ? ¿ Y
e s p e c ia lm e n t e en re d e s s o c ia le s ?
66
© RA-MA
3 ■S E G U R ID A D L Ó G IC A
CONTROL DE ACCESO LÓGICO
El control de acceso lógico es la principal línea de defensa para la mayoría de los sistemas, permitiendo prevenir
el ingreso de personas no autorizadas a ta información de los mismos.
Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificación y autenticación.
Se denomina identificación al momento en que el usuario se da a conocer en el sistema; y autenticación a la
verificación que realiza el sistema sobre esta identificación.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados
solamente una vez, pudiendo acceder a partir de ahí a todas las aplicaciones y datos a los que su perfil les permita,
tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina single login o
sincronización de passwords.
Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un
servidor de autenticaciones sobre el cual los usuarios se identifican y que se encarga luego de autenticar al usuario
sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente
un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con
los requerimientos de carga de tareas. Es el caso de servidores LDAP en GNU/Linux y Active Directory sobre Windows
Server.
Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello
suelen recibir distintos tipos de ataques, los más comunes son:
Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta
encontrar aquella que permite el acceso. Cuanto más corta, más sencilla de obtener probando combinaciones.
Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario o
conjunto de palabras comunes. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya
que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea
fácil de recordar, lo cual no es una práctica recomendable.
Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es
establecer un número máximo de tentativas, de esta forma so bloquea el sistema automáticamente después de un
número de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de protección es el mecanismo
empleado en las tarjetas SIM que se bloquean automáticamente tras tres intentos fallidos al introducir el código
PIN.
A continuación veremos criterios para establecer políticas seguras de contraseñas.
POLÍTICA DE CONTRASEÑAS
Las contraseñas son las claves que se utilizan para obtener acceso a información personal que se ha almacenado en
el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales, etc.). Para que una contraseña
sea segura se recomienda:
Longitud mínima: cada carácter en una contraseña aumenta exponencialmente el grado de protección que
ésta ofrece. Las contraseñas a ser posible deben contener un mínimo de 8 caracteres, lo ideal es que tenga 14
caracteres o más.
67
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
Combinación de caracteres (letras minúsculas y mayúsculas, números y símbolos especiales): cuanto más
diversos sean los tipos de caracteres de la contraseña más difícil será adivinarla.
Para un ataque de fuerza bruta que intenta encontrar contraseñas generando todas las combinaciones posibles,
si empleamos una contraseña de 5 caracteres en minúscula para el idioma español que posee 27 caracteres diferentes,
tendría que probar 275 = 14 348 907 combinaciones a probar.
En caso de emplear mayúsculas y minúsculas el número de combinaciones se multiplicaría siendo (27 x 2) 5 - 525
= 380 204 032 combinaciones a probar.
Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar, a fin de evitar
contraseñas poco seguras, se recomienda:
No incluir secuencias ni caracteres repetidos. Como “12345678”, “222222 ”, “abcdefg”.
No utilizar el nombre de inicio de sesión.
No utilizar palabras de diccionario de ningún idioma.
Utilizar varias contraseñas para distintos entornos.
Evitar la opción de contraseña en blanco.
No revelar la contraseña a nadie y no escribirla en equipos que no controlas.
Cambiar las contraseñas con regularidad.
I PRÁCTICA 3.1
CONFIGURACIÓN DE CONTRASEÑAS SEGURAS
Todas las recom endacion es an teriorm ente citad as están m uy bien cuando se conocen y se llevan a cabo, pero, ¿no
se ría m ejor opción e v ita r que los usuarios tengan co n traseñ as inseg uras o débiles y que no se cam b ien nunca?
V eam os que opciones de configuración sobre el control de co ntraseñas poseen los siste m a s operativos.
Windows
Las d ire ctiva s de cuentas nos perm iten configurar el com portam iento que van a ten e r é sta s ante una serie de
su ce so s. La im portancia de una correcta configuración de e sta s d irectivas radica en que desde ellas vam o s a poder
controlar de una forma m ás eficiente la form a de acced er a nuestro ordenador.
En p rim er lugar, acced em o s a !a ventan a de D irectivas de seguridad de cuentas, m ed iante la ejecución del
com ando gpedit.msc o desde el Panel de control / Herramientas administrativas / Directivas de seguridad local.
Una vez en la ventana de las D irectivas de seguridad local nos encontram os a la izquierda con va ria s d irectivas.
T ratarem o s la D ire ctivas de cuentas. Como podem os ver, en este grupo de d irectivas tenem os dos subgrupos,
D ire ctiva de co n traseñ as y D irectiva de bloqueo de cu en tas. Vam os a v e r qué podem os h acer en cada uno
de ellos:
68
3 * S E G U R ID A D L Ó G IC A
© RA-M A
D irectiva de co n traseñ as:
• tti
tf
*o ó n
ilM
9
C *T P rf
omtM
T H H
M tA c u v k U a
• J 0»HtN« b u fa
l ^ i q W ■*«*• * i li Ktrtxmrnfm
• _ | C««3*M ¿t rtft» p jt* .
Q £ v^r> «
« i te car* « A
4
• _ J tf* iO ,K * - « l> K » l
mémm
^A^.a<«aM áillCcr» >V4
Dentro de las directivas de contraseña nos en contram os con una serie de d irectivas com o:
A lm acenar co n traseñ a usando cifrado reversib le para todos ios usuarios del dominio.
Forzar el historial de co n traseñ as: Estab lece estab lece el núm ero de co n traseñ as a recordar, los usuarios
no pueden utilizar la m ism a co n traseñ a cuando ésta c a d u c a .. S e recom iend a un valo r mínim o de 1.
Las co n traseñ as deben cum p lir los requerim ientos de com plejidad: S e se recom ienda habilitar esta
opción, la cual obliga para n u eva s co n traseñ a s:
6 ca ra cte re s com o m ínim o.
C o ntener ca ractere s de al m enos tres de las cinco c la se s sig u ien te s: M ayúsculas, m inúsculas, dígitos en
base 10, ca ra cte re s no alfanum éricos (por ejem p lo : !, $, # o % ), otros ca racte re s Unicode.
No co nten er tres o m ás ca ra cte re s del nom bre de cuenta del usuario.
Longitud m ínim a de la con traseñ a.
Vigencia m áxim a de la co n traseñ a: E stab le ce estab lece el núm ero de días m áxim o que una contraseña
va a esta r activa.
Vigencia m ínim a de la co n traseñ a: Estab lece estab lece el núm ero de días m ínim os que una contraseña
va a esta r activa. Si es m ayor que 0, los usuarios no pueden cam b iar repetid am ente las co n traseñ a s para
eludir la configuración de directiva Forzar el historial de co n traseñ a s con el fin de utilizar su contraseña
original.
D irectiva de bloqueo de cu e n tas:
Duración del bloqueo de c u e n ta s: Estab ie cee stab le ce, en m inutos, el tiem po que una cuenta debe
p erm an ecer bloqueada.
R estab lecer la cuenta de bloqueos desp ués de: E sta b le ce e sta b le ce , en m inutos, el tiem po que ha de
p asar para re sta b lecer la cuenta de bloqueos.
Umbral de bloqueos de la cuenta: E stab lece estab lece el núm ero de intentos fallidos para bloquear el
acceso a una cuenta.
Recom endaciones:
fr Configuración de seguridad local
Archivo
O
Acata
B
Ver
Ayuda
c? S C§
^ C a rfijiod ón de «egu<dad
- _ 2 Oeectrvas de cuente
Cwect/va de contresef
♦
Directiva de bloqueo d
& _ 8 Cwectrveí lócele)
t . _| Orectrvas de daves púbéc
* _| Orectrvas de restricción d*
t ^ Orectwa* de segundad IP
Drectr/e
Corfigur ación de s...
SQAhvsceo* cor*reserta usando ctfrado reversóle pera to ... Oejhabfcade
gjjForrar el hetonaide contraseñas
0 contraseñas tecor..
ÜLongtud n w M de la corta aserta
•yfl Vigencia rnax<na de lo contraseña
7 $ \ Vgtnoa mrama de la contraseña
M caracteres
31 das
Odas
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
S e recom ienda configurar la política de co n traseñ a s para que la longitud m ínim a sea de 14 ca racte re s,
tenga las ca ra cte rística s de com plejidad requ erid as y haya que m odificarlas cada m es. En caso de m ás de
3 intentos fallidos b loquear la cuenta 15 m inutos, para e v ita r ataqu es de fuerza bruta.
ti Q j » c o r \ de segixided
D re c tM
OeectjYM de cuento
Orectrva de contraseñas
_J OrectN* de bloqueo de cuentas
OeectKai loca*w
C o n ñ g u x jó n d e t...
S flíX ra o ó n dei bfcoueo de c u e ru
15
¿^A ettobieccr la cuenta de btoojeo* desoués de
IS m n u o s
¡Q^Urrórd do Moqueos óe le cuenta
3 rite n to *óe n
ao
...
Cwectjv« de deves pùbica*
Orecttvet de restncoán óe taftwMre
CeecOves de seguided V* en Ccnpo k x d
S e debe com p robar la nueva política de co n tra se ñ a s cre a d a y re n o va r las co n tra se ñ a s cre a d a s con
an teriorid ad . En caso de no cum plir con los requisitos im p uesto s, a los u suarios se les m ostrará el siguiente
m e n sa je .
Cuentas de umano
Para controtar por parte del adm inistrad o r los a cceso s al siste m a podem os hab ilitar en Directivas locales
/ Directiva de auditoría / A uditar sucesos de inicio de sesión, tanto correctos com o errón eos. El viso r de
su ceso s en panel Panel de c o n tro l/ herram ientas adm inistrativas nos perm itirá analizarlos.
Configuración de seguridad local
AjcTívc
Atoón V«
Ayuóe
da rff d
Conflpjreoónde segindad
• _ 3 D re d r*«
cuore«
S _2 OrecttvM bcaiif
J Dwtrv* de eudtone
i JJ Aagruaónóetoectios de usuano
íi _ i Ocoonet de ^ rx is d
• _J Cwectivos de deves púbfca*
•
_ J O rectr/ai de rettncdón de
• % Drect*« de tegmded IP enLaico beai
Ccrftp^eoún de seginded
Drecbve
§ 5 AoJtar «J acceso a objeto«
S Q A oítflr H acceso dei M rv tto de dre do r©
iSjÜAuAar el carrài) de d ie d r a *
ei s egi«ner*o de proceso»
¡SdAcdtar d uso de p rry*o jo i
SQAudtar la adrrw tracien de c u « * »
£j(¡Audtar suceso* de n e o de sesrin
jgQAuJtar » jomo » de n « o de í w ú n de cuente
Corréelo, Enóroo
Correcto. Erróneo
Con©do, Erróneo
Conecto, Erróneo
Conecto, Erróneo
Correcto, Erróneo
Conecto, Erróneo
Correcto, Erróneo
G N U /Linux
El control so b re com p lejid ad y cifrado en co n tra s e ñ a s se re aliza en G N U /Lin ux m ed ian te el se rv ic io PAM
(Pluggable Authentication Module). M ediante PAM podem os co m u n icar a nu estras ap licacion es con los m étodos de
autenticación que d eseem o s de una form a tran sp are n te , lo que perm ite integrar las utilidades de un sistem a Unix
clásico ( login, ftpFTP, te ln e t,..) con esq u em as d iferentes del habitual password: cla ve s de un solo uso, biom étricos,
ta rje ta s in te lig en te s...
El módulo p a m _cracklib está hecho esp ecíficam ente para d eterm in ar si es su ficien tem ente fuerte una contraseña
que se va a crear o m odificar con el com ando passwd.
Para instalarlo eje cu tare m o s: sudo apt-get install libpam -cracklib.
Uno de los com andos de asignación de co n traseñ as a usuarios en el acceso a siste m a s GN U /Linux su ele ser
passwd, y su archivo de configuración asociado e s /etc/pam .d/passw d. A su vez éste suele re fe ren ciar a /e tc /
pam. d/com m on -password.
En dicho archivo podrem os indicarle las ca racterísticas de los m ódulos a em plear, en el ejem plo p am _crack lib .
so (instalad o para el control de la com plejidad en co n traseñ a s de usuario) y p a m _u n ix .so (p rein stalado y el m ás
em pleado por defecto). M ostram os a modo de ejem plo 2 líneas de configuración co n ven cio n ales:
© RA-M A
3 ■S E G U R ID A D LÓ G IC A
password
p assword
required p a m _ c r a c k l i b .so dcredit=-l ucredit=-l lcredit=-l
required p a m _ u n i x .so use_authtok nullok md5
m inlen= 8
La prim era linea incluye el m ódulo de verificación cracklib, e indica que la longitud m ínim a sea 8 (m in ien ),
y que debe co n ten er dígitos (d cred it), m ayú sculas (u cre d it) y m inúsculas (Icred it).
En la segunda indicam os que los arch ivo s que contienen las co n traseñ as posean encriptación MD5. En
ve rsio n e s actu a le s de d istribuciones GN U /Linux se incluyen algoritm os de cifrado m ás seg uros com o
SHA.
Cuando em p leem os de nuevo el com ando passwd para renovación de co ntraseñas de un usuario, dicho com ando
verificará que se cum plen las reglas d escritas en el archivo de configuración common-password.
Para v isu a liza r los acceso s al sistem a y otros su ceso s del sistem a o logs, estos se guardan en arch ivo s ubicados en
el d ire cto rio /va r/lo g, au nque m uchos p rogram as m anejan su s propios logs y los guardan en /v a r/lo g j< p ro g ra m a > .
Con respecto al acceso e identificación de usuarios en contram os;
/v a r/ lo g / a u th .lo g : se registran los login en el siste m a . Los intentos fallidos se registran en líneas con
inform ación del tipo invaíid password o authentication failure.
A continuación realizaremos un análisis en profundidad a distintos niveles, de los mecanismos de control de acceso
a los sistemas mediante contraseña;
I o nivel; control con contraseña del arranque y de su propia configuración proporcionado por la BIOS.
2° nivel: control mediante contraseña del arranque y de la edición de las opciones proporcionadas por los
gestores de arranque.
3o nivel: control mediante usuario y contraseña por parte de los sistemas operativos. El sistema operativo
permite el control de acceso a datos y aplicaciones mediante la configuración de privilegios a los distintos
perfiles de usuario o individualmente a estos.
4o nivel: contraseña y cifrado de acceso a datos y aplicaciones, entre otros los archivos ofimáticos, comprimidos,
sitios web (mail, banca online), etc.
PRÁCTICA 3.2
PELIGROS DE DISTRIBUCIONES LIVE!
Son inn um erables los siste m a s operativos arran ca b les desde unidades extraib les U S B , CD o DVD en modo U ve
sin necesid ad de form atear e instalarlos en disco duro. Incluyen gran cantidad de aplicacion es de recuperación
de datos y co n traseñ as de usuario.
D esde las opciones de S E T U P o configuración de ia B IO S, podem os h ace r que arran q u e en p rim er lugar desde
cu alq u iera de las m encion ad as unidades.
V uln erab ilid ad es
A modo de ejem plo m encio n arem o s algunas distribuciones arran ca b les en modo Live:
71
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
U ltím ate Boot CD (U BC D ): posee en un en to rn o sim u la d o W indow s a p lica cio n e s com o a n tiv iru s,
recuperación de datos, ap licacion es de recuperación y borrado de co n traseñ as de la B IO S (cm o s _p w d ),
borrado y restitución de nu evas co n traseñ a s de usuarios de siste m a s W indows instalad os en disco, incluso
creación de n u eva s cu e n tas de usuario adm inistrador.
B acktrack: distribución específica con un conjunto de herram ientas de auditorías de seguridad, entre otras
alg unas que perm iten escalad a de privilegios en sistem as W indows (ophcrack) y GN U/Unux (John the ripper).
O phcrack; distribución esp ecífica que contiene la aplicación de m ism o nom bre con capacidad de e x trae r
co n traseñ a s de usuarios en siste m a s W indows. Verem os m ás ad elan te un ejem plo de aplicación.
S la x : distribución basada en Stackware, m uy ligera y arran cab le desd e U SB. Perm ite el m on taje y acceso
a los siste m a s de ficheros instalad os en disco.
W ifiw ay y W ifisla x : d istrib u cio n es o rie n ta d a s a re a liz a r au d ito rías wireless, com o re cu p eració n de
contraseñas.
En la m ayoría de las ocasiones desde e sta s distribuciones es posible acced er a las particiones y siste m a s de
ficheros de form a tran sp are n te , es decir, sin restricciones del siste m a operativo, por lo que puede com prom eter
la seguridad de los datos y ficheros.
Com probación
A modo de ejem plo podem os com probar d esp ués de a rra n ca r con un DVD U ve de Back track el listado de
p articiones disponibles en el disco duro m ed ian te el com ando ejecutado com o root: fdisk -I.
Tras a n a liza r las particiones d isponibles, m ontarem os por ejem plo en una carpeta cread a por ejem plo /mnt/win,
ia partición de form ato NTFS de W indows /dev/sda2, con el com and o: m ount -t ntfs /dev/sda2 /mnt/win.
La opción - t nos perm ite indicar el form ato de la partición. De esta form a podem os acced er a través de la carpeta
/mnt/win a todos los ficheros de dicha partición.
root$bt: /mnt • Shell - K o risole*
Session
Edit
View
Bookmarks
Settings Help
llnaole to open / I
root net: » fd lsk -I
Disk /dev/sda: 58 5 OB, ‘>8506416640 bytes
255 heads. 63 secto rs/track. 7113 cylinders
Units = cylinders of 16665 • 512 * 8225290 bytes
Bisk Id e n t ifie r : 0«cfce28df
Oevlce Boot
/dev/sda1
/dev/sda2
•
/4ev/sda3
/dcv/KU5
foot -.if : * 1»
Start
1
U
5004
SOW
End
10
5002
7112
7112
Blochs
BQ293*
40580198
16458592*
16458561
Id
ÓC
Í
7
System
D ell U t ilit y
HPFS/NTFS
#95 E xt'd UBA»
HPFS/NTFS
roobjfet: » cd . .
r o o t T t ; * p«rt
rooti'ot: * cd m l/
ro o tle t:
» Is
'i c b ’Ot:
root d :
• okdir win
» count -t n tfs /dev/sdc>2 /■nt/win
«1
Recom endación
C onfig urar el arran q u e para que siem p re se realice en prim er lugar desd e el disco duro donde estén instalados
los siste m a s op erativos y configurar con contraseña el setup de la B IO S para e v ita r m odificaciones no auto rizad as
en la secuencia de arran q u e.
72
© RA-M A
3 ■S E G U R ID A D L Ó G IC A
CONTROL DE ACCESO EN LA BIOS Y GESTOR DE ARRANQUE
BIOS (Basic Input/Output System): es el nivel más bajo de software que configura o manipula el hardware de un
ordenador de manera que cada vez que iniciamos el ordenador este se encarga de reconocer todo el hardware que
contiene el ordenador y controlar el estado de los mismos.
En la BIOS podemos configurar cualquier parámetro referente al hardware, de qué dispositivo arrancará en
primer lugar o parámetros más comprometidos como el voltaje que se le suministra al núcleo del microprocesador.
Por este motivo tendremos que proteger nuestra BIOS de manera que solo un Administrador o un usuario
responsable puedan cambiar los valores de la configuración.
Según la versión y la marca de la BIOS podemos configurar la seguridad del mismo de distintas formas.
Estableceremos una clasificación sobre los niveles de seguridad que suele tener:
Seguridad del sistem a (system): en cada arranque de la máquina nos pedirá que introduzcamos una contraseña
que previamente se ha configurado en el BIOS. En caso de no introducirla o introducirla incorrectamente, el
sistema no arrancará.
Seguridad de configuración de la BIOS (setup): en este apartado se suelen distinguir dos roles apLicables:
Usuario (solo lectura) y Administrador (lectura/modificaciones).
PRÁCTICA 3.3
CONFIGURANDO CONTRASEÑA EN LA BIOS
En toda la explicación de esta actividad nos b asarem o s en una B IO S concreta del fab ricante AM I( por lo que es
recom endable reconocer qué tipo de BIO S estam os m anejando (Aw ard, Phoenix, etc.) y co n su ltarla web del fabricante
de la placa base para obtener el m anual que contiene los pasos detallados para la configuración de la seguridad.
Proceso de asignación de co n traseñ as
E n trare m o s en el setup de nuestra B IO S (norm alm ente pulsando en el principio del a rran q u e , tras p ulsar el botón
de encendido la tecla Su p r o F 1 2 ) y nos dirigirem os a la sección "secu rity" para poder configurar las co n traseñ a s.
En esta sección nos en co n trarem o s con una serie de opciones para ca m b ia r o borrar las co n traseñ as. E sta s son:
Change supervisor password: crear, cam bia o elim ina la contraseña del Adm inistrador.
Change user password: cre a r o cam b iar la contraseña del usuario.
Clear user password: elim ina la contraseña del usuario.
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
S e le ccio n a re m o s "chang e su pervisor passw ord" para cre ar la nueva co ntraseña del A dm inistrador, introducirem os
la co n traseñ a dos v e ce s y p ulsarem os en "OK". Tras definir la co ntraseña del adm inistrador, la vista de la sección
"secu rity " cam b ia. Ahora nos en co ntrarem o s con m ás opciones que las que se m ostraban por defecto en esta
sección, com o:
User access level' define el nivel de acceso que tendrá el usuario. Estos niveles pueden v a ria r en tre:
No access (sin a cce so ), View only (solo le ctu ra ), Limited (m od ificar con lim itacio n es) y Full Access
(todos los p erm isos).
Password Check'. e ste parám etro perm ite configurar cuando querem os que la B IO S pida la contraseña
tanto al A dm inistrador como al usuario norm al. La opciones son:
Setup\ la co ntraseña se pedirá en el inicio del asisten te de configuración de la B IO S .
Always: la petición de la co n traseñ a se realizará en cada arranq ue de la m áquina.
Ahora ca m b iarem o s las opciones del usuario norm al ya que por defecto tiene pleno acceso a la B IO S . En nuestro
caso los config u rarem os para que solo pueda visu a liza r la B IO S . Para ello, se leccio n arem o s "U se r A ccess Level"
y m a rca re m o s la opción "View Only". Por últim o, configurarem os para que siem p re que se inicie la m áquina nos
pida la co n traseñ a , m ediante la opción "Passw ord C h eck " lo podrem os configurar seleccionan do el parám etro
"a lw a ys":
Pit I n
iM u . im r il
S u p e r v is o r P assw ord
U ser P a ra m rd
P llu rT
'
Change S u p e r v is o r P a s s u o rd
U ser A ccess L e v e l
C hange U s e r P a ssw o rd
C le a r U s e r P assw ord
UIÜS SETUP U T IL IT Y
IttMit.
S S it O T J f
1
Kk L
1
n s ta I n i
Im U lIr d
t U l r u O n ly ]
S e t u p ’ C h eck p a s s w o rd
w h ile in v o k in g s e t u p .
A lw a y s : C h eck p a s s w o rd
u h i l e in v o k in g s e tu p .<
w e ll u s o n e a ch b o o t .
Con esto ya tenem os configurada la seguridad de nuestra B IO S para e v itar a cceso s no d eseados a la B IO S y al
arran q u e del siste m a . Una ve z configurada la seguridad de los usuario s, podem os reiniciar nu estra m áquina para
ve rifica r que nos pedirá la contraseña en el arranq ue de la B IO S :
Enter CIIHREMT Passuord :
In tro d u cirem o s la co ntraseña y podrem os inicializar nu estra m áquina sin problem as.
R ecom endaciones
C ab e d esta car que la seguridad de la B IO S es m uy vu lnerab le ya que existen va ría s form as para re se te a r ta B IO S,
y vo lve r a sus valo re s de fábrica y por tanto que las co n traseñ as d esap a rezcan . Una de ellas es quitando la pila
de la placa base, o a través de la conexión del jumper C LR _C M O S que suelen trae r junto a la pila. A ve ce s con un
sim p le candado que aseg u re la apertura de la torre y no perm ita el acceso a la placa b ase es su ficien te.
O tra form a para re setea rla es con una distribución Live como U ltím ate Boot CD for W indows, o con el PC arrancado
b ajo W indows, e je cu ta r una aplicación como cm o s_p w d , que encuentran y borran las co n traseñ a s.
74
© RA-M A
3 ■S E G U R ID A D L Ó G IC A
Im ag e n del m enú de UBCD con las h e rram ien ta s de password para re cu p era r y borrar el password de la B IO S .
E s im portante cuidar la fortaleza de la contraseña de la B IO S a se r posible que sea de )a m ayor longitud posible
(su e le s e r dependiendo del m odelo entre 6 y 10 ca ra c te re s), y que contenga m ayú scu la s, m inúsculas y núm eros
para h a c e r m ás difícil la obtención de la contraseña por p ersonas no d ese a d a s.
Del m ism o modo es recom endable que el adm inistrad or no publique, ni escriba de form a visib le su contraseña y
la ren u eve periódicam ente.
| PRÁCTICA 3.4
CONTRASEÑA EN EL GESTOR DE ARRANQUE
Cuando tenem os instalado varios siste m a s operativos en disco duro, para se leccio n ar con qué sistem a arrancarem os
se em plea un gestor de arranque. Unos de los m ás populares y em p lead o s con siste m a s operativos GN U /Linux
es GRUB.
A m enaza o vulnerabilidad
D espués de realizar la B IO S las com probaciones de hardw are y dar paso al arranque de los dispositivos configurados
(Boot S e q u e n ce ), es posible visu a liza r el m enú de arranq ue de GRU B pulsando la tecla E S C , siem pre que lo
tengam os instalado (por defecto en distribuciones com o Ubuntu) y no se m uestre.
I■
»[i Lwm'UMvnmmmMm
IJbMntM, kt’
rm'l
» - O l í Uifi
I HHfKtrv
I OI Hitr o y w í « l In g v y a tim v
U im lU M i H W HW M X f
1______________________
___________________
x h iih
u a lr y
d OS.
lo r
•
O
Is
to od|< tlw»
c o t» « i» 4
141.»
La opción de recovery m ode bajo siste m a s GN U/Linux tiene un propósito de recuperación en caso de fallo del
siste m a , pero puede se r utilizada en tre otras accio nes para recu p era r y m odificar co n traseñ a s de ad m inistrad or
( root) o incluso acced er a inform ación del disco duro.
75
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Vem os dentro del m enú de recuperación como es posible a cced er a una consola con privilegios de root. Perm itiría
e je c u ta r com andos de cam bios de co ntraseña sin conocer la an terio r com o: passwd root.
Otra opción si tuviéram os restringida la opción de recup eración, se ría editando alguna de las en tra d as del m enú,
pulsando la tecla e, y en la línea kernel m odificar el final de la m ism a su stitu ir el texto desde "ro" incluido, por
¡n¡t=/b¡n/bash. Si arran ca m o s d esp ués de la edición, desde esta opción este cam bio e je cu ta rá en el arran q u e una
shell con perm isos de root, teniendo control total sobre el siste m a .
P roceso de asignación de contraseña a GRUB
Com o recom endación se propone:
A ñad ir contraseña en crip tad a al m enú de edición es d ecir im posibilitar la edición por cu a lq u ie r usuario no
autorizado.
■Mfufeantti.-t i n «
3 ir* j d rv tc r» te g u e it BIOS d r iv e s T h u
w a tu b u n tv - i f r d l t /hoot/Qrufe/aewu. U t
ftrtfrrt»
**
Vann*
may
te te • li
AyytlJ
I m m u l BAS* l i k e li n e e d it in g i t w p p o r tH
th e
tin t
w on j. TAB I» » !» p e t t ib le
'» ( n o re a lly th e U r * t « n tiy (te fin e d i
c c a p le c ie n t
Anywhere « I m TAB l i m
the pi
c o a p le tio m o f ■ d e v ic e /f ile r a a e . 1
•e hiddenaenu
Petted- •••••
gruh> «JVc r/p t.
i f Hide» th e aew i by d c le u lt | ( m t fSC te tee th e eenui |
F**rypted: *ll7f&5t/M»Y«rtO/ijP .’ grrhO» i^rís»
• P r e tty t o ìo u r t
'• c o lo r cyer/H lw e « A lte /b lu <
q iu t> Q
»* p e ttw o rd I '
«d V | »M w d
• I f u*«d in thè f i r t t ir t t lo r of a amu T ile
.e d itin g
'»
control leetuj witry c^ltqr
*nG <.o»-d;:>l
lir e )
«l
JOd entri
• cowwnd * lo c k ‘
e . f . p e tiu o rd to p te c re t
11 #
I>etword «JS
i 0
p attuir«
ilig iM * /w w /ik í*iQ r» i« M ritu o e /
A ñad ir encriptada co ntrasena en modo de recuperación.
n¡
d e v lc e t to g tie tt 1 1 « « r iir e t. T h ll aey te ke i
« M jfc u n tu :*l g e d it J b o o t/g n jb /a e m i.ls t
0
érrhrt«
tuca«
fi*
alunmacufeunlv Jwrnwai
V jM
Id le
6
Muevo
/r *
J . .
Aftnr
&<a
D C C iW tP »
y.
tm gntm
A yjtU
«i
m a m ft* O
I m r i a e l 1ASH llfc e lin e e d itin g l i tw ppcrted
tK *
fjr tt
« fd .
TAfl l l i u
p o t t i b le
c o a p lc tio n t. A n y ***re c i t e TAI U t M Ih e o 00 00 End Oefeult Options »•»
c o a p lr tio n t
• d e v jc c /f Jtenaae. |
st
i
g ru ft* ad* < ypt
t it le
root
Ubunte « *4. kernel M . f l l l generic
()/wbuntu/dliki
f c w iw t
/b o e t/v a lin u * -} 6 .¿ t il - g e n e r ic r w ta a u n H M M P t ttt tf O H n
r o Q u ie t v p le th
/ b o o t / l n i t r d la g 2 . i . 2t i l g e n e r i c
r« tt* s rd • • • • •
tn c ry p te d 1 )S?*&3t/D (W W M yfeiJ«uh0atunr#g
lo o p « /s fe a n iu /d it k i/ r e 9 l.d ltk
gr llt»
I t il i«
Q
lU ltrd
CMKtW 'd
root
mài
Ufeuntu 9 14. te»nel
tllW rft/tf« V W V ry £ n 7 g n .*N J tt
I l/ubw'tu/ditkt
\snM¡
l i jn w r it (recovery eodtj
.
^
k e rn e l
/ b o o t/v » lim tf 2 .0 r t I ! g e n e ric root->XJlI>-<K8«m <W W O W
l M p » / u fe w tu / d !t k i/ r Q o t.d u k ro tin g le
t n it 'd
/ b o o t / i n i t r d Lag ? . t ?» 11 g e ne ric
title
ro o t
ke rn e l
Ubuntu f . M . a r a te t i» * *
( l/tA c n tu /d m t
/ b o e t / a e a t e i t * * .61*
1
©
RA-M A
3 ■S E G U R ID A D L Ó G IC A
I o M ediante el com ando grub, nos ab rirá una consola que nos perm itirá e n crip ta r en codiñcación MD5
cualq uier texto que d eseem o s com o co n traseñ a, m ed ian te el com ando mdScrypt. C opiam os el texto de
salida en MD5, com enzará por $1$.
2 o Editam os el archivo menu.lst de grub, hab itualm ente localizado en /boot/grub/. Tras la línea com entada
password - -m d5 $ 1 $ , escrib irem o s una línea con nuestra contraseña en criptada. Esto no perm itirá ia
edición de ninguna de las en trad as del m enú, si no conocem os la co n traseñ a.
3 o En el archivo menu.lst b uscarem o s las líneas que hagan m ención a (re co v e ry m ode) y d esp ués de la línea
title añ ad irem o s una línea de password. Esto no perm itiré a rran ca r en modo recuperación a m enos que
conozcam os la co n traseñ a . Podríam os añ adirle contraseña a las opciones que queram os de este modo.
E s tam bién posible re alizar dichas m odificaciones m ediante la aplicación gráfica S t a r t Up M a n a g e r. Su instalación:
sudo aptitude ¡nstall startupmanager.
Una vez instalado, podem os acce d e r a la aplicación en S istem a -> A dm inistración -> A dm inistrador de A rranque
o con el com ando startupmanager con p erm isos de root.
A d m in i s t r a d o r d i* JVirftfVE|üe
biEl.x.j
Opciones Je arranque Aspecto Seguridad Av»r«»dc
Opciones d a prolección
Proteger con contraseña el Cargador de arranque
Proteger con contraseña el modo de rescate
Proteger con contraseña las opciones antiguaj de arranque
C a m b ia r C o n tra s e fta
Contraseña:
Confirmar contraseña
Actualizar contraseña
CONTROL DE ACCESO EN EL SISTEMA OPERATIVO
Existen métodos de acceso al sistema operativo muy seguros como por ejemplo mediante huella dactilar, pero el
más utilizado signe siendo a través de una contraseña asociada a una cuenta de usuario.
Como hemos visto anteriormente existen métodos para poder acceder a los sistemas operativos sin control de
contraseña, en el caso de GNU/Linux mediante el modo de recuperación. En el caso de Windows para versiones como
XP mediante el modo prueba de fallos o pulsando 2 veces en la ventana de inicio de usuarios Ctrl + Alt + Supr e
intentando acceder a la cuenta del usuario Administrador sin contraseña, ya que en la instalación no se le asigna
ninguna, por tanto por defecto suele estar vacía.
Pero existen otros métodos, normalmente asociados a poder arrancar con una distribución Live para poder
recuperar o conocer las contraseñas de cualquier usuario, así como borrarlas o modificarlas.
Como recom endación, estas herram ientas empleadas nos servirán para auditar nuestros sistem as de
credenciales de acceso a sistemas operativos y ver el nivel de fortaleza de las mismas, ya que dependiendo del nivel
de nuestras contraseñas no siempre será posible recuperarlas.
77
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
PRÁCTICA 3.5
RECUPERACIÓN DE CONTRASEÑAS
W indow s
O phcrack es una aplicación que perm ite re cu p era r co n traseñ as de W indows. Tam bién se encuentra disponible
en distribuciones como B acktra ck, o incluso posee su propia distribución U ve . S e basa en el conocim iento de
cómo alm a cen a W indows su s co n traseñ a s de usuario (no rm alm ente en windows/system32/ config/SAM sólo solo
a ccesib le sin a rra n ca r el siste m a operativo, por ejem p lo desde una distribución U v e ), y em plea una com probación
m edian te fuerza bruta y diccionarios que habré que ca rg a r dependiendo de la versión y el idiom a d eseado.
L/
Load
Select the directory which contains the table«.
LOOK in
5
&
Q
Computer
roo!
M
S
3com. dm
1025
£ 3 1028
@ 1031
© 1033
S 1037
S 1041
aa
>0 «
IOSA
g
2052
a
a
a
B
B
Directory:
- o
m edia,ditk.WINDOWS'Sy»lem32
3076
3082
CalRool
Ca1Root2
Com
aa cmcp aa 0064
a
aa ra»Resiore
a
a
a
aa export aa
a spooi
aa
a
a me a usnii
a muí
aa
a
a
a
a mu
DirectX
dlicacho
drivers
DRVSTORE
GroupPolIcy
o a © a
PreInstan
SekP
ShellEx!
SoTfiyareDistnoutlon
lesimi
wbem
meter»
MacromeO
Microsoft
MsOIC
weom
npp
Choose
I consg
Files ol type
Preload
waiting
Bíui» torce
wamng
Pwd immd: I
M)
Time elapsed
On O m Os
Como vem os en la figura debem os indicarle en prim er lugar la ruta del directorio donde se alm acenan las co n traseñ as,
norm alm en te Windows/system32/confíg. P reviam ente hab rem os m ontado la partición correspondiente.
Por otro lado, m ediante el botón Tables, ind icarem os la ruta donde podrá en co ntrar la tabla de diccionario con
el qué querem os probar, en e s te caso , hem os cargado X P _ fre e _ fa s t. Una ve z ca rg a d as las tablas de diccionario,
eje cu ta re m o s el com ienzo de pruebas, y como ve m o s para los usuarios de la partición de W indows seleccionad a
ha encontrado para los u su ario s: A dm inistrador - 1 3 5 7924680A lo , alum no - C a ra c a s , y para adm in. - K oala9021.
V em os que incluso para co n traseñ a s de cierta longitud y con ca ra cte re s num éricos, m ayú scu la s y m inúsculas ha
sido cap az de recup erar las co n tra se ñ a s (colum na NT Pw d).
© RA-M A
3 ■S E G U R ID A D L Ó G IC A
O
o
c
*
415O30Q3M0 «IDOCDCtal 1«W<
LAIMMfi
M éúo
*e *» riB d e e y u o «
ÍUPPC0H W U !* D
l&jmry)
0ffC.7»?M»4f.
ís u n 't o e ft x
*m n
|
Tafai»
•
OOM
CARACAS
k o a la m
SMkn
O rntory
m eáwC rurei
• MMO
• tabtol
• HW2
AtMd-f
JldS cbO dtla
cbM teOHbar
S *í5 J3 'r8M4
B6ft»63!907c
?» M t2 M r3
b6&cXkS2*
14% ln RAM
lO O X nK A U
lO O X nR AU
fto g r tn
■■■■■■■
lOOXmAAM
ln RAM
XX
ItAtai
99%
Ihwdftaunú'!
44
jTM*Apag#:I 0h0m 5?a |
Recom endación: O p hcrack en cuentra grandes dificultades con co n traseñ as cre a d a s con palab ras se p ara d as por
esp acios y ca ractere s e sp e cia le s, por lo que se recom ienda su uso.
G N U /Linux
En los siste m a s GN U /Linux el archivo que controla usuarios y su s co n traseñ a s en crip tad as es /etc/shadow visible
tan solo por el usuario root, aunque en caso de poder acce d e r a una partición GN U/Linux y a su siste m a de
ficheros, tenem os el fichero visible.
La e stru ctu ra del m ism o es un listado con una línea por cada usuario en la que la segunda colum na sep arad a por
: es la contraseña encrlptada según algún algoritm o de cifrado, habitualm ente MD5 si com ienza por $ 1 $ , o SHA si
com ienza por $6$, opción m ás segura e incluida por defecto en las version es de d istribuciones a c tu a le s.
chipcard:I:14657:0:99999:7::
sanc>rt:•: 14657:0:99999: 7:::
pulse:*:14657:0:99999:7:::
messaqebus:*:14657:8:99999:7:::
potkltuscr:•:14657:8;99999:7:::
«valu:•:14657:0:99999:7:::
haldaenon:■:14657:0:99999:7::
usuario :S6SZBxm>u*DÍ»5Q/8J5l5zDTK<RSX¡rHpkA9KvHeX4FrZV9othIyCEpíLH7FLAtíYgnsJAdY2by8SliGHcd2o<
XJacukdzN317P2VCArvl:14938:0:99999:7:::
ejabberd:*:1488?:0:99999:7:::
1
________________ * I__________________________________________
A rrancando desde una distribución B acktrack acced em os al contenido del archivo /etc/shadow de una partición
GN U /Linux instalada en disco duro y p reviam ente m ontada. Vem os que el usuario de login posee su contraseña
encrip tad a con SHA.
Mediante la aplicación John the Ripper, podem os efe ctu ar distintos tipos de ataques contra este archivo (deberem os
indicarle la ruta del archivo_shadow) para d escub rir co n traseñ as encrip tad as, por ejem plo:
jolin - -single arch ivo _sh ad o w
Perm ite re alizar una búsqueda con com binaciones sim ples, m ediante palabras h ab itu ales, incluido el nom bre de
usuario.
john - - w o rd list= p assw o rd .lst arch ivo _sh a d o w
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Realiza una búsqueda em pleando com o diccionario el archivo:
john - - in crem en tal= all arch ivo _sh a d o w
R e aliza un a ta q u e de fuerza bruta probando con co m b in acio n es de n ú m e ro s, c a ra c te re s en
m a y ú sc u la s,
m in ú scu las, etc.
r o o t > b l:
1 ü cssio n
Ed<(
V i« m
BookmMñt*
p a w w o r c K j f r - S h « ll • K o n t o t o
S cttings
Help
root»: t .
g l« / m t /G uadal m é K 2 / * tc / » h a d o *
Lo4d«d l iw ivw o rcJ
i u v u # rlo
q u e is tfc : 1
try tn g
u s u a r io
tim :
ig o r e r jc c r y p t ( J ) 1
it u a r i o)
lo o .0C \ (E IA
u 9 9 »9 9 f
no 00:03
rj 3 ? n
hu Nov
2
1 3 :1 4 46 20101
c /f:
Zt
15
En la figura se m uestra la obtención de la contraseña del usuario "usuario" y contraseña "usuario".
PRACTICA 3.6
MODIFICACIÓN DE CONTRASEÑAS
En caso de olvidar la co ntraseña o q uerer m odificarla sin conocerla, podem os recurrir a h erram ien ta s en modo
Live que perm iten re se te a rla s o ca m b ia rlas sin autorización de adm inistrador.
W indow s
Ex isten diferentes opciones sólo solo nos ce n trarem o s en alg u n as de las m ás se n cillas, todas ellas requieren de
la posibilidad de arranq ue d esd e una distribución Live :
1.
M ediante la distribución UBCD podem os e je cu ta r la aplicación Password Renew. Le indicarem os en qué
directorio se en cuentra la carp eta de siste m a :
¿‘U t M f f ' u m r r m • i r * » i c a a p m t i d u m
M P H L
y if
i
A l to r •» | M
r i
«
i
A continuación nos m ostrará el listado de usuario s disponibles, pudiendo re alizar acciones com o renovar
una co n traseñ a (sin co n o cer la an te rio r), c re a r un usuario adm inistrador, o m odificar el tipo de cuenta de
un usuario, por ejem p lo, lim itado a adm inistrador.
© RA-M A
3 ■ S E G U R ID A D LÓ G IC A
2. Otra vu lnerabilidad que presentan los siste m a s W indows es a través de h e rram ien tas que pueden ve rse
m odificadas o sustitu id as por una consola de com andos ( cmd.exe con privilegios de ad m inistrad o r). Por
ejem p lo la utilidad S tickyK e ys softw are de ayuda y accesib ilid ad , que se activa pulsando la tecla S H IF T 5
v e ce s seg uid as.
El fichero que eje cu ta es sethc.exe ubicado en C:\WJNDOWS\5YSTEM32. La vulnerabilidad co nsiste en su stitu ir
sethc.exe por cmd.exe (consola de com andos) y así cuando p ulsem os la tecla S H IF T 5 v e c e s seg u id as se nos
ab rirá la shel! de com andos, desde la cual podem os hacer e je c u ta r los com andos que q ueram os sobre el equipo.
Vem os los com andos para su stitu ir el eje cu tab le se th c .e x e por cm d .e x e , desde una distribución Live con la
partición de W indows m ontada.
aluano4ubufltu:/ant/win/WlM D0WS/sy&le*37S I s *1 cad .exe
rvxrw nrvx 1 root root 4*2944 Í9 W - M - I9 15:42
*ltflno tufontu :/fln t/w in/w JM X M S /systea32 S I s l s e th c .e xe
rv x rw xrv x 1 ro o l root J?256 2*04-M 19 15:43
aliano4ubuntu:/ant/win/MlM D0W 5/sy9te*32S cp velb c-exe sethc o íd .e n e
•luanofubuntu /■ rt/w ln/w iN D O ifS/iysteU ?! cp c a d .r te vethc e*e
o luano fubuntu:/ant/w in/ifIN D O tfS/syite*32i |
En la página de inicio de sesión pulsam os 5 v e ce s la tecla shift y nos e je cu tará la consola de com ando. Podremos
e je c u ta r todo tipo de com andos, como por ejem plo control u serp assw o rd s2 que nos abrirá la utilidad de
configuración de co ntraseñas de usuarios, pudiendo ren o varlas sin conocerlas p reviam ente.
G N U /Linux
En el ca so de GN U /Linux, si podem os acced er al siste m a de ficheros y m odificam os en /etc/shadow para cualq uier
usuario, su contraseña actual por una contraseña encriptada que conozcam os, podrem os acced er con la nueva
co n traseñ a . D ebem os de tener en cuenta 2 consideraciones:
A n alizar qué sistem a de encriptación em plea el sistem a de verificación de G N U /Lin ux, podem os a n a liz a r el
archivo /etc/p a m .d /co m m o n -p assw o rd , y la línea correspond iente al m ódulo p am _u n ¡x .so , al final de
la m ism a su ele ind icar el algoritm o de cifrado em pleado en /etc/shadow. Por ejem p lo : passw ord required
p a m _u n ix .so u se _a u th to k nullok sh a-512
Tener un conjunto de co n traseñ a s cifradas conocidas, o em p le ar una herram ienta de cifrado MD5 o SHA de
texto plano para obtener el texto cifrado correspondiente. Por ejem plo en la web http://www. hashgenerator.
de/ podrem os cifrar texto plano m ediante d iferentes algoritm os.
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-MA
POLÍTICA DE USUARIOS Y
GRUPOS
La definición de cuentas de usuario y su asignación a perfiles determinados, grupos o roles, así como la asignación
de privilegios sobre los objetos del sistema es uno de ios aspectos fundamentales de la seguridad, y una de las tareas
fundamentales del administrador de sistemas. Este proceso lleva generalmente cuatro pasos:
Definición depuestos: separación de funciones posibles y el otorgamiento de los mínimos permisos de acceso
requeridos por cada puesto para la ejecución de las tareas asignadas.
Determ inación de la sensibilidad del puesto: determinar si una función requiere permisos críticos que le
permitan alterar procesos, visualizar información confidencial, etc.
E lección de la persona para cada puesto: requiere considerar los requerimientos de experiencia y
conocimientos técnicos necesarios para cada puesto.
Formación inicial y continua de los usuarios: deben conocer las pautas organizacionales,su responsabilidad
en cuanto a la seguridad informática y lo que se espera de él. Debe estar orientada a incrementar la conciencia
de la necesidad de proteger los recursos informáticos.
La definición de los perm isos de acceso requiere determinar cuál será el nivel de seguridad necesario sobre los
datos, por lo que es imprescindible clasificar la inform ación, determinando el riesgo que produciría una eventual
exposición de la misma a usuarios no autorizados. Así los diversos niveles de la información requerirán diferentes
medidas y niveles de seguridad.
Pora empezar la implementación es conveniente comenzar definiendo las medidas de seguridad sobre la
inform ación más sensible o las aplicaciones más críticas, y avanzar de acuerdo a un orden de prioridad
descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, deberán establecerse las
medidas de seguridad para cada uno de los niveles.
PRÁCTICA 3.7
CONTROL DE ACCESO A DATOS Y APLICACIONES
Tanto en sistem a p erso n ales como en siste m a s en red controlados por servicio s de directorio com o LDAP o A ctive
D irectory bajo W indows Server, el control sob re la seguridad de los objetos del sistem a (a rch iv o s, ca rp etas,
p ro ce so s, re cu rso s de red, recu rso s hardw are, e tc.) se realiza m ed iante el control y asignación de p erm isos.
S o b re el sistem a de archivos es posible e sta b lecer listas de control de acceso (ACL) que de form a individual
p erm ita a sig n a r perm isos a un usuario, sin tener en cuenta el grupo al que p erten ece.
W indow s
E n la sig u iente actividad vam os a configurar algunos asp ectos de seguridad y asignación de p erm iso s a usuarios
lo ca le s, en siste m a s W indows. Para m odificar la configuración de seg uridad local irem os a Panel de control
/ Herramientas administrativas / Directiva de seguridad local. Podrem os m odificar D irectiva de auditoría,
A sign ació n de derechos de usuario u Opciones de seguridad, en el árbol de la consola haz clic en D irectivas
lo c a le s, esta s d irectivas se aplican a un equipo y contienen tres sub co njunto s:
82
©
RA-M A
3 * S E G U R ID A D L Ó G IC A
D irectiva de au d ito ría: D eterm ina determ ina si los su ceso s de seguridad se registran en el registro de
seguridad del equipo. El registro de seguridad forma parte del V isor de su cesos.
A signación de derechos de usuario : D eterm ina d eterm ina qué usuario s o grupos tienen derechos de
inicio de sesión o privilegios en el equipo, en tre otros:
A ju sta r cuotas de m em oria para un proceso, perm itir el inicio de sesión local, h acer cop ias de seguridad
y re sta u ra r arch ivo s y directorios, g en erar au ditorías de seg uridad , o tom ar posesión de archivo s y
otros objetos.
O pciones de seg u rid ad : Habilita habilita o d eshabilita la configuración de seguridad del equipo, como la
firm a digital de datos, nom bres de las cu en tas A dm inistrador e Invitado, acceso a CD-ROM y unidades de
disco, instalación de controladores y solicitu d es de inicio de sesión.
Pero para ten e r un m ayor control sobre la configuración del nivel de acceso por parte de cada usuario a cada
recurso del siste m a , com o por ejem p lo una ca rp eta, es n ecesario re alizar la configuración de A CL. En W indows es
posible realizarla m ed iante el com ando cacls.
Com o sab em os en un sistem a local las carp etas de usuario no son accesib les por otros usuarios del siste m a .
En caso de q uerer un u s u a rio l d ar acceso de lectu ra, solo a un usuario2 a su carpeta MisDocumentos/Musica,
podem os e je cu ta r con el u s u a rio l en la consola de co m and o s:
cacls "Mis Documentos\Musica /t le /g U su a rio 2 :R
Las opciones princip ales son:
/t: m odifica las A C L de los arch ivo s especificados en el directorio actual y subdirectorios.
/e : m odifica en vez de re e m p la za r la A CL.
/ g usuario: p erm isos R (le ctu ra ), E (e sc ritu ra ), C (c a m b ia r), F(control total. Perm ite asig n arlo s (g rant).
/p :
perm ite re e m p la za r los ex iste n tes o q uitárselo todos con :N.
G N U /Linux
Para brindar privacidad y protección, cada archivo o directorio tiene aso ciad o s perm isos d iferentes para el dueño,
para el grupo y para los dem ás u su ario s. En el caso de arch ivo s, los perm isos que pueden d arse o q uitarse so n:
(r) lectu ra, (w ) escritu ra y (x) ejecució n . En el caso de directorios, los perm isos so n: (r) para listar los archivo s,
(w ) para escribir, cre a r o borrar archivo s y (x ) para acced er a archivos del directorio.
Los perm isos de un archivo pueden s e r m odificados por el dueño, propietario o por el ad m inistrad o r del sistem a
con el com ando chmod que esp era dos p ará m e tro s: cam bio por re alizar al perm iso y nom bre del archivo por
cam biar. Los perm isos se pueden e s p e c ific a re n octal o con una o m ás letras para identificar al usuario (u para el
u suario, g para el grupo, o el resto de usuarios y a para todos), un +, un - o un = y d esp u és letras para identificar
los perm isos (r, w o x ). Por ejem p lo :
chm od og+x su b e.sh
Añade ( + ) al resto de usuarios (o) y al grupo al que p ertenece el archivo (g ), perm iso de ejecución del archivo
(x ) su b e .sh , que debe e s ta r en el directorio desde el cual se da el com ando.
El dueño de un archivo puede s e r m odificado solo por el ad m inistrad o r del sistem a con el program a chow n. Un
usuario que p ertenezca a varios grupos puede cam b iar el grupo de uno de su s arch ivo s a alguno de los grupos a
los que pertenezca con el program a o com ando chgrp, por ejem p lo :
chgrp estu d ian tes t a r e a l.t x t
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
C a m b ia rá el grupo del arch ivo t a r e a l.t x t a e stu d ia n te s. Los grupos a los c u a le s un usuario p e rte n e ce son
m ostrados por el com ando groups.
En caso de q u erer em p lear listas de control de acceso y poder p erm itir o d en eg ar perm isos a usuarios concretos,
em p le are m o s los com andos:
getfacl: perm ite ve r la inform ación de perm isos sobre un archivo.
setfacl: perm ite a sig n a r perm isos sobre un archivo.
En prim er tugar o b se rva rem o s si la partición del sistem a de archivo s posee en tre su s opciones la de control
m ed ian te A CL, leyendo el archivo /etc/fstab, y viendo la línea correspond iente, si posee entre las ca ra cte rística s
u opciones de m ontaje la opción acl. Por ejem p lo :
/dev/sd a2
/m n t/Linu x
auto
rw ,u se r,a u to ,e x e c,a d
0 0
En caso de no disponer de dicha opción podem os m ontarla de nuevo con la opción:
m ount -o rem ount,acl /d e v /sd a 2 .
Por ejem plo para añ ad ir el perm iso de que un usuario2 pueda leer y e scrib ir(rw ) sobre un archivo, y ve rificar que
se han asignado los perm isos, podrem os e je c u t a r la se n ten cia:
setfacl -m
u se r:u su a rto 2 :rw - archivo
getfacl archivo
REFERENCIAS WEB
Sitio web sobre seguridad informática de Microsoft:
http:I ! www.microHoft.com/ Spain/protect /
Manual de administración segura de GNU/Linux:
http: / / es. tldp.org / Manuales-LuCAS / GSAL/gsal-19991128.pdf
Seguridad en GNU/Linux:
http: / / exa.unne.edu.ar / depar/areas / informática / SistemasOperatiuos / MonogSO / SEGLIN00.html
Administración de aspectos de seguridad en GNU/Linux y Windows:
http: / / www.adminso.es / wiki / index.php /
Cómo de fuerte es tu contraseña:
http: / / kowsecurcism.ypaiifiword.net /
Comprobador de contraseñas de Microsoft:
http: / / www.microsoft.com/latam /protect /yourself!password / checker.mspx
Administración de usuarios en GNU/Linux:
http .7 / www.liniLxtotal.eom.mxi index.php?cont~info_aclmon 008
84
© RA-M A
3 ■S E G U R ID A D L Ó G IC A
RESUMEN DEL CAPÍTULO
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso
a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo.
Para ello se emplean técnicas como el control de acceso lógico mediante contraseña a distintos
niveles:
En el arranque y configuración de la BIOS, y gestores de arranque.
En el sistema operativo, datos y aplicaciones.
Una contraseña segura debe parecerle a un atacante una cadena aleatoria de caracteres, para ello se
recomienda que sea lo más larga y compleja (combinación de letras mayúsculas y minúsculas, números
y símbolos).
Los adm inistradores de sistem as deben auditarlas comprobando la fortaleza de las mismas, y
configurar las opciones para asegurar que los usuarios tengan contraseñas fuertes y se cam bien
regularm ente.
Los sistem as operativos son capaces de gestionar usuarios y sus privilegios o procedimientos
autorizados, sobre las aplicaciones y archivos. El principio de la política de privilegios debe ser todo lo que
no está permitido debe estar prohibido.
Para asegurar este principio se recomienda que el uso habitual de sistema se realice con cuentas de
usuario con privilegios limitados y tan solo en los momentos en los que sea necesario, como por ejemplo en
una instalación de una aplicación o driver, se adoptarán privilegios de administrador.
© RA-MA
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
EJERCICIOS PROPUESTOS
1. Lee el artículo sobre “Recomendaciones para la
creación y uso de contraseñas seguras” de Inteco,
disponible en la siguiente página web http:1 / www.
inteco.es/Seguridad / Observatorio / Estudios _e_
Informes / Notas_v_Arti.cu.los / recomendaciones_
creacion_uso_contrasenas y contesta a las siguientes
cuestiones:
¿Qué porcentaje de usuarios emplea contraseñas
para el acceso a sus sistemas de archivos? ¿Qué
porcentaje de usuarios en EEUU apunta su con­
traseña en papel o archivo electrónico en el PC?
¿Qué porcentaje de usuarios emplea la misma
contraseña en distintos servicios?
2. En caso de tener acceso al archivo /etc/shadow
de un equipo local, y conteniendo éste las siguientes
líneas:
a.lumnol:$l$zmDCo$pP/
Rrln2jTy30eTvjL8MgO: 14544:0:99999:7:::
root;$l$bM36INXG$n.lckzvSVJy.z42Atfóp 6 n.: 11585:0:99999:7:::
¿Qué contraseña poseen los usuarios: root y alumnol? ¿En qué tiempo has sido capaz de descifrar
las contraseñas? ¿Qué algoritmo de cifrado po­
seen sus contraseñas? ¿Qué significado poseen
cada uno de los campos que componen cada línea
del archivo?
3. Lee el siguiente artículo sobre el uso de cuentas
lim itadas y administrador en sistemas Windows:
http://www.inteco.es/Seguridad/Observatorio/
Estudios_e_Informes/Notas_y_Articulos/cuenta_admi.n istrado r_v s_limi tada
¿Qué perfiles tipo y Limitaciones de uso existen
en las cuentas de usuario en sistemas Windows?
¿Con qué tipo de cuenta utilizarías normalmente
el sistema? ¿Qué tipo de limitaciones tendrías?
¿Para qué sirve el comando runas?
4. Desde un usuario con rol administrador, agregar
la posibilidad a la cuenta limitada creada anterior­
86
mente de cambiar la fecha/hora e instalar contro­
ladores de dispositivo y revocarle el privilegio de
acceso al CD-ROM,. Activar el archivo de sucesos o
log de sucesos asociados a esos privilegios.
Acceder como usuario rol-limitad o y verificar privi­
legios y limitaciones. Acceder como usuario rol-ad­
ministrador y veri ficar el archivo de suceso o log.
¿Los usuarios con cuenta limitada pueden acce­
der a la configuración de directivas locales? ¿Es
lógico?
5. Investiga sobre la finalidad y opciones uso de la
aplicación W indows SteadyState. ¿Qué opciones
de configuración segura facilita?
6 . Investiga sobre las opciones de configuración de
contraseña y cifrado de acceso a archivos ofirnáti­
cos (doc, xls, odt, pdf, ppt, odp...), comprimidos (zip,
rar,...), etc, ¿Es posible en caso de olvidar la contra­
seña recuperarlas? ¿En qué casos de los anterior­
mente descritos?
7. Investiga sobre la finalidad y opciones de uso de la
aplicación Keepass Password Safe. ¿Qué opciones de
configuración segura facilita? ¿Es posible recordar las
contraseñas de sitios web y acceder sin teclearlas?
8 . Explica las diferencias existentes en sistemas GNU/
Linux entre el uso del comando chmod y setacl.
9. A partir de qué versión del sistema operativo
Windows se solicita para realizar tareas de admi­
nistración como cambios en la configuración de red,
instalación de driuers o aplicaciones, la contraseña
de un usuario administrador ¿Por qué crees que es
interesante dicha opción? ¿Se realiza dicha petición
en sistemas GNU/Linux?
10. ¿Qué utilidad tienen las aplicaciones “congelador”
del sistema operativo como DeepFreeze? Busca al­
guna otra aplicación disponible para Windows y otra
para GNU/Linux: ¿Es posible instalar aplicaciones
y guardar datos teniendo activa este tipo de aplica­
ción? ¿Qué protección ofrecen?
3 ■S E G U R ID A D L Ó G IC A
© RA MA
TEST DE CONOCIMIENTOS
¿Qué tipo de cuenta se recomienda para un uso
cotidiano en sistemas Windows?
Administrador.
Invitado.
Limitada.
Mínimos privilegios.
Una contraseña segura no debe tener:
Más de 10 caracteres.
El propio nombre de usuario contenido,
Caracteres mayúsculas, minúsculas y símbolos.
Frases fáciles de recordar por ti.
¿Qué es la identificación?
Momento en que el usuario se da a conocer en el
sistema.
Verificación que realiza el sistema sobre el inten­
to de login.
Un número de intentos de Login.
Un proceso de creación de contraseñas.
Para un usuario experim entado como tú, las
actualizaciones deben ser:
Automáticas, descargar e instalar actualizacio­
nes automáticamente.
Descargar actualizaciones y notificar si deseas
instalarlas.
Notificar, pero no descargar ni instalar.
Desactivar actualizaciones automáticas.
Las contraseñas de sistem as GNU/Linux se
encuentran encriptadas en el archivo:
/ etc /groups.
/ etc. / passwd.
/ etc! shadow.
/etc/sha-pass.
En caso de tener configurada con contraseña el
SETUP de la BIOS, y querer prohibir el arranque
en modo Live. el primer dispositivo de arranque debe
ser:
LAN.
HD.
USB.
CD.
El comando john ” Wordüst=password.lst passwords,
realiza un ataque:
Diccionario.
Fuerza bruta.
Simple.
PWstealer.
Activando la directiva local de seguridad en
sistemas Windows “las contraseñas deben cumplir
los requisitos de complejidad”, las contraseñas nuevas
o renovadas no pueden tener:
5 caracteres.
Números.
Mayúsculas.
Minúsculas.
Caracteres especiales.
Una de las vulnerabilidades en la instalación de
Windows XP es:
Crea un conjunto de usuarios administrador.
Crea un usuario Administrador con una contra­
seña débil.
Crea un usuario Administrador sin contraseña.
Crear 2 usuarios al menos sin contraseña.
Desde la utilidad de usuarios y password
de Windows de Ultím ate Boot Recovery no
podemos:
Resctear contraseñas.
Recuperar contraseñas.
Modificar contraseñas seguras.
Dejar contraseñas en blanco.
87
c
<3
C
c
c
A
r
/ Comprender qué es el software
malicioso (,m alware) y sus
posibles fuentes.
✓ Crear conciencia de análisis de
nesgo y toma de precauciones en
las operaciones informáticas.
✓ Identificar las nuevas
posibilidades y riesgos que
poseen Internet y las redes
sociales.
✓ Analizar las distintas
herramientas de seguridad
software antimalware existentes.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
SOFTWARE MALICIOSO
Gracias al desarrollo de las comunicaciones y al creciente uso de la informática en la mayoría de los ámbitos de la
sociedad, los sistemas de información se han convertido en objetivo de todo tipo de ataques y son sin duda el principal
foco de amenazas. Por esta razón es fundamental identificar qué recursos y elementos necesitan protección así como
conocer los mecanismos o herramientas que podemos emplear para procurar su protección.
Con el nombre de software m alicioso o maJware agrupamos clásicamente a los virus, gusanos. troyanos y en
general todos los tipos de programas que han sido desarrollados para acceder a ordenadores sin autorización, y
producir efectos no deseados. Estos efectos se producen algunas veces sin que nos demos cuenta en el acto.
En sus com ienzos, la motivación principal para los creadores de virus era la del reconocim iento público.
C uanta más relevancia tuviera e) virus, más reconocimiento obtenía su creador Por este motivo, las acciones a realizar
por el virus debían ser visibles por el usuario y suficientemente dañinas como para tener relevancia, por ejemplo,
elim inar ficheros importantes, modificar los caracteres de escritura, formatear el disco duro, etc.
Sin embargo, la evolución de las tecnologías de la comunicación y su penetración en casi todos los aspectos de
la vida diaria ha sido vista por los ciberdelincuentes como un negocio muy lucrativo. Los creadores de virus
han pasado a tener una m otivación económ ica, por lo que actualmente son grupos mucho más organizados que
desarrollan los códigos maliciosos con la intención de que pasen lo más desapercibidos posible, y dispongan de más
tiempo para desaíro llar sus actividades maliciosas.
Hay varias formas en las que el creador del programa malicioso puede obtener un beneficio económ ico, las
m ás comunes son:
Robar inform ación sensible del ordenador infectado, como datos personales, contraseñas, credenciales de
acceso a diferentes entidades, mail, banca online, etc.
Crear una red de ordenadores infectados, generalmente llamada red zombi o botnet, para que el atacante
pueda manipularlos todos simultáneamente y vender estos servicios a entidades que puedan realizar acciones
poco legítimas como el envío de spam} de mensajes de phishing, acceder a cuentas bancarias, realizar ataques
de denegación de servicio, etc.
Vender falsas soluciones de seguridad Irogueivare) que no realizan las acciones que afirman hacer, por
ejemplo, falsos antivirus que muestran mensajes con publicidad informando de que el ordenador está infectado
cuando en realidad no es así, la infección que tiene el usuario es el falso antivirus.
Cifrar el contenido de los ficheros del ordenador y solicitar un rescate económico al usuario del equipo para
recuperar la información, como hacen los criptovirus.
90
© RA-M A
4 ■S O F T W A R E A N T IM A LW A R E
i
D e s c u b re alg u n o de lo s n u e v o s p e lig ro s d e la re d , com o son las re d e s botnet le yen d o y a n a liz a n d o la
sig u ie n te n o tic ia :
http: //prensa, pandasecurity. com /2010/07/panda-security-y ~defence-¡ntelligence-ayudan-al-fbi-aarrestar-a-cibercñm inales-% E2% 80% 93-hacker-arrestado-en-es¡ovenia/
C o m e n t a r en el grupo d e c la s e :
■ ¿ C u á l e ra la fin a lid a d del a ta q u e d e s c rito ?
•
¿ C u á le s son los n u e v o s p elig ro s d e riv a d o s del uso d e In te r n e t, co m o la s d e n o m in a d a s re d e s
z o m b i? ¿ Q u é tipo d e p re c a u c io n e s y re v is io n e s re a liz a ría s en tu equ ipo p ara e v ita r fo rm a r p a rte
de e s ta s re d e s ?
•
¿ C r e e s q u é in t e r n e t e s u n a red s e g u ra ? ¿ P o r q u é ?
CLASIFICACIÓN DEL MALWARE
Los distintos códigos maliciosos que existen pueden clasificarse en función de diferentes criterios, los más comunes
Virus: de su analogía con los virus reales ya que infectan otros archivos, es decir, solo pueden existir en un
equipo dentro de otro fichero, generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat.
También pueden infectar otros archivos, por ejemplo un virus de macro infectará programas que utilicen
macros, como los productos Office. Los virus infectan a un sistema cuando se ejecuta el fichero infectado.
Gusano: característica principal es realizar el máximo número de copias posible de sí mismos para facilitar su
propagación. Se suelen propagar por los siguientes métodos: correo electrónico, archivos falsos descargados de
redes de compartición de ficheros (P2P), mensajería instantánea, etc.
Troyano: código malicioso con capacidad de crear una puerta trasera o backdoor, que permita la administración
remota a un usuario no autorizado. Pueden llegar al sistema de diferentes formas, las más comunes son:
descargado por otro programa malicioso, al visitar una página web maliciosa, dentro de otro programa que
simula ser inofensivo, etc.
91
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-MA
Debido a la gran cantidad y diversidad de códigos maliciosos que existen, que muchos de ellos realizan varias
acciones y se pueden agrupar en varios apartados a la vez, existen varias clasificaciones genéricas que engloban
varios tipos de códigos maliciosos son las siguientes:
Ladrones de inform ación (infostealers): Agrupa todos los tipos de códigos maliciosos que roban información
del equipo infectado, son los capturadores de pulsaciones de teclado (keyloggers), espías de hábitos de uso e
información de usuario Cspyware), y más específicos, los ladrones de contraseñas (PWstealcr).
Código delictivo (crimeware ): Hace referencia a todos los programas que realizan una acción delictiva en
el equipo, básicamente con fines lucrativos. Engloba a los ladrones de información de contraseñas bancarias
(phishing) que mediante mensajes de correo electrónico no deseado o spam con clickers redireccionan al usuario
a falsas páginas bancarias. Dentro de este ámbito encontramos otro tipo de estafas electrónicas (scam) como la
venta de falsas herram ientas de seguridad (.rogueware).
Greyware (o grayware): Engloba todas las aplicaciones que realizan alguna acción que no es, al menos de
forma directa, dañina, tan solo molesta o no deseable. Agrupa software de visualización de publicidad no
deseada (adware ), espías ( ) que solo roban información de costumbres del usuario para realizar campañas
publicitarias (páginas por las que navegan, tiempo que navegan por Internet...), bromas (joke ) y bulos Uwax).
MÉTODOS DE INFECCIÓN
Pero, ¿cómo llega al ordenador el malware y cómo prevenirlos? Existen gran variedad de formas por las que todo
tipo de malware puede llegar a un ordenador; en la mayoría de los casos prevenir la infección resulta relativamente
fácil conociéndolas:
Explotando una vulnerabilidad: cualquier sistema operativo o programa de un sistema puede tener una
vulnerabilidad que puede ser aprovechada para tomar el control, ejecutar comandos no deseados o introducir
programas maliciosos en el ordenador.
Ingeniería social: apoyado en técnicas de abuso de confianza para aprem iar al usuario a que realice
determinada acción, que en realidad es fraudulenta o busca un beneficio económico.
Por un archivo malicioso: esta es la forma que tienen gran cantidad de malware de llegar al equipo: archivos
adjuntos a través de correo no deseado o spam , ejecución de aplicaciones web, archivos de descargas P2P,
generadores de claves y cracks de software pirata, etc.
D ispositivos extraíbles: muchos gusanos suelen dejar copias de sí mismos en dispositivos extraíbles para
que, mediante la ejecución automática que se realiza en la mayoría de los sistemas cuando el dispositivo se
conecta a un ordenador, pueda ejecutarse e infectar el nuevo equipo, y a su vez, nuevos dipositivos que se
conecten.
Cookies m aliciosas: las cookies son pequeños ficheros de texto que se crean en carpetas temporales del
navegador al visitar páginas web; almacenan diversa información que, por lo general, facilitan la navegación
del usuario. Las denominadas cookies maliciosas monitorizan y registran las actividades del usuario en
Internet con fines maliciosos, por ejemplo capturar los datos de usuario y contraseña de acceso a determinadas
páginas web o vender los hábitos de navegación a empresas de publicidad.
92
© RA-M A
4 ■S O F T W A R E A N T IM A LW A R E
PRÁCTICA 4.1
KEYLOGGER
En la práctica que realizarem o s a continuación instalarem os un softw are de recuperación de p ulsaciones de teclado
denom inado R e vea le r Keylogger que se e je cu ta al inicio y se en cuentra oculto, pudiendo e n v ia r rem otam ente
por FTP o matl, el archivo que registra, en el que se encontrarán tras un período de tiem po cre d e n cia le s de usuario
por ejem plo de sitios web com o correo, banca electrónica, o redes so ciale s.
A d v e rte n c ia
25
Revealer Keylogger va a convertrse en invisible, c « seguros querer segur?
Atajo de tedddo para hacer reaparecer la rterfaí del programa:
CTRL + AlT + W
•*"No ralear le próxima ve?
|
Si
~|
No
En el equipo local que lo tenem os instalado si pulsam os C TR L + Alt + F9 podem os v e r el estad o de registro,
observando en qué m om entos ha entrado en d eterm inad as páginas web y qué ha tecleado.
En la secuencia vem o s como d esp ués de te cle a r la URL www.yahoo.es ha escrito el texto: inform ática (+ In tro ) y
a continuación koala (+ In tro ), posibles nom bre de usuario y contraseña re sp ectivam en te, de uno de los servicios
de yahoo, como el correo electrónico.
Recom endación
La m anera de p revenir estos ataqu es es realizar escan eo s periódicos antimalware con una o v a ria s herram ientas
fiab les y actu a lizad a s, controlar los a cceso s físicos y lim itar los privilegios de las cu en tas de usuario para evitar
in sta lacio n es no d esea d a s.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PROTECCIÓN Y DESINFECCIÓN
Aunque, como se ha visto, existen gran cantidad de códigos maliciosos, es muy fáci] prevenir el quedarse infectado
por la mayoría de ellos y así poder utilizar el ordenador de forma segura, basta con seguir las recom endaciones de
seguridad:
M antente informado sobre las novedades y alertas de seguridad.
Mantén actualizado tu equipo, tanto el sistema operativo como cualquier aplicación que tengas instalada, sobre
todo las herramientas anümalware ya que su base de datos de malware se actualiza en función del nuevo
malware que se conoce diariamente.
Haz copias de seguridad con cierta frecuencia, guárdalas en lugar y soporte seguro para evitar la pérdida de
datos importantes.
Utiliza software legal que suele ofrecer mayor garantía y soporte,
Utiliza contraseñas fuertes en todos los servicios, para dificultar la suplantación de tu usuario (evita nombres,
fechas, datos conocidos o deducibles, etc.).
Crea diferentes usuarios en tu sistema, cada uno de ellos con los permisos mínimos necesarios para poder
realizar las acciones permitidas. Utilizar la mayor parte del tiempo usuarios limitados que no puedan modificar
la configuración del sistema operativo ni instalar aplicaciones.
Utiliza herram ientas de seguridad que te ayudan a proteger y reparar tu equipo frente a las amenazas de la
red. Actualizar la base de datos de malware de nuestra herram ienta antes de realizar cualquier análisis, ya
que el malware muta y se transforma constantemente.
Analizar nuestro sistema de ficheros con varias herramientas, ya que el hecho de que una herramienta no
encuentre malware no significa que no nos encontremos infectados. Es bueno el contraste entre herram ientas
antimal ware.
Realizar periódicamente escaneo de puertos, test de velocidad y de las conexiones de red para analizar si las
aplicaciones que las emplean son autorizadas. Veremos estos aspectos con más profundidad en el capítulo 6,
relativo a redes.
No debes fiarte de todas las herramientas antimalware que puedes descargarte a través de Internet de forma
gratuita o las que te alertan que tu sistema está infectado, ya que algunas de ellas pueden contener código
malicioso, publicidad engañosa, no ofrecer la protección prometida e incluso dar como resultado falsos positivos
(FakeAV)- Es el denominado rogueware.
CLASIFICACIÓN DEL SOFTWARE ANTIMALWARE
En cuanto a las herram ientas disponibles para realizar una correcta prevención y corrección son muy diversas
según el frente que se desee atajar. Es importante resaltar que las herram ientas antimalware se encuentran más
desarrolladas para entornos más utilizados por usuarios no experimentados y por tanto más vulnerables, usualmente
entornos Windows, aunque la realidad es cambiante y cada vez son mayor el número de infecciones en archivos
alojados en servidores de archivos y de correo electrónico bajo GNU/Linux, y aplicaciones cada vez más usadas como
Mozilla Fi refox.
94
© RA-M A
4 ■S O F T W A R E A N TZM A LW A R E
A ntivirus: programa informático específicamente diseñado para detectar, bloquear y eliminar códigos maliciosos.
Es una herramienta clásica que pretende ser un escudo de defensa en tiempo real para evitar ejecuciones de archivos
o accesos a web maliciosa«. Existen versiones de pago y gratuitas, los fabricantes suelen tener distintas versiones para
que se puedan probar sus productos de forma gratuita, y en ocasiones para poder desinfectar el malware encontrado
será necesario comprar sus licencias.
Algunas de las variantes actuales que podemos encontrar son:
Antivirus de escritorio: instalado como una aplicación, permite el control an ti virus en tiempo real o del
sistema de archivos.
A ntivirus en línea: cada vez se están desarrollando más aplicaciones web que permiten, mediante la
instalación de plugins en el navegador, analizar nuestro sistema de archivos completo.
Análisis de ficheros en línea: servicio gratuito para análisis de ficheros sospechosos mediante el uso de
múltiples motores antivirus, como complemento a tu herram ienta antivirus. De esta manera podrás comprobar
si algún fichero sospechoso contiene o no algún tipo de código malicioso.
A ntivirus portable: no requieren instalación en nuestro sistema y consumen una pequeña cantidad de
recursos.
A ntivirus Live: arrancable y ejecutable desde una unidad extraíble USB, CD o DVD. Permite analizar nuestro
disco duro en caso de no poder arrancar nuestro sistema operativo tras haber quedado inutilizable por algún
efecto de malware o no querer que arranque el sistema operativo por estar ya infectado y no poder desinfectarlo
desde el mismo.
Entre otras herram ientas específicas destacamos:
Antispyware: el spyware , o programas espía, son aplicaciones que se dedican a recopilar información del
sistema en el que se encuentran instaladas para luego enviarla a través de Internet, generalmente a alguna
empresa de publicidad. Existen herramientas de escritorio y en línea, que analizan nuestras conexiones de red
y aplicaciones que las emplean, en busca de conexiones no autorizadas.
Herram ientas de bloqueo web: nos informan de la peligrosidad ele los sitios web que visitamos, en algunos
casos, nos informan de forma detallada, qué enlaces de esas páginas se consideran peligrosos y cuál es el motivo.
Existen varios tipos de analizadores en función de cómo se accede al servido: los que realizan un análisis en
línea, los que se descargan como una extensi érJplugin de la barra del navegador y los que se instalan como
una herramienta de escritorio.
A continuación vamos a realizar varias prácticas que permitan ver el espectro de herram ientas fundamentales de
escaneo antlmalware.
95
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
| PRÁCTICA 4.2
ANTIM ALW ARE
Una de las h e rram ien tas m ás utilizad as por su grado de actualización de base de datos de maíware y su eficacia
e s el softw are M alw arebytes para W indows. Su d escarg a e instalación es sen cilla. Podrem os ob tener una versión
gratuita en http://www.malwarebytes.org/.
1. En p rim er lugar re a liza re m o s una actu alizació n de la ap licación , m ed iante su p esta ñ a A ctu a lizar. A
continuación podem os re a liza r un an álisis com pleto del siste m a d esd e su p estaña Escán er.
Tras re alizar el e scá n e r podrem os an a liza r cada una de las en tradas y elim in ar las que d eseem o s.
E sta herram ienta es m uy útil frente a rootkits que hayan m odificado el registro de W indow s y no perm ita su
edición o la ejecución de com andos m ediante la consola.
7Ì
A rtll MjKvare
M aliu areb ytes’
£»c*rm
P erno ta
Cu—r » ™
R«ptm
UU ¿ to n fa i
KMY.aAS$CS.ROOmSO>MAOC«M
R«9f»rV*J> KttY_CU fi*tK !
V* « 1
fopatyV*» MTrv.LCH^_MAO«NC\SOrrw«AC'Moo^Wrd}«MSGjfwVVwMn\Acr>'4)mk*««:t>ooicarAg
MtXY.CIJRf**«! _USf R'¿OTTWARE
Vn oc-fi\r.yJmmS^jUtOtD
H^_CURR(M1.immSOaWAW\MaOKA\Wn4m«\CiMrA>«wn>
J >oleM\Sfi<w>£^MMA«9 dirToah
A«9«fev
|
96
MtfY.lOOL.MACH1ME VvOFTWAR*; 'JNác-iNHr» , <*■>W ntoM NT
II Cwr ]
im
V«i
p)6ood ¡O)
Batf piOcod a
(1) 0«*3 [0|
I ’■+ I
4 ■S O F T W A R E A N T IM A LW A R E
© RA-M A
Las 3 ultim as en trad as restituyen valo re s correctos del registro.
JÜ M jh *.u rliy1 rt'Ant* M.ilar.wr
M a liu a re b y te s’
AobmAem
c u iw im
Rapata
Lata óe-r** **»
m an ai pia ato
^ U itu n t* I r a n
0 te M w v lo i
^ l i m i t « Traca
4
0
<0
^
:
U jrw M * Tran
Uarwara Trac*
Tro<vUtar*»r
fcacMSoordol
ftacMtuorActf
Trotan Aganf
TreimJbo*
^ tijrwar* trac«
||
Trac#
u«r*«r» Trac«
¿ Ujrwart Trata
Owaiiada
1V I 1 /3 *0
iv i van o
iv n /a n o
i v iv a n o
iv n /an o
I V I 1/3010
i v i vano
i v n /a n o
IV I 1/2010
tc /n /a n o
i v iv a n o
iv n /a n o
i v iv a n o
i v i i /a n o
iv i vano
C*ap>ta
na
rta
na
rta
ria
Na
ffe
'la
a
na
fia
na
fia
r«a
na
n
Cordiaca*
Müh
Usa tea » ja rta i opoaraa pata ai
í f e i t na
C WiflHOOWX \KfaMO. J
C V*flN00WSE\**amBV»»*\_3?**e di
C>£oo*an*a ar<j S«*npVU Uaan
CVOocwrrfi and SaWnjMaaui.’V«*fcabowC>ata>inW
C \WIMDQWSE\at waaaPVoont^.ij a a m cJfeVtaácafc?
CWNOOa/KVaaqarvy 4
C \VrtNOGWS£\an«aa*y <fl
C W N D O W tt V i y a a i ü T W . l ^ fe cía
C Va1HDOWS£\i» «awBMi ■ r .g fe c a l fe
C
FfcaUOowrá>«drtd>-riaafcVVsUtfe
C >ÚooiMnH and SanngiVLoc^amca NT MJlHQATY
C\W lMW Nirtt\*cfc-^a di
C VWlHOOWS£\i| «a«3A— »
C VDocuaanh and SaQngiUaiueíWiÉc-abon ^ K a W >
C VD ocwnli ar*3 ü ^ i g¡V<alife5a»ca NT AUTHOR!
Mot*
6m
J L
»ota 4a
De un an á lisis concreto podem os v e r com o ha sido cap az de d etecta r: código malware (m a lw a re ,tra c e ), p uertas
trase ra (backdoor), troya nos (trojan), etc.
I
PRACTICA 4.3
Los tiem pos en los que los an tiviru s para GN U /Linux eran poco efectivos, casi ni existían o estab an en un segundo
plano, poco a poco se van quedando atrá s. Debido a que como hem os com entado anterio rm ente, el m ayor núm ero
de archivo s alojados en se rvid o re s de red se encuentra en siste m a s GN U /Linux, debem os de conocer herram ientas
que perm itan re alizar un an álisis exhaustivo y de calidad bajo esta plataform a.
La herram ienta que p resen ta rem o s es el an tiviru s Clam Av, y su versión gráfica Clam tk. Es posible instalarlas
m edíante los com andos:
sudo aptitude install cla m a v
sudo aptitude install clam tk
Com o sie m p re el prim er paso será a c tu a liz a r la herram ienta de form a online, m ed iante el co m an d o : sudo
freshdam.
Una vez realizad a la actualización de la base de datos de viru s, podem os e sca n e a r el directorio d eseado (/hom e
en este caso ) de forma recursiva (opción - r ) y que tan sólo solo nos m uestre los archivo s infectados (-i), por
ejem p lo :
sudo clam scan - r
-i /ho m e
En el caso de eje cu tar la versión gráfica m ed ian te: sudo clam tk
97
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
Scan
yer
© RA-MA
Cuarentena
& yuda
Actions
Home
V Scan hidden
Thorough
4» Exit
__ , Directory
A r c h iv o
•í
■i
ignore size
Save a log
Estado
e
o
u
Antivirus engine
095 3
408
GUI version
Virus definitions
None found
Last virus scan
Last infected Me
27 nov 2010
Never
Sean
Escaneando /mntAvlrVWlNDOWS/lnstaller
Porcentaje completado 2
O
Archivos Escaneados: 236Vlrus Encontrados: lTiempo transcumdo 00 43
En este caso se ha em pleado la herram ienta para un caso an terio rm ente co m entad o : e s ca n e a r un siste m a de
archivo s W indows sin a rra n ca r el sistem a operativo propio. Se ha arrancado en modo Live el sistem a desde
el CD de instalación de Ubuntu, configurado los p arám etros de red para te n e r conexión con el repositorio de
ap licacion es, instalado clam A v y cla m T K , y m ontando la partición d esead a (en este caso en /mnt/win).
PossiDle inlectioos tuve been found
Archivo
Estado
Annt/win/WlNDOWVWeb/txmtcrs/pagel.asp
PUAHTMLtnfected VVebPage-2 None
;mnl/v*in'WINDOWS»yste»n32/symbooicfg.exe TToian.Buzijs-3511
Actíon Taken
None
Vem os como ha sido ca p az de d etectar 2 archivo s malware, que desde el propio siste m a operativo W indows y con
la aplicación Malware bytes no había sido cap az de detectar.
PRÁCTICA 4.4
ANÁLISIS ANTIMALWARE LIVE!
A modo de ejem p lo de herram ienta esp ecífica que podem os em p le ar para re sca ta r arch ivo s y an alizar el malware
de un sistem a, p resen tarem o s AVG R escue CD. Es un conjunto independiente de h e rram ien tas que se puede
iniciar desde un CD o un disco flash U SB. Puede u tilizarse para recup erar equipos que no perm itan el reinicio o
que estén infectados y no puedan funcionar con norm alidad. Tanto el CD com o la unidad flash U S B constituyen
un sistem a autónom o con el sistem a operativo G N U /Linu x y AVG p reinstalad os.
R e alizare m o s el ejem p lo con una m em oria U SB. En prim er lugar d escarg a rem o s el archivo RAR desde la web
del fab ricante y se ex trae rá en la raíz de un dispositivo U SB (unidad flash). Para hacer que nuestro U SB sea
a rra n ca b le , seleccionándolo desde la B IO S , eje cu tare m o s d esd e W indows el archivo m akeboot.bat extraído,
ai e je cu ta rs e , el archivo sob rescrib irá el registro de arran q u e. En la ventan a de línea de com andos de W indows
ab ierta, presiona cualq uier tecla para p rep arar la unidad fíash U SB.
Una vez d ispuestos los archivos en la m em oria podrem os a rra n ca r nuestro equipo seleccionando com o prim er
dispositivo de arranque la unidad U SB. Una vez arran cad o AVG Rescue m ostrará en prim er lugar una pantalla de
b ienvenid a, se leccio n are m o s por defecto la prim era opción AVG Rescue CD.
98
4 ■S O F T W A R E A N T IM A L W A R E
© RA-M A
D urante el arran q u e real, AVG R e scu e CD m ontará au to m áticam ente todos los discos duros del equipo. De este
modo, los discos duros podrán an alizarse y editarse. Así ¡mismo, la conexión de red se configurará auto m áticam ente,
si es necesario se indicarán los p ará m e tros de red.
En el siguiente paso, se pregunta si d eseam o s e je c u ta r una actualización de AVG, será recom endab le re a liza rla ,
teniendo en cuenta que d ebem os disponer de una conexión a In te rn e t activa.
Una vez finalizado el procedim iento de arranq ue, se abrirá una sencilla interfaz de usuario, com o la que se m uestra
a continuación.
EQZ
S í'i .1
UUftiill
,
n
iiHii r .1 ■
F. l>t HSli
rt' imt *tuwo
¿■ait'¡isaa
imiM.TBMKaa
Ulew
and process
scan result.
Configure
<i
n
d
run last
update.
1aspect U1ndaws virus uau11.
Be—
Wnetwork
indows uoluars
Confnonnt
.1,1'rebootable
Create
ItSB Flash Drlue.
HEject
1see 11-netmi; utilities.
rescue
cd.
Reboot
sysle*i.
Shutdown
sijsten.
Rescui- Cl1and l;VS version Info.
<S
■>
m xhw ;
D esde este m enú, se puede o b ten er acceso a todas las funciones ese n c ia le s de AVG R escue CD que son en tre
o tras:
A n alizar: para iniciar un an álisis malware.
R esultados del a n á lisis: v isu a liza r inform es de an álisis finalizados.
A ctu a lizar: iniciar una actualización de AVG.
M o n ta r: iniciar el m on taje de los dispositivos de alm acenam iento.
Red: para configurar la conexión de red.
U tilidades: conjunto de h erram ien tas útiles como se presenta en el siguiente m enú. Por ejem plo para
ed itar el registro de W indows en caso de que haya sido acap arad o y no m odificable por algún rootkit. O tras
opciones: recup erar archivos borrados con Testdisk y Photorec, un explorador de arch ivo s, etc.
1
f ill: n.lll.l(|(T¡
II
P¡»«|
T- tOl:K
rtmtliH«
Link«
1-1irlii H|lit 1nnn.iiiili r
Ulndows re g istry e d ito r.
Pl«g u tl 1I ty .
Disk data recouenj u tility .
Recover deleted f lic s .
Text UUU browser.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
LA MEJOR HERRAMIENTA ANTIMALWARE
Conocer qué herramienta se ajusta mejor a mis necesidades en cuanto a consumo de recursos, opciones de escaneo,
y cantidad de malware encontrado en test de prueba, no es Fácil.
Muchas de las empresas desarrolladoras de software antimalwares m uestran estudios en sus propias web
demostrando que son mejor que la competencia, pero estos estudios pierden validez al ser conducidos por la propia
empresa. También pierden validez los estudios conducidos por los propios usuarios (a pesar de que estos tengan
buenos conocimientos de seguridad informática) debido a que generalmente la muestra de virus es muy pequeña o se
pueden m alinterpretar los resultados, por ejemplo contando la detección de un falso positivo como verdadera cuando
no lo es y debería contarse como falsa.
También tenemos que tener en cuenta que la tasa de detección puede variar de mes a mes, debido al gran número
de malware que se crea, y aunque la tasa de variaciones suele ser pequeña lo mejor es comparar un estudio con otro un
poco más antiguo (meses, no años). Hay que recordar que ningún antivirus es perfecto (no existe el 100% de detección),
y además, puede que un antivirus detecte un virus que otro antivirus no detectaría y viceversa.
Los estudios con más validez son los que son hechos por empresas o laboratorios independientes, entre las
empresas más importantes y más precisas que realizan los estudios tenemos:
AV Comparativos (http: / 1www.av-comparatives.org).
AV-Test.org (http:/ / www.av-test.org).
ICSA Labs [http:/ / www.icsalabs.com) .
Virus Bulletin (http:/ / www.virusbtn.com).
West Coast Labs (http: / / westcoastlabs.org).
En ocasiones las herramientas antimalware no suponen una solución a una infección, ya que detectan posibles
am enazas pero no corrigen el problema. En estos casos es más efectivo un control a fondo de los procesos de
arranque, los que se encuentran en ejecución y otros archivos del sistema que hagan uso por ejemplo de las conexiones
de red establecidas.
I PRÁCTICA 4.5
ANÁLISIS ANTIMALWARE A FONDO
En tos siste m a s operativos es necesario re alizar ta re a s de m onitorización y control e x h a u stiv as para d etectar
an o m alías y m odificaciones no d esea d a s. A continuación verem o s que para siste m a s W indows existen diversas
h e rra m ie n ta s que nos perm iten controlar y d e te c ta r m odificaciones si las insp eccion am os p eriódicam ente y
an alizam o s las va riacio n e s que se produzcan:
Los procesos de arran q u e en el siste m a , m ediante la ejecución de la herram ienta msconfig.
100
© RA-M A
4 ■S O F T W A R E A N T IM A L W A R E
U tilid a d d e c o n fig u r ación d r l t u t e n ™
General
5YSTEMJM
WIN INI 800TJM2
□emento de rricio
<u> l
j»
PíW Serv
lr**>
Herreraertes
Ubc^oÓn
CoMndo
y¡
*C'\Ardwoí de programaKyfcerLr*.\Pot*e»DVD\...
"C:Wct*vo4 de progreme\Cy<)erU*V*o»wefCiVO\.
'C-VArchrvos de progreme\Archvo» conune*Uev...
? Language
□
C
Lj
(9
B
60
X
Servrio»
RTH XK
^ e P tu
nfcam
ctímon
OpenOifke.org 3.0
RTfrCCR.D C
“C W cbrvoi de programa\K©eP«í P«y^ord
Stí.
*C’VArchrvos de programaV'^a^arpbyt«' ArO-M...
C:\WIHDOWS\syJlem32Vctfmon.exe
C :\ARCHIV~1\OPENCT-1.C«G\progrem\QUlCX...
o □□□□□□□□...
□ □□□□□□□□•
K*XM\SOFTWAR£V^OOSOÍU
HCLM\SOfTWAR£VtaO«jft\
TWAPfVVrMOÍU
HOM\50rrWAft£\MoWt\
HCLM\SOFTWAR£\Mcroíaft\
rtaM\SC#TWAR£\Nkroíoft\
^aASOFTWAPEV^üOMftV
Startup
rttCU\SOFTWAR£\Mao«ftV
**OJ\SOFTWARE\Mcn>ícft\
m
'
~ M ‘t
» 1
OefheMler lodo
HetiKerCodo
1 Acepter
j
tokj*
Cenceier
Ayude
D eshab ilitarem os tas 2 en trad as últim as, potencialm ente m aliciosas ya que poseen nom bres no ¡dentificables.
Los procesos en ejecución podem os an alizarlos m edian te la herram ienta A utoruns y Pro cess Exp lo rer,
que se incluyen en la suite de h e rram ien ta s Sy sin te rn a ls. Con A utoruns podrem os id entificar el fabricante
y la ruta de ejecu ció n del proceso. Existen otras p esta ñ a s com o: listado de D LL conocidas, se rvicio s,
procesos de inicio de sesió n, localización de drívers registrad o s, etc. Process Exp lorer m u estra los vínculos
entre cada proceso y los archivos y DLLs que em plea, socket que ab re , usuario que lanza el proceso, hiios
de ejecu ció n , etc.
H erram ientas a v a n za d a s de an álisis del sistem a com o la proporcionada por Trend Micro H iJackThis:
perm ite la búsqueda ex h a u stiv a de elem entos no d esea d o s en ei arran q u e , el registro de W indows o
los directorios de siste m a . Para cada una de las e n tra d a s, podem os b uscar inform ación a cerca de si es
potencialm ente m alicioso o no. A partir de la inform ación su m inistrad a en web de seg urid ad podrem os
h acer una desinfección del siste m a en caso de infección.
04 •
.ytixv lS7Mtf6r%Ti«yAco] CvyfKr* *
fotaátdtforTM tian or> to n 04
T>it parto# r tv ic jn r tiK fc ito r w v 'r tf «a po eu i « r tn n tM t «iok>ad*rf»<r u*ndo»*iU rts A o ttÉ i»dr*j«rír»»t4rito«d#nigBtrrtírc>r.
vtiK > pl ar
p e -is t*rctu sfig th tE SUrl
SMrt*>P«9r. 5««ah6«r and *>♦»<> kvutíMl loN M rt
ro • ta « t«* t
page tftm • ry rtw * r«toot M o . • tX i M»
b»
th«£ car
rtx¡ vcv*rai p * t i d yo* ffUtm.
Inf«cttdhwoéi
••geatc
r t W C i r v«S
(
nrd n: C-Wogre»
h
n
tá* 8 ( M id
(Anón l«*ao »tQrtry »
}
02-mo *^SartD*erto^-<I7ttf<OI-l7CE-4C07-eC66*A«9*4WC)
O*-HVHVbn[•ftttrt)CV*WC">WvrVe»SVtf»*ityr»*
O«-«l*\..\Rist C\W9DO+T&fr*»m33W*9**«**
O*•>*IM\,\JUriISinTPCr^lCproprn*F»rt\Syr*0tKj\5^TP\SynTTOiK
0*M#l V»inlaMJ^v»)*C
\.-i I»"
09
«.»„
II
■J
Toob» SddCornwter ÍZ f • (2V#616C-A30CM4f5-eCHA-rDOO}A26C85C) • C:'^fogr « r F«cs\50fc£>0CU
04 • rttMV \fU n (V iM a n d lC \W*©0W5CVsy**rfO2V*t»A®«»
0 4 . n i K i iBl t [U04«UP?ü39wTCue] 'C:\propm F * ^ y b e n w * ) * ^ 2 G ó W n t » n * m * t n s t * t P + n j.i
04 • * O H
IU 04aK«TSh»tC U ) 'OWrOQren H«\C»t»rl**4D*0 Srf*V M T f«W irV < JI5 U ft«*ru r».
04 ■
VUrx [5utf**M JpM e5(t*d) *C ^Prograw N rt ’iCownon HevU«y*'J*v*
e>e*
04
04
04
0«
04
- H l**.
[Aá&iK+*itr-Sc+KlL*ntm )'C'rrajrw nFén‘lM * * \P » * * '9 tyl»*á"Vt»+3* j L
fr t
- H1M\ Vtvn ¡Adob«A#í«3*C \Praor*»««\Cai»wFteVW oe»V*P»^l 0\Adab*A£V r>«*
•M U4
[Butfcb] C jo t r a r *
5te*A5UCe®jfcü» • t*
M lK
flogo#f]C:y^ogr««nn\wtritoMiSCMA5UU\SCnjriot#Y.*»*
• * m . IP v r [KeeAftec : <V*oad] * t
P « v « d S rfi
-pr«fc»5
OtheriftSr
SMbg iMchecfcm!
W o o n M h c fd t o * .
|
Wn
H e n f^ n j
,
CoVQ
A d d tfw ^ ad fo c ro e h l
101
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
REFERENCIAS WEB
Historia del malware.'.
http: / / www.pand.asecurity.com / spain / homeusers / security-info / classic-malware /
Útiles gratuitos de seguridad informática del CERT - INTECO —Centro de Respuesta a Incidentes de Seguridad.
Instituto Nacional de Tecnologías de la Comunicación:
http: / / cert.inteco.es / software / Protection/útiles ^gratuitos!
Foro de análisis malware-, http: / / www.forospyware.es/
Web sobre software antimalware\ http:/ / www.antiuirusgratis.com.ar/
Sección de software gratuito antimalware en Softonic: http :/ / www.softonic.com!s / malware
RESUMEN DEL CAPÍTULO
Atrás quedaron los años en los que se entendía como virus un código que se ejecutaba en un ordenador
con la finalidad de dejarlo inoperativo, concepto muy genérico que se ha visto desarrollado en el término
malware o software malicioso, orientado actualmente a la obtención de beneficios económicos.
Entre los nuevos tipos de malware encontramos a parte de los clásicos virus, gusanos y troyanos, el
greyware inofensivo generalmente como Adware, Broma (Joke), Bulo (Hoax), los ladrones de información
o infostealers como spyware, keyloggers y PWstealer o ladrones de contraseñas, así como software dedicado
a fines delictivos o crimeware que mediante falsificaciones web, rogueware, mensajes de spam que
redireccionan a web falsas para intentar hacer phishing, ingeniería social y aprovechando puertas traseras
(backdoor) y exploits para manejar redes zombi o botnets, son capaces de lucrarse económicamente.
Como vemos el malware se encuentra cada vez más especializado y diversificado, por lo que las
empresas desarrolladoras de herram ientas de prevención, detección y desinfección se encuentran siempre
corriendo a tapar las nuevas vulnerabilidades y amenazas.
A la hora de seleccionar la mejor herram ienta debemos buscar cuáles se ajustan mejor a nuestras
necesidades, utilizando siempre el contraste de varias y analizando los informes independientes que
realizan los laboratorios de test de herram ientas antimalware conocidas.
Para mantenerse sin “infecciones”, las recom endaciones son: tomar precauciones de uso compartido
de dispositivos, así como en la navegación y descarga en Internet. Mantener siempre actualizadas nuestras
aplicaciones y sistemas operativos, así como nuestras herram ientas antimalware, controlar los procesos
en ejecución y realizar chequeos periódicos, y mantenerse muy informado de las últimas tendencias en
software malware , para evitar situaciones comprometidas.
102
© RA-M A
4 ■S O F T W A R E A N T IM A L W A R E
EJERCICIOS PROPUESTOS
1.
Lee el siguiente artículo sobre la historia de los
virus: http: / / www.nnd32-la.com/ tutorials/cronologia_dejos_uirus_informaticos.pdf y contesta a las
siguientes cuestiones:
¿Cómo ha cambiado la finalidad del software ma~
Iware desde sus orígenes hasta hoy? ¿Existen vi­
rus para MacOS? ¿A medida que pasan los años
la aparición del malware es más rápido o lento?
¿Qué dispositivos son el objetivo de los nuevos
creadores de malware? ¿Por qué?
2. Lee el siguiente artículo de comparativa de dis­
tintos antivirus, disponible en: http:/ / www.diarioti.
com/gate / n.phpHd=25518 y contesta a las siguien­
tes cuestiones:
¿Qué antivirus funcionó mejor ante el test pro­
puesto en 2009? ¿Y en segundo y tercer lugar?
¿Y en el 2008? ¿Qué porcentaje de CPU consume
en la máxima carga de trabajo el antivirus más
eficiente? ¿Cuál es el único gratuito que superó
todas las pruebas?
3. Analiza la siguiente noticia “Madrid, capital del
spam" http:/ / www.csospain.es / Madrid,-capital-delspam -/ sección-alertas! noticia-91980 y contesta:
¿Cómo se denomina al correo basura y por qué?
¿Cuál es el país con mayor emisión de correo
basura? ¿En qué posición se encuentra España?
Comenta algún caso en el que hayas recibido co­
rreo basura con intento de phishing y cómo lo
detectaste.
4. Investiga acerca de secuestradores del navegador
web (browser hijacker) y de la consola de comandos
(shell hijacker). ¿Qué efectos no deseados tiene sobre
el sistema?
5. Busca información sobre el archivo autorun.inf
que poseen los dispositivos de almacenamiento y
cómo se camufla y opera malware a través de este
archivo. Dentro de la clasificación de malware que
hemos visto, ¿qué tipo de malware suele ser autorun.
i.nf? ¿Cómo se propaga? ¿Qué efecto tiene? ¿Parece
inofensivo? ¿A qué tipo de sistemas operativos afecta?
¿Qué medidas de seguridad puedes tomar? ¿Qué es
la desactivación de la ejecución automática? ¿Cómo
se puede realizar? ¿Para que sirve USB Vaccine?
Visualiza este videotutorial y descubre otra forma
de eliminar el malware. ¿Con qué programa se
realiza la desinfección?
www.cristalab.com / tips / como-eliminar-virus-auto­
ra n. inf-de-un-di spositi vo-usb-c 764361 /
6 . Busca información sobre dos ejemplos actuales y
reales muy peligrosos de códigos maliciosos o ma­
lware (troyano, virus, gusano, PWstealer, etc.), rea­
liza primero una breve definición y posteriormente
analiza y explica: nombre del malware, archivo o
método de propagación e infección, mecanismo de
reparación manual. Comparte los ejemplos reales
con tus compañeros, analiza los ataques y medios de
infección y solución empleados.
7. Repartir entre los alumnos de la clase las dife­
rentes herram ientas antimalware en su versión
gratuita, trial o de evaluación, de escritorio y en lí­
nea de Ad-aware, Avast, AVG, Avíra, Bitdefender,
ClamAv, eScan, ESET, F-Secure, G DATA, Kasperskv,
Rings oft, Malwarebyte's, McAfee, Microsoft Security
Essentials, Norman, Panda, Sophos, Symantec
Norton, TrendMicro o TrustPort. Realiza un escaneo
de tu equipo con al menos 2 de ellas y compara el
resultado analizando distintas características como:
Tiempo y tamaño de la actualización de la aplica­
ción, número de archivos analizados, ocupación en
disco de los archivos analizados, % de CPU ocupa­
da en escaneo y en espera, opciones de escaneo,
tiempo total de escaneo, malware encontrado y
desinfectado, recomendaciones de seguridad pro­
puestas.
8 . Si deseas utilizar alguna herram ienta antímalware
de la que desconoces la reputación del fabricante, te
103
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
recomendamos, antes de instalarla, comprobar la
con fiabilidad de la aphcación en la lista actualizada
de http://www.forospyware.com/t5.html. Indica al
menos cinco programas Rogueware o FakeAVs.
í). Realiza una lisia de los programas instalados y los
procesos en ejecución en tu sistema. Busca en esta
lista realizada si se encuentra algún FakeAVs dentro
de la lista de Forospyware. Puedes ayudarte del ar­
tículo sobre procesos legítimos del sistema operativo
en sistemas Windows de ESET:
http: / / blogs.eset-la.com / laboratorio / 2009105/07/
procesos-legitimos-/iativos-sistema-operatiuo-i/
© RA MA
10. Entra en la web www.siteaduisor.com (McAfee) y
verifica distintas URL de las que tengas dudas sobre
su nivel de seguridad. Haz un listado con el informe
de al menos tres URL.
11. Investiga sobre la inyección de código SQL (SQL
Inyection) con la finalidad de obtener las tablas de
usuarios y contraseñas de base de datos de sitios
web. ¿Cómo es posible realizarlo? Prueba mediante
la distribución Backtrack un intento de inyección
SQL en un sitio web en el que sea necesario regis­
trarse. ¿Qué tipo de precauciones tendrías como ad­
ministrador web para evitar inyección SQL?
TEST DE CONOCIMIENTOS
Málware que toma el control remoto del usuario
administrador:
Hoax.
Joke.
Rootkit.
Gusano.
Malware que envía mensajes electrónicos con
noticias falsas o bulos:
Hoax.
Joke.
Rootkit.
Gusano.
Malware que permite capturar lo que se pulsa
por teclado para capturar posibles usuarios y
contraseñas:
Clicker.
Spyware.
Exploit.
Keylogger.
104
Diferencia entre el scam y el spam\
Fraude bancario y correo basura.
Fraude electrónico y correo basura.
Correo basura y fraude malware.
Troy ano y gusano.
La finalidad actual de crear malware es:
Lucrarse.
Hacer el mal.
Divertirse.
Buscar errores en las aplicaciones.
Crear parches de seguridad posteriores.
4 ■S O F T W A R E A N T IM A L W A R E
© RA-M A
Dituiwidoi
Calegoita
Fie
Elementos
cAdocunerts and tettmgsVietwoikseíviceVcofifiguiaoón loca/\aichiYot tempotalet
Extensión.Mismatch
Fie
cAdocunenls and tettngj\netwo<kseivce\contiouiación iocafaichivos lempotales
Extensión.Mismatch
Fie
c \docum?nts and tettngsVietwofkíeiviceVonfgu ación locafvatchivot terrcotateó
Worm.Conficker
Fie
c:\WIND0WS\system32'.tgqygon. d¡
Worm.Conflcker
Dont.Steal.Our.Software JÁ
Fie
Fie
e:\RECYCLER\j-5-3-42-281 9952290-8240758968-879315005-36&5\<wgkvsq vnw
Worm.Palevo
Registiy Valué
@
Extensión.Mismatch
0
0
0
0
0
♦
0
0
^
0
0
Regtíüy Valué
HKEY_LOCA1__MACHINE\SOFTWARESMicio$oí(\Wi x Jows NTVCurertVeraonVWi
Ht|ack. Shell
RegretiyData
PUM.Hijack.StartMenu
Regisfty Data
HK.EV_CURRENT_USER\SOFTWARE\Miciosolt\Wrdowt NTV£unen(Vemon\Wi
HK£Y_CURRENT_USER\SOnWARE\M¡ctosolt\W»idom\Cu!er>lVetsion\Exploii
Worm.Palevo
^
^
e Vaño 2010-201 USIVnalwatebjrteí 1 46\palnck exe
HK£Y_CtlRRENT_USER\SOFTWARE\Wic»osjDll\Windowj NT\CutenlVeftion\Wi
Para la figura mostrada, contesta a las preguntas 6 , 7 y 8 .
Después de realizar un análisis antimalware, ¿qué
tipo de malware es la 4f( entrada?
Gusano.
Troyano,
Virus.
PWstealer.
¿Qué inhabilita la 9a entrada?
Consola de comandos.
Administrador de tareas.
Registro.
Archivo ejecutable.
¿Qué ha modificado la 7a entrada?
Consola de comandos.
Administrador de tareas.
Registro.
Archivo ejecutable.
¿Bajo qué término se engloban acciones malicias
no demasiado perjudiciales?
Hocix.
Greyware.
Joke.
Infostealer.
/ Profundizar en aspectos de
criptografía asociada a la
confidencialidad de la información
y de las comunicaciones.
/ Garantizar la confidencialidad de
la información.
/ Garantizar la privacidad de las
comunicaciones.
</ Diferenciar ventajas e
inconvenientes de la criptografía
simétrica y asimétrica.
/ Analizar nuevos procesos de
identificación digital seguros
mediante firma digital,
certificado digital y dni
electrónico.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PRINCIPIOS DE CRIPTOGRAFÍA
La criptografía (del griego “oculto” y “escribir”, literalmente “escritura oculta”) es el arte o ciencia de cifrar y
descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de
mensajes que solo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos.
O tra aplicación frecuente es la de cifrar información contenida en soportes de almacenamiento para garantizar la
privacidad y confidencialidad de la misma.
Con más precisión, cuando se habla de esta área de conocimiento como ciencia, se debería hablar de criptología,
que a su vez engloba tanto las técnicas de cifrado, es decir, la criptografía propiamente dicha, como sus técnicas
complementarias, entre las cuales se incluye el criptoanalisis, que estudia métodos empleados para romper textos
cifrados con objeto de recuperar la información original en ausencia de las claves.
La criptografía se consid era una ram a de tas M atem áticas y en la actualidad de la Inform ática y la
T elem ática, que hace uso de m étodos y técn icas m atem áticas con el objeto principal de cifrar un
mensaje o archivo por medio de un algoritmo, usando una o más claves.
En la terminología de criptografía, encontramos los siguientes aspectos:
La inform ación original que debe protegerse se denomina texto en claro o texto plano.
El cifrado es el proceso de convertir el texto plano en un texto ilegible, denominado texto cifrado o criptograma.
Por lo general, la aplicación concreta del algoritmo de cifrado se basa en la existencia de una clave o información
secreta que adapta el algoritmo de cifrado para cada uso distinto.
Los algoritmos de cifrado se clasifican en dos grandes tipos:
De cifrado en bloque: dividen el texto origen en bloques de bits de un tamaño fijo y los cifran de manera
independiente.
De cifrado de flujo: el cifrado se realiza bit a bit, byte a byte o carácter a carácter.
Las dos técnicas más sencillas de cifrado , en la criptografía clásica, son:
La sustitución: supone el cambio de significado de los elementos básicos del mensaje, las letras, los dígitos
o los símbolos.
La transposición: supone una reordenación de los mismos, pero los elementos básicos no se modifican en
sí mismos.
El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la clave.
108
5 ■C R IP T O G R A F ÍA
© RA-M A
Le e el sig u ie n te a rtíc u lo so b re la co m p e tició n e x is te n te p ara c o n d e c o ra r al a lg o ritm o de cifrad o m á s
s e g u ro , tra s d e te c ta r d e b ilid a d e s en el a lg o ritm o " e s t á n d a r d e oro " S H A .
A rtícu lo " S e b u s c a el a lg o ritm o m á s se g u ro del m undo", fu e n te http://w w w .laflecha.net/canales/
blackhats/noticias/se-busca-ehalgoritmo-mas-seguro-del-mundo.
C o m e n ta con el re sto d e c o m p a ñ e ro s en c la s e :
•
•
¿Q u é e s el N IS T y p ara q u é s ir v e ? ¿ C u á n t a s v e rs io n e s de S H A e x is te n ?
¿ E n q u é añ o se p re v é la fin a liz a ció n del c o n c u rs o ? ¿C o n q u é a lg o ritm o s e re a liz ó p re v ia m e n te
e s te p ro ce so ?
TIPOS DE ALGORITMOS DE CIFRADO
La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones desarrollaron técnicas
para enviar mensajes durante las campañas militares, de forma que si el mensajero era interceptado la información
que portaba no corriera el peligro de caer en manos del enemigo. Posiblemente, el primer criptosistema que se conoce
fuera documentado por el historiador griego Polibio: un sistema de sustitución basado en la posición de las letras
en una tabla. También los romanos utilizaron sistemas de sustitución, siendo el método actualmente conocido como
César, porque supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura.
César utilizó un esquema criptográfico simple pero efectivo para comunicarse con sus generales. El método de
cifrado introducido por Julio César introduce el concepto de clave criptográfica. El desplazamiento de 3 letras es
la clave que se utiliza por César para cifrar el mensaje, necesitándose la misma clave para descifrarlo. El ejemplo
de César muestra un criptosistema de clave simétrica en el que se utiliza la misma clave para cifrar y descifrar el
mensaje.
Existen dos grandes grupos de algoritmos de cifrado'.
Sim étricos o de clave sim étrica o privada: los algoritmos que usan una única clave tanto en el proceso de
cifrado como en el de descift-ado.
Asim étricos o de clave asim étrica o pública: los que emplean una clave para cifrar mensajes y una clave
distinta para descifrarlos. Estos forman el núcleo de las técnicas de cifrado modernas.
10«
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Según el principio de Kerchohoff la fortaleza de un. sistema o algoritmo de cifrado debe recaer en la clave y no en til
algoritmo, cuyos principios de funcionamiento son conocidos normalmente, en caso de no conocer la clave no podremos
descifrar el mensaje.
I PRÁCTICA 5.1
SCRIPTS DE CIFRADO
1.
A modo de ejem p lo de algoritm o de su stitu ción, podem os e je cu ta r el sig u iente com ando para cifrar
m ed ian te codificación C é sa r un archivo de texto plano (en el ejem plo denom inado d o cu m en to ):
fiichivo Editar yer Terminal Ayuda
root@aluano-laptop:/home/aluiino/DocuBentos/Confidencial# cat docuaento
Este archivo contiene información relevante y datos de ingresos periódicos
Passl: jokoala
Pass2:
Ingresos
etc
root@aluano-laptop:/hoBe/aluniiio/Oocunentos/Confidencial» cat documento | tr [a-z] [d-zabe] | tr [A-Z] [0-ZA8C) >
docuaentocesar
rootaaluwio■
I aptop :/hone/alumno/Documentos/Confidencial# cat docuaento cesar
Hvwh dufklyr frqwlhqh Iqirupdflrq uhohydqwh b gdwrv gh Iqjuhvrv shulrglfrv
Sdvvl: a m r d o d
Sdvv2:
Lqjuhvrv
hwf
root@alumno-laptop:/hoae/aluano/Docunentos/Confidencial» |
Com o vem os el com ando tr perm ite re alizar una sustitución ca rá cte r a carácter. M ediante tu b e ría s o pipes
se han incorporado m ayú scu la s y caso s lím ite como son los ca ra cte re s 'x', 'y' y vz'.
2.
Otro ejem plo donde se su stitu yen las vo cales por ca ra cte re s esp ecia le s de puntuación, a-*b->etc.
Archivo
Editar
yer
Terminal
Ayuda
root@ubuntu:/ho«e/alumno/Docuaentos/Confidencial» cat documento | tr [aeiou]
r [AEIOU]
I > docuaento sustitución
root@ubuntu:/hoae/alumno/Oocuaentos/Confidencial« cat documento sustitución
st :rch,v. c.nt. n l: .nf.n»:c,.n r l v:nt
P:ssl: J.k.:l:
| ti'
P :S S 2 :
,n g r s . s
_tc
root@uburtu:/ho«e/aluiwio/Docuaentos/Confldencial» cat documento
Este archivo contiene la información relevante
Passi: jokoala
Pass2:
In g re so s
etc
root@ubunt u :/hoae/aluono/Documentos/Confidencial* |
3.
Por otro lado, com o ejem plo de algoritm o de transposición, p asarem os a un scrípt denom inado transposición,
sh un docum ento en texto plano, y palabra a palabra y c a rá cte r a carácter, irá dándole la vu elta, colocando
de esta form a cada ca rá cte r en una posición diferente pero sin m odificarlo.
110
©
RA-M A
5 ■C R IP T O G R A F ÍA
i------- . » vUhM.
í / m »o
( A ta r
y rr
Jtvrmnal
------- - ■
* r /«
rootfutuniu /ho*/alurv)/C)QcueertosZContJdmciaL*
transpon clon. *h docuarolo
root*ubw«tu /ho«*/alu«no/Do<uae*toi/Canllí»CTCtala c a t docunento tr*o*pom ton
ettC avibera m ttin o c a l n e ic a ro fn f atnav*ler
h v iP alacho)
7 \\* r
'. c ir r g n l
c t*
ytr*» o
O
t>fJi
Huevo Afcrtt
yr»
rtt fM'Votrr aiiwriVí^oci^t^«To^.iJ*TidaiM•cH¿t
n ^
|u k jt
G u a n í*
fcfcmm*wr»
Doc^ntrtos
Agute
D r.*« u » neftteer
im prim ir
•trwwoovoonih o
fi/tlia / te s h
If | • - » M I
titta
acbo *Ma t i n l i a rc h iv o o r tg r «
tlM
tH t
T I I i r a . U’ M c iO n
• h t l r r«ad lin e a
U
II*
TowtH l» t r
1or »a a b ia ia i i i w a
»'1 1I
ln a ^ itu i]« eche io j .» >»• I «*■
U m f lt u 4 * l U I l * " * i t« I I )
f o r ; in \ r l l i n n ;
la t ra
| cu» - e ll
dOM
tc h o ■
CRIPTOGRAFÍA SIMÉTRICA
La criptografía sim étrica es un método criptográfico en el cual se usa una misma clave para cifrar y
descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar.
Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario y éste lo
descifra con la misma.
Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. Dado que toda la
seguridad está en la clave, es importante que sea muy difícil adivinar el tipo de clave. Esto quiere decir que el abanico
de claves posibles, o sea., el espacio de posibilidades de claves, debe .ser amplio. Esto lo posibilita la longitud y el
conjunto de caracteres que emplee. Actualmente, los ordenadores pueden descifrar claves con extrema rapidez, y
ésta es la razón por la cual el tamaño de la clave es importante en los criptosistemas modernos. Algunos ejemplos de
algoritmos de cifrado simétrico son:
El algoritm o de cifrado DES usa una clave de 56 bits, lo que significa que hay 256 = 72.057.594.037.927.936
claves posibles. Esto representa un número muy alto de claves, pero un ordenador genérico puede comprobar
el conjunto posible de claves en cuestión de días.
Algoritmos de cifrado como 3DES, Blowfísh e IDEA usan claves de 128 bits, lo que significa que existen 2 128
claves posibles. La mayoría de las tarjetas de crédito y otros medios de pago electrónicos tienen como estándar
el algoritmo 3DES.
Otros algoritmos de cifrado muy usados son RC5 y AES, Advanced Encryption Standard, también conocido
como R^ndael, estándar de cifrado por el gobierno de los Estados Unidos.
Los principales problem as de los sistemas de cifrado simétrico no son su seguridad sino:
El intercam bio de claves: una vez que el rem itente y el destinatario hayan intercambiado las claves
pueden usarlas para comunicarse con seguridad, pero, ¿qué canal de com unicación seguro han usado para
transm itirse las claves? Sería mucho más fácil para un atacante intentar interceptar una clave que probar las
posibles combinaciones del espacio de claves.
111
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
n úm ero de claves que se necesitan: si tenemos un número n de personas que necesitan comunicarse
entre sí, se necesitan n /2 claves diferentes para cada pareja de personas que tengan que comunicarse de modo
privado. Esto puede funcionar con un grupo reducido de personas, pero sería imposible Llevarlo a cabo con
grupos más grandes.
El
Para solucionar estos problemas se mejora la seguridad de los sistemas, mediante la criptografía asimétrica 3' la
criptografía híbrida.
PRÁCTICA 5.2
CIFRADO SIMÉTRICO
PGP (Pretty Good Privacy) es el program a m ás popular de encriptación y de creación de llaves públicas y privadas
para seguridad en ap licacion es inform áticas, por lo que se considera híbrido. PGP se ha convertido en e! e stá n d ar
de seguridad para las plataform as en que se ha lanzado y perm ite añ ad ir seguridad a docum entos, ap licaciones,
etc.
GPG o GNU Privacy G uard e s una herram ienta para cifrado y firm as digitales, que vien e a se r un reem plazo del
PGP (Pretty Good Privacy) pero con la principal diferencia que es softw are libre licenciado bajo la GPL. No usa
algoritm os de softw are que están restringidos por p aten tes, entre estos se en cuentra el algoritm o de cifrado ID EA
que está p resen te en PGP casi desde su s inicios. En su lugar usa una se rie de algoritm os no patentados como
EIG am al, C A S T 5 , Triple D ES (3 D E S ), A E S y Blowfish. Es una aplicación que viene p reinstalada en las distribuciones
GN U /Linux, aunque existen ve rsio n es g ratuitas para W indows.
El com ando gpg con la opción - c puede se r em pleado para re alizar cifrado sim étrico, pidiéndonos una frase
co n traseñ a o clave privada que será em p leada tanto para el cifrado com o el descifrado.
gpg - c archivoorigen
La aplicación gpg genera un archivo en el m ism o directorio donde se ubique el archivo de origen a cifrar, añadiendo
por defecto la exten sió n gpg. Ef arch ivo de salid a es binario, para que se com ponga de c a ra cte re s A S C II,
añ ad irem o s la opción - a , siendo el form ato de salida ase.
En caso de q uerer d escifrar el archivo de salida e je cu ta m o s: gpg -d a rch ivo .a se , en caso de que el archivo haya
sido cifrado con ca ra cte re s de salida A S C II.
Archivo
Editar
Vtf
Jerminal
Ayuda
root@ubuntu:/hoae/alumno/Docuaentos/Confidencial» gpg c a docuaento
gpg: el agente gpg no esta disponible en esta sesión
root@ubuntu:/hoae/aluono/Docuaentos/Confidencial» Is
documento docuaento- documento.ase docuaento cesar documento.gpg
root@ubuntu:/hone/alunno/Documentos/Confidencial« cat docuaento.ase
---- BEGIN PGP HESSAGE.....
Versión: GnuPG vi.4.9 (GNU/Linux)
jAeEAMMC9xq94xBsIIlgytttrPoC6S93wll») rlXpd3/K3fdOlCxh)UVC50»SHbf JT
X85b9/6ov0Y3cWnlpvYi30z+7GdObcb+I4oC181rfpalv<-e4NslGGt)UxhcvqQAI1
wsmRBqONclGAi3HoHuyLvaalcvaoyV7xSY5df(h=s
=rrj2
.... END PGP MESSAGE.....
V em os que un fichero creado en texto plano se ha convertido en un archivo no interpretable (d o cu m en to .ase).
112
© RA MA
5 ■C R IP T O G R A F ÍA
I PRÁCTICA 5.3
CIFRADO DE DATOS Y PARTICIONES
La confidencialidad de los datos alm acen ad o s en una unidad es fund am ental, para ello vim os en el p rim er capítulo
a modo de ejem plo como W indows integraba un siste m a de encriptación denom inado E F S , que ap ortab a seguridad
en el acceso sólo solo perm itiéndoselo al usuario que realizaba la operación.
En e ste caso irem os un paso m ás ad elan te y verem os una aplicación para cifra r y ocultar en el ordenador datos
que el usuario considere re serv ad o s o confidenciales.
T rueC ryp t ofrece la posibilidad de c re a r discos virtu ales o ap ro v ech a r una partición ya e xiste n te para g uardar
ficheros cifrados, pudiendo esco g er en tre varios algoritm os de cifrado, com o A E S , S e rp e n t o Tw ofish, y d eterm inar
de qué capacidad será la unidad virtu al. Allí podrem os g uard ar cu alq u ier docum ento de form a seg u ra y cóm oda.
S e integra con el explorador de arch ivo s que usem os, es fácil de usar, perm itiendo cre a r hasta 32 unidades
d iferentes. Existen ve rsio n es para siste m a s operativos W indows, Mac OS X, y GN U /Linux.
1 . D e scarg a re m o s la aplicación y la in stalarem o s. En p rim er lugar podem os disponer de la herram ienta
traducida al español pulsando Settings / Language / Download Language Pack, d escarg a m o s un archivo
zip y lo d escom prim im os en la m ism a carpeta donde instalam os. Tras reiniciar la ap licación podrem os
se leccio n ar Settings / Language / Español.
yfcgha
► TiuoCiypl
Archvo
VoOmenr-i
Archrvo*-lavo
Merrormntas
—O
v^M
vP
^Q*
Ajustes
Ayuda
Tamafio
Un.
Encryptton algorthr'
Tpo
—U
T
Crear Vcáuwn
Votunen
□
3
H srr«n e n t« de vokjneo'
Auto-MonUr Undadei
Sebee. A/chr^oSetecc. Dopoubvo
I
Oesmcrtar Todo
2 . A continuación podrem os c re a r un volum en norm al (botón "C re a r V o lum en"), se leccionam os la opción
en un archivo, que se creará en la ubicación que seleccionem os (ind icarem o s un nom bre por ejem plo
v o lu m e n _cifra d o ). Entre las opciones de encriptación podrem os se leccio n ar en tre d iferentes algoritm os
pudiendo v e r una tabla com parativa con rendim ientos en procesos de encriptación y d esencrip tación.
113
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
& A i i i i r n i r |m r.i In C
© RA-M A
irnt Km i k
un V
Opciones de oicnp(ion
AigorCm m travacn
avhm(ftwóMt. p£fcrwd r\ l * W tr«c n»*f b»
litad Cv U -5 ÿ > * rr » rr t
«r<d açanon to {*of«I
dw«foá*Vormaeani 4 todia Top S t a * »»*^1 ."îC rti My.
bteO. M rtx/iái(A£S-¿56). Hade t f oc** «bon « ií>w
| <Att«n | jgart»>~1
Una vez seleccio nad o , elegim os el tam año de tu volum en cifrado y añ ad irem o s una co ntraseña lo m ás
segura posible.
fc Amtrnfi’ |Mf* Int ir
t
(«filfa'Uh Vdliimrn fluH lypl
j
*5<|j
C o n tr a ía la del V o lu m e n
C ortj«*A j
trmm
Car
[
Hvxrm arttm&é
r iM
ixhMit««
»
tí mjf n p o larva qjb tàu i n t u n t c c r f t M ^ i M m
«togr
cjj» contato* vdanwrt* in a palat»« Que m pueda *nccr t i » an
c r Axn>aro¿o\r^cu>«<jrw«Cr.dt:. J©« pdtt***) *to¿atm
o r ttrw t r r g / i no*i>* o fechat 4» n o M r to . «to fe b* tar f * 4 dr
t^ irw LUbjirj^orÍjBfl'M
i/rt a r r i r * m * *:«r i* Wr»<
M lW O Ji i, mruacUaa, fM w roi r r<r«lw «* m « M Íw . eor
0*000+1 - f * * r t c
S* reaswrvSe t
m» contraseña gu» lonast» en n i 4* 30
caacîeretkvwrtomi« la«®*. eiweer) U tagtud
» « « ■ A ir tH u ilC tim
Ayuda
<W *n
|
<feU
Carca!«
S eleccio n am o s el siste m a de ficheros (por ejem p lo : N TFS por defecto) y nos indicará a continuación que
el volum en ha sido creado.
3.
Para utilizarlo deb em o s m ontar una unidad con el archivo creado. Seleccio n am o s una unidad disponible,
por ejem plo K, y p ulsarem os el botón Seleccionar archivo, donde n aveg arem os hasta la ruta del archivo
creado para el volum en encriptado. Pulsarem os Montar y se nos pedirá nuestra co n traseñ a :
aj
i
h^l:
KI^Oi
*tfc
k*Q.
U»5:
*^U
I^V:
I^W.
a
tr ia fc
rp o
In lrm liirra C tn lr M ^ s pnr.i ( tflnrm neuti «md Scttlni^VAdmlrm
Cúnneterte |
Ace«*»
Cacfa ccnir a t*A i y mtti 4a-a an a
ría
Catxaáar
H>tfrare erti nefa
(
ijse » t c í m I m
| C V octaianb a d í* (» ig ilM « n t > a « 'v ^ r C«v<ar(t\H
Ccoonrs M orta»
«J
■»' ** í x i 9«ardar frrt erva
»torramartai d i roiutwn.
Auto-Morí* I N b d H
114
Iraypoor atgofttm
5aí*cc Ctapcnovo
*
5 ■C R IP T O G R A F ÍA
© RA-M A
Haciendo doble clic sobre la unidad a cced erem o s a nuestro volum en cifrado.
Archivo
Vcfcjmene*
UruJad
Ard«vos-lave
Herrarrwnt«
A)ustes
Ayuda
Tarrwo
Vakjmen
PégnaWeb
Cmypüon aijofthín
Tipo
^ 3
< # L:
'-'N;
*
I
lo c ilO I s k IK :)
Pie
[Jt
Vtew
f 3
Favor*»»
Toob
O
H *
B
fr
M * .
I
:B |v
Ule «ndtoJdcrr
0
¿ jG o
&
Wat
C ualq uier fichero que arrastrem o s hacia la unidad se guardará cifrado de form a tran sp are n te , y sin necesidad
de que teclees de nuevo la co n traseñ a (solo se te pide cuando m on tas la unidad ). Puedes utilizar tu volum en
cifrado Tru eC ryp t como otra unidad m ás de disco. Por últim o no olvidem os d esm o n tar el volum en, p ulsarem os
el botón Desmontar.
Es recom endable re a liza r copia de seguridad del archivo ya que en caso de borrarlo p erd erem os la inform ación
contenida en él.
CRIPTOGRAFÍA DE CLAVE ASIMÉTRICA
En este caso, cada usuario del sistema criptográfico ha de poseer una pareja de claves:
Clave privada: será custodiada por su propietario y no se dará a conocer a ningún otro.
Clave pública: será conocida por todos los usuarios.
Esta pareja de claves es complementaria: lo que cifra una solo lo puede descifrar la otra y viceversa. Estas
claves se obtienen mediante algoritmos y funciones matemáticas complejas de forma que por razones de tiempo de
cómputo, es imposible conocer una clave a partir de la otra.
Los sistemas de cifrado de clave pública se basan en funciones resum en o funciones hash de un solo sentido
que aprovechan propiedades particulares, por ejemplo de los números primos. Una función de un solo sentido es
aquella cuya computación es fácil, mientras que su inversión resulta extremadamente difícil.
Por ejemplo, es fácil multiplicar dos números primos juntos para obtener uno compuesto, pero es difícil factorizar
uno compuesto en sus componentes primos. Una función resumen o hash de un sentido es algo parecido, pero tiene
una simplificación o atajo, si se conoce alguna parte de la información, sería fácil computar el inverso. Por ejemplo,
si tenemos un número compuesto por dos factores primos y conocemos uno de los factores, es fácil computar el
segundo.
Algunos de los algoritmos empleados como funciones resumen o hash son MD5 y SHA.
115
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
PRÁCTICA 5.4
FUNCIONES RESUMEN (HASH)
En la siguiente práctica vam os a an alizar la integridad de un archivo descargado m ediante la com probación de
su valor resum en calculado. En m uchas ocasiones las web de los fabricantes originales m uestran junto a su archivo
de instalación el valor resum en calculado, con el que podremos verificar tras d escarg ar el archivo de instalación su
integridad o que no ha sido modificado o es una falsificación.
En el ca so de GIMU/Linux podem os em p le ar el com ando m d5sum nom b red earchivo y nos ca lcu la rá el valor
re su m en MD5, pudiendo contrastarlo con el valor del fab ricante. Para W indows existe la posibilidad de d escarg ar
una pequeña aplicación m d 5 su m .ex e.
Si e je cu ta m o s: m d5sum D ocum ento.txt.
A la salida nos m ostrará: 8 6 3 7 2 1 4 9 c 8 6 7 6 7 b 4 e f3 2 0 9 6 1 2 e la 2 7 2 e *D o cu m e n to .tx t
En caso de querer ve rifica r el resultado au to m áticam en te cre are m o s un archivo .m d 5: m d5sum D ocum ento.txt
> N om bredelH ASH .m d5
Para ve rifica r la integridad del arch ivo : m d5sum -c N om brede!H ASH .m d5
Si el archivo no ha sido m odificado m o stra rá: D o cum ento.txt: OK
Si el archivo ha sido m odificado: D ocu m en to .txt: FA ILED
m d 5 su m : W ARN ÍN G: 1 of 1 com puted checksum
did NOT m atch
El tamaño de la clave es una medida de la seguridad del sistema, pero no se puede comparar el tamaño de la clave
del cifrado simétrico con el del cifrado de clave pública para medir la seguridad.
En un ataque de fuerza bruta sobre un cifrado sim étrico con una clave del tamaño de 80 bits, el atacante debe
probar hasta 2SÜ- 1 claves para encontrar la clave correcta.
En un ataque de fuerza bruta sobre un cifrado de clave pública con una clave del tamaño de 512 bits, el
atacante debe factorizar un número compuesto codificado en 512 bits. La cantidad de trabajo para el atacante será
diferente dependiendo del cifrado que esté atacando. Mientras 128 bits son suficientes para cifrados simétricos, dada
la tecnología de factorización de hoy en día, se recomienda el uso de claves públicas de 1024 bits para la mayoría
de los casos.
La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y descifrar con la otra, pero
este sistema tiene bastantes desventajas:
Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
Las claves deben ser de mayor tam año que las simétricas.
El m ensaje cifrado ocupa más espacio que el original.
116
© RA-M A
5 ■C R IP T O G R A F ÍA
Herramientas software como PGP o en comunicaciones TCP/TP, protocolos como SSH o la capa de seguridad
TLS/SSL, utilizan un cifrado híbrido formado por la criptografía asim étrica para intercam biar claves de
criptografía sim étrica y la criptografía sim étrica para la transm isión de la información.
Algunos algoritm os de técnicas de clave asimétrica son:
Diffie-Hellman, RSA, DSA, ElGama.1. criptografía de curva elíptica.
Algunos protocolos y software que usan los algoritmos antes citados son:
DSS (Digital Signature Standard) con el algoritmo DSA (Digital Signature Algorithm).
PGP y GPG, una imple mentación de OpenPGP.
SSH, SSL y TLS.
CRIPTOGRAFÍA HÍBRIDA
El uso de claves asimétricas ralentiza el proceso de cifrado. Para solventar dicho inconveniente, el procedimiento
que suele seguirse para realizar el cifrado de un mensaje es utilizar un algoritm o de clave pública, más seguro,
tan solo empleado para el cifrado en el envío de una pequeña cantidad de información: por ejemplo una clave simétrica,
junto a uno de clave sim étrica, para el cifrado del mensaje, reduciendo de esta forma el coste computacional.
A modo de ejemplo describiremos un proceso de comunicación seguro:
Ana y Bernardo tienen sus pares de claves respectivas.
Ana escribe un m ensaje a Bernardo. Lo cifra con el sistema de criptografía de clave sim étrica.
La clave que utiliza se llama clave de sesión y se genera aleatoriamente. Para enviar la clave de sesión
de forma segura, ésLa se cifra con la clave pública de Bernardo, utilizando por lo tanto criptografía de clave
asim étrica.
Bernardo recibe el mensaje cifrado con la clave de sesión y ésta misma cifrada con su clave pública. Para
realizar el proceso inverso, en primer lugar utiliza su clave privada para descifrar la clave de sesión.
Una vez ha obtenida la clave de sesión, ya puede descifrar el mensaje.
Con este sistema conseguimos:
C onfidencialidad: solo podrá leer el mensaje el destinatario del mismo.
Integridad: el mensaje no podrá ser modificado.
Pero todavía quedan sin resolver los problemas de autenticación y de no repudio.
117
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
PRÁCTICA 5.5
C IF R A D O A S IM É T R IC O
1. Em p le are m o s gpg para la generación de un par de claves para cifrado asim étrico m ed ian te: gpg --g en -key
D urante el proceso de generación se nos irán haciendo d iv ersa s preg u ntas, com o el tipo de cifrado que querem os
utilizar, la intensidad de cifrado, la fecha de expiración de la clave en cuestión y nuestro nom bre y apellidos así
com o una dirección de correo, que es lo que va a constituir el U S E R ID .
Nos va a b asta r con acep tar las opciones que ya vienen por defecto, ya que en la m ayoría de los caso s é sta s son
ap rop iad as:
Tipo de cla ve s, la prim era opción (D SA and E IG am al) que nos perm ite en crip tar y firmar.
Tam año de las claves que se puede elegir en tre 1024 y 4 0 9 6 bits. Por defecto se recom ienda 2 0 4 8 , a m ayor
tam año m ás segura es la clave y m ayor el tiem po de cóm puto al e n crip tar y desencriptar.
Tiem po de validez querem os que tenga la cla ve . Por defecto vien e la opción 0 que es que no caduque nunca.
En el caso de poner que cadu q ue al cabo de cierto tiem po habrá que volver a g en erar las clave s y volver a
m an d a r la nueva clave pública a aq uellos que usaban la que ha caducado.
Último p aso, g en era r la clave , se nos va a p reguntar por una fra se de paso o p assp h rase, es decir, una
co n traseñ a. Esta co n traseñ a nos va a aseg u ra r que nadie m ás que nosotros m ism os va a poder u sar esta clave
GPG, por lo que es im portante eleg ir una co n traseñ a fuerte y difícil de adivinar, pero que sea lo su ficien tem ente
clara para nosotros como para no olvidarla, puesto que si esto su ced e no podrem os volver a utilizar m ás la
clave gpg relacionada.
Cuando se produce el proceso de g eneración de las claves es buena ¡dea reproducir m p3, m over el rató n ... , para
que se generen núm eros aleatorios y se creen an te s las claves.
Si es la prim era vez que se eje cu ta nos crea un directorio en el que g uardará el fichero de configuración así como
los archivos secring.gpg y pubring.gpg. En el prim ero se alm a cen a ran las cla ve s privadas y en el segundo las
cla ve s públicas.
Para ver las cla ve s públicas que tenem os disponibles hay que hacerlo con el com ando gpg --list-k eys o gpg -k.
Esto lo que haces listar las cla ve s que hay disponibles dentro del ñchero pubring.gpg. En el ejem p lo podem os
ver 1 clave pública disponible, el identificador de cada clave (C la v e ID ) es el núm ero que ap a rece d esp ués de
1024D al hacer gpg --list-k e ys, en nuestro caso 5 D 1 0 B E F 4 .
Ls necesario qcnertr mjctxn byte» aleato ri» » , Es un« tu rn a ì-iea r e t i u a r
alguna o tra tarea (tra b a ja r r r o tra ventana/consola. aover el ratón, m ar
la red y los discos) durante la 9eneracl6n de Rutero» prUo». C iro da al
generador de nuatros a leatorios aayor oportunidad de recoger s u flc ie fttr
entropía
gp9 /root/.gnupg/trustdb .gpg: se ha creado bave a* «utos de confjan/a
gpg clave VIOBfF« Barcada cama de confianza absoluta
claves publica y »ecreta creada» j firmada»
gpg. coaprobando base de dato» de confianza
gpg 1 dudo»a(s) necesarias. 1 caapletal») necesarir».
aodelo de confianza PC#
gpg: n iv e l; i validez:
1 firmada:
• confianza:
aq. dn, da, t í . lu
pub
i«7«D/J01tttra » 1 1 12 13
Huella de clave - te*« bj*¿ AA*e « m : ci»7 ttdC 2At? c a n t t i « m m
uld
Jesús costas Santo» Ibeneracion de claves para cifra d o asía
t in c o ) «jeuiM P"all.co*»
suft
M7 M U 12 13
roo(fi.t>unru:/TMryaluBno/t>ocuamtc^i/Cnofiden<iala gpg
«
/roo!/ gnupg/putring.gpg
pub
1»240/U>1M(M 201« U-15
uld
Jesús Costas Santos (Generación de claves para cifra d o asiae
t r lc o l <Jeaus#Biil cok*
»ub
mag/620Ar?37
ia 12-is
118
© RA-M A
5 ■C R IP T O G R A F ÍA
Para ve r las claves privad as que tenem os disponibles hay que hacerlo con el com ando gpg —list-secre t-k eys. Esto
lo que h aces listar las cla ve s que hay disponibles dentro del fichero secring .g pg .
S e llam a anillos a los archivo s en los que se g uardan las cla ve s públicas y las p rivad as. Si se quiere borrar alguna
clave prim ero hay que borrar la clave privada y después la pública. Para borrar cla ve s privad as se hace con el
com ando gpg --d elete-secre t-k ey C la v e lD . Para las claves públicas se h ace con el com ando gpg --d elete-key
C la v e ID
Copia y distribución de cla ves
Una ve z g en erad as las c la v e s, para que el resto de personas y en tidades puedan com probar nu estros m e n sa je s
firm ados, tenem os que darles nuestra clave pública. Esto se puede hacer de va ria s m an e ras:
1. Subiéndola a un servid o r de cla ve s públicas. Los se rvid o re s de cla ve s suelen están interconectados,
es decir, que subiendo la clave a un servidor, el resto ya tiene conocim iento de la existen cia de nuestra
nueva cla ve . El se rvid o r pgp de rediris puede se r usado para este propósito. La orden a te cle a r para rem itir
nu estra clave e s:
gpg --se n d -ke ys --k e y se rv e r p g p .re d iris.e s C lav e lD .
Para hacer una búsqueda de cla ve s públicas, de en tidad es o usuarios con los que queram os com unicarnos
o verificar un m e n sa je recibido de eé sto s: gpg --k e y se rv e r N om b reD elServid or —se a rch -k e y s C lav e lD .
Para bajarnos dicha clave pública: gpg --k e yse rve r N om b reD elServid or —re cv-k e ys C la v e lD
2.
Enviándola por correo o dándola en un soporte portable (U S B , C D /D V D , e tc .), m edíante un fichero. Si tan
sólo solo q u erem o s que no sea de dom inio tan público sino que sólo solo unos pocos tengan conocim iento
de nuestra cla ve público, para ello d eberem os volcar esta clave a un fichero de texto. El com ando para ello
podría re alizarse de 2 form as:
gpg
- -arm o r - - output ficherodeclave - - export C la v e lD
E s im portante ten er una copia aparte de nuestra clave privada, para que en caso de d e sa stre inform ático o
pérdida de datos podam os recu p erarla. Para exp o rtar la clave privada a un fichero y poder tener una copia de
se g u rid ad : gpg --arm o r --output fichoedeclave --e xp o rt-se cret-ke y C lav elD
D esp ués de em p le ar el m étodo de distribución deseado, el com ando a e je cu ta r en la m áquina d estin ataria para
im portar una clave volcada en un fichero, e s: gpg - - import ficherodeclaves
E lim in ar claves distrib uid as en servid o res
Si se ha olvidado la co n traseñ a o hem os perdido la clave p rivad a, o consideram os que se encuentra en estado
com prom etid a, podem os g e n e ra r un certificad o de revocación y subirlo a un se rvid o r de claves. S e recom ienda
cre a r este certificado al cre a r las cla ve s ya que al final del proceso de generación se pide la co n traseñ a. Esta
clave ha de g u ard arse en un lugar seguro ya que si alguien la obtuviese podría revo car nu estras cla ve s y d e ja rlas
inutilizadas. La orden para gen erar este certificado e s: gpg -o re vo cacio n .a sc --g en -revo ke C la v e lD
Si q uerem os revo car una clave hay que im p ortar el fichero que tiene el certificado de revocación, una ve z revocada
la clave ya no podem os cifrar m e n saje s au nq ue si se pueden desencriptar.
Para im portar a nuestra relación de cla v e s: gpg --im port re vo cacio n .a sc
119
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
Archivo EdrtJM
JrtTrUnai Ayycto
Necesita un« frase contraseña para desbloquear la clave secreta
del usuario: •Jesús Costas Santos (Generación de claves para cifrado o siaetrico ) «Jesús#
miX.com>'
clave DSA de 1924 b it s , ID S0196EF4. creada e l 7016 12-13
se fuerza salid a con armadura A SCII.
C ertificado de revocación creado.
Por favor consérvelo en un sedlo que pueda esconder; s i alguien consigue
acceso a este ce rtificad o puede usarlo para in u t iliz a r su clave.
Es inteligente ía p rla ir este c e rtific a d o y guardarlo en otro lugar, por
s i acaso su ardió resulta iaposlble de le e r. Pero precaución: ie l slsteaa
de íapresión de su Boquina podría alw cenar los datos y hacerlos accesibles
a o tras personasl
root(iubuntu:/hoae/a\uano/Oocuaentos/Confidenciale gpg
taport revocación.ase
gpg: clave Í019B6F4: "Jesús Costas Santos (Generación de claves para cifrado asimétrico)
<]esus# uil.co s> * ce rtificad o de revocación 1aportado
gpg Cantidad to tal procesada: 1
gpg:
nuevas revocaciones de claves: 1
gpg; 3 dudosa(s) necesarias, i coapleta(s) necesarias,
aodelo de confianza pop
gpg: n iv e l: 9 valid e z:
1 tim ada:
9 confianza: 9 -, 8q. 9n. 9a. 9 f. lu
root£ubuntu:/hoae/ali*vio/l>ocuaentos/Confidenclol# cat revocación.ase
BÉGIH POP PUBLIC KEY BIOCK...........
Versión: GnuPG v i . 4.9 (fM IA Jm ix)
Co—rn t ; A revocation c e rt ifíc a te should fo lio *
lEk£IB£CAAlcFAk9]KosCHOHACgkQKvUSV9CvvTB>ACgioKCx3SnXltOSkuwnwÍl
Et7WCycAnJf4*0ulQ3F0pu2íPftpdpaJCbkU
-44 ?n
----- LHD POP PUBLIC KTY BlOOC...........
roottubuntu:/hoae/aluano/Docuaentos/Confideftciala gpg -k
t root/ . gnupg/pubring. gpg
pub
Í9240/»198£F4 2919-12-15 (revocada: 2919 12-13)
uid
Jesús Costas Santos (Generación de claves para cifrado asiaetrico )
<JelllSfMlil.COM>
Com o vem o s en la Figura an te rio r al listar el listado de cla ve s, m uestra la fecha de revocación.
El últim o paso es com unicar a los servid o res de cla ve s que nuestra cla ve ya no es válid a, con la o rden : gpg
—k e y se rv e r N om breD elServidor --se n d -k e ys C la v e lD . Tras re alizar dicha operación podem os b uscar y v e r el
estad o del certificado en el se rvid o r público de certificados.
S e a r c h r e s u lt s fo r 'je su s
co sta s’
loot von Tied)
Se rvrr - Get
Arrfuvo Efftt*
£
Hijfon*
Uarcadom Mtrramtercat
0*?a*7c4*35dl0tJirta ••. iñojfíl* r\i**ò*
a
« hnp.'/pgprertnves in7l4*sAoo»tup»of>*get&sejrth».to2Af2C4t5i0109
v
,|Q *
' MAsviSitadov'- ^Oetl/ngStarteo ..'Lates* Mea^i-nes*
P u b lic K ey S e r v e r -- G et " 0 x 2 a e 2 c 4 e 5 5 d l0 b e f 4 "
rtX
l««)
j»yx*A
O
Vl»
tfO
ftT
*T
p.tb
r<9*oTuirT
«fO
r*M
i*«jtlh
*«
?IlMtN
<
x47c)ti7M
CU
^«£«*PX
i!O
/..n
fc*afa
jo*:9r»
r.*
toi«
*%
«rf*
oruja?pw
icK
)r»
#uC
N
z^O
fuCrtu
ZTnftCpMU«VK«VtlpSI {I SOAkrbCVfy'Atu.MadwC^BJufl/Mxa^O/caZmOU f •sa»0
I *OMOClMoV)VljMu»nOrtMf4jKV73r«taPr<aMS]ZC/llMM7»tM»iW»Vim.«»o?rVe
I <ASrpOJ*VVtp)0*|*flSJ]»dlptS#,,*u«rtF#AylU^M0-B9Gl*£«r./t!a2.rtft3*5ri£l
e
i
at k rvot r »w»c • i d tyttac. «/1va \» •j t jm i ztiatíw n i ra u ; i ovTfcn J«*yr
I Af4r^«!«rt7^CWa7«J07lrrrr4/vxlvaMa/(«VWW%nAVVaa»i^irftf«vXAvivV^«7i\#
FIRMA DIGITAL
U na de las principales ventajas de la criptografía de clave pública es que ofrece un método p ara el desarrollo de
fir m a s d ig ita les. La firma digital perm ite al receptor de un m ensaje ver ifica r la a u ten ticid a d d el o rig en d e la
in fo r m a c ió n así como verificar que dicha información n o ha sid o m od ificad a desde su generación. De este modo,
la firm a digital ofrece el soporte para la au ten tica c ió n e in tegrid ad de los datos así como para el no rep u d io en
o r ig e n , ya que la persona que origina un m ensaje firm ado digitalm ente no puede arg u m en tar que no lo hizo.
U na firm a digital está destinada al mismo propósito que lina m anuscrita. Sin embargo, una firm a m anuscrita es
sen cilla de falsificar m ientras que la digital es imposible m ientras no se descubra la clave privada del firm ante.
120
© RA-M A
5 ■C R IP T O G R A F ÍA
La firm a digital es un cifrad o d el m en saje que se está firm ando pero utilizando la cla v e p riv a d a en lugar de
la pública.
Sin embargo, ya se ha comentado el principal inconveniente de los algoritmos de clave pública: su lentitud que,
adem ás, crace con el tam año del m ensaje a cifrar. Para evitar este problema, la firm a d ig ita l es el resultado de cifrar
co n cla v e p rivad a el resu m en d e los d a to s a firm ar, haciendo uso de fu n cio n e s resu m en o h ash.
A modo de ejemplo: Ana y B ernardo tienen sus pares de claves respectivas.
Ana escribe un mensaje a Bernardo. Es necesario que B ernardo pueda verificar que realm ente es Ana quien ha
enviado el mensaje, por lo tanto, Ana debe enviarlo firmado:
1. Ana resum e el m ensaje o datos m ediante una función ha,sh.
2. Cifra el resultado de la función hash con su clave privada. De esta forma obtiene su firm a d igital.
3. E nvía a B ernardo el m ensaje original junto con la firma.
B ernardo recibe el m ensaje junto a la firma digital. Deberá comprobar la validez de ésta para d ar por bueno el
m ensaje y reconocer al autor del mismo (integridad y autenticación).
4. Descifra el resum en del m ensaje m ediante la clave pública de Ana.
5. Aplica al m ensaje la función hash para obtener el resumen.
6.
Com para el resum en recibido descifrado, con el obtenido a p artir de la función hash. Si son iguales, B ernardo
puede e sta r seguro de que quien ha enviado el mensaje es Ana y que éste no ha sido modificado.
Firma Digital
Comprobación de una Firma
I iq r jo n ,ic7]
/
jionoonoiot]
’•U11001wJtOT
CüówDltW.
Si lo« c ó d g o t h art conddan la Rrma o » vài*da
Mecánica de la generación y comprobación de una firm a digital.
Con este sistem a conseguimos:
A u ten ticación : la firm a digital es equivalente a la firma física de un documento.
Integridad: el m ensaje no podrá ser modificado.
N o rep u d io en origen: el em isor no puede negar haber enviado el mensaje.
121
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PRÁCTICA 5.6
F IR M A D IG IT A L DE UN DOCUM EN TO
La firm a digital de un docum ento se com pone del cifrado con nuestra clave privada del valor resu m en calculado
con una función hash de un m en saje o archivo. Existen d iversos m odos de envío de d ocum entos firm ados,
docum ento + firm a en un solo archivo cifrado, o docum ento y firm a en arch ivo s sep arad os. Los p arám etros de
gpg para obtener la ñrm a digital de docum entos son los sig u ien te s:
clearsigrr. se une la firm a digital al contenido del archivo, el cual no se cifra.
s : se une la firma digital al contenido del archivo, el cual se cifra con la clave privada, como resultado tenem os
un archivo binario. S e em plea para firm ar archivo s binarios, com prim idos, e je cu tab le s, etc.
b\ firm a y m e n sa je están contenidos en archivos sep arad os.
A m odo de ejem plo podem os re a liza r: gpg -- clearsig n docum ento, tendrem os a la salida un archivo docum ento,
ase, donde el contenido no está cifrado y se en cuentra firm ado digitalm ente al final, entre begin y end pgp
sígnature.
Para ve rifica r la valid ez de las firm as digitales em p learem o s la opción - -verify, teniendo en cuenta que la entidad
o usuario que quiera re alizar la com probación de nuestra firm a deberá ten er nu estra clave pública disponible, es
d ecir im portada p reviam ente.
En la figura vem os d esp ués de e je cu ta r: gpg -b - a docum ento, generando de este modo una firm a sep arad a del
d ocum ento, denom inada d o cum ento.ase, una verificación de dicha ñrm a.
root@ubuntu:/Hoae/aluano/Docuaentos/Confidenclal* cat documento.ase
..........BEGIN PGP SIGNATURE Versión; GnuPG v i . 4.9 IGNU/Limix)
lEYEABECAAYFAI(0JM/HftCgkQtyTKi(R}582vHQACl36*+NAx7YNMIlvAgirtjakop«7E
KDUAn31zmfO(lqMqCBrlhHOesbvw4kv
=9U«r
•
ENO PGP SIGNATURt
root<M><intu:/hoaw/aluwio/Docui»entos/Conf ¡dencial» gpg -ve rify documento.ase
gpg: Firmado e l « l í 15 dlc 2818 22:32:35 CET usando clave OSA ID 18F9FJ6B
gpg: F in « correcta de 'Jesús Costas 2 (Generación de claves 21 «Jcostas$nall .c a o *
CERTIFICADOS DIGITALES
Según puede in terp retarse de los apartados anteriores, la eficacia de las operaciones de cifrado y firma digital
b asa d as en criptografía de clave pública solo está garantizada si se tiene la certeza de que la clave privada de los
u su ario s solo es conocida por dichos usuarios y que la pública puede ser dada a conocer a todos los dem ás usuarios
con la seguridad de que no exista confusión entre las claves públicas de los distintos usuarios.
P a ra g aran tizar la u n icid a d d e las cla v es p rivad as se suele recurrir a so p o rtes físico s tales como tarjetas
in telig en tes (SrnartCcirds) que g aran tizan la imposibilidad de la duplicación de las claves. Además, las tarjetas
criptográficas suelen estar protegidas por un núm ero personal o PIN solo conocido por su propietario que garantiza
que, aunque se extravíe la tarjeta, nadie que no conozca dicho núm ero podrá hacer uso de ella. Como caso particular
encontram os el DNI electrónico o DNIe.
122
© RA-M A
5 ■C R IP T O G R A F ÍA
Por otra parte, para asegurar que u n a determ inada clave pública pertenece a un usuario en concreto se utilizan
los c e rtifica d o s d ig ita le s o d o cu m en to e le c tr ó n ic o q ue a so cia u n a cla v e p ú b lica con la id e n tid a d de su
p ro p ieta rio .
En general un ce rtifica d o d igital es un a rc h iv o que puede em plear un software para firm ar d ig ita lm en te
a r c h iv o s y m e n sa je s por ejemplo de correo electrónico, en los cuales puede v e r ific a r s e la id e n tid a d d el
firm an te.
Como ejemplo encontram os los certificados digitales que identifican a personas u organizaciones, y que contienen
información sobre u na persona o entidad, nombre, dirección, m a il, el ám bito de utilización de la clave pública, las
fechas de inicio y fin de la validez del certificado, etc., así como una clave pública y una firm a digital de una autoridad
certificadora u organismo de confianza, en E spaña La Casa de la Moneda y Timbre. E n el apartado siguiente veremos
la im portancia de las autoridades certificadoras.
El formato están d ar de certificados digitales es X.509 y su distribución es posible realizarla:
Con clave privada (suele tener extensión *.pfx o * .p l 2 ) más seguro y destinado a un uso privado de exportación
e im portación posterior como método de copia de seguridad.
Solo con clave pública (suele ser de extensión *.cer o *.crt), destinado a la distribución no segura, para que otras
entidades o ususarios tan solo puedan verificar la identidad, en los archivos o m ensajes firmados.
irfti r'ji
:
E n tre las a p lic a c io n e s de los certificados digitales y el DNIe encontram os, realizar com pras y comunicaciones
seguras, como trám ites con la banca online, con la adm inistración pública (hacienda, seguridad social, etc.) a través
de Intern et, etc.
I PRÁCTICA 5.7
U T IL ID A D E S DE C E R T IF IC A D O S
Los certificados digitales son de gran utilidad hoy en día y nos sirven principalm ente para g aran tizar la autenticidad
y g en erar confianza de m e n sa je s, inform ación y sitios web, en tre otras ap licacion es.
1 ) En prim er lugar an alizare m o s com o una visu a liza d ó n del certificado digital nos puede se rv ir para ate stig u ar
la veracid ad de un sitio w eb:
En los n aveg adores web, cuando visitam os sitios web seguros (h ttp s) que poseen form ulario de envío de
cred en ciales o de datos privados que deben s e r enviados de form a seg ura, se m uestra un candado en la
parte inferior derecha del navegador. Pulsando sobre él podrem os ve r su certificado digital, así com o la
entidad certificadora.
123
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
C
hW
Wtp* f/kon.rehee t<wV<orAQ/bflr_»«#yZ7.rwl-««6LWC-iwi
O<o
«UMttttf
M ir a d o « t f C u rtan » Iré* t * firm
/ * »«V«A—í *<
■ V x n o p f.
H .l 'Ti L1t / |XÍI^.É~
Introduce tu*
datos.
Ganard MMftn
i
¿ ÍA n piaMfMo/ l i
rvcprtaro
i ClMWMlO
(«ir Mila wrb n
1 p*>iCAwa4o
Iqufw
inai rie t r f l lindo* 'le fio yihoo
i frr cartftado |
I i l r <r r tfk aóo Sa itdo vfrtk td o para Im iiq u m ln u
CartfeatodtfMiYidor 3*.
•*«&• cuta (CH)
0rgancacbn(0 )
rfl^oona»
r^oo' Ine
undad
a*iú*c
A«9j«rdadMj
(00) »af»»
(mudo par
NanfcracomnfOO
Orgarcaaóft(O)
tgjfa»
it*ladc»>3rt?Jí)o(Cv»
Vaftdo/
iacura Carlini* *otfcr*>
L iA to «
OI/OlfHX*
tjvrarf
04/01/2011
*jrfad0Ld5Mál
tl.01.SC4F'9fr9'A& Ce.jDA.tt:¿» ¿0CO.IV 9» WffcW.lM*
Bi<*4r£MfciC9fc2Ci3h(ci?
rajrfadgtrfMD*
¿.No oenei O de Vaheo»?
2 ) Los certificados personales o de entidad pueden se r instalados en el siste m a operativo, en ap licaciones
como naveg ad ores web o clientes de correo electrónico, para posibilitar acceso s a páginas web seg u ras y
cifrar m e n sa je s, elim inando el uso de cre d e n ciale s escritas por teclado. A continuación ve m o s las opciones
de Mozilla Firefox; en su pestaña A vanzado podem os v is u a liz a r los ce rtificad o s in sta lad o s y re a liza r
accio nes de exp ortacion es o v e r sus atributos.
lita r M u t u ile « ! «
IM /IN A i ÍID 6 4 ? f/ I t W «V IA IO K I f lf U f
NCH»t COSTA? 5AKT05 X5U5 -*Gf Í7XT40V»
Car«lóate
GjanJo in Mr*úor rmx—é nacart#«ate parvrat
'jttM cnam ajta^luwl«
•>
[urt»4»trrocaoiJn I | g^diodo ] Itepo«»««da«a?sttad
A
A nno
r [rVcr^anon Oí ta dma piMta ód * 4*0
álQcrtmo 0* U dava pübkca M «usto
Om p i H u M m *
- U m cm
tm mtn
dtf aui lo M carffKato
ftatenreor«* ^fcncai da cartfkads
ldertf acador di obm C? S3 lt)
U lu o o n da ki d a * da cwrttcado
___
P**Ua <1024
a4 M ">1 *1 N I I TI kl n b< H « k ) >i
?» V» 1| s í fe-a «I ft I» 1« r «7 >a >« 01 I
¿« 1« «.« ©I a» «•' t* C1 ■
»* S> •> Tl al ti I
t i 11 <! 4< la K (« n 14 ) ) 4t O i ;
f* «* n c* M CO l ' *: fa A •> 44 I I 43
t : » k I I t« ce 71 » 14 I I cO ic kf Oa i
4a U <1 l i C la 04 >1 ta kl ta 10 k+ «*
1( «4 IV * tO <1 «a » M >4 i l I I X 1« i
I
124
jg
© RA-M A
S ■C R IP T O G R A F ÍA
TERCERAS PARTES DE CONFIANZA
U na vez definido el concepto de certificado digital se plantea una duda: ¿cómo confiar si un determ inado certificado
es válido o si está falsificado? La validez de un certificado es la confianza en que la clave pública contenida en el
certificado pertenece al usuario indicado en el certificado.
La m anera en que se puede confiar en el certificado de un usuario con el que nunca hemos tenido ninguna relación
previa es m ediante la c o n fia n za en te rce ra s partes.
La idea consiste en que d os u su a r io s p u ed a n con fiar d ir ecta m en te e n tr e sí, si am bos tien en re la c ió n con
u n a tercera p arte y q u e é sta p u ed e dar fe de la fia b ilid a d d e los dos.
La necesidad de una Tercera P arte Confiable (TPC o TTP, Trusted Third Party) es fundam ental en cualquier
entorno de clave pública de tam año considerable debido a que es im pensable que los usuarios hayan tenido relaciones
previas antes de intercam biar información cifrada o firmada. Además, la mejor forma de perm itir la d istrib u ció n
d e la s cla v e s p ú b lica s (o c e rtifica d o s d ig ita le s) de los distintos usuarios es que algún agen te, en quien todos los
usuarios confien, se encargue de su publicación en algún repositorio al que todos los usuarios tengan acceso.
En conclusión, se podrá tener confianza en el certificado digital de un usuario al que previam ente no conocemos
si dicho certificado está avalado por una tercera parte en la que sí confiamos. La form a en q u e esa tercera p a rte
av a la ra q u e el certifica d o e s de fia r es m ed ía n te su firm a d ig ita l sob re e l certificad o.
Por tanto, podremos confiar en cualquier certificado digital firmado por una tercera parte en la que confiamos. La
TPC que se encarga de la firma digital de los certificados de los usuarios de un entorno de clave pública se conoce con
el nombre de A u torid ad d e C ertifica ció n (AC).
El modelo de confianza basado en Terceras P artes Confiables es la base de la definición de las In fra estru ctu ra s
de C lave P ú b lica (ÍCP o PKI, Public Key Infrastructures), formado por:
Autoridad de certificación (CA): em ite y elimina los certificados digitales.
Autoridad de registro (RA): controla la generación de los certificados, procesa las peticiones y com prueba la
identidad de los usuarios, m ediante el requerim iento de documentación de identificación personal oportuna.
Autoridades de repositorio: alm acenan los certificados em itidos y eliminados.
Software para el empleo de certificados.
Política de seguridad en las comunicaciones relacionadas con gestiones de certificados.
DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO (DNIE)
El Documento Nacional de Identidad (DNI), emitido por la D irecció n G en eral d e la P olicía (Ministerio del
Interior), es el documento que acredita, desde hace más de 50 años, la identidad, los datos personales que en él
aparecen y la nacionalidad española de su titular.
Con la llegada de la Sociedad de la Inform ación y la generalización del uso de In tern et se hace necesario adecuar
los mecanismos de acreditación de la personalidad a la nueva realidad y disponer de un instrum ento eficaz que
traslad e al mundo digital las m ism as certezas con las que operamos cada día en el mundo físico y que, esencialm ente,
son:
A creditar electrónicam ente y sin posibilidad de duda, la identidad de la persona.
F irm ar digitalm ente docum entos electrónicos, otorgándoles una validez ju ríd ica equivalente a la que les
proporciona la firma m anuscrita.
125
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
Para responder a estas nuevas necesidades nace el D ocu m en to N a cio n a l d e Id en tid a d e le c tr ó n ic o (DNTe),
sim ilar al tradicional y cuya principal novedad es que in corp ora un p eq u e ñ o circ u ito in teg ra d o (chip), capaz
de guard ar de forma segura, m ediante medidas específicas de seguridad para im pedir su falsificación, información
en formato digital como:
Un certificado electrónico para autenticar la personalidad del ciudadano.
Un certificado electrónico p a ra firm ar electrónicam ente, con la m ism a validez ju ríd ica que la firm a
m anuscrita.
Certificado de la Autoridad de Certificación emisora.
Claves para su utilización.
La plantilla biom ètrica de la impresión dactilar.
P ara la utilización del DNI electrónico es necesario contar con determ inados elementos:
H ardw are específico: lector de tarje ta s inteligentes que cum pla el están d a r ISO-7816. E xisten d istin tas
implementaciones, bien integrados en el teclado, bien externos (conectados por ejemplo vía USB).
Software específico: m ediante controladores o módulos criptográficos que perm itan el acceso al chip de la
tarjeta y, por tanto la utilización de los certificados contenidos en él. En Windows es el servicio Cryptographic
Service Provider (CSP). y en los entornos GNU/Linux o MAC el módulo criptográfico se denom ina PKCS#11.
REFERENCIAS WEB
Web especializada en aplicaciones de seguridad y criptografía:
http:I I www.kriptopolis.org/
Taller de criptografía:
http:! / www.cripto.es/
Libro electrónico sobre criptografía avanzada:
http: / / www. criptored. upm .es/guiatcoria /gt_m001a. htm
Web de la Fábrica Nacional de M oneda y Tim bre, A utoridad de Certificación y expedición de certificados
digitales:
http: / / www.eert.fmnt.es /
Cam erfirm a. Web de las cám aras de comercio con información sobre certificados digitales:
http:! / www.cam erfirm a.com !
Web del DNI electrónico. M inisterio del interior:
http :/ / www.dnielcctromco.es !
Información práctica sobre el DNI electrónico:
http :! ! www.dnielectronico.eu!
126
© RA-M A
S ■C R IP T O G R A F ÍA
RESUMEN DEL CAPITULO
Desde los orígenes de la hum anidad los mensajes que se transm itían se han intentado realizar de
tal modo que no se pudieran entender por cualquier persona que lo interceptara. La crip tografía , arte
o ciencia de cifrar y descifrar información m ediante técnicas especiales, se em plea frecuentem ente para
perm itir un intercambio de m ensajes que solo puedan ser leídos por personas a las que van dirigidos y que
poseen los medios para descifrarlos.
El cifrado es el proceso de convertir un texto plano en uno ilegible, denominado texto cifrado. Existen
dos métodos criptográficos, principalm ente:
C rip tografía sim étrica: con una m ism a clave para cifrar y descifrar mensajes. Im plem entada en
algoritm os como DES, 3DES, Blowfísh e IDEA, RC5 y AES.
C rip tografía asim étrica: cada usuario posee u na pareja de claves, una clave privada que no se
d ará a conocer, y u n a clave pública que será conocida por el resto de los usuarios con los que quiera
comunicarse. Im plem entada en algoritm os como Difííe-Hellman, RSA, DSA, ElGamal.
Alguna de las a p lic a c io n e s a c tu a le s de la criptografía sim étrica, por su m enor coste computacional,
es el envío y recepción de m ensajes largos o el cifrado de sistem as de ficheros.
H erram ientas software como PGP o en comunicaciones TCP/IP, protocolos como SSH o la capa de
seguridad TLS/SSL, utilizan un cifrad o h íb rid o formado por la criptografía asim étrica para intercam biar
claves de criptografía sim étrica y la criptografía sim étrica para la transm isión de la información.
U na de las principales ventajas de la criptografía de clave pública o asim étrica es que ofrece un método
p ara el desarrollo de la firm a d ig ita l o resultado de cifrar con clave privada el resum en de los datos a
firmar, haciendo uso de funciones resum en o hash, y garantizando la autenticación y el no repudio en el
origen de los datos.
O tra de las aplicaciones del cifrado asim étrico es la creación y uso de c e r tific a d o s d ig ita le s o
documentos electrónicos (archivos) que asocian una clave pública con la identidad de su propietario.
Una de sus aplicaciones m ás destacadas a nivel mundial es el DNI e le c tr ó n ic o (DNIe) sim ilar al
tradicional y cuya principal novedad es que incorp ora un pequeño circuito integrado (chip), capaz de
g u ard ar de forma segura información como el certificado digital del propietario.
P ara el uso de certificados digitales confiables es necesario crear un modelo de confianza basado en
Terceras Partes Confiables e im plantar In fraestru ctu ras de Clave P ú b lica (ICP o PKJ, Public Key
Infrastructures), que incorporen autoridades de certificación y registro como interm ediarios en el uso de
certificados digitales.
127
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
EJERCICIOS PROPUESTOS
1 . In v estig a acerca de los d istin to s m étodos de
cifrado que se em plearon en la 2a G uerra M undial y
concretam ente sobre Enigm a. ¿Cuál era su palabra
clave?
6 . R ealiza los trá m ite s p ara la obtención de tu
certificado digital.
¿Dónde lo tienes que descargar? ¿Dónde tienes que
ir a recogerlo? ¿Qué caducidad posee? Instálalo
en In tern et Explorer y Mozilla Firefox. Realiza
una copia de seguridad con contraseña privada, y
elimínalo de un PC inseguro al que puedan acceder
otros usuarios. Una persona que acceda a nuestro
equipo en el que tenemos instalado un certificado
digital, ¿puede acceder a distintos sitios web de
información personal de tipo legal?
2. Realiza un scri.pt para GNU/Linux que perm ita
m ediante un m enú de opciones seleccionar entre los
diferentes comandos (gpg simétrico, asimétrico, firma
digital, revocación, publicación de claves públicas,
etc.) y scripts (sustitución y transposición) que hemos
visto a lo largo de las prácticas del capítulo.
3. Busca información acerca de qué es y para qué
sirve la esteg a n o g ra fía . Introduce un mensaje de
texto o una fotografía dentro de un archivo de música,
im agen o vídeo, m ediante algún software específico
bajo Windows como PicCrypt, Xiao Steganography
o S teg an G o bajo G N U /Linux como OpenStego.
Com prueba que es posible recuperar el m ensaje o
archivo oculto.
7. Realiza una búsqueda de los servicios de em presas
como bancos, y de la a d m in istració n pública
(seguridad social, hacienda, etc.) a los que se puede
acceder de forma segura, m ediante certificado digital
y m ediante DNIe.
En caso de disponer de certificado dig ital y/o
DNI electrónico intenta acceder de forma segura
a alguno de los servicios comentados e indica el
proceso de acceso y las posibilidades que te ofrece
el servicio. ¿Consideras estos servicios útiles para
el ciudadano? ¿Para qué colectivos especialm ente
pueden ser útiles estas aplicaciones?
4. Revisa en la web www.cam erfirm a.com , uno de
los usos que tiene el certificado digital para la firma
y el envío de correos electrónicos con certificado
digital, describe el proceso. ¿Qué garantiza? ¿Qué es
S-MIME? Explica una posible utilidad que tendría el
uso de certificado digital para m inim izar el spam.
8.
5. Busca qué Autoridades Certificadoras Adm itidas
de certificados digitales existen en España. Describe
el proceso p ara la obtención del certificado digital,
p ara ello visita la web w w w .fnm t.es. ¿Es válido para
todos los navegadores web? ¿Puede em plearse para
firm ar otro tipo de archivos? ¿Es posible exportarlo o
solam ente se puede em plear en un solo equipo? ¿Qué
precauciones podemos ten er con el certificado digital
en cuanto a protección m ediante contraseñas en la
exportación?
128
Qué diferencias existen en tre la instalación de
un certificado en un servidor web y un servidor de
certificados. Busca cómo se instala y qué opciones
ofrece el servidor de certificados integrado en el
servidor US de Microsoft. Realiza una petición por
parte de un cliente de un certificado digital.
9. Investiga acerca de la aplicación OpenSSL. ¿Qué
tipo de algoritm os em plea? ¿P ara qué sistem as
operativos se encuentra disponible? ¿Qué utilidades
posibilita?
© RA-M A
5 ■C R IP T O G R A F ÍA
TEST DE CONOCIMIENTOS
Indica qué sentencia es falsa con respecto al DNIe:
Posee la m isma utilidad en In tern et que el DNI
anterior.
Posee mucho m ás nivel de seguridad que el
anterior.
Lo poseen actualm ente m uchas menos personas
que el anterior.
Exige un hardw are b astan te económico para
emplearlo.
Con el certificado digital y eí DNIe todavía no puedo
realizar trám ites como:
Acceder a la declaración de la renta.
R ealizar devoluciones oniine de un producto.
Averiguar mis datos de la Seguridad Social.
Pedir una cita para el médico.
E n un siste m a criptográfico el aspecto m ás
im portante es:
Longitud de la clave.
La asim etría.
La clave.
Tiempo de cifrado.
¿Cuál de estos tipos de mecanismos de identificación
no poseen validez alguna todavía?
DNIe.
Firm a digitalizada.
Firm a digital.
Certificado digital.
La codificación RSA-3, es un método:
Asimétrico.
Simétrico.
Hash.
Híbrido.
¿Qué tipo de cifrado se em plea en este comando
gpg'-c?
Asimétrico.
Simétrico.
Hash.
Firm a digital.
Híbrido.
¿Para qué se emplea este comando gpg -b ?
Cifrado Asimétrico.
Cifrado Simétrico.
Publicación de clave pública.
Firm a digital.
Cifrado Híbrido.
¿P ara qué se em plea este com ando gpg --sendkeys?
Cifrado Asimétrico.
Cifrado Simétrico.
Publicación de clave pública.
Firm a digital.
Híbrido.
129
Ö
U
U
ü
rJ
tj> U
U
U
ü
/ Valorar los nuevos peligros
derivados de la conexión a redes.
/
Adoptar medidas de seguridad
en redes corporativas o
privadas tanto cableadas como
inalámbricas.
/
Analizar las principales
vulnerabilidades de las redes
inalámbricas.
/
Comprender la importancia de
los puertos de comunicaciones
y las amenazas existentes en
protocolos poco seguros.
/
Conocer y emplear protocolos
y aplicaciones seguras en
comunicaciones.
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
AMENAZAS Y ATAQUES
Sin im portar si están conectadas por cable o de m anera inalám brica, las redes de ordenadores cada vez son m ás
esenciales para las actividades diarias. Los ataques e intrusiones de personas no autorizadas a través de las redes
públicas y privadas cada vez son m ás frecuentes, y pueden causar interrupciones costosas de servicios críticos y
pérdidas de trabajo, información y dinero.
De forma genérica las am en azas en comunicaciones podemos dividirlas en cuatro grandes grupos:
In terru pción : un objeto, servicio del sistem a o datos en u n a comunicación se pierden, quedan inutilizables o
no disponibles.
In tercep tación : un elem ento no autorizado consigue un acceso a un determ inado objeto.
M odificación: adem as de conseguir e) acceso consigue modificar el objeto, es posible incluso la d estr u c ció n
una modificación que inutiliza al objeto afectado.
Fabricación: modificación destinada a conseguir un objeto sim ilar al atacado de forma que sea difícil distinguir
entre el objeto original y el “fabricado”.
En la figura se m uestran estes tipos de ataque de una forma gráfica:
F lu jo normal de información entre emisor y receptor y posibles amenazas: fa) interrupción, (b) interceptación, ( o modificación y (ti) fabricación
Como ejemplos prácticas de dichas am enazas, encontram os diversas té c n ic a s d e ataq u es in fo rm á tico s en
r e d e s. Algunos son:
A taque d e d en eg a ció n d e servicio: tam bién llamado ataque DoS (Deny o f Service), es un caso específico de
in terru p ció n de sen-icio. Causa que un servicio o recurso sea inaccesible a los usuarios legítimos, norm alm ente
provocando la pérdida de la conectividad de la red por ei consumo del ancho de banda de la red de la víctima o
sobrecarga de los recursos computacionales del sistem a de la víctima. M ediante botriet o redes zombi se pueden
llegar a controlar cientos o miles de m áquinas para realizar ataques distribuidos de saturación de servidores
o DDoS.
S niffin g, es una técnica de in tercep tación : consiste en ra stre a r monitorizando el tráfico de una red.
132
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
M an in th e m iddle: a veces abreviado MitM, es un caso específico de in terc ep ta ció n y m o d ifica ció n de
id e n tid a d . Un atacante supervisa una comunicación en tre dos partes, falsificando las identidades de los
extrem os, y por tanto recibiendo el tráfico en los dos sentidos.
Spoofm g: es una técnica de fab ricación , suplantando la identidad o realizando una copia o falsificación, por
ejemplo encontram os falsificaciones de IP, MAC, web o m ail.
P h a rm in g : es una técnica de m o d ific a c ió n . M ediante la explotación de u n a vulnerabilidad en el software de
los servidores ÜNS o en el de tos equipos de los propios usuarios, perm ite modificar las tablas DNS red ¡rigiendo
un nombre de dominio (domain ñame) conocido, a otra m áquina ( IP ) distinta, falsificada y probablem ente
fraudulenta.
i
A n a liz a la n o ticia " Tabnabbing; phishing a tra v é s d e la s p e s ta ñ a s del n a ve g ad o r'', e n c o n tra d a en
http://w w w .hispasec.com /unaafdia/423l , e in d ica :
•
¿ Q u é tipo de a m e n a z a d e la s a n te rio rm e n te v is t a s su p o n e el Tabnabbing ? ¿ C ó m o fu n c io n a ?
•
¿ Q u é tipo d e m e d id a s d e p re c a u ció n p o d e m o s to m a r a n te e s te tipo de a m e n a z a ?
A continuación veremos una serie de prácticas en las que se em plean dichas técnicas.
PRÁCTICA 6.1
S n iffin g - MitM - A R P Sp oo fin g - P h arm in g
La m onitorización del tráfico de red es un aspecto fundam ental para a n a liza r qué está sucediendo en la m ism a, y
poder tom ar precaucion es y m ed idas de seguridad en la m ism a.
H erram ientas como W ire sh a rk, NMAP o Caín & Abel perm iten re alizar una m onitorización de qué equipos se
en cuentran conectados en una red y qué puertos y ap licaciones utilizan.
En nuestro caso vam o s a re alizar una se rie de p rácticas que perm iten ve r las vulnerab ilidades de protocolos com o
ARP y DN S, y de este modo tom ar cie rta s precauciones.
E m p le a re m o s una h e rram ien ta para siste m a s W indows denom inada Cain & Abel, aunq ue para G N U /Linux
podem os em p le ar Ettercap que posee sim ilares p restaciones.
En prim er lugar seleccio n arem o s la pestaña superior Sniffer y la inferior Hosts. Pulsarem os sobre el botón su p erior
de sniffing, e sca n e a rá nuestra red local y nos dará inform ación (IP y MAC) de qué equipos se en cuentran en red
con nuestro equipo.
133
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
*) © & «inm +
*
j
o ? ft
y ■■s u a » '
\j
i< >
Iti
T ñ c ^ r r y
I # 1m Iw Ito f
IU 1 M .0 I
)*M «64).JS
197 1 « 0 . IJ
OOKOlíSOGM
OOI6CF7TOSD
00]fc+UÓ«?2S
TV—icntre
AStlV CC*WTW CO«#.
UIT-CN Ttcfocfegr Gerp
AHP I n i (llroadcMt 8 bit)
Ia>«*•*i©**« i+ ■<>*«i»~wnii
| VffVJ
|
ARP PO ISO N IN G
El ARP Spoofing, tam bién conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse
en una red E th e rn e t conm utada (b asad a en switch y no en hubs), que puede p erm itir al atacan te m onitorizar
p aqu etes de datos en la LAN (red de área local), incluso m odificar el tráfico.
El principio del ARP Spoofing es e n via r m e n sa je s ARP falsos (falsificad os, o spoofed) a los equipos de la LAN.
N orm alm ente la finalidad es a so cia r la dirección MAC del atacan te con la dirección IP de otro equipo, como
por ejem plo la puerta de en lace p redeterm inad a (g a te w a y ). De esta form a cualq uier tráfico dirigido a la dirección
IP de ese equipo suplantado (p o r ejem plo el g a te w a y ), se rá enviado al a ta ca n te , en lugar de a su destino real. El
a ta ca n te , puede entonces elegir, entre re e n v iar el tráfico a el equipo real (ataq u e pasivo o escu ch a , em pleado en
MitM) o m odificar los datos a n te s de reenviarlos (a ta q u e activo).
-. * »
¿
O taxK n
»
H
-r.
W w l
+
j
w t»
|y
o
q. y e j ■ §o a a ^8
Otam 1 « i. « — a | n « n u l Y
r rtlw i
i
r ft
Lì) o—
1
•:
N o kUP Poten Haul ni«
VMIMNGW
onft* >gNtonta*
fYM'Nrf MC* Ku
W fi w u b n you lo h)K> # W k t * n —r 9-m i—r«>J hr»*/ <*■.9 * )r* te* w*j
« O n hüiKitt« MH p^awrc» ti *
éc0mhL *1 vi )u i LAN
y
mtiijii
iviMüii
v s z tc a o ii
youtoAl cjum DOS4 youmi AFfl
w>c
oi^ctisoco
oia72xnD
anuu&m
|
/ t&iiw»fMXH
.
134
liS«» H- »wn l!\
i»*
|
O»
|
C ro l
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Para re a liza r un ataqu e ARP Poisoning o de en ve n en am ien to ARP, se le ccio n am o s la p estaña inferior APR, y
p ulsarem os el botón su p erio r + . Seleccio n arem o s de los equipos de nu estra LAN, por qué equipo querem os
hacernos p asar (colum na izq uierda) y en qué equipos q uerem os infectar su tabla ARP (colum na d e re ch a) con una
entrada de nuestra MAC asociad a a la IP del equipo a suplantar. En este caso el equipo por el que nos harem os
p asar se rá la puerta de en lace (1 9 2 .1 6 8 .0 .1 ) , ya que la m ayoría del tráfico irá dirigido a este equipo.
C : \ D o n m r iit o
m u! S o t t in 'ja \< ftd n tfiX ir p
I n t r r Í A . ' . 192 .1 611 .» .1 1
D i r e c c ió n IP
1 9 2 .1 6 8 .f t. 1
C :\D o c iu ia n t v « m i S e t t in(jt> V A d « ifi> a rp
I n t e r i n e : 1 9 2 .16U .(J. 11
D ir e c c ió n IT
1 9 2 .IC H .11.1
1 9 2 .1 6 8 . I t . Iff
¥
«
H *2
D ir e c c ió n f i e l e «
M T 2 4 -4 1 2% -MU-2H
Tipt»
d in A n lc o
*
Mw2
D ir e c c ió n ( i - l e «
M
HU 1 B - d « -2 2 - V « -* 5
I ip o
d Í¿ M Ío i
d in iír i ic o
1
Podemos ve r el an tes y desp ués de dicho envenenam iento en uno de los equipos infectados: 1 9 2 .1 6 8 .0 .1 1 . En
prim er lugar la MAC de la puerta de en lace o router era 0 0 - 2 4 - d l- 2 5 - 0 0 - 2 0 , a continuación d esp u és de re alizar
el en venen am ien to disponem os de 2 en trad as con la m ism a MAC, del equipo que va a recib ir todo el tráfico que
vaya dirigido a la puerta de enlace.
Medíante esta técnica es posible m onitorízar el tráfico que va dirigido al router y rastre ar protocolos no seguros
como FTP, HTTP, POP, SMTP, Telnet o FTP, y de esta forma obtener cre d e n cia le s.
PHARMING
Es posible re alizar una inserción en las tab las locales de nom bres de dom inio, posibilitando un redireccionam iento
a una IP con una web falsa. Seleccion and o la pestaña inferior APR, y la opción APR-D N S podem os c re a r en trad as
de nom bres de dominio con IP falsas.
a a
-j * © s* » £* + j
¿
Dtodert
HKwwri
W I« I , /
O e&m | 0
fiK a o J e
|E
• o t ii
CCCU |*H'
5Ç75T
E3 AP*<frt (4)
£ , APR-CW5
■ WH.-55M-1 <0)
5 A?*-HTTP5(0)
A*<-0£*>(0)
â «*-FTP5(0)
5 AW-P0f>3S(0)
5
APP-IHAP3 (05
5 *P«-iWSP5(0)
5
AP©-SP5(0)
Vem os com o desp ués de re alizar DNS spoofing, en unos de los equipos afectad o s, al hacer ping a google nos
envía a una dirección IP falsa.
L ':s lK ic iin n n t>
iu c i c n i l o
<ind líe t t in g ? ''« d m n > p in n w u u .g o n g le
p l» v *
l. t f n a if le .c iiM
( 1 9 2 .1t»8. H.1 I co n 32 b y t * :
<tn d a t o s :
« r s p i a o t j i d e sd e 1 9 2 .1 6 8 .H .1 : b y t r t -32 1 le n p n -23n= FTL 64
R r a p io ^ U ilc a d e I 92 .1 M I . » . I : b y t r t '3 2 I ie n p u *13«*. I VL - •»"f
l ’** •• jm r - l j d e n le 1 9 2 .1 6 8 .11.1 : liy le a 32 l l n i p u - t n t I I I . 6-1
Las falsificaciones de sitios web donde se hacen uso de cred enciales m ediante form ularios, ponen en peligro
nu estras co n traseñ a s y por tanto la privacidad e integridad de nu estros datos. En el ejem plo se han realizado
falsificado w ebs de acceso a correo electrónico de yahoo.
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
Recom endaciones
Para e v ita r este tipo de ata q u es se recom ienda en tre otras acciones, el uso de tab las ARP e stá tica s, o al m enos,
en tra d as e stá tica s como la que da acceso a la puerta de en lace, ya que la m ayoría del tráfico pasa a trav és de
esta IP. S e puede re a liza r m ediante el com and o: arp - s
IP MAC.
C:\WfNDOWSt\iyslcm32Vcmd.cw
H ic r o s n fi
( U o r s in n S . 1 . 26 BB )
198S-2WW1 M ic r o s o ft C orp .
W in d o w s XP
<C) C o p y rig h t
C :\D o c u n c n ta
« m i S e tt in f j3 V J o - u i2 > A r p
I n t e r i n e » : 1 9 2 .U O . l i l i
liilr t* n o t
A d d ro c u
1 9 2 .1 6 0 .H. i
.1
0X2
P Ií u s í c a I f t d i l r r u r
I ypp
lili 24 .11 25* IIH 211
.tyn.inic
|c: vOocunrnt . .tml S o it ln«| •'.«1o^i»a2>«%P|i
1V2.16H.H.1
OI1-2*l-rit -2S HÍÍ-2H
0 11 1
|C : \D c rmr L t «uní S e t t i n y 3 V ^ l e a i i s 2 ) a r ¡ i
I u t o r f .ico : 192.160.11.1 1
Hm2
I n lo r t ir t A d d ro Q S
P h y c ic a l flildrous
1 92.160.H .1
BW 24 »11 2S-00 2Ü
Tyi>n
a t a tic
En redes gran d es con gran cantidad de adm inistración no es una buena solución, re alizar esta configuración a
m ano. Para esos caso s lo m ejor es m onitorizar los intentos de m odificación de tablas ARP, por ejem plo m ediante
softw are esp ecífico de detección de intrusos ( ID S ) com o SNORT, o específicos de intentos de duplicados ARP:
bajo G N U /Linux A rpw atch o en W indows D ecaffein atID o re a liza r una m onitorización esp ecífica m ediante
W ire sh a rk que es cap az de d etectar intentos de duplicados ARP.
En el caso de DNS spoofing, debem os tener especial precaución con las falsificaciones de sitios w eb, com probando
en los sitios web que en viam o s cre d e n ciale s ( mail, redes so cia le s, b anca, com ercio oniine, e tc .) que em plean
protocolos se g u ro s, como HTTPS, certificado digital que perm ita ve r su au tenticid ad, y otros asp ecto s com o la
veracid ad de su URL, o que nunca nos pedirán por otras vías de com unicación (teléfono o mail) el envío de dichas
cre d e n cia le s.
AMENAZAS EXTERNAS E INTERNAS
L as am enazas de seguridad causadas por intrusos en redes corporativas o privadas de u n a organización, pueden
o rig in arse tanto de forma interna como externa.
A m enaza ex te r n a o d e a cc eso rem oto: los atacantes son externos a la red privada o interna de una
organización» y logran introducirse desde redes públicas. Los objetivos de ataques son servidores y routers
accesibles desde el exterior, y que sirven de pasarela de acceso a la redes corporativa.
A m enaza in tern a o corporativa: los atacantes acceden sin autorización o pertenecen a la red privada de
la organización. De esta forma pueden com prom eter la seguridad y sobre todo la información y servicios de la
organización.
Con estos 2 frentes abiertos, veremos por un lado como defender la segu rid ad en la red corp o ra tiv a de forma
in te rn a (capítulo 6 ), y por otro como disponer de m edidas de p ro tecció n p erim etral (capítulo 7), en los equipos y
servicios que están expuestos a redes públicas.
136
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
P ara protegernos de las posibles a m e n a z a s i n t e r n a s algunas propuestas son:
R ealizar un buen diseño de dirección am iento, parcelación y servicios de subredes dentro de n u estra red
corporativa. P ara elío se em plean técnicas como, subnettíng, redes locales virtuales o VLAN y creación de zonas
desmi lita rizadas o DMZ, aislando y evitando que los usuarios puedan acceder directam ente en red local con
los sistem as críticos.
Políticas de adm inistración de direccionamiento estático para servidores y routers.
M onitorización del tráfico de red y de las asignaciones de direccionamiento dinámico y de sus tablas ARP.
Modificación de configuraciones de seguridad y, en especial contraseñas por defecto de la adm inistración de
servicios.
En redes inalám bricas em plear máximo nivel de seguridad.
SISTEMAS DE DETECCIÓN
DE INTRUSOS (IDS)
Un sistem a de detección de intrusos o IDS es una herram ienta de seguridad que in ten ta detectar o m onitorízar
ios eventos ocurridos en un determ inado sistem a informático en busca de intentos de com prom eter la seguridad de
dicho sistem a.
Los IDS buscan patrones previam ente definidos que im pliquen cualquier tipo de actividad sospechosa o maliciosa
sobre n u estra red o host, aportan a n uestra seguridad una capacidad de prevención y de alerta anticipada ante
cualquier actividad sospechosa. No están diseñados para detener un ataque, pero aum entan la seguridad de nuestro
sistem a, vigilan el tráfico de nuestra red, exam inan los paquetes analizándolos en busca de datos sospechosos y
detectan las prim eras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.
Los tip o s de IDS que encontram os son:
H ID S (Host IDS): protegen un único servidor, PC o host. M onitorizan gran cantidad de eventos, analizando
actividades con una gran precisión, determ inando de esta m anera qué procesos y usuarios se involucran en
una determ inada acción. Recaban información del sistem a como ficheros, logs, recursos, etc., para su posterior
análisis en busca de posibles incidencias.
NTDS (Net IDS): protege un sistem a basado en red. Actúan sobre una red capturando y analizando paquetes
de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que
supongan algún tipo de ataque. Actúan m ediante la utilización de un dispositivo de red configurado en modo
promiscuo (analizan en tiempo real todos los paquetes que circulan por un segm ento de red aunque estos nos
vayan dirigidos a ese determ inado dispositivo).
La arq u itectu ra de un IDS, a grandes rasgos, está formada por:
La fuente de recogida de datos. E stas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS
basados en host, el propio sistem a.
Reglas y filtros sobre los datos y patrones para detectar anom alías de seguridad en el sistem a.
Dispositivo generador de informes y alarm as. En algunos casos con la sofisticación suficiente como para enviar
alertas vía m a il, o SMS.
Con respecto a la ubicación del IDS se recomienda disponer uno delante y otro detrás del cortafuegos perim etral
de n u estra red, para obtener información exacta de los tipos de ataques que recibe nu estra red ya que si el cortafuegos
está bien configurado puede p arar o filtrar muchos ataques.
137
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PRÁCTICA 6.2
ID S - S N O R T
Sn o rt es un ID S o S iste m a de detección de intrusiones basado en red (N ID S ). Im p lem en ta un m otor de detección
de ataqu es y barrido de puertos que perm ite registrar, a le rta r y responder an te cualquier an om alía p reviam ente
definida com o patrones que corresponden a ata q u es, b arridos, intentos ap ro v ech a r alguna vulnerabilidad , an álisis
de protocolos, etc., conocidos. Todo esto en tiem po real.
Snort ( http://www.snort.org/) está disponible bajo licencia G PL, gratuito y funciona bajo plataform as W indows
y G N U /Linux. Es uno de los m ás usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así
com o actu alizacio n es co nstantes an te ca so s de ataqu es, barridos o vu lnerab ilidades que vayan siendo d etectad as
a través de los distintos boletines de seg uridad .
Puede funcionar como sniffer (podem os ve r en consola y en tiem po real qué ocurre en nuestra red, todo nuestro
tráfico ), registro de paquetes (p erm ite g uard ar en un archivo los logs para su posterior an álisis, un an álisis offüne)
o com o un ID S normal (en e ste caso N ID S).
1.
En p rim er lugar instalarem os la aplicación bajo GN U /Linux m ed ian te: aptitude install snort,
2 . Snort en modo Sniffer y registro de paq u etes: snort -d e v -I ,/log -h 1 9 2 .1 6 8 .1 .0 / 2 4 .
En e ste modo (d e v ) visu a liza rem o s las ca b ece ras de los paquetes TCP/IP, es decir, en m odo sniíferSnifíer.
modo verbouse (v) m ostrará las ca b ece ras IP, TCP, UDP y ICMP, visu a liza rá los cam pos de datos que pasan
por la interface de red (d ), y las ca b e ce ras a nivel de en lace (e).
Las opciones sig u ientes -I sirve para indicar el directorio de logs y -h para a lm a ce n a r registros de tráfico
de la red o host que se le indique.
3. Filtros: Para para m onitorizar tan sólo solo el tráfico deseado de un determ inado puerto, s e puede
indicar por ejem p lo: snort -vd host 1 9 2 .1 6 8 .1 .5 and dst port 8 080. En el cual solo se m ostrará el tráfico
del host 1 9 2 .1 6 8 .1 .5 con puerto de destino 8 080.
4. ID S : El el modo detección de intrusos de red se activa añadiendo a la línea de com andos de snort la opción
-c snort.conf. En este archivo , snort.conf, se guarda toda la configuración de las re g las, p rep rocesad ores y
otras configuraciones n e cesaria s para el funcionam iento en modo N ID S. Por tanto podem os e je cu ta r: snort
-dev -I ,/log -h 1 9 2 .1 6 8 .1 .0 / 2 4 -c . ,/etc/snort.conf.
5. Modos de alerta: Hay hay v a ria s m aneras de configurar la salid a de las a le rta s, el modo en que se
alm a cen a rán ésta s en el archivo a le rt.id s. S n o rt dispone de siete m odos de alertas en la línea de ó rden es:
completo, rápido, socket, syslog, smb (W inPopup), consola y ninguno.
C om o ejem plo, en modo de alerta com pleta (-A Full) nos d evolverá inform ación sobre: tiem po, m en saje de la
a le rta , clasificación, prioridad de la alerta, IP y puerto de origen/destino e inform ación com pleta de las cab eceras
d e los p aquetes registrad os.
snort -A full -dev -I ,/log -h 1 9 2 .1 6 8 .1 .0 / 2 4 -c . ./etc/sn o rt.co n f
138
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
TCP/TP es la arquitectura de protocolos que usan los ordenadores para comunicarse en In tern et y, actualm ente,
casi en cualquier otra red. E m plean p u ertos d e co m u n ica cio n es o n u m eración ló g ica que se a sig n a p ara
id e n tifica r cad a una d e las c o n e x io n e s de red, tan to en el origen com o en el d estin o. No tiene ninguna
significación física.
Los servicios de red más habituales tienen asignados los llam ados puertos bien conocidos, por ejemplo el 80 para
H TTP o web, el 21 para transferencia de ficheros FTP, el 23 para TELNET, etc.
T a b la 6 .1
Rango
Puertos
0 -10 23
S e rv icio s bien conocidos
1 0 2 4 -4 9 1 5 1
R egistrados
4 9 1 5 2 -6 5 5 3 5
D inám icos y/o privados
Servicios sobre puertos bien conocidos
20 y 2 1 : FTP
2 2 : SSH com unicación cifrada
23: Telnet no cifrado
24: SM TP y 110: POP3
53: DNS
8 0 : HTTP y 443 HTTPS cifrado
1 3 7 ,1 3 8 ,1 3 9 : N etBIO S com partir archivos e
im presora y 4 4 5 : SMB
Los d istintos sistem as y sus aplicaciones de red, ofrecen y reciben servicios a través de dichos puertos de
comunicaciones. Solo a través de un conocimiento y análisis exhaustivo de los puertos y las aplicaciones y equipos que
los soportan podemos asegurar n u estras redes. El análisis y control do los puertos se pueden realizar desde distintos
frentes:
E n u n a m á q u in a lo cal observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los
controlan.
El comando n e tsta t perm ite ver el estado en tiempo real de n u estra s conexiones.
Los co rta fu eg o s o firewall p erso n a les son una medida de protección frente a ataques externos.
E n la a d m in istra ció n d e red p ara ver qué puertos y en qué estado se encuentran los de un conjunto de
equipos.
La aplicación rnnap perm ite u.n escaneo de puertos, aplicaciones y sistem as operativos, en un rango de
direcciones.
Los co r ta fu eg o s y p roxys p erim etra les ofrecen protección m ediante un filtrado de puertos y conexiones
hacia y desde el exterior de u na red privada.
T ras realizar un análisis exhaustivo a nivel de puertos, debemos proteger n u estras conexiones, haciéndolas
seguras, por ejemplo cuando enviemos información confidencial.
139
© RA-MA
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
I PRÁCTICA 6.3
A N Á L IS IS DE P U E R T O S
M ediante el com ando ne tstat tanto en siste m a s GN U /Linux com o W indows podrem os a n a liz a r el estado de
n u e stra s conexiones y puertos. A modo de ejem p lo bajo W indows netsat -an o b , nos m ostrará un listado com pleto
m ostrando núm ero de puerto, estado (a la escu ch a , esta b lecid as, o cerrados a la e sp era ) y proceso responsable
de dicho estado. En GN U /Linux las opciones m ás co m unes del com ando son netsat -atu p .
Como vim os en el capítulo 1 n m a p es una aplicación de gran utilidad en el an álisis de puertos. Entre otras
ap licacion es se rv irá para la adm inistración de protocolos seguros en redes locales.
Scflp
l.oob
Target
fircM«
t)e*p
1 « . 166,1.0/24
rvnac>-*V T4-O-F —v w s o v ltf* I V . 168 1.0/2-1
htorti
j,
S«rucos
|
WMpOtfpüt Porti / Hotf* Toootogr H o* Otfefe j Scem
Port « Proteo* « s « « * Service « verton
192 168.1.37
192.166 1.36
Efflóe&fcd Alegro Porrf agw M tn « v« r 4.07 UPr*>/l .0 (ZVXI.L ZyWAU. 2)
192 168 1.1
fclrw) 19? 168.1.1
m
- n |x
]
□
Herrn 23
S y :t c h S e c u r it y
t . OMnnc Pftatuort)
2 . HADltÍE S r r v r r
11-M-.ÜH2 .1 a
Tras re alizar un an álisis de nuestra red ve m o s com o nm ap nos m uestra para la puerta de enlace 1 9 2 .1 6 8 .1 .1 , el
m odelo de fab ricante de nuestro router, y los puertos y servicios que ofrece, ftp FTP (2 1 ), telnetTelnet (2 3 ) y http
(8 0 ). En n u m erosas páginas web y en las propias del fab ricante a través de su m anual de configuración, podem os
en co ntrar listados con las co n traseñ a s por defecto de usuarios de adm inistración telnet y web.
Recom endación
C o ntro lar el estado de co n exio n es, ev itar protocolos inseg uros como Telnet, y configuraciones y co n traseñ a s por
defecto, ya que en caso de que un ata can te interno o extern o pueda a cce d e r a nuestra red o al control de un
sistem a im portante, podrá efe ctu ar una configuración no au torizad a, o incluso una denegación de servicio.
COMUNICACIONES SEGURAS
La m ayoría de las comunicaciones que empleamos en la red como HTTP, FTP o SMTP/POP, no em plean cifrado en
las comunicaciones. Aunque existen protocolos que em plean comunicaciones cifradas como SSH a través del puerto
2 2 , SSH, soportando incluso el envío seguro de archivos m ediante SFTP.
O tras a lte rn a tiv a s para establecer com unicaciones seguras entre
d istin to s niveles son:
140
2
sistem as cifrando las comunicaciones a
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
SSL y TLS: Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) y Transport Layer Security
-Seguridad de la Capa de T ransporte- (TLS), su sucesor. Se ejecutan en una capa en tre los protocolos de aplicación y
sobre el protocolo de transporte TC P E n tre otros se em plea a través de puertos específicos con: HTTPS , FTPS, SMTP,
POP3, etc.
IPSEC o Internet Protocol security, es un conjunto de protocolos cuya función es asegurar las comunicaciones
sobre el Protocolo de In te rn e t (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. Actúan en la capa
3 lo que hace que sea m ás flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y
U D P U na ventaja im portante frente a otros métodos que operan en capas superiores, es que para que una aplicación
pueda u sar IPsec no hay que hacer ningún cambio.
PRÁCTICA 6.4
S SH
S SH es un protocolo que perm ite acced er a m áq uin as rem otas y e je c u ta r com and os a través de una red, m ediante
una com unicación se g u ra cifrada a tra v é s del puerto 22. Perm ite copiar datos de form a segura (tanto ficheros
su eltos com o sim ular se sio n e s FTP cifra d a s), g estio n ar claves m ediante certificad o s para no escrib ir co ntraseñas
al co n e ctar a los d ispositivos y tran sfere n cia de datos de aplicacion es por un canal seguro tunelizad o de forma
sencilla.
En este caso práctico in sta lare m o s un se rvid o r de SSH al cual acced erem o s desde un intérprete de com andos
d esd e GN U/Linux y d esd e W indows.
1. Para ía instalació n del se rvid o r S SH en GN U /Linux ab rirem o s la consola y escrib ire m o s lo sig u ien te:
áptitude search ssh
Con este com ando estam os buscando algún paquete que coincida con nuestra búsqueda. Tras eje cu tar
dicha orden nos sald rán todos los posibles paquetes que tengan relación con el nom bre del paquete que
hem os introducido an terio rm en te. En la lista de paquetes encontrados, b uscarem os el paquete "opensshse rve r" que se rá et que tengam os que in sta lar en la m áquina que hará de servidor, una vez localizado
el nom bre exacto del paquete, escrib irem os en la consola la siguiente orden: aptitude install opensshserver.
Una vez instalado el servidor, ya podem os a c ce d e r desde cualq uier m áquina de la LAN o de fuera de ella.
2.
Para conectarnos al se rvid o r de ssh que hem os instalado an terio rm en te, cog erem os una m áquina cliente
G N U /Linux d istinta a la m áquina en la que está corriendo el se rv id o r de ss h , pero en red con ella.
R ealizarem os dicha operación m ediante el siguiente com and o: ssh direccio n_ip (si está dentro de la m ism a
red del se rvid o r) o ssh n o m b re_d e_d o m in io (si está en una red diferente a la del servid o r).
Al iniciar la conexión nos pedirá la contraseña de un usuario válido en el se rvid o r rem oto.
Si la au tenticación de la contraseña es co rrecta, ya podem os realizar cualquier acción en la m áquina rem ota
a trav és de la consola. Podemos a p re cia r que el nom bre de la m áquina cliente que ap a re ce en el prom pt
ha cam biado por el nom bre de ta m áquina servidora rem ota:
Una vez conectad o s, podrem os e je cu ta r com andos como por ejem p lo : lista r los archivos que hay dentro
del directorio "hom e" de la m áquina rem o ta:
141
<g> RA-M A
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
fre e rid e r jifre e rid e r-d e s k t
Archivo
Editar
yer
Terminal
Ayuda
freerid er@ Se rvid o r-s$h :-$ I s /home
frwrrider usuario
____
f reerider@ Servido r-ssh: ~S S Z B
logout
Connection to 192.168.1.19 c lo se d .
fre eríd er@ freerid er-d e skto p :~ S |
Una vez finalizad as las accio nes tendrem os que d esco n ectarn o s del se rvid o r ssh m ediante la siguiente
ord en : exit. Al e je cu ta r dicha orden verem o s com o nos da una confirm ación en la que nos dice que la
conexión con la ip rem ota ha sido cerrad a:
3 . S i querem os realizar la conexión m ed iante un cliente bajo sistem a operativo W indows, em p learem o s el
so ftw are específico P u t t y . Es un cliente SSH y telnet, de código abierto, podrem os in teractu ar con la
consola de Linux sin necesidad de e s ta r en una m áquina cliente con Linux.
Una vez instalado la configuración de la aplicación es sencilla. En la parte su p erior de la m ism a tenem os
el cam po "host ñam e (or ip ad d re ss)" en el que tenem os que introducir el nom bre de la m áquina remota
o bien su dirección IP. Tras introducirlo p ulsarem os en ""O pen":
’
|0 * w
M
1 S e ao n
Loggng
H
T em raí
Kettowd
1
X
r
F e a ii*»
fc W nto N
Acoearanca
Bahamas
Tonáaüon
B m c o d o ra for >cur PuTTY m —
Sp*cfy V * á m r t ^ c n you w m t to coonort (o
22
Hoat fian« jor IP «j6oaa)>
Poi
CorwecDon rypa
B »
la * «
nog*
«ssh
m
Load a « or ó e k t* a *ored !■— o r
Sovgd Sesmera
¡ Sffcctcn
C ocui
C o m ed ion
M s J í Scenga
fe o
i
D *»
Proxy
1
T «ir«
Lsad
S IJ I
fr te
fib g n
■b SSH
Sanai
1
,_____________ ,
jj
Oosa te n te * en s u
A+HSfi
N n«r
1
u O rt/ on oeart oad
__________________________
Op«n
J|
1
Acto seguido, nos ap a rece rá una nueva ven tan a sim ulando una ventana de una consola de com andos.
In tro d u cirem o s el usuario de la m áquina rem ota y su co n traseñ a respectiva. Tras introducir los datos de
usuario nos ap a rece rá una confirm ación de la conexión al servid o r ssh, pudiendo de este modo eje cu tar
com andos rem otam ente.
ífW(ír4S«fvicíof ^ -
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
I PRACTICA 6.5
T L S / S S L . P R O T O C O LO S S E G U R O S
A m enaza o vu ln erab ilid ad es
El softw are Caín & Abel para siste m a s W indows perm ite en caso de realizar un ata q u e MitM, poder an a liza r el
tráfico de una red local, id entíñcar los m e n s a je s y extrae r cre d e n cia le s de los protocolos que envían su s m en sajes
en texto plano, por ejem p lo en tre los m ás conocidos y em p lead os: FTP, PO P3, SMTP, Telnet y HTTP.
flewr Cgrfujif« Toofc tjd
-J
£
M
©
Orcode-í | £
U S
5 S
Nrtwork
Passvnrds
«¡*FTP(2)
3 HTTP (ZS82J
J
Srrffer
rnutarp
18/12/2010- 1
18/12/2010- 1
18/12/2010- 1
aa ldap (o)
■Jl POP3 (3)
• * 5MB (0)
■ Tgtot (0)
g WC (0)
3)TDS<0)
^ Í tNS(O)
Recom endaciones
En esta práctica verem o s distintos ejem p los de aplicación de protocolos seg uros:
H TTPS: siem pre que visitem o s una web en la que enviem os cre d e n cia le s, ve rifica r que se em plea et protocolo
https. Para verificar la autenticidad y confiar en la web, los naveg ad o res web
obtienen un certificado S S L
del sitio web. En caso de querer ad m in istrar una web segura d eberem os o btener un certificado S S L para
nuestra w eb, sum inistrad o por una autoridad certificadora extern a de confianza como lo son V erisign, Thaw te,
beTRUSTed o ValiCert.
En o casio n e s los n avegad ores web dudan de la veracidad de los certificados S S L , en ese caso debem os añadir una
excepción de seguridad en caso de confiar en el sitio web. De e se modo el naveg ad or web añadirá dicha excepción
y confiará en el sitio para próxim as visitas.
Añadir r a r p f M n d e tr g u n i
=
Esta conexión no
(« U lp tfM tilto vo eao drrtu M nn ItA u
l * i Imikm . UttwU» j «Itm uüm pijfafcrM
{•'JUtrtr cwtfC«dO [
LUM ád artcnto
M » w * rtw U
a mimmo con r4 p ím w rv. H ld i
¿Qi>¿ debería hacer?
|4mti4*d dntofWMU
I m M a r t i ««di »MCcaO
He m rirA« or ■iw*fi •>->.rnrgu» rwrw » i •«#*«<*) pr»
« U rfarcjnto n c ü rír á tro,
I *• . ¡
»Ard*J racnrml».
Detdte* técnica»
Entiendo los rín g o t
* l4 t * lo <m >MU toando. ¡w
>Vrt/ií»Vn
|
tM ^O »
~]
— «»cxjOQn fe w
ipaiiinifi»
| ■> / »— rn « io n i» wy/Q«d j | CmxMu
)
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
FTP segu ro: la m ayoría de los servid o res y clientes FTP, soportan conexiones seg u ras, cifrad as sobre SSH y
T L S / S S L . V eam os como podem os configurar en un servid o r FTP adm inistrad o las opciones de seguridad S S L .
La configuración se realizará sobre el servid or FTP gratuito F ile zilla Server.
1 . En p rim er lugar co n fig u rarem o s S S L en O ptions - S S L / T L S se ttin g s. M arcarem os todas las opciones
y g e n e ra r certificado con G e n e rate new ce rtifícate. S e le ccio n a m o s la opción de longitud de c la v e , y
rellen am os los cam p os para la creación del certificado y se especificará la ruta al certificado. Una vez
generado asig n arem os puerto de escu ch a alternativo para las conexiones se g u ras en Listen for S S L /T L S only co n n ectio n s... (p e. el 9 9 0 ).
- Gerwal veMr#:
Wefcome n*mge
iPb
|
Paiuve rr o d e r e ^
Socurtyteflrtgi
Mitce*>r*©ui
Adrrr*'r¿«f«c®.rttng
GSSSert***
S p w j L t n íi
rii r lili....¡i.
C SSl/TLSu4trgT™^
J _»J
■I
f t lt x M a U n
(
l » pa«*»ord:
I
P
P
frow»e .
|
Storrd n
- •. TL¿onrcrn>drcrrxxtoo?
P £Orr»erpécfSSL/US
Ptowenrp»óatectarrMir551^15mode
0*en for 5SlfTLS-orfc ccrrccbons on the fofo«ng pom
Or.
f^90
A continuación para los usuario s que se deseen conectar m ediante soporte S S L /T L S , debem os de m arca r
la casilla Forcé S S L for u ser login en sus opciones de co n traseñ a .
2. En la m ayo ría de c lie n te s FTP, las opciones de configuración de cu e n ta s de usuario FTP, perm iten
conexiones seg u ras m edian te SSH y S S L /T L S .
<1
Ü ts f o r d e l i t i o *
Setecoone el stoo:
General
Avaru«do
Opaone? de tram /era n o*
Juego de caracteres
¡ i t+ í siten
Ji
Servidor:
im ito rs
I c o de servidor:
FTPS - FTP sofcre TIS/SSl irnpftdto
Puerto.
¡FTP • F ie lrarefer Protocol
|y T P -S 5 M Fie Transfer Protocol
Usuario.
[f W s -FTP wbr™ TL555l e itf d t o
uwano_l
Al in te n ta r conectarnos m ed ian te T L S / S S L nos m ostrará una pantalla para a c e p ta r el certificad o del
servidor, si confiam os lo acep tare m o s, haciendo que dicha conexión vía FTP sea cifrad as y no viajará n
d atos en texto plano.
3 . En caso de no poder configurar las opciones en el servid o r T L S / S S L por disponer de un alojam iento con
opciones reducid as, es posible al m enos e m p le ar en la m ayoría de los ca so s, como opción seg ura SFT P a
trav és de S S H . En la m ayoría de los ca so s usuario y contraseña se corresponden con los de FTP.
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
l&l
PANEL OE CONTROL
|
TAt T1EN0A ClfflflTH
» JUut«narr«o Wm*
Oamian
( mal
SM HW MyMuttantt
Esfvaca* Wat» y Accat«
A ccaao S SH (S atu ra Shall)
UT-. • uw fjiía i SSHoua M m u n M ii n »tía p * * n a p a ra m ia rU
S S H ftvtd a m « «* 0n ai tar«Oorw*ft
En :» w o* uu* * rt» O M *ó o «u tontaaaria mtroauxa wna m/anra fcn uno* mmutot a»Ur» datpon©**
A K M tU H ltW lf
n ia l
CtpaoawM»
*at
UlMafcMkmO»*»
ManwM iPaO
Impaitanr»;
Las (ontraaeAa (¡ma mi uauartO S8H »pa«a n uium ^mnncmM fTP M la resma
Si rnodAca la contaaaAa *n acta p fc jin u n & itn 1a mosMkaiÉ >aconraaaAa para al lituano wvooal m *
Daaca «m v Saílwat a
Satv4ctaa lá rta n in
Correo electrónico: en las cu en tas de correo es recom endab le re visa r la configuración y su s opciones
para que siem p re em p leen https.
Para la configuración de cu e n tas de mail a través de clientes de escritorio alg unos se rvid o re s com o gmail
com ienzan a requerir el uso de puertos y protocolos de tran sferen cia seg uros m ediante S S L :
Cuenta de C orreo: usuario@gmail.com.
Datos POP: Servid o r: p op .gm ail.com . U sar S S L : S Í. Puerto: 995.
Datos SM TP: S e rv id o r: sm tp .g m a il.co m . U sar T L S / S S L : S Í. Puerto: 4 6 5 ó 58 7 .
Recom endación
S ie m p re que tengam os que co nfig u rar servicios tanto clientes como se rvid o re s, que requ ieran el uso y envío de
co n traseñ a s, es recom end ab le el uso de configuraciones y puertos que transm itan su s m e n saje s cifrados.
V PN
Una red privada virtual o VPN (Virtual Prívate N etw ork), es una tecnología de red que perm ite una e x te n s ió n de
u n a red lo c a l de forma segura sobre una red pública, como Internet.
Algunas aplicaciones de dicha tecnología son la posibilidad de conectar utilizando la infraestructura de Internet,
dos o m ás sucursales de una em presa, perm itir a los miembros del equipo de soporte técnico la conexión desde su casa
al centro de trabajo, etc. P ara haeerlo posible de m an era segu ra es necesario proporcionar los medios para garan tizar
la autenticación, integridad y confidencialidad de toda la comunicación:
A u ten tica ció n y au torización: se controlan los usuarios y/o equipos y qué nivel de acceso debe tener.
In te g r id a d : los datos enviados no han sido alterados, se utilizan funciones resum en o hash, como MD5 y
SHA.
C on fid en cialid ad : que la información que viaja a través de la red pública solo puede ser interpretada por los
destinatarios de la misma. Para ello se hace uso de algoritmos de cifrado como DES, 3DES y AES.
N o re p u d io : los m ensajes tienen que ir firmados.
Básicam ente existen tres arq u itectu ra s d e co n ex ió n VPN:
VPN d e a cceso rem oto: el modelo m ás usado, usuarios o proveedores que se conectan con la em presa desde
sitios remotos (oficinas públicas com partidas, domicilios, hoteles, etc.) utilizando In tern et como vínculo de
acceso.
145
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
VPN p u n to a punto: conecta ubicaciones rem otas como oficinas, con una sede central de la organización. El
servidor VPN, que posee un vínculo perm anente a Internet, acepta las conexiones vía In tern et provenientes de
los sitios y establece el túnel VPN. M ediante la técnica de tu n n e lin g se encapsulará un protocolo de red sobre
otro creando un túnel dentro de una red.
VPN ov er LAN: es el menos difundido pero uno de los m ás poderosos p ara utilizar dentro de la em presa.
Em plea la m ism a red de área local (LAN) de la em presa, aislando zonas y servicios de la red interna, a los que
se les puede añadir cifrado y autenticación adicional m ediante VPN. Perm ite tam bién m ejorar las prestaciones
de seguridad de las redes inalám bricas, haciendo uso de túneles cifrados IPSEC o SSL que agregan credenciales
de seguridad del propio túnel VPN.
El protocolo estándar que utiliza VPN es IPSEC, pero tam bién trabaja con PPTP, L 2 TP, SSL/TLS, SSH, etc. Dos
de las tecnologías m ás utilizadas para crear VPN’s, en realidad son diferentes protocolos o conjuntos de protocolos,
P P T P y L2TP:
P P T P o Point to Point Tunneling Protocol: es un protocolo desarrollado por Microsoft y disponible en todas las
plataform as Windows. Es sencillo y fácil de im plem entar pero ofrece m enor seguridad que L2TP.
L 2T P o Lciyer Two Tunneling Protocol: Se tra ta de un están d ar abierto y disponible en la m ayoría de plataform as
Windows, Linux, Mac, etc. Se imple m enta sobre IPSec y proporciona altos niveles de seguridad. Se pueden u sar
certificados de seguridad de clave pública para cifrar los datos y g aran tizar la identidad de los usuarios de la
VPN.
PRÁCTICA 6.6
C O N EX IÓ N REM O TA CON VPN
En este caso práctico in sta lare m o s un servid o r de VPN en los siste m a s op erativos W indows y GN U /Linux
m ediante el program a Logmein Ham achi que perm ite la com unicación entre 2 m áq uin as rem otas m ediante VPN
de m anera fácil y sencilla.
A cada cliente H am achi se le asigna una dirección de la red 5 .0 .0 .0 Esta dirección es asignada cuando el cliente
se autentifica en el sistem a la prim era ve z, y es en ad elan te asociada con la clave de cifrado pública del cliente.
M ientras el cliente retenga esta clave , puede au ten tificarse en el sistem a y utilizar esa dirección 1P 5 .X .X .X . La
red 5 .0 .0 .0 / 8 es utilizada para e v ita r colisiones con redes IP privadas que podrían e sta r utilizándose en la parte
cliente. El bloque de d irecciones 5 .0 .0 .0 está reservado por la 1ANA y no está actualm ente en uso en el dominio
de en cam inam iento de In te rn e t, pero no está garantizado que esto continúe así en el futuro.
1. Antes de em p e za r la instalación es necesario re g istra rse en la página w eb de Logmein para tener acceso
al instalad or del program a y poder u sar dicha aplicación m ás adelan te.
h ttps://secure. logm ein. com/ES/products/hamachi2/do wnload. aspx
La aplicación se ofrece de dos m odos, con gestión o sin gestión. En nuestro caso elegirem os la opción
"con gestión" para d isfrutar de todas las utilidades de esta aplicación, Acto seguido cre are m o s la cuenta
de usuario pulsando ei botón "C re a r cuenta". C re a re m o s la cuenta de usuario con los datos de form ulario
requeridos, y con la cuenta activ a, volverem os a en tra r en la web, acced erem o s a nuestra cuenta e irem os
a la sección “ p ro d u cís" / "logm ein Hamachi". Una vez dentro de la página de la aplicación, pulsarem os
en "get started" para obtener el instalador. Tras esto p ulsarem o s en ''download now" para obtener el
instalador.
146
© RA-M A
2.
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Realizarem o s la in s t a la c ió n , y eje cu tare m o s la aplicación para e m p e z a r a cre a r nuestra red VPI\I. Para ello
eje cu tare m o s el program a y pulsarem os en la opción "C re a r una nueva red":
Para c re a r la nueva red tendrem os que in sertar un nom bre para la red y una contraseña para ev itar que
se añ ad an usuario s a je n o s a nosotros. Tras re llen ar los cam p os, pulsarem o s en "crear".
Crear nu rv * r rd é* <fcm tr{f)
K>4at»4
traba*
U JQka par* Jtxm W»*dv trrt* a dk
Cottadl»
IZWMi
5« «¿fea par• »«angr 4 aa»to a la r«d
1
fr—
j
C ft» »
lin iff inWm P « a i r r « >BMmirra rrad Qrriwnrdi f fl
Una vez cre ad a la red ve rem o s como el m enú principal de Ham achi m uestra d irectam en te la red que
acab am o s de cre a r:
! o trM f» T r
fceo
X
Hamarhi'
¿yuta
• E l 5.186.10.91
| ¡ g f l FRKTARVl
V )1
9 Grupo de trábalo anime
Con esto ya d isponem os de un servid or VPN a la e scu ch a de peticiones cliente.
3.
Para conectarnos desde otro ordenador en una ubicación distinta de nuestra LAN, e je cu ta re m o s la m ism a
aplicación que efectuará el papel de cliente en otro ordenador. Seleccio n arem o s la opción de m enú "Red"
y "U nirse a una red existe n te":
En la sig u ie n te ve n tan a ten d re m o s que in sertar el id de red que hem os creado an te rio rm e n te y la
contraseña. Tras esto pulsarem os en "unirse". De esta forma ya estam os agregados a la red virtu al:
1o q f W i t
god
g
j
v+ ñ*
_
X
A fj.ii
6 1 9 7 4 1 .1 6 3
Q Grupo de trabajo onfcne
V
w FRQfrWTH. - 1 U 6 .10.91
Una vez conectados de form a segura entre 2 equipos, podem os co m p artir archivos, e je cu ta r aplicacion es
de form a com p artida, entre otras opciones, de la m ism a form a que lo haríam os en una LAN.
Pulsando con el botón derecho sobre el nom bre del equipo que queram os re alizar la acción, nos m ostrará un
m enú con fas opciones disponibles, por ejem plo Explorar, para b uscar archivos y ca rp etas com p artid as.
147
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
4. C liente GN U/Linux H am achi. Para la instalación d e sca rg a r el paquete que perm itirá in sta lar la aplicación de
la web del fabricante. Tras esto descom p rim ir el fichero en una carpeta e instalarlo, m ediante el com ando
make install, contenido en la carpeta h am ach i-ve rsio n -ln x.
Sin m overnos el m ism o directorio de la carp eta donde hem os descom prim ido todos los ficheros, irem os al
directorio tuncfg, para e je cu ta r el clie n te: ,/tuncfg.
A continuación g en eram os la inform ación de la cu e n ta: ham achi-init.
A rran cam o s el servicio de ham achi con la siguiente orden: ham achi start. Tras esto ponem os el servicio en
línea con la sigu iente ord en: ham achi
logín.
Para añadirnos a la red que hem os creado en w indow s lo harem os de la sig u iente m anera. En p rim er lugar
definim os nuestro nom bre a nuestra m áquina con la orden: ham achi set-n ick Linux.
Posteriorm ente/ en trarem o s a la red cread a en w indow s: ham achi join n o m b re _d e _re d p assw ord , para
nuestro caso nom bre de red: Grupo de trabajo online y co n traseñ a 123456. A continuación nos indicará
Joining Grupo de trabajo online . . ok
Para a p a rece r conectado en la red virtual utilizarem os la siguiente orden: ham achi go-online n o m b re _d e _
red
V erificam os los usuario s de la red y su statu s m edian te: ham achi list.
REDES INALAMBRICAS
E n los últimos; años ha irrum pido con fuerza, en el sector de las redes locales, las co m u n ica cio n es inalám bricas,
tam bién denom inadasivireless. La tecnología inalám brica ofrece muchas ven tajas en comparación con las tradicionales
redes conectadas por cable.
U na de las principales ventajas es la capacidad de brindar c o n e c tiv id a d e n c u a lq u ie r m o m e n to y lu g a r,
es decir mayor disponibilidad y acceso a redes.
La in sta la c ió n de la tecnología Inalám brica es sim p le y econ óm ica. El coste de dispositivos inalám bricos
domésticos y comerciales continúa disminuyendo.
La tecnología inalám brica perm ite que las redes se am plíen fácilmente, sin limitaciones de conexiones de
cableado, por lo que es fácilmente escalab le,
A pesar de la flexibilidad y los beneficios de la tecnología inalám brica, existen algunos riesg o s y lim itacio n es.
U tilizan rangos del espectro de radiofrecuencia (RF) sin c o ste s de licen cia por su transm isión y uso. Estos
rangos al ser de uso público están saturados y las señales de distintos dispositivos suelen interferir en tre sí.
El área problem ática de la tecnología inalám brica es la s e g u r id a d . Perm ite a cualquier equipo con tarjeta de
red inalám brica interceptar cualquier comunicación de su entorno.
P ara tra ta r estas cuestiones de seguridad se h an desarrollado técnicas para ayudar a proteger las transm isiones
inalám bricas, por ejemplo la en crip ta ció n y la a u ten tica c ió n . A pesar de las siguientes técnicas que se presentan
a continuación, y de los problemas propios asociados a las comunicaciones cableadas (fibra, cable de pares, coaxial)
como las interferencias y deterioros o daños físicos del m aterial, éstas siguen siendo los medios de acceso físico más
seguros que existen en la actualidad.
148
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
SISTE M A S D E SEG U R ID A D E N WLAN
Los sistem as de cifrado empleados para autenticación como encriptación en redes inalám bricas son:
S istem a a b ierto u Open System : es decir sin autenticación en el control de acceso a la red, norm alm ente
realizado por el punto de acceso, ni cifrado en las comunicaciones.
W EP o WLred Equiualent Priuacy o Privacidad Equivalente a Cableado: sistem a estándar diseñado en la norm a
básica de redes inalám bricas 802.11. Em plea para la encriptación de los m ensajes claves de 13 (104 bits) o 5
(40 bits) caracteres, tam bién denom inadas WEP 128 o W EP 64 respectivam ente. Existen tam bién dispositivos
que perm iten configuraciones de 152 y 256 bits. En cuanto a la autenticación existen 2 métodos:
S is te m a a b ie r to u Open system , el cliente no se tiene que identificar en el Punto de Acceso d u rante la
autenticación. Después de la autenticación y Ja asociación a la red, el cliente tendrá que te n e r la clave W EP
correcta.
C laves p recom p artid a, Pre-Shared Keys o PSK. En la autenticación m ediante clave precom partida, se
envía la m ism a clave de cifrado WEP para la autenticación, verificando y controlando el acceso de este modo
el punto de acceso.
Es aconsejable usar la autenticación de sistem a abierto para la autenticación WEP, ya que es posible averiguar la
clave W EP interceptando los paquetes de la fase de autenticación.
WPA o Wi-Fi P rotected A ccess o A cceso P rotegid o Wi-Fi: creado para corregir las deficiencias del sistem a
previo WEP. Se h an realizado 2 publicaciones del están d ar WPA como solución interm edia, y el definitivo WPA2
bajo el están d a r 802.11). Se proponen 2 soluciones según el ámbito de aplicación:
WPA E m p r e s a r ia l o W PA-Enterprise (grandes em presas): la autenticación es m ediante el uso de un
servidor RADILJS, donde se alm acenan las credenciales y contraseñas de los usuarios de la red.
WPA P erson al (pequeñas em presas y bogar): la autenticación se realiza m ediante clave precom partida,
de un modo sim ilar al WEP.
U na de las mejoras de WPA sobre WEP, es la im plementación del protocolo de integridad de clave tem poral (TKIP
- Temporal Key Integrity Protocol), que cam bia cla v es d in ám icam en te a medida que el sistem a es utilizado.
Aportando un mayor nivel de seguridad en el cifrado, es posible em plear el algoritm o de cifrado sim étrico AES,
m ás robusto y complejo que TKIP, aunque su implementación requiere de hardw are más potente por lo que no se
encuentra disponible en todos los dispositivos.
Aunque WPA es indiscutiblem ente el sistem a m ás seguro, uno de los grandes problemas que se plantea es la
com patibilidad y disponibilidad de las distintas versiones y algoritm os de cifrado del mismo.
149
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PRÁCTICA 6.7
W EP
A ctu alm ente re a liza r a u d it o r ía s w i r e l e s s para m edir el nivel de seguridad de n u estras redes in a lám b rica s es
una práctica esencial com o ad m inistrad o r en las corporaciones. E x isten m ultitud de ap licacion es que perm iten
m onitorizar y re cu p era r co n traseñ a s de redes in alám b ricas ( airodump, aircrack, e tc .), así como d istribuciones
Live (B a ck track , W iñway, W ifislax, e tc .) que las incorporan y disponen de script o aplicacion es que au tom atizan
el proceso de d esencriptado de co n traseñ a s.
1.
En nu estra práctica vam o s a com probar la vu lnerabilidad de las cla v e s WEP utilizando la distribución Live
W iñway 2 .0 que contiene la aplicación M in id w e p - g tk que nos ay u d ará a d esen crip ta r dicha cla ve . Con el
sistem a iniciado nos dirigim os al m enú principal - wifiway - su ite aircrack-ng - m inidw ep-gtk. Al ab rir la
aplicación nos ap arecerá lo sigu iente:
En la colum na de la izquierda tenem os una opción: “w irele ss cards", en la que podem os se leccio n ar la
tarjeta de red que d esee m o s en caso de tener 2 o m ás ta rje ta s in sta lad a s en nuestra m áquina.
En la m ism a colum na ten em o s las opciones del canal "Channel". Podemos eleg ir en que canal q uerem os
h acer el rastreo de redes inalám b ricas.
Encryption perm ite se leccio n ar el tipo de encriptación de las redes que se m ostraran en la lista de redes.
2 . A continuación re alizarem o s el escan eo con e! botón "Sean", en la parte su p erio r tendrem os la lista de redes
inalám b ricas que capta nuestra tarjeta de red inalám brica. En esta lista se especifica la dirección MAC del
punto de acceso , su nom bre, la potencia con que cap tam os la se ñ al, el canal que usa para tran sm itir y el
tipo de encriptación.
m m itfw c p g tk -3 0 % 0 1
f in ia
-
X
i
0 0 U * 7 4 2 * 5 0 8 _ p ttM íT K ___ 77____13___W E * _ C 0 I B 7 7 CS 7 1 3 A
fftanQ Atheros
»tfiSk iphvO]
Mi
»
f.ntfYptiO n
24
9 24 0 2 -> N o «cuori
X
nq J
r»$ 4
M c p J ty n * ?
•
*****
lin ld w ttp - gtk-2C JS 0L
3.
il® '
Una vez e sca n e a d a s las red es, seleccio narem o s la red de la que q uerem o s d escifrar su co n trasen a y
pulsarem os ei botón "Launch".
© RA-MA
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Dependiendo de la calidad de la señ al, ia distancia al punto de acceso , el tráfico en la red inalám brica por parte
de otros equipos conectad os y las ca racterísticas de nu estra tarjeta de red in alám b rica, tendrem os que
esp e ra r m ás o m enos tiem po h asta que la aplicación recoja suficien tes p aqu etes de inform ación, en los que
se incluyen ve cto res de inicialización o IV s, que les perm itan d escifrar la cla v e de dicha red.
4. La aplicación realizará de form a au tom ática una se rie de acciones para la recogida m asiva de p aq u etes,
en el caso de que todo vaya bien, nos m ostrará una ven tan a que contiene un resum en de las acciones
re alizad as así com o la clave d escifrada en código A S C II:
wlanO Aihcro?
«thSV |p>iyOin
< n ln i4 ~ * p m u i a g i
K D ia lo «
AP MAC 00 13F7 42 F5D8
Esstd « ste rile
He* key 6173757261
ASCII key osura
Key is. »n file AmpvOO 13 F7.42 F5 D8_key
V
9 33 1*
Aceptar
»Stórting mrcroc* ng tú finii k«y
l 9 ) ) 17—¿»Startmg axncratfc ng co ftnd key
9 3317—>fcey of (00 13.F7 42 F5 D81 round «173757261
* 27 14 >Slflrting utrcjactc ng lo nnd key
^ 27 14 >Trytng to rimi k ry no«
'» 24 il-»A»rcpli»y ng -3 *ucc<iifu>.tr»iecting oow
9 24 51 >A«rpl*y ng 2 p 0841 )ucce%iful.tn}«cfing non»
dwrep gtk-20501
m lnldM cp m a iia g a ■KDi
li ss
Recom endación
C onfigurar el nivel de seguridad m ás alto posible, controlar periódicam ente los usuarios au torizados conectad os,
y re n o va r periódicam ente las co n traseñ a s.
| PRÁCTICA 6.8
W PA
Una configuración m ás segura que WEP, la proporciona WPA. Para fam iliarizarno s con la configuración de los
puntos de acceso inalám bricos em p learem o s un sim ulad or de configuración del dispositivo T P -LIN K TL-W A501G .
Para ello acced erem o s a ia web:
http://www.tp-link.com/5imulator/TL-WA501G/userRpm/index.htm, y en su sección G írele s, visu a liza rem o s las
opciones de S ecu rity Setting s:
151
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
yilh extended Range
1. Vem os en su sección S ecu rity S ettin g s como es posible d eshab ilitar la seg uridad , o elegir en tre WEP, WPA/
WPA2 con servid o r Radius, y WPA/WPA2 - P5K es d ecir con clave precom partida, en las que será posible
indicar una clave de cifrado.
Entre las opciones WEP, podem os se leccio n ar el m étodo de au ten ticació n : Autom ático, sistem a abierto o
sha red key.
En las opciones WPA encontram os tanto para la configuración personal com o enterprise, podem os seleccio n ar
¡a versión WPA o WPA2, y el algoritm o de cifrado T K IP o A E S , asi com o el tiem po de actualización dinám ica
de la clave (group key update period).
Para el caso de WPA con au tenticación m ediante se rvid o r Radius podrem os indicarle la IP de la m áquina y
e! puerto del servicio de autenticación.
2.
En la configuración de la tarjeta de red de los c lie n t e s in a lá m b r ic o s , debem os esp ecificar las opciones
de configuración ad e cu a d as. Vem os a continuación las opciones de configuración WPA de una ta rje ta de
red In te l(R ) PRO /W ireless 3945A B G Net.
Crear p e rfil inalám brico
j Noento dei [ferii PwM nuevo
ü
3
OpaoriM gtrm/eàet
*
O p c io n e s d e s e g u r id a d
Opeen*i du
C o rtrtia fa
(■;
pecera!
0 poen** Oo wgmdid
OS«gu|iiidM nom «M f
W E P W b rt
Nfigino
W E P - M b te
W E P -1 2 9 b««
W P A P e n o m íJ T rjP l
V ^ A - P o . k ^ IA E S -C C M P i
ConeoMta
p®KrW n rjp ^
Ccr#j*»At de tepná» d naiánóoca (ci*** ó» codfccaorini
152
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
© RA-MA
PRÁCTICA 6.9
S E R V ID O R DE A U T E N T IC A C IÓ N R A D IU S
Una opción m ás se g u ra que p erm ita co n tro la r la au tenticació n de u su ario s se puede re a liz a r m ed ian te la
configuración de un servid or Radíus. Radius o Rem óte A uthentication D ial-In U ser S e rv e r, es un protocolo de
autenticación y autorización para ap licacion es de acceso a la red o m ovilidad IP. Utiliza los puertos 1812 y 1813
UDP para esta b le ce r su s conexio nes.
En esta p ráctica re alizare m o s la instalación y configuración de un se rvid o r Radius bajo G N U /Linux llam ado
freerad iu s, para au ten ticar conexiones que provienen de un punto de acceso Linksys W R T54G L.
1.
La instalación del paquete se realiza m ed ian te: aptitude install freeradius. Tras la instalación tendrem os que
configurar los usu ario s que se au tenticarán en radius. Esta au tenticación se realiza a través del fichero
/etc/freeradius/users que contiene, en texto plano, los usuario s que tienen perm itida la autenticación.
Algunos usuarios se en cuentran preconfigurados, podrem os añ ad ir las líneas de usuarios que d esee m o s.
En dicho fichero introducirem os los usuarios que q uerem os au tentificar y sus re sp ectiv as co n traseñ a s tal
y com o m uestra la im ag en :
■
t
s,
•mm M
•
»
•
t u l l í i« • *tt« PP0 *„
r m d mu • IMS,
'n v id Coaprntlo* * Van
(9 * 9
• t t u i» m n i!»* for ■«t«r aith • ipect ir i»»ir m h
4 «*st* th* 4m A\t QuOle* turroundlnq \ht raar
,4
teply
Mm>— *
m un«*
\{U*er *••»}*
Mm j y»*»—»» *•
M»\i MrtMi* • ‘« t i l l , N(IM« M H |*
(Iw ^ n t
«fctiap *
***»•'
íim
En nuestro caso introducim os el usuario Juanm a y M acarena con sus resp ectivas contraseñas en texto plano.
2. Ahora tendrem os que configurar los clien tes, es decir, los puntos de acceso se rán los clientes de nuestro
servid o r radius.
Para introducir la inform ación sobre los clientes (puntos de acceso que solicitarán la verificación de usuarios
inalám bricos finales) en la configuración de Radius m odificarem os el archivo /etc/freeradius/clients.conf
donde introducirem os la inform ación de las IP de los puntos de acceso que quieran em p lear el servid o r
(1 9 2 .1 6 8 .1 .2 en nuestro ca so ), a s í como la contraseña entre punto de acceso y se rvid o r (secret = fútbol),
y el nom bre de la red o S S ID (sh o rtn am e = punxos) tal como m uestra la siguiente im agen:
:U w t
i f í 1U l
i*<r*i
iMirTaaav
l/M
(
r r llr M
r»J 1M o o IB {
0
•
w rti
ihortiwar
• TfttingUJ J
* P'watr ••«twj*» 1
• in tliig U i 3
• prívate iwtwvrw
; irrt if. •« . .
wtxt
• rwttol
1
" F*-M>
Reiniciam os el se rvid o r Radíus m ediante la siguiente orden: service freeradius restart.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
3 . A continuación config u rarem os el p u n to d e a c c e s o de m anera que la autentificación la realice Radius.
En nuestro caso acced em o s a la sección "w ireless se cu rity" del punto de acceso para configurar una clave
W PA2enterprise y las d istintas opciones para Radius:
F [jV * d T O S e tu r * v
«-
c
Q t+tn*á ?
Q 192.168.1.2 Í V
rr>
Pmujryátm ^wJo»
L in k s y s
WirtlemG flroodbi
Wireless
Setup
MAielraa
Accra«
Redi littori«
Secuflty
Application«
*Geming
-»- —— .
W kcte u Sccurrty
SoCcrCy Mode
W PA2 E n e rp m t
WPA AJ^ortms
TKIP-AES -
*ADUS5a
i»: i«« i
RADUSPort
1812
Stor'd Key
Wt>9!
Kry Rtr+wi* T nccvi
3600
| S»v» Sailings B C«nc«l Ch>n;«<
El se rvid o r Radius com o vem os se encuentra disponible en la IP 1 9 2 .1 6 8 .1 .1 9 , la contrasena fútbol, el
puerto 1812 y los algoritm os de cifrado T K IP + A ES .
4.
Por últim o, solo queda configurar en e l u s u a r io c lie n t e final (ta rjeta de red inalám b rica) la conexión
al punto de acceso de m anera que la autentificación pase a Radius. Para la configuración de un cliente
w indow s xp tend rem os que b uscar la red m ediante el asiste n te de conexión Inalám brica de W indows (en
nuestro caso punxos).
S i intentam os re alizar una conexión con el punto de acceso , nos bloqueará la conexión ya que detectará que
h ay un servid o r de Radius en la red y el perfil de conexión del cliente no está configurado para autenticación en
Radius. Para so lu cio nar e ste problem a en trarem o s en las propiedades del ad ap tad or wireless y nos dirigim os a
la sección "redes inalám b ricas", y configuram os una nueva configuración o perfil para el S S ID concreto (en este
ca so punxos).
En la configuración de la red, en la sección Asociación tenem os que se leccio n ar una autenticación de red "W PA2"
y el cifrado de datos "A ES ":
p u n x o « |ir u p in t a r l* %
Aíooaatín
?
¿utenftcación Conexión
yombe do ted |SSID)
Ella red i*ouetecnac4sve parato v y j t d e
Aytanbcaoón de rod
£iiado de dota:
B D B 9 H IH H H
•
v
En la pestaña A utenticación se leccio n are m o s las opciones que ap arecen en la im agen siguiente.
154
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
© RA-M A
plihxw piopicdailci
Atooaoon
AlJ*ntaeaón
Seiecoonc mta opción pa* proporcaorv» acceso «ienüc*ío a iodei
Ethernet m linbnc«
0 H ^ 4 i el con*!oí de acceso a la red medanie fEEE 902 1>í
leo daEA P: EAP piotepdo (PEAPJ_______________________________
j gropgdodei j
f~| A M í t s k * como equipo cuando la n é c r m * o ó n da eguoo esté djpoobto
Q Auionhcar como velado cuando d utuano o la rícrrr^aón de equpo no
etlén cfcpcnfcie:
Pulsam os el botón de Propiedades y d eseleccionam os la opción que dice “ va lid a r un certificado dei servid o r" En el
caso de q uerer dicha opción tend ríam os que habilitar uno en nuestro se rvid o r en /etc/Freeradiusfcerts.
Pulsam os el botón "Configurar", y no activarem o s la opción, para que el se rvid o r Radius no acep te au tom áticam ente
el usuario y password de inicio de sesión en W indows.
Tras esto, guard am os tos cam bios y nos volvem os a conectar al punto de acceso . Ahora nos pedirá el usuario y
contraseña para poder autenticarlo en el servid o r Radius.
RECOMENDACIONES DE SEGURIDAD EN WLAN
Dado que el acceso a redes inalám bricas plantea un punto muy débil de seguridad en redes corporativas algunas
recomendaciones para m ejorar la seguridad son:
A segurar la adm inistración del punto de acceso (AP), por ser un punto de control de las comunicaciones de
todos los usuarios, y por tanto crítico en la red, cambiando la contraseña por defecto. A ctualizar el firm ware
disponible del dispositivo para m ejorar sus prestaciones, sobre todo de seguridad.
A um entar la seguridad de los datos transm itidos: usando encriptación WEP o WPA/WPA2 o servidor Radius,
y cambiando las claves regularm ente.
Cambia el SSID por defecto y desactiva el broadcasting SSID. Los posibles intrusos tendrán que introducir
m anualm ente el SSID y conocerlo previam ente. Aunque la adm inistración de los clientes se complica ya que
deberán conocer el nombre exacto del SSID.
Realizar una adm inistración y monitorización minuciosa:
D esactivar el servidor DHCP, y asignar m anualm ente en los equipos las direcciones IP. C am biar las
direcciones IP del punto de acceso y el rango de la red por defecto.
Activar el filtrado de conexiones perm itidas m ediante direcciones MAC.
E stablecer un núm ero máximo de dispositivos que pueden conectarse.
Analizar periódicam ente los usuarios conectados verificando si son autorizados o no.
Desconexión del AP cuando no se use.
A ctualizar el firmware dei dispositivo, para evitar vulnerabilidades o a ñ a d ir nuevas funciones de seguridad.
155
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
I PRÁCTICA 6.10
C O N F IG U R A C IÓ N A P S EG U R O
V erem os a modo de ejem plo en el sim u lad o r de TP-Link http://www.tp-link.com/simulator/TL-WAS01G/userRpm/
index.htm, com o re a liza r dichas configuraciones:
D eshab ilitar el envío del nom bre de la red SS1D :
54M
vtirateuAccMéPotf« Wireless Mode Settings
M eo» M* T l VASSOIO
0
Dilatile W lietra «
. Acre«« Poèti
Q
SftJM» $9U» i io i i t a t l
,'~>C»eni
M odificar el nom bre de usuario y su contraseña por defecto de ad m inistrad or:
54M
Wr*»m Acce«« Po.-:
r i ttMPtO
P a ssw o rd
D esh ab ilitar el servid o r DHCP y reasignación de direcciones IP está ticas en una red diferente a la por defecto
(n o rm alm en te 1 9 2 .1 6 8 .0 .0 o 1 9 2 .1 6 8 .1 .0 ), esta m o s suponiendo que el punto de acceso no realiza enrutado
por lo que no es la puerta de en lace de nu estra red. 1P de configuración del AP 1 9 2 .1 6 8 .2 5 .1 5 1 , la puerta de
en lace d eb erá configurarse de forma independiente.
T P L IN K
156
wuh extended Range '
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Filtrado de MAC: añ ad irem os las MAC de los dispositivos (p reviam en te insp eccion arem os la MAC en las tarje ta s
de red inalám b ricas) que querem os perm itir (privilege = ailow ) el acceso a la red.
Actualización del firm w are: es posible d escarg a r de la web del fabricante un archivo, o incluso probar algún
softw are alternativo como O pew rt, DDWRT o Tom ato. S e recom ienda siem p re re alizar p reviam en te una
copia de seguridad del firmware actual.
157
REFERENCIAS WEB
Curso abierto con m ateriales y ejercicios sobre Seguridad Avanzada en Redes:
http: / / o c l ü . uoc.edu / informático,-tecnologia-y-multimedia / aspectos-avanzados-de-seguridad-en-redes / Course.
listing
Sitio web sobre seguridad inform ática en m ateria de redes:
http:I / www.virusprot.com/
Noticias sobre seguridad en redes. Asociación de internautas:
http: / / seguri.dad.internautas.org/
Conexiones inalám bricas seguras y auditorías wireless en:
http:/ / w ww.seguridadwirehss.net /
Blog especializado en seguridad y redes:
http: / / se.guridadyredes.nirc.blog.com /
RESUMEN DEL CAPÍTULO
A finales del siglo XXy principios del XXI las redes han significado una verdadera revolución tecnológica,
a la que m illones de usuarios se h an unido. Nuevos peligros han surgido como la falsificación ispoofing) de
identificadores de red y sitios web, ataques de denegación de servicio Dos y DDos y la interceptación del
tráfico de red m ediante sniffing con Man in the Middle.
En este capítulo se han analizado las diferentes técnicas para evitar dichos ataques en redes corporativas,
producidos por atacantes internos. Algunas de ellas son, ap a rte de revisar las configuraciones y contraseñas
por defecto de routers y servidores:
Em plear protocolos seguros cifrados como SSH, los proporcionados por la capa TLS/SSL y VPN para
conexiones entre ubicaciones remotas.
R ealizar periódicam ente un análisis del tráfico de red m ediante sniffer y software de detección de
intrusos (IDS).
E vitar accesos no autorizados a la red corporativa, empleando redes cableadas o en todo caso, dado
ei desarrollo de redes wireless, debido a su facilidad de instalación y bajo coste, em plear mecanismos
de seguridad como direccionamíento estático, filtrado MAC y sistem as WEP, WPA y WFA2. En
grandes organizaciones se recomienda el uso de servidores de autenticación RADIUS.
158
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
© RA-M A
EJERCICIOS PROPUESTOS
de red. Si quieres capturar gran parte del tráfico
de la red deberás realizar previam ente un ataque
MitM a la pu erta de enlace o conectarte a una
WLAN. Se recom ienda siem pre que utilices un
sniffer configurar las opciones de filtrado p ara
m onitorizar solo el tráfico deseado. Busca los
filtros necesarios p ara ra stre a r solo los protocolos
FTP, HTTP, P 0P 3, etc.
1. Realiza una investigación sobre qué puertos de
comunicaciones son más vulnerables, realizando un
escaneo de puertos y analizando la información que
ofrecen los siguientes enlaces:
h ttp:i / w ww.internautas.org/ w-scanonLine.php
h ttp :/ / wLvw .upseros.com / portscan.php
http.7 / www.kuron.com/utils / portscanner / index.php
¿T ien es c e rra d o s los p u e rto s em p lea d o s
frecuentem ente por el m alware? ¿Qué IP visualiza
el escáner de puertos? ¿Es tu conexión a In tern et
d irec ta, o m ed ian te un ro u ter? C om para la
dirección IP de tu tarjeta de red y la que aparece
en e¡ escaneo de puertos.
¿Es posible, m ediante obtener las co n traseñ as
de protocolos como telnet, HTTP, FTP, SMTP
o P 0 P 3 de correo electrónico? ¿Cómo? ¿Qué
ventajas ofrece https? ¿Te conectarías a una web
de un banco m ediante http? In te n ta acceder a
tu correo electrónico vía web (H otm ail, Yahoo,
Gmail) ¿es posible descubrir m ediante W ireshark
la contraseña? ¿Por qué?
¿Para qué sirven los puertos 23, 13o y 443? ¿Son
seguros?
2. A continuación se lista una serie de enlaces que
perm iten realizar un test de la velocidad de acceso
a Internet, de modo que un resultado muy inferior
al co n tratad o p o d r ía ser un síntom a de te n e r
ocupantes no deseados en nuestra máquina. ¿Son las
v elo cid a d es de su bid a y bajada la s esp eradas?
h ttp: / / www.adsL4ever.com/test /
http: / / www.testdevelocidad.es /
http: / / www. interna-utas, org/ test velocidad /
http: / / www.adslayuda.com / test-de-velocidad/
R ecuerda que el ancho de banda del a u la es
compartido por todos los PC del mismo. Realiza
el test de velocidad de m anera individual (sin que
nadie en el aula lo realice o esté haciendo uso de
Internet).
3. Los packet sniffers se em plean para m o nitor izar
el tráfico de una red LAN o WLAN y algunos de
ellos son W ire sh ark (a n te rio rm e n te conocido
como E thereal), E ttercap, TCPD um p, W inDump,
WinSnif'fer, H unt. D arkstat, traffic-vis, KSniífer) y
p a ra redes inalám bricas como K ism et o N etw ork
Slumbler.
Descarga o instala W ireshark en tu equipo, y haz
que capture el tráfico que em ite y recibe tu tarjeta
4. C onfigura de form a segura un router Linksys
WRT54GL m ediante su web p a ra sim ulación de
configuración online:
http: / / ui. linksys.com/ files / WRT54GL / 4.30.0 / Setup, htm
¿Es posible c o n fig u rar todos los asp ecto s
analizados en el capítulo?
5. Busca información sobre la p in tu ra antiw ifi de
EM-SEC Technologies y descubre su principio de
funcionamiento. ¿Crees que podría ser útil y seguro?
¿Cómo se im plem entaría?
P uede leer sobre dicha p in tu ra en: h t t p : / /
w w w .publico.es/ciencias / 2 7 3 9 4 2 /una -pinturaprotege-a-los-navegantes-de-los-intrusos/ versiónim prim ible.
6.
Busca información acerca de AlienVault y de las
funciones que ofrece. Descárgalo y realiza pruebas e
informes de monitorización del tráfico de red ¿Puede
realizar funciones de IDS? ¿Es software libre?
7. In v estig a y u tiliza el com ando sep sobre una
conexión SSH para el envío seguro de archivos de un
equipo a otro. ¿Es posible abrir y utilizar una sesión
SSH em pleando cifrado asim étrico con claves RSA?
Investiga acerca de cómo hacerlo y realiza la prueba.
159
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
8 . ¿Es
posible realizar MAO spoofing o falsificación de
la dirección MAC de una tarje ta de red? Busca cómo
se realiza para sistem as GNU/Linux y Windows y
pruébalo.
© RA-M A
9. Realiza el siguiente test sobrephishing de V erisig n
disponible en h ttp s://w w iv .p h isk -n o -p h ish .c o m /
es con consejos útiles para reconocer páginas web
falsas y realiza un resum en con recom endaciones
útiles. ¿Crees ahora que solo garantizando que la
web es h ttp s se tra ta de una web confiable?
TEST DE CONOCIMIENTOS
La configuración de clientes de red en WLAN es
m enos compleja si:
No se habilita DHCP server en el AP.
Se habilita el SS1D broadcast.
Se habilita la seguridad WEP,
Se habilita la seguridad WPA.
Con respecto a SSH:
Es un servicio único de GNU/Linux.
En Windows se puede em plear el cliente Putty.
Es un protocolo que em plea el puerto 23.
N inguna de las anteriores.
El puerto que no emplea TLS/SSL es:
Indique qué sentencia es verdadera:
Las redes inalám bricas son más o menos igual de
seguras que las cableadas.
Las redes inalám bricas nunca serán tan seguras
como las cableadas.
Las redes cableadas UTP son m ás seguras que
con STP.
Las redes do fibra óptica son menos seguras que
las inalámbricas.
El mecanismo de seguridad más robusto en redes
inalám bricas es:
Open system.
WPA2.
WPA.
W EP
E n redes inalám bricas no se recomienda:
C am biar el SSID de fábrica.
C am biar el password de adm inistrador por de­
fecto.
H abilitar el DHCP.
Tener claves WEP complejas.
160
22.
990.
995.
443.
Frente a ataques MitM una posible solución es:
Em plear en trad as ARP dinámicas.
E m plear direcciones IP dinámicas.
Em plear direcciones IP estáticas.
Em plear entradas ARP estáticas.
¿Cuál de estos p ro g ram as no funciona como
sniffer?
Cain & Abel.
Snort.
W ireshark.
Logmeln.
El protocolo están d a r para conexiones VI’N suele
ser:
P PT P
IPSEC.
L2TP.
SSL/TLS.
/
Valorar los peligros externos a
las redes corporativas y conocer
las medidas de seguridad
perimetrales para hacerles frente.
/
Comprender la importancia de
los puertos de comunicaciones y
su ñltrado mediante cortafuegos
o firewall.
/
Aprender el significado de las
listas de control de acceso (ACL)
en routers y cortafuegos.
/
Comprender la importancia y
aprender a configurar servidores
y clientes proxy.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Cuando una red corporativa se encuentra interconectada a una red pública, los peligros de ataque a sus servidores,
routers y sistem as internos se m ultiplican.
L as m edidas de seguridad pcrim etral suponen la p rim era línea de defensa en tre las redes públicas y redes
corporativas o privadas. E n tre otras estudiarem os el uso de co rta fu eg o s o firewall destinado a bloquear las conexiones
no autorizadas, y de ser v id o re s proxy que hagan de interm ediario entre clientes y servidores finales, perm itiendo el
filtrado y m onitorización de servicios.
i
A n a liz a la n o ticia " C h in o s a p re n d e n a e v it a r el Gran Firewall d e in te rn e t", e n co n tra d a e n :
http ://www. bbc. co. uk/mundo/cienc¡a_ tecnologia/2010/03/100320_ china_ in te rn e tco n tro l_ censura_
firew all_jp.shtm l, e in d ic a :
•
¿ Q u é e s el gran firewall ? ¿ Q u ié n co n tro la d ich o firewall? ¿ P a ra q u é ?
•
¿ Q u é tipo de p a la b ra s y w e b s son c e n s u r a d a s ? ¿ P o r q u é ?
•
¿ Q u é p o rc e n ta je y có m o c o n sig u e n e lu d ir el gran firewall? ¿M e d ia n te qué a p lic a c io n e s ?
CORTAFUEGOS
Un cortafuegos o firewall, es u n a aplicación o dispositivo diseñado para bloquear comunicaciones no autorizadas,
perm itiendo al mismo tiempo las que si lo están. La configuración para perm itir y lim itar el tráfico entre diferentes
red es o ámbitos de una red. se realiza en base a un conjunto de norm as y reglas. M ediante este mecanismo de defensa
podemos m antener la seguridad de alto nivel en una red o en una m áquina.
La utilización de un cortafuegos es necesaria cuando queremos proteger determ inadas zonas de nueva red o
determ inados hosts, de am enazas que provengan del exterior o, incluso, de am enazas que se provoquen dentro de
n u e s tra propia red ya sean por infecciones o ataques.
L as características fundam entales de los cortafuegos son:
Filtrado de paquetes de red en función de la inspección de direcciones de red: MAC. IP o puerto origen y destino,
perm itiendo con este último criterio proporcionar un filtrado según las aplicaciones asociadas a dicho puerto.
Filtrado por aplicación: perm ite especificar las aplicaciones y reglas específicas para cada una de ellas.
Las d istin tas reglas de filtrado se aplican sobre el tráfico de salida o de entrada en una determ inada interfaz
de red.
Registro o logs de filtrado de paquetes.
162
© RA-MA
7 ■S E G U R ID A D P E R IM E T R A L
PRÁCTICA 7.1
C O N F IG U R A C IÓ N DE C O R T A FU EG O S
En siste m a s GN U /Linux, Ip ta b le s es una de las herram ien tas cortafuegos m ás em plead as, que perm ite el filtrado
de paq uetes de red así como re a liza r funciones de NAT (NetWork Aüdress Translation - Traducción de Dirección
de R ed). No es necesario instalarlo pues viene incorporado en el núcleo de GN U/linux,
E s una aplicación que contiene una serie de cad en as de reglas de filtrado en 3 tablas. A tend er al orden de dichas
reglas es muy im portante, ya que lee de m anera secuencial las ca d e n a s de reglas. Es decir, com ienza por la
prim era y verifica que se cum pla la condición, en caso afirm ativo la ejecuta sin ve rifica r las sig u ientes.
Por consiguiente, si la prim era regla en una determ inada tabla es re ch a za r cualquier paq uete, las sig u ientes reglas
no se rán verificad as.
1. La estru ctu ra de una orden de iptables sigue el siguiente patrón:
iptables -t [tabla] - -[tipo _o p eració n ] -- [cad e n a]-- [re g la _c o n _p a rá m e tro s ] - - [acció n ].
V erem os un ejem plo de com ando para en ten d er su estru ctu ra:
iptables -t fílter -A FORW ARD -i ethO -s 1 9 2 .1 6 8 .2 .1 0 0 -p tcp - d p o r t 80 -j A CCEPT.
T a b la 7 .1
1 tabla
-t filter
Tipo de operación
-A
Cadena
FORW ARD
R e g la _co n _p a rá m e tro s
-i ethO -s 1 9 2 .1 6 8 .2 .1 0 0
-p tcp —dport 80
Acción
-j A C C EP T
El tipo de operación es añ ad ir una regla (A ), sobre la tabla filter (tabla por defecto de filtrado), y cadena
FORW ARD (tráfico en rutad o).
La re g ia: aceptar (A C C E P T ) el tráfico TCP cuyo puerto de destino se a el 80 (H TT P ), en el interfaz ethO,
con IP origen 1 9 2 .1 6 8 .2 .1 0 0 .
2.
Las opciones m ás usad as de iptables so n: iptables - L
-L: listar las cad en as de reglas de una determ inada tabla (por defecto filter).
-F: elim ina y reinicia a los valores por defecto todas las cadenas de una d eterm in ad a tabla.
-A: añ ad ir cadena de regla a una d eterm inada tab la.
-P: añ ad ir regla por defecto, en caso de que no cum pla ninguna de las ca d e n a s de regla definidas.
Para siste m a s en los que no se haya definido an teriorm ente reglas para Iptab les el resultado de e je cu ta r
el com ando iptables -L tiene que se r sim ila r a perm itir todo el tráfico.
3.
Existen tres tab las incorporadas, cada una de las cu ales contiene cie rtas ca d e n a s predefinidas:
Filter tab le (Tabla de filtro s): E sta tabla es la responsable del filtrado (e s decir, de b loquear o
perm itir que un paquete continúe su cam in o ). Todos los paquetes pasan a tra v é s de la tabla de filtros.
Contien e las sig u ientes cad e n as predefinidas y cualq uier paquete pasará por una de ellas:
INPUT chain (C a d en a de ENTRADA) — Todos los p aq u etes destinados a este sistem a atraviesan
esta cadena (tam bién denom inada LO C A L_IN P U T o ENTRA D A _LO C A L).
163
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
OUTPUT chain (C a d en a de S A LID A ) — Todos los paquetes cread o s por este siste m a atraviesan
esta cadena (tam bién denom inada LO C A L„O U TPU T o S A U D A _L O C A L ).
FORW ARD chain (C ad en a de R E D IR E C C IÓ N ) — Todos los p aq u etes que pasan por este sistem a
para s e r en cam inados a su destino recorren esta cadena.
Nat table (Tabla de traducción de direccion es de red) — Esta tabla es la responsab le de configurar
las reglas de traducción de d irecciones o de puertos de los paq u etes. C ontiene las sig u ientes cadenas
redefinidas:
PREROUT1NG chain (C ad en a de PR ER U TEO ) — Los paquetes en tran tes pasan a trav és de esta
cadena an te s de que se consulte la tabla de enrutado.
PO STRO U TIN G chain (C a d en a de P O SR U T EO ) — Los paquetes sa lie n te s pasan por esta cadena
d esp ués de hab erse tom ado la decisión de enrutado.
OUTPUT chain (C ad en a de S A L ID A ).
Mangle table (Tabla de destrozo) — Esta tabla es la resp onsab le de a ju sta r las opciones de los
p aq u etes, com o por ejem plo la calidad de servicio. Todos los p aqu etes pasan por esta tab la. Está
diseñada para efectos avan zad o s, y contiene todas las cad e n as predefinidas an terio rm en te.
A la hora de definir una orden de iptables podrem os se leccio n ar ia tabla a la que va d estinada dicha orden
m ediante el p arám etro - t :
iptables - t [nat | fllter | m angle ]
4. Los m odificadores o parám etros m ás usuales en las reglas de iptables son los sig u ientes:
T a b la 7 .2
-i
In te rfaz de entrada ( e t h 0 ,e t h l(e t h 2 ...).
-o
In te rfaz de salid a ( e t h 0 ,e t h l,e t h 2 ...) .
—s p o r t
Puerto de origen (puede indicarse el nom bre o el núm ero de puerto del
protocolo, p .e j: http u 80).
—dport
Puerto destino (puede indicarse el nom bre o el núm ero de puerto del protocolo,
p .e j: http u 8 0 ).
-p
£1 protocolo del paquete a com probar, tcp, udp, icmp ó al!. Por defecto es all.
-j
Especifica el objetivo de la cadena de reglas, o sea una acción.
—lin e - n u m b e r s
C uando listam os las reg las, agrega el núm ero que ocupa cada regla
d entro de ia cadena.
S.
Las a ccio n es que esta rán siem pre al final de cada regla (d esp u és de - j) que d eterm inará que h acer con
los paq uetes afectados por la regla pueden se r:
A CC EPT: Paquete paquete aceptado.
R E JE C T : Paquete paquete rechazad o. S e envía notificación a través del protocolo ICMP.
DROP: Paquete paquete rechazad o. Sin notificación.
M ASQ UERA D E: E n m asca ram ien to en m ascaram iento de la dirección IP origen de form a dinám ica. Esta
acción es solo válida en la tabla NAT en la cadena postrouting.
164
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
DNAT: En m asca ram ien to en m a sca ram ien to de la dirección destino, m uy conveniente para re-enrutado
de paquetes.
SNAT: E n m asca ram ien to en m ascaram ien to de la IP origen de form a sim ila r a m asq u erad e, pero con
IP Fija.
Ejem p los prácticos
R e alizare m o s la configuración de un cortafuegos cm ed iante un
script que d efin a:
Enrutam iento con NAT y registro o log de paquetes FORW ARD y PR ER O U T IN G . S e crea un registro en
log/iptables.log
/var/
para ten e r un control de lo que entra y sale de nuestro cortafuegos.
Reglas que perm ita el acceso a los protocolos HTTP, DNS y FTP en In te rn e t, pero solo a dos direcciones Ip
d eterm inad as desde una red local (1 9 2 .1 6 8 .2 .1 0 0 y 1 9 2 .1 6 8 .2 .1 1 4 ), todos los dem ás equipos no tendrán
acceso .
Redirección del tráfico web en ei puerto 80 por el puerto 3128 (P ro xy). V erem os su utilidad en el sig u iente
apartado.
#! /bin/bash
# borrar todas las reglas existentes,
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Aceptar el tráfico desde loopback
iptables -A INPUT -i lo -j ACCEPT
# Habilitar logs de todo lo que entra por FORWARD
iptables -A FORWARD -j LOG — log-prefix 'IPTABLESFORWARD : '
#Permitimos acceso a los puertos 8Ci (web) , 20 -21 (ftpFTP), 53 (dn s-tcp y ud]
# a los equipos: 192.168.2. 100 y 192.168. 2.114
iptables -A FORWARD -i ethO -s 192. 168 .2 .100 -P tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i ethO “3 192. 168 .2. 114 -P tcp --dport 80 -3 ACCEPT
iptables -A FORWARD -i ethO -s 192. 168 .2. 100 -P tcp — dport 20 :21 -j ACCEPT
iptables -A FORWARD -i ethO -s 192. 168 .óO .114 -P tcp — dport 20 :21 -j ACCEPT
iptables -A FORWARD -i ethO -s 192 .168 .2 .100 -P udp — dport 53 ~j ACCEPT
iptables -A FORWARD -i ethO - s 192. 168 .2. 100 -P tcp — dport 53 "j ACCEPT
iptables -A FORWARD -i ethO -s 192. 168 .2. 114 -p udp — dport 53 "j ACCEPT
iptables -A FORWARD -i ethO -s 192. 168 .2. 114 -P tcp — dport 53
ACCEPT
#Cerramos los puertos bien conocidos (1-1024).
iptables -A FORWARD -i ethO -p tcp --dport 1:1024 -j DROP
iptables -A FORWARD -i ethO -p udp — dport 1:1024 -j DROP
#Hacemos log de todo lo entra por el PREROUTING
iptables -t nat -A PREROUTING -j LOG — log-prefix 'IPTABL E S P R E R O U T I N G : '
SRedirección de puerto 80, hacia el Proxyproxy, puerto 3128.
iptables -t nat -A PREROUTING -i ethO -p tcp --dport 80 -j REDIRECT — to-port
3128
^Enmascarar mediante NAT, todo el tráfico (la IP origen de los
#paquetes) de la red interna por la IP de la tarjeta de red externa o pública.
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ethl -j MASQUERADE
# Habilitamos enrutamiento entre tarjetas de red de nuestro equipo.
echo 1 > /proc/sys/net/ipv4/ip_forward
IFin del script
165
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Una v e z ejecutad o el script podem os ve r el resultado de la configuración, m ediante el com and o: iptables -n L .
0 9 0
root ^usuario-desktop: home usuario
Aichivo Ertit.il ^ ft Terminal Ayiyla
rootftusuarlo-deskto p^hon e/u suauo« lp ta tile s ni
i t u t INPUT f p o lliy ACCEPT)
targ et
prot opt source
0 00
ACCEPT
a ll
• 0 . 0 .0 .0 / 0
- .a. . /G
Chau FORWARD i p o licy ACCEPT
targ et
prot opl source
a l l - - O .O .O .fi/0
LOG
p r e fix
IPTABLESFORKAflD :
ACCEPT
192.168.2.
1 *°
ACCEPT
tcp - 192.168.2
ACCEPT
tcp - •
192.168.2.
ACCEPT
tcp
192.168.2.
ACCEPT
udp - 192 .168.2.
ACCEPT
tcp
192 .168.2.
ACCEPT
192 .168.2.
udp - ACCEPT
tcp - 192 .168.2.
DROP
tcp - • 0 . 0 . 0 , 0/0
DROP
udp — 0 .0 .0 0 /0
100
114
100
114
lea
100
114
114
Cf-air OUT PUT (p o lic y ACCEPT 1
target
prot opt source
ro o tftusu ario-deskto p:/ho»e/usuaao« |
HI
d e s tin a tio n
e .9 .o .o /e
LOO flag s 0 leve
0 .0 .0 .0 / 0
0 .0 .0 .0 / 0
0 .0 .0 .0 / 0
0 .0 .0 .0 / 0
0 .0 .0 .0 / 0
0 .0 .0 .0 / 0
0 . 0 .0 .0 / 0
0 .0 .0 .0 / 0
e . o . e . e /e
o .o .fl.e /o
tcp
tcp
tcp
tcp
udp
tcp
Udp
tcp
tcp
Udp
d p t:80
d p t:80
dpls:20:21
dpts:20:21
d p t:S3
d p t:53
d p t:S3
d pt:53
d p ts : 1: 1024
d p t S :l:1 0 2 4
d e s t in a tio n
II
Por otro lado para ve r las reglas PRERO U TIN G y PO STRO U TIN G de la tabla NAT: iptables - t nat -n L .
Para ve r com o se hacen efectivas las reglas de iptables, si in ten tam o s acced er a sitios web desde el equipo
configurado con IP 1 9 2 .1 6 8 .2 .1 0 0 , ve rem o s com o resuelve los nom bres de dominio com o tvivw.googye.es y accede
sin problem as. En caso de intentar a cced er a una web desde un equipo de la red pero con IP no perm itida (e j:
1 9 2 .1 6 8 .1 .5 0 .), no tendrá acceso a la navegación ya que se bloquea todo el tráfico hacia In te rn e t de cualq uier
dirección que no sea las acep tad a en las reglas.
PRÁCTICA 7.2
A R C H IV O S LOG
La herram ienta iptables por sí sí sola no realiza registros de cada una de las conexiones que filtra. E s posible
hab ilitar esta función realizand o una se rie de configu raciones en distintos a rch iv o s de m anera que queden
registradas todas las en trad as y salid as de nuestro cortafuegos.
Para ello an teriorm ente hay que definir la creación del registro a través de la acción - j log en las reglas de
iptables, pudiendo añ ad ir un prefijo a cada entrada en el log para poder identificar los paq uetes de form a m ás
sencilla, m ediante - -log-prefix. Por ejem plo en la práctica an te rio r hem os configurado:
iptables -A FORW ARD -j LOG --log-prefix 'IPTA BLESFO R W A R D : '
iptables -t nat -A PRERO U TIN G -j LOG --log-prefix 'IP T A B LE S P R ER O U T IN G : '
Hacem os log de todo lo que filtra FORW ARD y PRERO U TIN G .
1. Para hab ilitar el log en p rim er lugar vam os al archivo de configuración del sistem a de logs del núcleo
que se encuentra en la ruta /etc/rsyslog.d/50-defau¡t.conf y añad im os lo sig u iente:
kern, warning /var/log/iptables.log
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
o•
•
g
*50-d«Vao!t c c n f ( e ft T iyfclog.d) • g e rii!
j
*ín
*
^¿Omnla*
W
^üesAace-
^
•V>d é faite onf »
»
0
O c fiu ll ru les for rsysloQ
For aor« Information vtç rsyslo g.co o f(5) and /etc/
rs y s lo g conf
standard log f il e s
• F ir s t
auth.autnpriv •
*. * ; autb, authpMv.none
<cro n .•
daeaon •
kern. •
log by f a c i li t y
/vir/loç/âuth log
■ /vn/loçAyslo g
/ « r / lo ç / c r » n .l 09
/ïüf/loj/diCT'on tog
/var/lo g /kïfn .lo g
/viiV log /tpr log
-/v a r/lo g / u ll.to g
7v*r/log/user log K
---- B.
mtr.»_________
äeni.wKtlUg
jjjjg
/ W / b l / l p U k < a .l
En los sis te m a s GN U /Linux generan m e n sa je s con diferentes niveles de prioridad, de m enor a m enor son: debug,
info, notice, waming, warn, err, error, crit, alert, emerg y panic. Con la línea an teriorm ente m encio n ad a, se añade
a iptables.log cualq uier registro del tipo w arning (nivel 4 ), asociad os norm alm ente a filtrado de p aq u etes de red.
Una vez introducida la configuración an terior reiniciam os el servicio rsyslog, aunque dependiendo de la versión
del kernel es posible que sea necesario re in icia r el sistem a por com pleto:
/etc/init.d/rsyslog stop
/etc/init.d/rsyslog start
Una vez reiniciado el se rvicio podem os o b servar que se ha creado el archivo de log m ed ian te: cat /var/tog/
iptables.log
A m edida que se filtren p aquetes se irán añadiendo registros a e ste archivo.
Los logs de iptables es posible tam bién verlos en /var/log/messages, el porqué de cre a r el archivo "iptables.log" es
debido a que en este archivo solo se alm acenan erro res a p artir de nivel 4 m ientras que en el archivo "m essag e s"
se alm a cen a cu alq u ier error, ind iferentem ente del nivel de error, y por tanto a la hora de buscar un registro de
iptables es m ucho m ás costoso.
2. Hasta aqu í tenem os la configuración del log de iptables pero ahora vam os a e xp licar que contiene un registro
del m ism o. Para ello, introducim os la sentencia anterior "cat /var/log/iptables.log" y vem o s que ap a rece algo
sim ila r a lo sig u iente:
i
9 O
~iptAbte% lo q (Soto l« ic tu fa | ( va i lo g l
* •</ r
Oec 21
l ì Ob usuarlo desktop Kernel (
table e ntries 1024 lorder 9, 4096 byte?)
Dec 21 91:15:05 usuano desktop kernel: (
Link ILMKC) enabled at I KO lfl
Oec 21 91.15:95 usuar lo -desktop kernel: )
Link iLJKfi) enabled at IRQ 11
Dec 21 91:12:95 usuario-desktop kernel: |
' resource for EISA slo t 4
I Dec 21 91:15:95 usuano desktop kernel- |
version 1
I Oec 21 91 15:95 usuario-desktop kernel I
6:779:293
Dec 21 91:15:95 usuar lo -desktop kern el: |
32x/32x na/tor»2 tray
^
9.528230) DQuot cache has«
9.552047) ACPI
PCI Interrupt
9.605369] ACPI : PCI Interrupt
o 7999211 Cannot allo cate
9.7053001 registered M skstats
0 7959*4)
fiagic ouster
1.199211) s r t : s c s iJ- a K drive
1 12*474!
) :5 é .t r -e 0« 00 9K»192.160 1.1
Pt M WÊÊ M V M » SP7*520
Dec 21 01.15:05 usuori o -desktop k e rn e l: I
L in k ILMKA] enabled a t IRO 5
Dec 71 01.15:05 u s u a rio 'd e skto p kernel I
i t »to ptano *
2 4774941 ACPI. PCI Interrupt
9.15W70] p ll* 4 safcus
Antfto de ta U M kio t -
K Col 2)9
INS
167
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
A nálisis de un registro de su ceso s del archivo iptables.log
La inform ación se ordena de izquierda a derecha siguiendo al modelo O S I de abajo hacia arrib a, prim ero lo referido
a en lace de datos (¡face, MAC), luego a red (dirección IP, T O S ) y por ultimo de transp orte (puerto, A CK , e tc .).
S e dará un breve detalle de cada cam po ya que hay inform ación que podría no e sta r p resente dependiendo de la
cadena dentro de la que se realizo el registro de algunos de los protocolos que intervienen en el caso.
D ec 2 1 : es el m es y el día del registro. (21 de d iciem b re).
1 0 :3 1 :4 1 : es la hora en la que se añadió el registro al archivo de log.
U suario-desktop : es el nom bre de la m aquina que realiza el log.
kern el: [ 4 0 8 1 .6 1 7 7 4 6 ]: es el código del log del núcleo.
IPTA B LESFO R W A R D : e s el prefijo que hem os añadido en la sentencia de ¡ptables para d iferenciar los registros
que provienen de iptables de cualq uier otro registro.
IN = ethO O U T= : interfaces de red por la cual entró la tram a y por la cual va a salir.
MAC: inform ación que m aneja la capa MAC (Media A ccess Control, junto a LLC conform an la capa de en lace
de d atos). S e concatenan los 6 bytes de la dirección MAC destino con los 6 de origen y com o se trata de un
d atag ram a IPv4 el código es 0 8 0 0 .
S R C y D ST: IP origen y destino.
LEN : longitud total del d atag ra m a , hace referencia al cam po LT de la cabecera IP (del bit 17 al 32) y no al
cam po IH L (longitud de la ca b e ce ra , del bit 5 al 8).
T O S y PR EC : cam po tipo de servicio de la cabecera IP, por lo general es 00 y con PREC (precedencia)OxOO.
TT L y ID : tim e to live (tiem po de vid a) y el cam po ID utilizado para re a rm a r fragm entos.
PROTO, S P T y DPT: en este caso , protocolo de transporte y puertos de origen y destino. El valor de PROTO se
obtiene del cam po protocolo de la cab ecera IP. El S P T y DPT son algoritm os de control.
T IP O S D E C O R TA FU EG O S
En general, para establecer las diferencias en tre los distintos cortafuegos atendem os a la flexibilidad y la facilidad
de configuración de los mismos, así como la capacidad de manejo de tráfico. U na clasificación posibles es por la
u b ic a c ió n en la que se encuentre el firew all:
F íre w a lls b a sa d o s en servid ores: consta de una aplicación de firew all que se instala y ejecuta en un sistem a
operativo de red (NOS), que norm alm ente ofrece otra serie de servicios como enrutam iento, proxy, DNS, DHCP.
etc.
F íre w a lls dedicados: son equipos que tienen instalado una aplicación específica de cortafuegos y, por tanto,
trabajan de forma autónom a como cortafuegos.
F íre w a lls in te g ra d o s : se integran en un dispositivo hardw are para ofrecer la funcionalidad de firewall. Como
ejemplos encontram os switches o roulers que integran funciones de cortafuegos.
F íre w a lls p erson ales: se instalan en los distintos equipos de la red de forma que los proteja individualm ente
de am enazas externas. Por ejemplo en un equipo doméstico el cortafuegos preinstalado en sistem as Windows.
168
© RA-M A
7 ■ S E G U R ID A D P E R IM E T R A L
Las arq u itecturas de cortafuegos m ás im plem entadas son:
S cr e e n in g router: como frontera entre la red privada y la red pública se encuentra un router que realiza
tareas de filtrado.
D ual H om ed-H ost: como frontera se dispone un equipo servidor que realizará tarcas de filtrado y enrutam iento
m ediante al menos 2 tarjetas de red, esto perm itirá una mayor flexibilidad en la configuración e instalación
de aplicaciones de seguridad.
S creen ed H ost: combina un router como equipo fronterizo exterior y un servidor proxy que filtrará y perm itirá
añadir reglas de filtrado en las aplicaciones más empleadas. Veremos el uso y configuración de servidores proxy
en un apartado posterior.
S creen ed -su bn et: m ediante la creación de una subred interm edia, denom inada DMZ o zona d esm ilita riza d a ,
entre la red externa y la red privada interna, perm itirá tener 2 niveles de seguridad, uno algo m enor en el
cortafuegos m ás externo y uno de mayor nivel de seguridad en el cortafuegos de acceso a la red interna.
I PRÁCTICA 7.3
C O N F IG U R A C IÓ N R O U T E R -F IR É W A L L
La m ayoría de los routers poseen opciones de configuración de cortafuegos o reglas de filtrado, ve rem o s estos
asp ecto s a 2 niveles dentro los productos de la em presa C is c o .
L in k s y s , es la división para el hogar y pequeñas e m p re sas, entre sus productos en contram os el router W R T54G L
con una web para sim ulación de configuración Online:
http://ui. linksys.com/fHes/WRT54GL/4.30. O/Setup.htm
Entre otras opciones disponem os de opciones de configuración básica de cortafuegos (opción Security - Firewall),
así com o una configuración m ás avan zada (opción A ccess Restrictions) donde podem os habilitar 10 políticas de
acceso independientes, por ejem p lo habilitar el tráfico a d eterm inad as horas, para determ inado tipo de tráfico
(p uertos-protocolos de ap licación ), equipos y sitios web.
169
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
Para el caso de los routers C IS C O de gam a media y alta, es posible configurar listas de control de acceso o A CL,
listas de condiciones que se aplican al tráfico que viaja a través de una interfaz del router y se crean según el
protocolo, la dirección o el puerto a filtrar. Existen dos tipos de A CL:
A C L estándar, donde solo tenem os que esp ecificar una dirección de origen.
A CL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino, ofrecen un m ayor control.
V eam os un ejem plo de ACL están d ar:
Una A C L e stá n d a r solo filtra la dirección origen, donde ésta puede se r una dirección de host, de red o un
rango de d ireccio nes. Con la com paración se p erm ite o deniega el acceso. La configuración se hace en modo de
configuración global, y luego se hace la asignación de la A C L a la interfaz de red que corresp ond a, ya sea a la
entrada o a la salida del tráfico en dicha interfaz.
La sin ta x is com pleta del com ando A CL estándar, para routers C IS C O bajo sistem a operativo propietario C IS C O
IO S , es la sig u iente:
R o u ter(co n fig )# a cce ss-líst n u m e ro _A C L d e n y|p e rm it d ire c c ió n _a _filtra r m a sca ra _w ild ca rd
D onde: n ú m ero _A C L es un núm ero que va del 1 al 99 o del 1 3 0 0 -1 9 9 9 , y la m áscara de w ildcard se obtiene
com plem entando la m ásca ra de su b red , es d ecir si la q uerem os ap licar sobre una red de clase C , la m áscara
w ildcard se rá 0 .0 .0 ,2 5 5 com p lem entaria de 2 5 5 .2 5 5 .2 5 5 .0 .
R c w Ih 1 _
'» 1 6 * M I
¡ 192 16* 15 I
No h » r a n o a ú n
Í1>S « 5 ÍS 5 0
roum 7
w iw k i
' i a z i M t &2
m m m
y u n s ís a o
R o u la O
* 1 « 2 ie a in
Ito tM y ftr a c o C n
'W 18« 11.’
J S S ÍS 5 „ 'M 0
Tom ando en cuenta la topología de la im agen, para cre ar una A CL en Router 1 que solam ente perm ita los paquetes
de la red 1 9 2 .1 6 8 .1 6 .0 :
R o u te rl(c o n fig )# a c ce ss -list 1 perm it 1 9 2 .1 6 8 .1 6 .0 0 .0 .0 .2 5 5
R o u te rl(c o n fig )# interface SerialO
R o u te rl(c o n fig -if)# ip -access-g roup 1 in
La explicación de esta A CL e s que com o es una A C L estándar, se configura lo m ás cerca del destino ( Routerl ), la
dirección a filtrar e s una dirección de red de cla se C, por lo que la m áscara wildcard es 0 .0 .0 .2 5 5 ya que verifica
la red y no verifica la parte de host.
L a s re g las A C L se verifican como en el cortafuegos iptables, hasta que se cum pla una condición, en caso de no ser
a s í, im plícitam ente hay una linea al final de la A CL que deniega todo lo d em ás: R o u te rl(c o n fig )# a c c e ss-list
1 deny any, la cual no nos afecta en este ejem p lo para el funcionam iento que d eseam o s de la A CL.
D esp ués se asig na en la interfaz de red que corresponda, para eso debe seg uir la ruta que seguiría el paquete al
tratar de e n tra r a Routerl. La dirección de red a filtrar proviene de Router2, por lo que la trayecto ria sería salir
de Router2 por su interfaz SO y en trar a Routerl por la interfaz SO, lo cual la hace la interfaz en la que se debe
configurar, ju sta m e n te a la entrada (in ).
170
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
I PRÁCTICA 7.4
C O N F IG U R A C IÓ N DE C O R T A F U E G O S CON EN TO RN O G R Á F IC O
La m ayoría de los siste m a s op erativos p erso n ales disponen de cortafuegos p reinstalad os, com o e s el caso de los
siste m a s W indows. S u s funciones han ido aum entando en las últim as ve rsio n es com o W indows Vista y W indows 7,
y en su s version es de servid or como W indows 2003 y 2008 han proliferado los en torn os de gestión de seguridad
en redes como M icrosoft In te rn e t S e cu rity and A cceleration S e rv e r (IS A S e rv e r) y M icrosoft Forefront
T h re at M anagem ent G atew ay (Forefront TMG).
En nuestro caso, utilizarem os la aplicación Kerio W inroute Firew all para g estio n ar la seguridad del tráfico
en tran te y saliente de nuestra red.
1. En prim er lugar, d escarg arem o s el softw are desde la siguiente d ire cció n : www.kerio.com. Tras d escarg a r
el eje cu tab le que instalará el firewall, eje cu tare m o s el instalador. E s recom endable d esactiva r el Firewall
que viene por defecto en W indows para e v itar conflictos.
En un m om ento de la instalación, el program a d etectará si hay algún conflicto con el siste m a . En caso de se r
a sí, tend rem os que d eshabilitar dichas opciones que presentan conflictos con el program a seleccionándolos
en el m ism o cuadro de diálogo.
Tras esto, nos pedirá un nom bre de usuario y una co ntraseña para la adm inistración del firewall com o
ad m inistrad or. Por últim o, pulsarem os en el botón in sta lar para e m p e z a r la instalación del Firewall en
el sistem a operativo. A la hora de in sta lar el softw are Kerio W inroute firewall se aplica una configuración
que bloquea todo el tráfico de In te rn e t por lo que tendrem os que re alizar m ás adelan te una configuración
básica para p erm itir aquellas conexio nes que necesitem os.
2. Term inada la instalación, podem os iniciar el program a de adm inistración "Kerio Adm inistration consolé" que
nos perm itirá re alizar la configuración de nuestro Firewall. Como todo program a de ad m inistración, este
nos pide que nos conectem os a un host (podrem os configurarlo re m o tam en te o en lo c a M o c a lh o st) con el
usuario y la contraseña definida en la instalación para poder ad m in istra r el softw are.
K m
Aorrumtintion Comete
a
B
O
Afctwo Eritar Ver Herrarwn!® Ayuda
O Marcadores no están crotepdoe
Una vez logueados, el Firewall nos ejecuta un asisten te que nos p erm ite re a liza r una configuración básica
del m ism o.
En prim er lug ar tendrem os que indicarle la forma en la que este se conecta a la red seleccionando "Un
único enlace de Internet - p ersistente" ya que es la configuración m ás sencilla.
171
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
Acto seguido, nos pedirá que seleccionem os la ¡nterfaz por la que se conecta a la red. D ependiendo de las
in terfaces que se conectan tendrem os que se leccio n ar una ¡nterfaz para la opción que hem os elegido o
tan tas como haya co nectad as para las opciones de "m últiples en laces a Internet"
El sig u ien te paso es el que bloqueará o perm itirá cierto tráfico a In te rn e t según los protocolos que
necesitem o s ya sea para la visualización web, transferencia de arch ivo s m ediante FTP, etc. Seleccio n arem o s
la segunda opción de la pantalla que dice “ p erm itir el acceso solo a los sig u ien te s se rvicio s" ya que
tendrem os un control exhaustivo de las ap licacion es que perm itim os la conexión.
De la lista que nos ap a rece seleccio narem o s los protocolos cuyo tráfico estará perm itido. R ealizarem o s una
configuración sencilla perm itiendo solo el protocolo http y DNS para la naveg ación por In te rn e t. Todos los
d em ás protocolos quedarán bloqueados.
Polfee» ufarte •p*gr» 4 dt 7
Soecoone ri ravvi * que tJM d rrstrnpr e acceso a tntrntt de tas u u ro t Or U LAN
PcnMBr d acceso a todo« be w vtooi (w> In U d o n « /
♦ Per*4r d acceso a6o a b i »pachtes ter <>ccs
Sentoo ^rotocob
0 HTTP TCP
□ «n»STGP
□ FIJ> TO>
□ SHTV TCP
0 0*6 TO>«*>
□ P0P3 TO’
O
TCP
□ Tdurt TtJ>
Purrtodecr^en
Cuatguera
Cuafcueva
Cuáquera
Cuatoaera
Cua*OL*ra
Cuáquera
CuñtoMwa
Cuakuera
Puerto di desano
«0
443
21
25
53
1»
H3
23
Configurados los sen/icios que querem os perm itir, podem os se leccio n ar o no la opción para que cree una
se rie de reglas en el firewall que perm itan la adm inistración del m ism o de m anera rem ota m edian te VPN.
3.
R ealizarem os una prueba básica para v e r que el firewall funciona correctam ente. Para ello nos conectarem os
m ed ian te FTP a una m áquina rem ota o de nuestra m ism a red, si el Firewall funciona co rre cta m e n te no nos
d eja rá conectarnos al se rvid o r FTP, pero sí nos perm itirá la navegación web.
4 . Si posteriorm ente q uerem os perm itir la conexión m ediante FTP al se rvid o r local, irem os a la sección
"configuración" y pulsam os en el apartado "política de tráfico". En este apartad o se m uestran las reglas
que regulan el firewall, añ adirem os el servicio FTP a las exce p cio n e s pulsando en las filas "Acceso a
In te rn e t (NAT)'' y "Tráfico del Firewall", en la casilla de se rvicio s con el botón derecho se leccio n am o s “editar
servicios".
Ardwo Ayuda
Kfrto WmRoute
i Política de tráfico
CoadiQMraoón
■Pinte* faces
0
- i - - T i T T ^ jp ^
Bin } md » ín te r
Horabrt
Cnger»
Oes»«
(a h tM l
>«| Todos tof denles
• ’ o d M iw to i» í
“*• ^ntíev,\xiri
i • Fresal
Acoón Regr Traducnár
Servoo
♦ jF le a d o de cammoo
pSerrtdorDMCP
-*»6
0
T rtlo b a i
i: ¡ J Defooorct
Taúla de m u í— ente
* Accasane
bd
0 y hr •«
Regatm
lojkj *
^ CuBt
*9 *9 * r*Cfa
B m a «sta reefe
etc* r^ l.
■
Todos &rcfcs
r _ j—
4» C:jatoaeia
O HTTP
** Ih iM n o ty g n ip M
Ostlt*do
LJÍialb
HoojtM oro rééco
<* Custeaera
v Cua*o^era
Cuatquva
X
S eleccio n am o s del desplegable "agreg ar" el servicio que q u erem o s añ ad ir a las excep cio n es, en nuestro
caso FTP, y pulsam os en aceptar.
172
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
DMZ
Cuando se realiza el diseño de una red es im portante determ inar qué equipos ofrecerán servicios de carácter
público y por tanto será accesibles desde el exterior de n uestra red corporativa y qué equipos deben ser invisibles
desde el exterior para m an ten er un cierto nivel de seguridad en las comunicaciones internas.
Surge de esta diferenciación el concepto de zon a d esm ilita riza d a o DMZ (dem ilitarized zone) o red perim etral. Se
tra ta de una red local que se ubica en tr e la red in tern a d e u n a o rg a n iza ció n y una red ex tern a , generalm ente
In tern et, donde se ubican los servidores HTTP, DNS, FTP y otros que sean de carácter público.
Internet
H abitualm ente, una configuración DMZ es u sar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta
a ambos cortafuegos, uno conectado a la red in tern a y el otro a la red externa. E sta configuración ayuda a prevenir
configuraciones erróneas accidentales que perm itan el acceso desde la red ex tern a a la in tern a. E ste tipo de
configuración tam bién es llam ado cortafuegos de subred m onitoreada íscre en ed -su b n et firewaLl).
Por lo general, la p o lític a d e s e g u r id a d p ara la DMZ es la siguiente:
El tráfico de la red externa a la DMZ está autorizado y a la red interna está prohibido.
El tráfico de la red in tern a a la DMZ está autorizado y a la red externa está autorizado.
Norm alm ente el DMZ host está separado de In tern et a través de uu router y un cortafuegos, o se encuentran
integrados. Es aconsejable que en el cortafuegos se abran al exterior únicam ente los p u ertos d e los ser v ic io s que
se pretende ofrecer con los servidores disponibles en la DMZ.
173
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PROXY
Un servidor proxy o representante es una aplicación o sistem a que gestiona las conexiones de red, sirviendo de
interm ediario en tre las peticiones de servicios que requieren los clientes, como http, FTP, irc, telnet. ssh, etc., croando
así una m em oria caché de dichas peticiones y respuestas por parte de los servidores externos. La finalidad de este tipo
de servidores es poder servir más rápidam ente a sus usuarios en conexiones siguientes que hayan sido solicitadas y
respondidas previam ente, sin tener que acceder rem otam ente de nuevo a los servidores externos.
La m ayoría de los servidores proxy tam bién añaden fu n cio n e s de control y autenticación de usuarios, y reglas de
filtrado de los contenidos solicitados, así como funciones de registro de logs.
E n tre las grandes ventajas de un servidor proxy se encuentra la mejora de velocidad de respuesta a peticiones, ya
que si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché, guardar la respuesta de una petición para
d a rla directam ente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido.
P ara evitar contenidos desactualizados, los servidores proxy actuales, se conectan con el servidor remoto para
com probar que la versión que tiene en caché sigue siendo la m ism a que la existente en el servidor remoto.
TIPOS, CARACTERÍSTICAS Y FUNCIONES PRINCIPALES
Dependiendo del tipo de tráfico que circulará por una red necesitarem os un proxy que cum pla con las necesidades
d el tráfico, ya sea para acelerar la descarga de contenidos para no sobrecargar la salida a In tern et o para autenticación
de usuarios. En función de las características de cada tipo de proxy podemos clasificarlos de la siguiente m anera:
P ro x y ca c h é Web: se tra ta de un proxy para una aplicación específica como el acceso a la web. M antienen
copias locales de los archivos m as solicitados y los sirven bajo dem anda, reduciendo la baja velocidad y coste
en la comunicación con Internet. El proxy caché alm acena el contenido en la caché de los protocolos HTTP,
HTTPS, incluso FTP.
P roxy NAT: integración de los servicios de traducción de direcciones de red y proxy.
P roxy tran sp arente: norm alm ente, un proxy Web o NAT no es tran sp aren te a la aplicación cliente: debe ser
configurada para u sar el proxy, m anualm ente. Un proxy tran sp aren te combina un servidor proxy con NAT
(Network Address T ranslation) de m anera que las conexiones al puerto 80 típicam ente, son redi rígidas hacía
el puerto del servicio proxy.
P roxy anónim o: perm iten aum entar la privacidad y el anonim ato de los clientes proxy, m ediante una activa
elim inación de características identificativas (dirección IP del cliente, cabeceras From y Referer. cookies,
identificadores de sesión...).
P roxy inverso: un reverse proxy es un servidor proxy instalado en una red con varios servidores web, sirviendo
de interm ediario a las peticiones externas, suponiendo una capa de seguridad previa, gestión y distribución de
carga de las d istin tas peticiones externas, gestión de SSL o como caché de contenidos estáticos.
P roxy abierto: acepta peticiones desde cualquier ordenador, esté o no conectado a su red. En esta configuración
el proxy ejecutará cualquier petición de cualquier ordenador que pueda conectarse a él, realizándola como si
fuera una petición del proxy. Por lo que perm ite que este tipo de proxy se use como pasarela para el envío
masivo de correos de spam , muchos servidores, como los de IRC o correos electrónicos, deniegan el acceso a
estos proxys a sus servicios, usando norm alm ente listas negras (blacklist).
Tras conocer los distintos tipos de proxy pasarem os a in stalar y configurar uno.
174
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
PRÁCTICA 7.5
C O N F IG U R A C IÓ N DE P R O X Y . G E S T IÓ N DE C A C H É, LO G , C L IE N T E S Y F IL T R O S W E B .
En la siguiente práctica, ap re n d e rem os a in sta lar y configurar los p arám etros fund am entales de un servid o r
Proxyproxy, así como los clientes que hagan uso de él.
1. En siste m a s GN U/Linux Squíd es el se rvid o r Proxy proxy por excelen cia, debido a su potencia y estab ilidad.
E m p e za rem o s por in sta la r Squid m ediante el com ando: apt-get install squid3.
En la instalación de Squid nos crea un archivo de configuración del Proxy proxy por defecto en /etc/squid3/
squid.conf. En este fichero podem os config urar cualq uier parám etro del Proxyproxy. No o bstan te, nosotros
cre are m o s un fichero de configuración propio con los parám etros n e cesario s para que el Proxy proxy
funcione com o filtro de contenidos.
Por este m otivo, harem o s una copia del archivo de configuración que se instala por defecto de tal m anera
que tengam os una copla de seguridad del archivo en caso de fallo. E jecu ta rem o s la sig u iente se n te n cia:
cp /etc/sq uid3/sq u id .conf /etc/sq uid3/sq uid.conf.old
2. M odificarem os el fichero eje cu tan do la sentencia " gedit l etc! squid3¡squid.conf". El contenido del archivo
de configuración:
m i Ate f
*
-
^
<4*0
roo» X
jvpurjaetroi generales
«ffcafcre del proxy
v is ib le hostnaae servidor proxy
tpoerto de escucha del proxy
http port 112 8
•Dirección de la caché de squid ir e l taaafo de la ais«a
cache d ir ufs /var/spool/souldJ ?••• 16
cache ae« 12 NI
aaxiaua object v i/e in oe®cry 256 MB
•Dirección de los registros de squid
access log /var/log/tquidl/access.log
cache log /var/log/squldl/cache.log
# L ista s de control de acceso
^
acl acceso src 0
ot
acl nopermitidas i¿rl re?e* ’ /etc/s^uldl/nopermitidas*
acl nowebs dttdoaain V etc/w idl/n o w ebs*
acontrol de
http access
http access
http access
acceso
deny nopera í tid a l
deny rowetH
allow acceso
IfrttD piano » Ancho dc >a tatoiacJOn | •
in 1
P arám etro s g en erales: alm acenam ien to cach é, nombre y puerto
A continuación vam os a e xp licar los parám etros que hem os m odificado en el fichero de configuración Squid.
conf:
# Parámetros generales
ffNombre del proxy
visible_hostname servidor_proxy
E ste será el nom bre del proxy que m ostrará a los clientes proxy cuando Squid detecte una página o una palabra
no p erm itid a:
© R A -M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
#puerto de escucha del proxy
http_port 3128
#Direccion de la caché de squid y el tamaño de la misma
cache_dir ufs /var/spool/squid3 2000 16 256
cache_mem 32 MB
m a x i m u m _ o bject_size_in_memory 256 MB
C a ch e _d lr: determina el tipo de sistema de almacenamiento en caché que utilizará Squid (ufs recomendado),
así como la dirección de la caché (/var/pool/squid3), tamaño de la caché (2000 MB), número de directorios
y subdirectorios de la caché (16 y 256).
El parámetro C a ch e _m e m : determina la cantidad de memoria ram que será utilizada como caché. Un
valor entre 8 y 32 megas es lo recomendable, pero dependerá de la cantidad de memoria que tengamos
en el sistema.
M a x im u m _ o b je c t_ s iz e _ in _ m e m o ry . : Se se indica que los ficheros descargados con un tamaño mayor
del indicado (en kilobytes) no se guardaran en el disco duro. Por defecto 4 megas.
A rc h iv o s de log
Continuando con nuestro scrip t nos encontramos con los siguientes parámetros:
^Dirección de los registros de squid
access_log /var/log/sq u i d / a c c e s s .log
cache log /var/log/s q u i d / c a c h e .log
Las rutas anteriores serán las direcciones donde se almacenaran los logs de acceso al proxy y de caché.
Ejemplo de /var/log/squid/access.log:
C0 9
root<¿u?u«fk> d t'fc to |i
A /th r.o W a t \m
Home u *u « lo
TKtnliVAl A rfula
BY4AC wr«6k4ÁC WTXKMAC*rltW A C M f ftf A 4 4 ¿ vr» * t 4AC wí
64Aí » r« t 44AÍ mtW H4A( wrH* C4Af wrM
r>;4ACMrMrft4A(vrnCk4Mvrf«»g4AC«rfYY.U¿yUii0Alfc/Vr<KT0vniNg js u s u *rto DIRECr/74.
U 1 .2 S Ù .M t* * t / j4 * A S c r ip !
]? « 9 6 1 6 4 i.;? 7
W 19? 16« 1.16 TCP* HISS/264 116 GF? M ip / / c t i e n t s l googlc r
• -/g e n e r iti
u xu*ria D IR K T /74. m . J i e /4 t * ( t / M s l
98164.1 4 i5
16/ 192 166 1 16 TCP M lt& /:A 4 44)1 ¿* ! h t l f / / * * gooqlc e s /c s i
’ u s u a rio 0 1 A K T /7 4 .U 5 2W .63
l.11) ? « 1644. 376
1 192 166 1 16 TCP
H1T/J06 7 1 U « T h tlp / / t i g s U lle.CO
e /iftA g e i» u su a rio 6 0 » /
M 4 * /)p c q
129?981644 Ì 76
« 19? 166 1 16 TCP «EN H IT/J66 716) 6€T h ttp //1 3 gstO ttC CO
M/iftéQes? u u * r i o MMF/ .« w jc /jp rs j
El contenido de dicho fichero son todas las webs, ips, fechas, etc., a las que se acceden y cuyas peticiones pasan
a través de squidSquid. En este fichero también aparecen aquellas peticiones que son denegadas debido a han
sido bloqueadas mediante la configuración del Proxyproxy. Con la captura anterior del registro del archivo access.
log, pasaremos a analizar detalladam ente cada uno de los conceptos que componen un registro:
1292981643.277 80 192.168.1.16 TCP_MISS/204 310 GET h ttp ://clien tsl.g oo gle .es/ge ne ra te _ ,204 usuario
DIRECT/74.125.230.74 te xt/h tm !
1292981643.277 indica la fecha del acceso. La fecha está en form ato de epoch (la cantidad de segundos
transcurridos desde 00:00:00 UTC 1-1-1970).
80 corresponde con el tiempo de respuesta. Es posible que el tiempo sea 0 puesto que posiblemente sean
páginas a las que se les ha denegado el acceso y por tanto no hay una respuesta.
192.168. 1.16 corresponde con la dirección ip IP que ha producido esta petición.
” TCP_ M ISS/204" es el protocolo utilizado, en este caso TCP, "M ISS/204" es el significado de que el archivo que
se intenta descargar no está en la caché y por tanto la petición tiene que salir a Internet para ser descargada.
176
7 ■ S E G U R ID A D P E R IM E T R A L
© R A -M A
Otras opciones son TCP_MEM_HIT": el archivo si se encuentra en la caché de squid Squid o "TCP_DENIED" se
ha bloqueado la petición ya que incumple alguna regla del Proxyproxy.
310: el peso del archivo, en bytes.
El método de envío del archivo es el significado de "POST" o “ GET".
El siguiente parámetro es la propia dirección del archivo en cuestión o la web a la que queremos acceder.
DIRECT/74.125.230.74 es la dirección del destino a fa que le hacemos la petición.
Por último, tenemos el tipo de contenido que estamos realizando con la petición, "te xt/h tm l".
Tras analizar el log( podemos continuar con la explicación de los distintos parámetros que permiten configurar
Squid.
A u te n tic a c ió n de u s u a rio s
La autenticación de usuarios es otra opción que ¡mplementa Squid. A través de este servicio, podemos solicitar
un usuario y una contraseña para poder tener acceso al Proxyproxy, y por tanto los servicios como navegación
web.
De esta manera, podemos acotar qué usuarios tendrán acceso al Proxy y quiénes no y, de aquellos que tengan
acceso, podemos tener un control de qué peticiones realiza.
Los siguientes parámetros son los que permiten configurar el sistema de autenticación:
#Autenticación
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/claves
auth_param basic children 5
auth_param basic realm Squid proxy-caching web Server
auth_param basic credentialsttl 2 hours
acl passwd p r o x y a u t h REQUIRED
Explicaremos cada línea detalladamente:
La primera línea indicamos el módulo que vamos a usar para la autenticación de los usuarios que se encuentra
en " / usr/lib/squid3/ncsa_auth" así como el fichero que contiene las contraseñas de los distintos usuarios que
habrá que generar más adelante con la creación de los distintos usuarios /etc/squid3/claves.
La segunda línea índica el número de procesos (5) de autenticación que se va a llevar a cabo: auth_param
basic children 5
La tercera linea determina el mensaje que aparecerá en la ventana que solicite el usuario y la contraseña:
auth_param basic realm Squid proxy-caching web Server
La cuarta línea el tiempo que tardará el Proxy en volver a solicitar de nuevo la clave a cada usuario:\auth_
param basic credentialsttl 2 hours
Las últimas dos líneas hacen referencia a la creación de una lista de control a través de la cual activamos la
solicitud de autenticación de los usuarios: acl validación proxy_auth REQUIRED
Con estos parámetros hemos term inado de configurar la autenticación en el Proxy pero ahora hay que añadir los
distintos usuarios que tendrán acceso al Proxy. Hay que diferenciar los usuarios del sistema con los usuarios del
Proxy ya que son totalm ente distintos y no tienen ninguna relación. Para añadir los nuevos usuarios lo haremos
a través del comando htpasswd de la siguiente manera:
htpasswd -c /etc/squid3/claves nom bre_usuario_nuevo
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
Siguiendo el comando anterior, podemos realizar el siguiente ejemplo:
htpasswd -c /etc/squid3/claves pepe
Tras ejecutar el comando anterior no pedirá ia contraseña del usuario "pepe" que tendremos que introducir en la
consola:
? f
f
too* s tn u a r io d v ftk to fi
Arctaro fa lla r w
h o m a m u a rto
Im w w d s^vtí»
ro o t9 u iu 4 rio 4 « * k to p ./* o * e /u * u d rio« h t u t iM ú - c /e tc /& q u u tJ /c U v < r* Pece
(M itw ord
H e -tfp e ncm password:
-«ddtng p o i •.•or d fo r u t * r Pepe
( o o tfc s u jr io 6e s tro 0 :/hoae/(A U «rio« |
B|
■
F iltro s w e b m e d ia n te lis ta s de c o n tro l de acceso
Las listas de control de acceso nos permiten definir distintos parámetros para conceder o denegar accesos a
nuestro Proxy.
Estas listas actúan como un filtro ante las distintas peticiones que pasan por Proxy de manera que podemos acotar
que peticiones podrán atravesar nuestro Proxy y cuáles de ellas deberán ser bloqueadas ya que incumplen las
expectativas de funcionamiento que realiza nuestro Proxy.
La estructura de una ACL es la siguiente:
Acl nom bre_de.JaJista tipo_de_filtrado parám etros_deLtipo_de_.fiItrado
A continuación, definimos tres tipos de filtros distintos:
#
Listas de control de acceso
acl acceso src 0 .0 .0 .0 /0 .0 .0 .0
acl nopermitidas url_regex “/etc/squid/noperm itidas"
acl nowebs dstdomain ''/etc/squid/now ebs"
La primera lista de acceso que hemos definido (acceso) permite escuchar todas las peticiones procedentes de
todas las direcciones IP que se comuniquen con el Proxyproxy. Con este parámetro podemos acotar que parte de
una red queremos que pase por el Proxy, si fuera necesario. Un ejemplo distinto al anterior sería el perm itir solo
las peticiones procedentes de la red 172.26.1.0:
acl acceso src 172.26.1.0/255.255.0.0
La segunda lista de acceso es la que define el filtrado de contenido. Esta lista nos permite añadir al archivo '''/etc/
squid3/noperm itidas" todas las palabras que queremos que sean filtradas con el fin de bloquear el acceso a las
webs que contengan este tipo de palabras:
acl nopermitidas url_regex "/etc/squid/noperm itidas"
La tercera lista de acceso contiene las webs a las que el Proxy no perm itirá el acceso. De igual modo que la lista
que filtra el contenido, esta lista también permite añadir al archivo " / etc/squid3/now ebs“ todas las URL de las
webs que queremos bloquear.
acl nowebs dstdomain "/etc/squid/now ebs"
Las acl por si mismas no hacen nada, ya que solo definen que lista realizará que tipo de filtrado. Por ello, es
necesario perm itir o denegar las diferente ACLs.
ífcontrol de acceso
http_access allow all
http_access deny nopermitidas
http_access deny nowebs
178
© RA M A
7 ■ S E G U R ID A D P E R IM E T R A L
Como vemos, en la primera Ifnea estamos permitiendo todas las peticiones que provienen de cualquier punto de
la red a la que se conecta el Proxy.
La segunda línea bloquea la lista llamada "noperm itidas" la cual contenían las palabras no perm itidas en una
búsqueda.
La tercera línea bloquea la lista llamada "nowebs" que contenían las URL de las webs a las que queremos bloquear
el acceso.
Tras esto, hemos term inado de configurar el fichero de configuración de Squid pero aún tenemos que crear un
fichero para introducir las webs que no están permitidas. Para ello, ejecutaremos la siguiente sentencia en la
consola:
gedit /etc/squid3/nowebs
El contenido de este fichero serán las direcciones webs de las páginas que vamos a bloquear. El contenido de la
siguiente imagen es un ejemplo de cómo podría ser:
nowebs l.elcrsquidB ) - g e d it
0 O O
Archivo Editar VW Buscai Herran ' « M i Do-.,-n?n
Abrir
*
Guardar
W
Deshj
nowetos X
t TUENTI
www.Tuenti.co«
www .tuenti.es
h ttp :/ /t u e n ti.c o n
h ttp : / / t u e n t i. e s
# YOUTUBE]
www.youtube.coa
www.youtube.es
h ttp ://y o u tu b e .c o «
h ttp ://y o u tu b e .e s
Texto piano *
Ancho de la Cabul
Del mismo modo, tendremos que crear el fichero que contenga el contenido que también queremos prohibir.
Ejecutamos en la consola la siguiente sentencia: gedit/etc/squ id3 /n op erm itid a. A continuación, mostramos una
imagen de nuestro fichero “ nopermitidas":
9 1 1
¿ a-
n o p e rm itid a s ( o tc /s q u ld j)
A b rir
T
MI GlMMdrti
g e d it
wm
—
—
nopermitidas X
|Tuenti
Youtube
Sexo
Va lo tenemos todo configurado y lo últim o que tenemos que hacer es reiniciar el Proxy para que se efectiva la
nueva configuración. Ejecutamos la siguiente sentencia en la consola: Service squid3 restart.
Para otras versiones de la distribución Ubuntu/ es posible ejecutar la siguiente sentencia: /e tc /in it.d /s q u id 3
restart.
179
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
C o n fig u ra c ió n de c lie n te p ro x y
Por últim o, solo queda configurar los clientes para que las conexiones sean filtradas por el proxy. Para ello en el
navegador web del cliente tendremos que introducir la dirección 1P y puerto de nuestro Proxy para que navegue
a través de él. En caso de tener varios navegadores web disponibles, debemos realizar dicha configuración en
todos ellos.
( o n t iijii r / i c t ó n d e c o n e x ió n
C c n ftg jir prones pora d acceso a Intorno*
O SfrnpfO“*
C 1 Autodetect« conhgireoon d d proxy para esta red
£
Usar la ccr/iguraoón gel proxy del »sterna
0
Conñguaoón njanuaf del proxy:
Progy HTTP.
192.168.1.17
guerto:
3128 I
Ufcar d momo proxy para todo
usar pro
para.
locahost, 127.00. J
E»empio: rnoMs.org. .net.ru:. 192.168.1.0/24
URL para la corhguraodn automittea dd proxy:
I Acedar
|
Canedar
Ayyda
Sin embargo, tenemos otra forma de hacer el p ro x y " tra n s p a r e n te " al usuario. Para esto es necesario que el
servidor Proxy, además de Proxy, tiene que actuar como un router,
A la máquina que aloja el Proxy y hace las funciones de ro u te r le llegan dos conexiones, una de la LAN y otra que
conectará con la puerta de enlace de nuestro servidor.
En la configuración IP del cliente tendremos que poner como puerta de enlace la dirección ip IP del Proxy para
que el cliente tenga acceso a la red a través del Proxy sin tener que configurar nada en el navegador del cliente.
Para ello, añadimos añadiremos en iptables del servidor:
iptables -t nat -A PREROUTING -i ethO -p tep --dport 80 -j REDIRECT —to -p ort 3128
En este caso, ethO es la interfaz conectado a la red local. Todo lo procedente de esta interfaz con puerto de destino
80 nos lo va a redireccionar al puerto 3128, que es donde tendremos el servidor squid escuchando peticiones.
A u te n tic a c ió n de c lie n te s p ro x y
Solo nos queda probar el funcionamiento del Proxy. En cualquiera de los 2 casos anteriores, antes de realizar
cualquier petición el Proxy nos solicitará nuestro usuario y nuestra contraseña para poder acceder al Proxy:
Id e n t if ic a c ió n r e q u e r id o
X
El pro»y 192.168.1.17:3128 esta soéctando un nombre de usuano y una contraseto. B fto o á ce :
“5qud proxy-cachno wab Server*
O
Nomtxe de usuario:
Fece
Contraseña'
....
|
180
Aceptar
,
Cancelar
7 ■ S E G U R ID A D P E R IM E T R A L
© R A -M A
Una vez autenticados en el Proxy, podemos navegar bajo las restricciones del mismo. Probaremos dichas
restricciones intentando entrar en una web no permitida. Para ello intentaremos entrar www.tuenti.com desde el
navegador web de algún cliente:
•
. ftvc/oot
tum* (om
i
,
I t t c * Thtiw juoTrd
»
•
*r a
*
c*.vid»«tb4 rr.r.f-J
-
— -
g*9«u *
W *« **3 *
M' r * " '
LRROR
Tlu 1requerí ed URL could not lie relricvcd
The fbflovTOf m o r wat cacoartcrcd vAdc tr v « * to rrtnrvr áte U R L fc«r
*
tpnaj
n
A « f n Draicd.
Aí c o i coaool coatipsaboo prorats yo« rrqoeai froa b a n | «Ion td Mrtn d a r Pleaie coiuct yow lenice prtntda f yon tcci tha ft ía:cn rct
Yoqr C(Kbf «dm nJrafex
n u rttu it f g
(k& a*rd San. 2S No* 2010 23 5649 GMT by w id o e jaoocv
0 STABL£19)
Como vemos en la imagen, el Proxy detecta que la URL introducida no tiene permitido el acceso y bloquea la
petición del cliente.
Si la petición es bloqueada por el Proxy el cliente verá en su navegador una pantalla de error y el m otivo dei error,
en el caso anterior se trata de un acceso denegado.
REFERENCIAS WEB
Compieta información práctica sobre ipiables:
http: / / w w w .kriptopolis.org I iptables-0
Listado de cortafuegos personales:
http: / / www. infospyware. com / cortafuegos /
Configuraciones prácticas de cortafuegos:
http: / / www. pello, in fo l filez / firew all / iptables.htm l
Confi guraciones de en ru t a miento, proxy y cortafuegos para GNU/Linux:
h ttp : / / w w w.ite.educacion.es / fo rm acion /m ateriales / 85 / cd/R E D E S _ L IN U X / fram es / fram eset_14.htm l
Configuraciones de enrutam iento para Windows:
h ttp: / / www.ite.educacion.es / form acion/ materiales 1851 cd!R E D E S_W 2000/ fram es/ frameset_enridamiento.htm
Configuraciones de funciones de cortafuegos, proxy-caché y servidor VPN para Windows, m ediante ISA
Server:
h ttp : / / w w w .ite.educacion.es/ formacion / m ateriales 1 8 5 /c d / R E D E S_W 2000 / fra m es/ fram eset_isa.htm
181
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
RESUMEN DEL CAPÍTULO
La conexión a redes públicas por parte de organizaciones potencia las am enazas y ataques a los routers
de acceso, servidores, incluso a ¡os sistem as internos que poseen información confidencial.
Para ev itar este tipo de ataques es necesario disponer de m edidas adicionales de seguridad en el
perím etro de la organización. E n tre otras se h an estudiado en este capítulo.
E nm ascaram iento de direcciones IP in tern as o privadas m ediante NAT.
F iltra d o de puertos, aplicaciones asociadas e in ten to s de acceso a los sistem as m ed ian te
c o r ta fu eg o s o firew a lls tan to en los sistem as perim etrales como en los personales. Dentro de
los cortafuegos perim etrales hemos visto las distin tas opciones que ofrecen desde routers para
pequeñas organizaciones, así como configuraciones de servidores con funciones de enrutado y
cortafuegos integradas.
Filtrado de usuarios permitidos, sitios web y búsquedas no autorizadas, m ediante servidores proxy.
E stos servidores perm iten la m onitorización y el alm acenam iento de accesos a determ inados
servicios como http, perm itiendo m ejorar la seguridad y el rendim iento de los mismos. En la mayoría
de los casos se i n te g r a n con otros servicios como enrutam iento, NAT y cortafuegos.
EJERCICIOS PROPUESTOS
1. U tiliz a los sig u ien tes em uladores de ro u ters
inalám bricos D-Línk, y realiza una com parativa entre
las opciones de configuración de cortafuegos, proxy y
DMZ.
h ttp : / IsiL pport.dlink.com /em ulators Ídw l2 1 0 0 ap
h ttp :l / su pport.d lin k .co m /ern u la to rs / diG04 reve
2. Realiza la m isma configuración de cortafuegos que
e n la práctica 38 (configuración de cortafuegos), para
los routers anteriores, ¿es posible realizar todas las
opciones?
3. Realiza la m isma configuración de filtrado proxy
d e p a la b ra s y sitios web que en la p ráctica 42
182
(configuración de proxy), para los routers anteriores,
¿es posible realizar todas las opciones?
4. Investiga sobre la aplicación Webmin como inteifaz
web para la gestión de servidores bajo GNU/Linux.
D escarga e in stala la aplicación, y el com plem ento
p a ra la configuración de S q u id . R ealiza la m ism a
configuración que en la práctica 42 (configuración de
proxy) m ediante la interfaz web de Webmin.
5. P ara sistem as Windows se encuentra disponible
el servidor proxy W inGate. D escarga e in stala la
aplicación y realiza una configuración sim ilar a la
realizada p ara S qu id ¿Cómo podemos ver los logs
generados? ¿Qué opciones de filtrado web posee?
7 ■ S E G U R ID A D P E R IM E T R A L
© R A -M A
6 . La configuración y m antenim iento de listas negras
(blacklist) de sitios web que querem os restrin g ir en
n u estra organización puede llegar a ser una tarea
tediosa. P ara ello es posible descargar archivos de
sitios web poco recom endables o que pertenecen a
listas negras de sitios web de confianza y añadirlos
a la configuración de nuestro servidor proxy S quid.
Puedes encontrar archivos con listas negras en sitios
web como urlbLacklist.com.
D escarga el archivo de blacklist y anéxalo a la
configuración de S q u id .
7. ím plem enta una DMZ con un servidor FTP en el
aula e intenta acceder a su contenido desde un equipo
ubicado on el exterior del aula. Deberás configurar
2 cortafuegos con diferentes niveles de seguridad y
dejando la red DMZ con el servidor FTP en medio.
TEST DE CONOCIMIENTOS
Iptables:
Es un conjunto de reglas de routers.
Es equivalente a las ACL en Windows.
Em plea características de un firew all de Zone
Alarm.
Se tra ta de un cortafuegos basado en reglas de
filtrado.
Los cortafuegos son elementos:
H ardw are.
Software.
Pueden ser software y hardw are.
N inguna de las anteriores.
S q u id como proxy tra n sp a re n te recibe peticiones
En un servidor con cortafuegos iptables que realiza
funciones de e n ru ta d o ún icam en te, la opción
h ab itu al es:
INPUT.
FORWARD.
OUTPUT.
N inguna de las anteriores.
El archivo donde se alm acenan los log-s de iptables
es:
¡var/loghptables Iog.
Ietchn.it .d/rsyslog.
/var/l ogts quid/a cce ss.Iog.
fvar/log/squid/caclie Iog.
En S q u id url regex es una opción:
De control de acceso a determ inadas web listadas
en un archivo.
De control de acceso a determ inadas palabras
reservadas Listadas en un archivo.
P ara reg istrar sucesos de intento de acceso al
proxy.
De control de acceso a los buscadores webs que
incluyan palabras reservadas.
norm alm ente en el puerto:
80.
53.
8080.
3128.
Un cliente que utiliza S qu id como proxy transparente,
envía peticiones norm alm ente al puerto:
80.
53.
8080.
3128.
La integración de un servidor proxy y cortafuegos
se denomina:
Screening router .
Dual Homed-Host.
Screened Host.
Screen edsu bn et.
18;
ó \
/
Analizar las distintas
configuraciones de alta
disponibilidad.
/
Valorar la importancia de
realizar on buen análisis de
riesgos potenciales en sistemas
críticos y adoptar medidas para
paliar sus posibles consecuencias.
/
Aprender las diferencias,
ventajas e inconvenientes entre
los sistemas de almacenamiento
redundante (RAID) y conocer
sus opciones de configuración y
prueba.
/
Conocer las opciones de
configuración y administración de
balanceo de carga entre distintas
conexiones de red.
/
Realizar configuraciones de alta
disponibilidad de servidores
mediante virtualización de
sistemas operativos.
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
SOLUCIONES DE ALTA
DISPONIBILIDAD
Como vimos en el capítulo 1, a lta disponibilidad se refiere a la cap acid ad de q ue a p lic a c io n e s y d a to s se
e n c u e n tr e n o p era tiv o s p ara lo s u su a r io s a u to riza d o s en todo m om en to, d eb id o a su ca rá cter crítico.
Las em presas con la m ás alta, disponibilidad deben ser más tolerantes a fallos, disponer de sistem as redundantes
p a ra los componentes críticos de su negocio y tener una mayor inversión en el personal, procesos y servicios para
ase g u rar que el riesgo de inactividad en las em presas sea m ínim o.
En cuanto a las so lu c io n e s adoptadas en sistem as de a lta d isp o n ib ilid a d , la b a se de las m ism as las estudiam os
e n el capítulo 2 m ediante soluciones de seg u rid a d p asiva, aunque para sistem as en los que es necesario un m ayor
n iv e l d e seg u rid a d encontramos:
R ed u n d a n cia en d isp o sitiv o s h ard w are, posibilitando en caso de fallo, la continuidad del servicio. Como
ejemplos encontram os duplicados en equipos servidores, fuentes de alim entación (ver la figura siguiente) o
dispositivos de red redundantes que no perm itan cortes de sum inistro o caídas de conectividad.
R ed u n d an cia, d istrib u ció n y fiab ilid ad en la g e stió n d e la in form ación . Se d eb e p rocu rar q ue la
in form ación p u ed a ser recu p erad a en el m om en to q u e se n e c e site , esto es, evitar su pérdida o bloqueo,
bien sea por ataque, m ala operación accidental o situaciones fortuitas o de fuerza mayor. Las técnicas que se
estu d iarán son:
Sistem as RAID de alm acenam iento.
Centros de procesam iento de datos de respaldo, garantizando copias de seguridad en d istin tas ubicaciones
geográficas.
R ed u n d a n cia en la s com u n ica cio n es. Hoy en día la mayoría de las grandes em presas disponen de una red
de oficinas conectadas en tre si por red, y los servicios requeridos de las m ism as deben estar siem pre operativos.
P ara ello las em presas poseen en ocasiones diferentes conexiones de red independientes, para en caso de fallo
de alguna de las líneas, disponer de alternativas. Como caso práctico estudiarem os el b a la n ceo de carga.
R ed u n d a n cia y d istrib u ció n en el p rocesad o. Los sistem as de clustering o agrupam iento de sistem as
servidores perm iten escalar la capacidad de procesamiento.
In d e p e n d e n c ia en la a d m in istr a c ió n y c o n fig u r a c ió n d e a p lic a c io n e s y s e r v ic io s. M ediante la
v irtu a liza ció n hoy en día podemos ofrecer de forma independiente servidores dedicados soportados bajo una
m ism a m áquina.
A continuación veremos algunas de las propuestas m ás empleadas.
186
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A LTA D IS P O N IB IL ID A D
i
Analiza la noticia “ V irtu a liza ció n , cloud y unificación del CPD, principales tendencias tecnológicas para
2011", disponible descargándote el m aterial adicional del libro y cuya fuente es:
h ttp ://w w w . com put'm g. e s /T e n d e n c ia s /2 0 1 1 0 1 03004 2/IN F R A E S T R U C T U R A S -V irtu alizad on -clo ud -yu n ific a cio n -d e l-C P D -p rin cip a le s-te n d e n c ia s -te c n o lo g ic a s -p a ra -2 0 1 1 .a s p x . C ontesta a las siguientes
preguntas:
•
¿Qué es el cloud c o m p u tin g ? ¿Qué porcentaje y de qué países p rincipalm ente están utilizá nd olo
actualm ente?
•
¿Qué p o rcen ta je de servidores en producción se estim a te n e r virtua liza do s en los p róxim os 3
años, por parte de los responsables de tecnologías de inform a ción (IT) en España? ¿Cuáles son
las principales barreras y preocupaciones en ese sentido?
RAID
RAID (Re.dund.ant A rray o f Independent Disks), o conjunto redundante de discos independientes, originalm ente
e ra conocido como R edu n dan t A rra y o f Inexpensive D isk s , (conjunto redundante de discos baratos) y hace referencia
a un sistem a de alm acenam iento que usa m últiples discos duros entre los que distribuye o replica los datos. La
distribución de datos en varios discos puede ser gestionada por:
H ard w are dedicado: requiere al menos una con trolad ora RAID esp ecífica , ya sea como u n a tarje ta de
expansión independiente o integrada en la placa base, que gestione la adm inistración de los discos y efectúe
los cálculos de paridad (necesarios p ara algunos niveles RAID).
Softw are: el sistem a operativo gestiona los discos del conjunto a través de u n a controladora de disco (IDE/
ATA, Serial ATA (SATA), SCSI, SAS o Fibre Channel).
H íb rid o s: basados en softw are y hardw are específico: m ediante controladoras RAID hardw are b aratas o
controladora de disco sin características RAID, pero el sistem a incorpora una aplicación de bajo nivel que
perm ite a los usuarios construir RAID controlado por la BIOS.
La opción hardw are suele ofrecer un m ejor ren d im ien to y hace que el soporte por p arte del sistem a operativo
sea m ás sencillo. Las im plem entaciones basadas en hardw are suelen soportal' sustitución en caliente Uiot sw a p p in g ),
perm itiendo que los discos que fallen puedan reem plazarse sin necesidad de detener el sistem a.
Las co n fig u ra cio n es o n iv e le s RAID están d ar y com únm ente usados son:
RAID 0 o d ata striping: conjunto dividido, distribuye los datos equitativam ente en tre dos o más discos sin
información de paridad que proporcione redundancia, no es redundante. Se usa norm alm ente para increm entar
el rendim iento, aunque tam bién para crear un pequeño número de grandes discos virtuales a p a rtir de un gran
núm ero de pequeños discos físicos.
187
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
RAIDO
Al
A3
AS
A7
A2
A4
A6
A8
RAID 1 o d ata m irroring: conjunto en espejo. Crea una copia exacta (o esp ejo) de un conjunto de datos
en dos o m ás discos. Un conjunto RAID 1 solo puede ser tan grande como el más pequeño de sus discos.
Increm enta exponencialm ente la fiabilidad respecto a un solo disco en caso de fallo de uno de los discos. Al
escribir, el conjunto se com porta como un único disco, grabando la misma información en todos sus discos
constituyentes.
RAID 1
Al
A2
A3
A4
A1
A2
A3
A4
R AID 5: co n ju n to d iv id id o con p a rid a d d istribuida: usa división de datos a nivel de bloques distribuyendo
la información de paridad entre todos los discos miembros del conjunto. Al añadir la información de paridad
distribuida entre los distintos discos, en caso de fallo de alguno de ellos, será posible recuperar su información
a p a rtir de la contenida en el resto de discos. RAID 5 ha logrado popularidad gracias a su bajo coste de
redundancia. G eneralm ente, se im plem enta con soporte hardw are para el cálculo de la paridad, aunque es
posible realizarlo m ediante opciones del sistem a operativo.
AMO 5
Otros niveles RAID menos empleados son RAID 2, 3, 4 y 6 .
M uchas controladoras perm iten a n id a r n iv e le s RAID, es decir, que un RAID pueda usarse como elem ento
básico de otro en lugar de discos físicos. Los RAID anidados se indican norm alm ente uniendo en un solo número los
correspondientes a los niveles RAID usados, añadiendo a veces un + entre ellos.
Por ejemplo, el RAID 10 (o RAID 1+0) consiste conceptualm ente en m últiples conjuntos de nivel 1 alm acenados en
discos físicos con un nivei 0 encima, agrupando los anteriores niveles 1 .
Al an id ar niveles RAID, se suele combinar un nivel RAID que proporcione redundancia con un RAID 0 que
a u m e n ta el rendim iento. Con estas configuraciones es preferible ten er el RAID 0 como nivel más alto y los conjuntos
re d u n d an tes debajo, porque así será necesario reconstruir menos discos cuando uno falle. Así, el RAID 10 es preferible
al RAID 0+1.
188
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A LTA D IS P O N IB IL ID A D
RAID O-t-1
1-RADO
1
HAOO
RAID 10
RAJO 0
f
I PRÁCTICA 8.1
CONFIGURACIÓN DE RAID MEDIANTE SOFTWARE
RAID 1 es utilizado para garantizar la integridad de ios datos: en caso de fallo de un disco duro, es posible
continuar las operaciones en el otro disco duro sin ningún problema. Para definir este nivel de RAID tendremos
que tener al menos dos discos duros de la misma capacidad quedando, de los dos, solamente uno accesible por
parte de los usuarios del sistema operativo.
En esta práctica realizaremos un RAID de nivel 1 mediante software en los sistemas operativos Windows XP y
Ubuntu 10.04 LTS. Para realizarla será necesario tener al menos 2 discos duros del mismo tamaño, se puede
realizar la prueba con máquinas virtuales que posean varios discos duros del mismo tamaño.
R AID en W in d o w s XP
Por defecto en Windows XP Professional no viene activado la opción para hacer RAID por lo que tendremos que
activarla siguiendo los siguientes pasos:
Para activar el RAID en Windows XP Profesional tendremos que editar tres archivos del sistema operativo que
están en las siguientes direcciones (suponiendo que Windows lo tenéis en la partición C):
C:\WlNDOWS\SYSTEM32\dmconfig. dll
C: \ WINDOWS \SYSTEM32\dmadminn. exe
C: \ WIN DO WS\SyS TEM32\drivers\dmboot. sys
1. Lo primero que necesitaremos será un editor hexadecimal, por ejemplo podemos utilizar el programa
"xvi32". Una vez lo tengamos instalados, copiaremos los ficheros a C :\ (por ejemplo) para editarlos ahí.
Lo podemos editar en hexadecimal o modificando la cadena que representan los valores hexadecimales. A
continuación mostraremos los cambios que tendremos que hacer:
Editaremos (en form ato cadenas de texto) el archivo dmconfig.dll con xv¡32:
Antes: LAN MANNT.... SE RVERNT... .WINNT...
Después: LANMANNT,... WINNT........SERVERNT
Editaremos el archivo dmadm in.exe con xvi32 y pondremos:
Antes: servernt.... lanm annt....ProductT
Después: w in n t........lanmannt....ProductT
189
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© RA MA
Editaremos el archivo dmboot.sys con xv¡32:
O en cadena de texto:
Antes: t.T.y.p.e...WINNT...SERVERNT....
Después: t.T.y.p.e...SERVERNTWINNT........
2. Después tendremos que sustituir los archivos originales por los modificados, pero no lo podemos hacer
directam ente en el Windows porque este los volvería a sustituir por los originales. Así que tendrem os que
usar la consola de recuperación arrancando con un cd de instalación de Windows XP o arrancando en modo
prueba de fallos y sustituyendo los archivos modificados. Para ello:
Introducim os un cd de instalación de Windows XP y arrancamos desde el mismo, esperamos que se
inicie el asistente y elegimos la opción "recuperar una Instalación de Windows XP usando la consola de
recuperación", presionando la tecla R.
Tras esto, nos aparecerá una lista de las instalaciones de Windows que ha detectado en los discos duros.
Le damos al número que deseemos modificar.
Luego nos pedirá la contraseña del adm inistrador de ese Windows. Una vez estamos en la consola,
suponiendo que los archivos m odificados los dejamos en la raíz del C :\ tendrem os que escribir las
siguientes ordenes:
»
>>copy C :\dm config.dll C:\WINDOWS\SYSTEM32\
>>copy C :\dm adm in.exe C:\WINDOWS\SYSTEM32\
copy C :\dm boot.sys C:\WINDOWS\SYSTEM32\DRIVERS\
Por últim o escribimos "e x it" y el equipo se reiniciará.
Con esto ya tendremos activadas las opciones para hacer RAID 1 en Windows XP Professional.
3. Ahora vamos a configurar el RAID 1 con los siguientes pasos, una vez reiniciado Windows normalmente:
Presionamos el botón derecho en Mi PC y seleccionamos Administrar, luego vamos a Almacenamiento y
dentro de él a A d m in is tra c ió n de discos. Ahora en la lista de los discos duros, en cada fila a la izquierda
tendremos un recuadro que pondrá el tipo de disco (Básico, Dinámico) y el tamaño entre otras opciones.
Con el botón derecho sobre ese recuadro y pulsamos Convertir en dinámico, en los discos que deseemos
crear nuestra unidad RAID 1.
................................
J || Arch*o ftcoón
■
190
BZ3
«aai_L:
VfeCfCara K rjti*
■I
© R A -M A
8 « C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
A continuación, presionamos el botón derecho en el espacio no particionado y seleccionamos N uevo
vo lu m e n . Se iniciara el asistente y le damos al botón Siguiente.
Ahora nos aparecerá la lista de los tipos de volúmenes que podemos crear (Simple, Distribuido, Seccionado,
Reflejado, Raid-5), a diferencia de antes ya nos aparece el tipo R e fle ja d o (que es el que nos interesa).
Seleccionamos Reflejado equivalente a RADI 1 y le damos al botón Siguiente.
Nos aparecerá una ventana en la que tendremos que a ñ a d ir a la zona d e S e le c c io n a d o lo s dos discos.
Para añadir alguno, tendremos que seleccionarlo en la zona de Disponible y darle al botón Agregar. Una
vez que tengamos los dos añadidos le daremos al botón Siguiente.
,i. r,- A‘~i.i i .Ti
Udta
, i . « i
S rle c c io M i d iicO i
Pueda »ekcoorvir kn dtcos y •Habtoc* «I Umafo de d»co
este vetunen
Sefacoone Im «focos drámcos g j» gu«e láism y h*}* d e eo Agiegar
Qaponbb
¿efecoonada
T arrufo lotd dei vofcjnen en neQéb^tt |MB|
M4mrk>eaveoo <fepon£ie w i M8
2047
Seleccione U cenbdad de ff»p*co en M8
2017
“
En la siguiente ventana elegiremos la letra que queramos para la partición con RAID l y presionaremos el
botón Siguiente.
Tras esto, elegiremos el formato de la partición, la etiqueta de la partición, marcamos dar form ato rápido
y le damos al botón Siguiente. Por últim o nos mostrará un resumen de la configuración y le daremos al
botón Finalizar.
Ahora nos mostrará, en las particiones en RAID, un mensaje que indicará Volviendo a sincronizar con un
porcentaje. Esto significa que se están sincronizando los dos discos duros. Tendremos que esperar a que
acaben y muestre correcto para poder usar nuestra partición en RAID.
Ok
¡IflMIHi l i l i l í «
¡£*3ariMbr«cttn*<«0jp«Ooc4)
fc H m a .e ru .A ln U '»
.A »«*
—
r«eo«a£r
Tpq
1
rartiov.
bémo
WVS
( { ) W V « n*ger\ InAMco NT»)
;
C»racto rSefe*^- 19951
Vetante « *nc
¿.COGI
|
«rt
«,VOB
I.9JC»
X *tr»
T5X
«X
T w * m i * *»rur«n , (.uno
No
<r*
50%
lUMrtMbcányTum
m
mymrt mXt /»$é **
9
4» <**co*
J | ^MCoir<l^4dcrM
Umo
V.99&
[rptrttU
tfftv o 1
Ortimr»
7.® «a
<r^
S.«úlKTF5
■Aio tro
r.QCtth-rrV
t m o n a « ( év,, i
O ÍO ixo/
Dnlmo
Í.OOCM
[f\pcriU*
RAID (L J
J lD B tW O
C*©ÍD)
t> to m a ta
191
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
órehrvo
¿(Sobo
Ver
© R A -M A
Favor*«
(jerrament*5
IV
Búsqueda
Ayytáa
Carpetas
03.
Dfrctdón ^ M PC
Nombre
Espacio Ifcre
Tipo
U nidades de d is to du ro
Ver nformocdn dei sistema
¿3
o quitar program«
0 * CamUar ^r»a corfigivacjón
^ Dccototal(C)
Deco local
5.99 O
4,54 GB
hzm h
D«co local
1.99 GB
1,96 GB
Onpovit « y « ro n akjiocm am écnto extrotbie
^
i-
.¿Uw daddeC D(D:)
Unidad òe CD
Mfcstoosdered
i Ï Mb documento*
i Documentos compartidos
^
Panel de control
RAID ( I : )
Disco local
Setenta de archivos. N7FS
Espaoolbre: 1,98 GB
Tamaño total: 1,99 GB
4. Ya esta todo hecho, tenemos nuestra partición de datos con RAID 1. Si queremos asegurar que funciona,
podemos hacer lo siguiente: apagamos el ordenador y desconectamos uno de los discos duros que tienen
una de las dos particiones en el RAID 1. Encendemos el ordenador. Creamos un fichero en ¡a partición del
RAID 1 y volvemos a apagar el ordenador.
Conectamos de nuevo el disco duro que habíamos desconectado y volvemos a encender el ordenador. Le
damos al botón derecho a Mi PC y seleccionamos Adm inistrar. Luego vamos a Almacenamiento y dentro
de él a Administración de discos. Veremos que en las dos particiones del RAID aparece el mensaje E rro r
de re d u n d a n c ia .
Seleccionamos el disco duro que habíamos desconectado, en el recuadro de la izquierda donde aparecen
datos suyos le damos al botón derecho del ratón y seleccionamos R e a c tiv a r disco.
Ahora aparecerá un mensaje en las dos particiones del RAID 1 que indicará "Regenerando" con un %.
Entonces empezará la reconstrucción de los datos. Esperamos a que a finalice y ponga Correcto.
R A ID en G N U /L in u x
La configuración del RAID en Linux la haremos bajo la distribución Ubuntu. La podremos hacer fácilmente gracias
a la aplicación "utilidad de disco" que integra la nueva versión de Ubuntu para particionar y dar form ato a los
dispositivos de almacenamiento.
1. En prim er lugar iremos a Sistema - Administración - Utilidad de Disco.
Para iniciar la configuración del RAID 1 pincharemos en Archivo - Crear - Conjunto RAID...
Se iniciará un asistente que nos perm itirá seleccionar el tipo de RAID que deseamos configurar así como
las unidades de disco que intervienen en el RAID.
En nuestro caso seleccionaremos como nivel de RAID "Espejo - (RAID 1)", introduciremos un nombre
para el conjunto "Raid Espejo" y justam ente abajo seleccionaremos los dos discos duros que formarán el
RAID:
192
© RA M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
Crear un con|unto RAI O
I
I G en eral
NtvH def RAID
COflMrdQ e ta rjo w i p a lia d f t o p t v o m Im tm c m «
M h j> / m O m iÉ i
p v á *pvti/ • lm ( 4 * f u m
HUD I p w M n to p o rt» / g u r M n m o i wxt d h c o i aw n fl«
W mbfr do-: con|i»>to
Raid Espejo
U m a iV ) del cofi|unto
D is c o s
S* c r t a r l u ro ptftxiöM Jr
ohco
dura a« a .i ca
4 ) GB O c tf u tt no
Qocdm« rUMirut mmc
dnponaat
-o
Ota«, duro d . « .i ca
V U W » i » « parUUD» j »
A * " t m u v > u n to íy u n fo <*r ■».3 0 8 f x t f j
u n R A i O i e n í tincas p u H e -C /w fe*
S¡ todo está correcto, pulsaremos en "C rear" y nos pedirá que introduzcamos la clave de Adm inistrador
tanto para crear las particiones en los discos como para crear el RAID por software.
Una vez creado el conjunto RAID nos aparecerá el conjunto de la siguiente manera:
>#
Raid Espejo (Conjunto RAJD-1 da 4,3 GB) f dcv mdO¡. u tilid a d da discos
OttJKMitzvtR ila aimaCjHtatnranfo
I A lm M C M m tv n ta lo c a l
^
A d a p ta d o r d a e q u ip o PATA
tvpejo 4RAID 1.
tx r^ c
DI k o d u ro d e B.6 GB
O tic o d u ro d a 4,3 GB
Ratf tipejo
Sin partK tonar
FircutJmaove
4 3 GB í 42 SJ 5 5 1 1 0 4 t*le-.>
ñ rtitx ronzando £
m
fcwarei conjunto RAID
¿
Formatea* borrar ei con|is*o RAJO
ComprotMr H con|unf o
r
Edrtar componente?
Dive o d u ro d a 4,3 GB
. D4»po«INvo« m u ltld lic o
Prueba de rendimiento
Aíev/mtíO
4.306 (479)551104 bytw)
Formatear volumen
Tras crear el conjunto el sistema resincroniza ambos discos duros para replicar la información.
2. Una vez terminada la resincronización, tendremos que particionar el volumen del Raid Espejo para crear
una partición que sea utilizable por el sistema. Para particionar el volumen pulsamos en "form atear
volumen":
193
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
Seleccionaremos el tipo de sistema de archivos e introduciremos un nombre para el nuevo volumen.
Pulsaremos en "Form ato":
3. Al pulsar nos pedirá la confirmación. Tras esto solo nos queda m ontar la unidad para que sea visible y poder
usarla con normalidad. Pulsaremos en “ m ontar volumen".
Montada la unidad, nos aparecerá el icono en el escritorio del sistema del nuevo volumen “ Raid 1" que
acabamos de configurar.
La manipulación del volumen “ Raid 1" es igual que si fuera un disco duro simple por lo que podemos cortar,
pegar, mover, renombrar, etc., dentro del mismo.
BALANCEO DE
CARGA
U n balanceador de carga es un dispositivo ya sea hardw are o software que se dispone conectado a un conjunto de
servidores de m anera que a sig n a y rep arte la s p e tic io n e s que provienen de los clientes a los distintos servidores
a los que se conecta dicho dispositivo.
Estos dispositivos aplican una serie de algoritmos, como el conocido Round Robín, para re p a rtir la carga de forma
equilibrada.
La utilidad de estos dispositivos radica en poder re p a rtir la carga y excluir aquellas conexiones de destino que se
en cu en tren caídas en un momento determ inado de m anera que un cliente cuya dirección IP de su servidor DNS se
en cu en tre caída, el balanceador de carga detectará que esa dirección IP se encuentra inactiva (.el servidor no escucha
la s peticiones ya sea por fallo en hardw are o en software del servidor) y las peticiones cuyo destino se dirigen a.I
servidor caído se redireccionarán a otro servidor DNS que haya conectado al dispositivo encargado del balanceo de
la carga.
E ste sistem a tam bién es m uy útil a la hora de u n ifica r d os o m ás c o n e x io n e s con salida hacia In tern et en una
s o la . Al in stalar un balanceador de carga al que se conecten varias líneas de Internet, podemos re p a rtir la carga de
s a lid a a In tern et entre las líneas, pudiendo definir que cantidad de peticiones saldrán por una línea y que cantidad
p o r otra, dependiendo por ejemplo de su velocidad y fiabilidad.
194
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
I PRÁCTICA 8.2
BALANCEO DE CARGA
En la siguiente práctica estudiaremos como configurar mediante software balanceo de carga mediante ta b la s de
e n ru ta m ie n to en sistemas GNU/Lintix y mediante K e rio W in ro u te bajo Windows.
B a lan ceo d e ca rg a m e d ia n te ta b la s d e e n ru ta m ie n to G N U /L in u x
Nuestra práctica la realizaremos en la distribución Ubuntu, realizando balanceo de carga entre dos líneas ADSL
de diferentes velocidades. La carga de las lineas según la configuraremos en proporción 2-1, es decir, por cada 2
peticiones a la linea rápida de ADSL saldrá 1 petición por la línea lenta de ADSL.
Esta proporción se puede variar según nuestra necesidad ya que si disponemos de dos ADSL de la misma velocidad
lo lógico será balancear la cargar al 50%.
En esta práctica necesitaremos una máquina con tres interfaces de red de las cuales: una se conecta a la LAN y
las otras dos a las distintas líneas de ADSL. El esquema puede ser el siguiente:
Empezaremos definiendo las direcciones IP de cada una de ias tarjetas de red que contiene nuestra máquina que
realizará el balanceo de carga:
Ip router ADSL 1 (rápida): 192.168.1.1/24
Ip router ADSL 2 (lento): 192.168.2.1/24
Servidor con balanceo de carga:
e th l (conectado a router ADSL1): 192.168.1.2/24
eth2 (conectado a router ADSL2): 192.168.2.2/24
ethO (será la nueva puerta de enlace de la LAN): 192.168.3.1/24
1. Empezamos a configurar las 3 interfaces del servidor. Para ello nos dirigimos a Sistema - Preferencias Conexiones de red.
2. Mediante un term inal definiremos dos tablas de enrutam iento distintas que emplearemos para cada una
de las líneas de ADSL:
# echo 200 a d s ll >> /e tc/ip ro ute 2 /rt_tab les
# echo 201 adsl2 > > /e tc/ip ro ute 2 /rt_tab les
3. Ahora nos centramos en la tabla de enrutam iento del ADSL1. La siguiente configuración define que la
red 192.168.1.0/24 es la red conectada a la interfaz e th l que tiene una dirección IP 192.168.1.2 y que
los paquetes con la salida a In te rn et serán enrutados por la tabla a d s ll. Podemos comprobar que la
configuración ha sido introducida mediante "ip route show table a d s ll":
ip route add 192.168.1.0/24 dev e th l src 192.168.1.2 table a d sll
íp route add defauit vía 192.168.1.1 table a d s ll
C # #
root ¿ u tu a rlo 'd e tk to p : hom * uiuarJo
rootçusuario desktop /ho«e/uiu»tlo*
. 1 6 8 .1 2 table athU
roolím uauo HfiHoe /bgae/u'.uarioa
d i 11
root*»miarlo deiktoo /N »e/uiuarío«
192.168 1.0/24 de» e th l »coi* Unk
defauli vía 192.168 1.1 dev ethl
roottuiuano desHoo /noite/muario»
ip toute
192.168 1.8/2« dev e th l it c 192
IP roule add eetault irla 192.108 11 table a
ip toute sto~ tib ie adsll
sr< 192 168.1.2
|
195
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
4. Del mismo modo introducimos las sentencias pertinentes para la configuración de la tabla de la línea
ADSL2:
ip route add 192.168.2.0/24 dev eth2 src 192.168.2.2 table adsl2
ip route add default via 192.168.2.1 table adsl2
5. Tras d efin ir cada una de las tablas de enrutam iento de los ADSL tendrem os que definir la tabla de
enrutam iento principal para que los paquetes sean enrutados correctamente.
La configuración individual de las tablas anteriores es para cuando el tráfico está en una de las dos
subredes de salida y se necesita saber como enrutarlo. Las sentencias para configurar la tabla principal
son las siguientes:
¡p route add 192.168.1.0/24 dev e th l src 192.168.1.2
ip route add 192.168.2.0/24 dev eth2 src 192.168.2.2
Mediante ip route show, veremos el resultado configurado.
6. Tras configurar la tabla principal tendremos que definir las reglas de enrutado. Esto sirve para aplicar las
reglas almacenadas en cada una de las tablas cuando se cumple que vienen de las ips correspondientes:
ip rule add from 192.168.1.2 table adsll
ip rule add from 192.168.2.2 table ads!2
7. La últim a sentencia es la más importante de toda la configuración ya que es la que d e fin e el b a la ce o de
ca rg a.
Con esta sentencia to que indicamos son las rutas por defecto que tiene que seguir los paquetes cuando
su destino no esté dentro de nuestra red con el añadido que en función de la carga saldrá por una puerta
de enlace o por otra:
ip route add default scope global nexthop via 192.168.1.2 dev e th l w eight 2 nexthop via 192.168.2.2 dev
eth2 weight 1
Weight 2 y weight 1 son los pesos asignados a cada interfaz de red, son modiñcables. En el supuesto caso
de tener más líneas ADSL conectadas al balanceador de carga habrá que definir el balanceo de carga para
cada línea de ADSL adicional que conectemos.
8 . Hasta aquí tenemos listo el balanceador de carga pero es im portante no olvidar habilitar el enrutam iento
entre las tarjetas de red para que las peticiones que provienen de la LAN sean transferidas a Internet.
iptables -t nat -A POSTROUTIIMG -s 192.168.1.0/24 -o e th l -j MASQUERADE
iptables -t nat -A POSTROUTIIMG -s 192.168.2.0/24 -o eth2 -j MASQUERADE
echo 1 > /p ro c/sys/n et/ipv4 /ip_forw ard
9. Para visualizar que el balanceador realiza su tarea correctam ente tenemos a nuestra disposición la
herramienta Ip tr a f. Esta herramienta nos perm ite tener un control de aquellas conexiones que están
activas y un contador de paquetes de cada una de las interfaces, entre otras opciones. Para instalarla:
apt-get install iptraf
Una vez instalada la ejecutamos iptraf. Una vez abierta la herramienta nos dirigimos a la sección "General
interface statistics":
196
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
En dicha sección tendremos las estadísticas de paquetes que transitan por cada una de fas interfaces de red de
nuestro balanceador de carga.
Si visualizamos los resultados veremos que del total de los paquetes que provienen de la LAN (ethO) gran parte
han salido a Internet por la interfaz e th l que corresponde con el ADSL rápido mientras que una parte más
pequeña de los paquetes han salido por la interfaz eth2 que corresponde con el ADSL lento;
e o •
ro o t á u s u a rio -d e s k to p : «hom e/usuario
IPTraf
lo
ethO
e th l
e th 2
>46
54126
3S499
12335
54226
36489
12335
Û
9
546
ô
0
6
S
d.Ofl kbtt
923,00 kbit
A.89 kbit
B a lan ceo de carga m e d ia n te K erío W in ro u te (W in d o w s )
A continuación, realizaremos el balanceador de carga por software en el sistema operativo Windows 7 mediante
el programa K e rio W in ro u te . En el capítulo 7 vimos su uso configurando un cortafuegos personal.
Realizaremos la misma configuración de red que para GNU/Linux, en las 3 interfaces de red necesarias.
Podemos iniciar el programa de adm inistración "Kerio A dm inistraron consoie" que nos perm itirá realizar la
configuración de nuestro balanceador de carga. Como todo programa de adm inistración, nos pedirá que nos
conectemos con el usuario y la contraseña definida en ta instalación para poder adm inistrar el software. Una vez
logueados, el programa ejecuta un asistente que nos permite realizar una c o n fig u ra c ió n básica del mismo.
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
1. En dicha configuración tendremos que seleccionar la opción "M últiples enlaces de In te rn et - Balanceo de
carga de tráfico"
Toe oe coneoón a Irteme? • ptgn* 2 de 7
Setetoone cono é ir rv»al n conectado a Internet:
Tras esto, tendremos que seleccionar que interfaces serán afectadas por el balanceo de carga, Pulsaremos
el botón "agregar". En la ventana que nos aparece tendremos que escoger los adaptadores de red que
tienen conexión con Internet. Así mismo, podremos configurar el ancho de banda de cada enlace.
La siguiente pantalla del asistente permite realizar la configuración de cortafuegos mediante bloqueo o
filtrado de protocolos. A continuación en la configuración de VPN, en la que deseleccionaremos todas la
opciones.
Si tuviéram os algún servidor en la LAN que quisiéramos que fuera visto desde Internet, en la siguiente
pantalla tendríamos que introducir la dirección IP y el servicio que estarían activos en dicho servidor. En
caso contrario, tendríamos que saltar dicha pantalla. Por últim o, terminaremos la instalación pulsando el
botón "Finalizar" del asistente.
2. Tendremos que configurar un aspecto fundamental para activar el balanceo de carga. Nos dirigimos a
la sección "configuración" y entramos en “ políticas de tráfico". En esta pantalla nos mostrará todos los
permisos y restricciones que tienen los servicios.
En la regla de "Acceso a Internet (NAT)" tendremos que m odificar el tipo de traducción que realiza. Para
ello, pulsaremos con el botón derecho sobre el campo "Traducción" de dicha regla y seleccionaremos
"E ditar traducción".
V
Ifrtjfeoil Cco:o4i 4c
VcTr.C
f * l te r o ItfnAaut»
|
( o
í
O»
Kerto WmRoute ítr c v a l
.
Configuración
*
Política de tráfico
VÍ*oibaditMoi
S exo
0 BtnOndtfi'umitr
®Cj^edodecor^r-»úo
^
8
/ j T afra ov «orwtar*enso
■
i * N p. tf
■ j 5 U m n o t y grupo»
- & ÍU ad o
Acocn
Rflp? Traducobn
HA’
H É H r»
'
li
✓
’ o w ot
^ ’ m m c t a r t a »**•
* " oíos i r e «
^
^OpoomMntidis
v a i'» *
*000»
»**•
i* ¡
c« n V j e >
4> "rw «S
«5» C uéojva
f s to arinco
1------------------------ 1
+
C u to * ’ «
Cjéojm
r»
✓
•> Cuatoar»
s
En la ventana de configuración de la traducción tendremos que seleccionar la opción "Realizar balanceo de
carga por conexión (m ejor rendimiento)".
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
3<*TC«3 01
C y tiy » »
•
ÎM > »
por 1M '* *)ar
pe~ «>->c»i -oí- - M r r » ~ y o r - * 3 O
9»
9 9 sm rnor v í t r ■■■■S^T>0)
'.g ro a n « '-■caá» w • n r «
x * » r a « » r » a j 3» r t n » !
uTUMr«
•W M eM Tei aisano
3. Si ahora empezamos a realizar peticiones y nos vamos a las estadísticas de la salida a Internet veremos
como la carga se balancea entre ías dos interfaces.
Para ello nos iremos a la sección "Estado" y pincharemos en "Estadísticas". En dicha pantalla nos iremos a la
pestaña "Estadísticas de la rnterfaz" y veremos como la carga que proviene de 1a LAN se está balanceando
entre las interfaces con salida a Internet.
----id «
1CoaAyufBOúa
Estadísticas
£*•61 j r i d ’ » JC .w a .trfimJi •**»■* :*•«:« (itM fc U »
■ J w n o p w a is r w :
ie w e de lelem et O ra te * deoendeew iW n íliw fc
*tç»3ctn 0 9 0 jm r e c a v i
'» »ttó» prt » y » r <fle
lili
fi’irtivi rt -e-arl-m
«
E T M « K il9 i« r)H u
Uü
*
Qpar*» r . r a a i
• C c r» » c r 0* árw «caí
M "un*iír- M V n tK « 2
)■ o-r. »- « r t io c « <
«a
ltfJU.14
»744
117 7 «
M in a !» « t t 'C n , » « m i
• :v»:-
31* *>S
« .1 3 9 4
«híamo -2«**: 9*3
■lì SM.:«■ mjm:4
*7**9
S&7<9
»?<«
«J3«4
< H )tt t4
Í3 W < 1
Ü 7 I4
H7 7 4
)T«H
HJÎ4
ÍT««J
04«
VIRTUALIZACIÓN
La virtualización perm ite la ejecución sim ultánea de distintos sistem as operativos sobre una aplicación ejecutada
y soportada bajo un equipo y un sistem a operativo determinado. Perm ite realizar una abstracción de los recursos de
un sistem a, creando una capa entre el hardw are de la m áquina física y el sistem a operativo de la m áquina virtual.
E sta capa de software maneja, gestiona y arb itra los cuatro recursos principales de un ordenador (CPU, Memoria,
Red, Almacenamiento) y así podrá rep artir dinám icam ente dichos recursos entre todas las m áquinas virtuales que
se estén ejecutando en un momento determ inado. De modo que nos perm ite tener varios ordenadores virtuales, con
distintos sistem as operativos, ejecutándose sobre el mismo ordenador físico.
El software de gestión de m áquinas virtuales se distribuye por em presas como M icrosoft (V irtual PC), VMWare
(VMWare) u O racle (Virtual Box).
199
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
U na vez in stalada la aplicación de gestión de m áquinas virtuales, el proceso p ara poder ejecutar distintos sistem as
operativos se resum e en:
C rear y configurar los recursos hardw are que darán soporte a la instalación de un determ inado sistem a
operativo.
U na vez creada la m áquina virtual soporte, in stalar m ediante una im agen ISO o un CD/DVD de instalación
el sistem a operativo.
A rrancar y utilizar el sistem a operativo, pudiendo in stalar aplicaciones, guardar datos de forma independiente
al sistem a operativo que soporte el software gestor de m áquinas virtuales.
Sucesivam ente podemos ir modificando configuraciones creadas, creando y ejecutando distintas m áquinas virtuales
independientes dentro del gestor de m áquinas virtuales.
PRÁCTICA 8.3
CREACIÓN DE MÁQUINAS VIRTUALES
En la siguiente práctica estudiaremos como instalar, configurar y usar, bajo Windows 7, la aplicación de gestión
de máquinas virtuales VMWare Server.
Para la instalación de VMware Server tendremos que descargar, en prim er lugar, el paquete instalador de la web
oficial de VMware: http://w w w .VM w are.com /es/ .
Para poder descargar los instaladores de VMware es necesario registrarse en la web. Podemos realizar el registro
antes de elegir el producto en la sección "Cuenta" presente en la página principal de la web o de manera
instantánea cuando elegimos la descarga de un producto, en nuestro caso VMware Server, rellenando el form ulario
de registro. Para los usuarios que tengan cuenta en la web, solo tendremos que introducir los datos necesarios
para autenticarnos.
Una vez logueados en la web, nos aparecerá una ventana en la que tenemos tanto los seriales de cada uno de los
productos de VMware Server como los links de los instaladores.
En nuestro caso copiaremos el serial (Licensing) y descargaremos de forma manual el paquete VMware Server 2
for Windows Operating Systems.
In s ta la c ió n V M w a re S e rv e r 2 .0 .2 en W in d o w s 7
1. Una vez descargado el instalador lo ejecutarem os en el sistema operativo y se iniciará el asistente
de instalación. En la instalación podemos m odificar el directorio donde se almacenarán las máquinas
virtuales así como el nombre de la máquina, Host, y los puertos a través de los cuales accederemos a la
administración web. En un momento de la instalación nos pedirá que introduzcamos el nombre de usuario
(necesario para la adm inistración web), el nombre de la compañía y el número de serie:
2. Una vez reiniciado el equipo podemos encontrar todos los componentes de VMware en el menú de inicio.
Podemos arrancar el programa desde los accesos directos (VMware Server Home Page) o entrar en un
navegador web e introducir las siguientes direcciones para acceder a la adm inistración web:
h ttp :// <D irección_ip> .8222
h ttp s :// <D¡rección__ ¡p > :8333
200
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
ff t o w
M ht« lr*e#rwti#e W Í4C4II •
O
*
trJÉÉ
1/ cntcx
j
'
0 lU o jn I n f u i t r ^ «
« a
m
< ■
-
p
(*
«f >ktti
-
j togrt* >Ufn«
‘ uw»-*c
I
| 9
Q
-
i
| l4o*= r iziry&t Kt» * 3«
Una vez introducido nombre de usuario y contraseña configurados en la instalación, en la parte derecha de
la pantalla tenemos las distintas opciones para crear o añadir máquinas virtuales o Datastores.
En la parte central tenemos un resumen de las características de nuestro H o s ty de las máquinas virtuales
que vayamos creando, cuyo listado aparece en la izquierda, que nos permite tener un control acerca del
uso de la CPU, la cantidad de RAM consumida, espacio en disco y conexiones de red.
La parte inferior hace referencia a un registro de actividades en las máquinas virtuales. Se registran cuando
se inicia una máquina virtual, cuando se detienen, cuando se modifican, etc.
-O ? - » —-(»
*>
J f * c*461
tí •
0
ü
i .«t
*,
1Jiua’ •. 21«*'
• Q
-
«r » 5*9»^»
»» ;
3 in sa n o PC
r^ n
i.
•«* *-•**»
. Tu*
~
-
* * n « >r * '’a 1 O ) Cvá
t.r-n
utu*~«-PC
H«nala(tunir
Kodel
§ Fnxc»«ort
Jr-«HC' Cc-«ÍTM- ? CPU HOS 3 M 3G «i
:
c *\j
B it. 60 MKl
0
Heinory
s:i.$3m s
UMfC
*» » »
Dai A iin n ri
C«0«alf
:».« sa
» H SC*»
U 1* G*
C’N Atu* M*cl
Hcfw orki
P'K* »©o «jo
Ti í *
3r»i«*d
i «c*C rt,
HAT
Sw.1
.mr«Jí
WTMtJ
* >;• t ‘
lU f f t y
b»
201
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
Creación de una nueva máquina virtual en VMware Server.
3. Para la creación de una máquina virtual nueva nos dirigimos a la opción "Create virtual Machine" en el
cuadro de la derecha de la pantalla.
A continuación, nos aparecerá un a s is te n te que nos perm itiré configurar los aspectos básicos de nuestra máquina
virtual.
En prim er lugar nos pide que configurem os ei nom bre de la máquina v irtu a l y la ubicación donde se
almacenará.
En nuestro caso, vamos a crear una máquina virtual para instalar el sistema operativo Freenas para posteriormente
realizar una serie de pruebas como servidor ÑAS (analizado en el Capítulo 2).
La siguiente pantalla del asistente hace referencia al tip o de s is te m a o p e ra tiv o que vamos a instalar en
la máquina virtual y la versión de dicho sistema operativo. Puesto que Freenas es una versión de FreeBSD,
seleccionaremos "O ther operating systems" y en la versión elegimos "FreeBSD (32-bits)".
A continuación, tendremos que definir la cantidad de m e m o ria RAM y el numero de procesadores (hilos) que
usará nuestra máquina virtual. En nuestro caso, elegimos 256 MB de memoria RAM y una CPU. Debemos tener
en cuenta que los recursos hardware que configuremos serán consumidos de la máquina física en la que se
ejecute. Por lo que el ajuste de la memoria RAM suele ser un parámetro lim itador ya que no es posible ejecutar
simultáneam ente tantas máquinas virtuales como se desee.
■ I V H w « # rr l u i r . is tr u c t u r e W e b A c ie v » ( u \ u * i r i o a i ? / . 0 . 0 . 1 )
A p p k c a t^ o r
In v rn to rv
V ir tu a l M a c h a r *
¿ d m im s T ra tra n
ti
*e »p
______________ *1 --------------- n r __________________________________
í V i*ru a i A p p W v c e
_________ _____________________
X fgggj
Nam e a r d lo c a t o r
G uest O perating S yste m
Ic c 'e a s ic g a v irtu a l m achine s m e m o ry aR ocatior can im p ro v e cs
p e rfo -m a rc e but m a y also im pact oche** -u n n r.g applications.
S ilt :
256 _ MB
R e c o m m e n d e d S l i e (256 MB>
R e c o m m e n d e d M in im u m (32 MB)
The guest c p e 'a tir g syste m m a y r o t s ta 't up belovt th is size
R e c o m m e n d e d M a x im u m (8 1 9 2 M3)
Mem ory sn apping m a y occur above tb*s S're
P ro c e s s o r s
S elect th e rum be«’ c f processors c a re fu lly We do n o t -e co m m e rd
re c o r fig u n rg tK s valu e a fte r trfc a lk rtg th e g u e st o p e 'a b n g system .
D dck
I
N ext
I
O
k
«I
Posteriormente se definirá si la máquina virtual usará un nuevo d is c o d u ro virtual o uno existente por ejemplo
de otra máquina virtual. Ya que nuestra máquina es completamente nueva, elegimos la opción "Create a new
virtual disk". Al elegir la opción de disco virtual nuevo tendremos que definir el tamaño del disco y la ubicación
del mismo. En esta misma sección también podemos modificar ef adaptador de nuestro disco duro y el número
del dispositivo que usará.
Tras definir el disco duro, tendremos que configurar el a d a p ta d o r de red que usará la máquina virtual. Para
definirlo pulsaremos en "add a network adapter". Las opciones que nos aparecen en cuanto al adaptador de red
son bastante sencillas ya que la configuración de los adaptadores de red estará gestionada por la herramienta
"Manage Virtual Networks" que veremos con más profundidad en la siguiente práctica.
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
Podemos elegir tres modos de funcionamiento de nuestro adaptador de red ya sea modo Bridged, modo Host-only
o modo NAT (la configuración la realizaremos más adelante). En nuestro caso, seleccionaremos el modo Bridged,
ya que la máquina virtual se encontrará en red con la máquina física y el resto de equipos de la red de ésta. En este
modo debemos asignarle una configuración 1P dentro de la máquina virtual a su adaptador de red. Activaremos la
opción de "connect at power on", para que esté activa cuando arranquemos nuestra máquina virtual.
La in s ta la c ió n de n u e s tra m á q u in a v ir tu a l es posible realizarla de dos modos, bien sea a través de una imagen
.ISO o a través de la unidad de CD/DVD del Host host físico.
En nuestro caso añadimos una imagen ISO por lo que pulsamos en "Use an ISO Image". Al elegir que queremos
instalar la máquina virtual a través de una imagen ISO nos aparecerá una pantalla en la que tendremos que
seleccionar la ubicación de la imagen ISO dentro del Datastore que tenemos configurado, es decir, la imagen ISO
tiene que estar ubicada en la misma carpeta que contiene las máquina virtuales.
Del mismo modo que la unidad de CD/DVD configurada anteriorm ente, podemos seleccionar el adaptador y el
número de dispositivo que utilizará.
Podemos hacer lo mismo si queremos usar una unidad de Floppy Disk, en nuestro caso, no integraremos esta
unidad en nuestra máquina virtual. Del mismo modo podemos utilizar dispositivos USB conectados en la máquina
Host host para tener acceso desde la máquina virtual. En nuestro caso, tampoco integraremos esta opción.
Por últim o, el asistente nos da un resumen de la configuración que acabamos de realizar. Si estamos de acuerdo
podemos pulsar el botón "finish" para term inar de definir la máquina virtual.
C reate Virtual Machine
P ao*»
Name and Location
Guest Operating System
Memory and Processors
Hard Disk
Properties
Network Adapter
Properties
1 CD DVD Drive
Properties
Floppy Drive
X
Ready lo C om plete
Please verify that
your
new virtual machine is configured correctly.
Name:
Freenas
Location:
[standard]
Guest Operating System:
FreeBSD (32-bit)
Memory:
2S6 MB
1 Processors:
:
Hard Disk:
8 GB
Network Adapter:
Using "Bridged1
CD/DVD Drive:
( USB Controller:
Lsirg [s:ard a ,'d]'FreeNAS-i386-LiveCD-...
No
M ore H a rd w a re
| USB Controller
Hele
Pene' or your n e* . prtua' machire rtev*
Ya tenemos nuestra máquina virtual creada, ahora solo tenemos que arrancarla e instalar el sistema operativo
como si de una máquina normal se tratara. Lo veremos jun to con el funcionamiento en la práctica 47 (servidor
ÑAS virtuafizado).
La creación de máquinas virtuales permite realizar copias de seguridad y restauración de las mismas de forma
muy sencilla. Las distintas máquinas virtuales creadas se encuentran accesibles en la carpeta que hallamos
configurado (norm alm ente C: / Virtual Machines).
203
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
I PRÁCTICA 8.4
CONFIGURACIÓN DE RED DE MÁQUINAS VIRTUALES
Los m od os d e fu n c io n a m ie n to que podremos asociar a cada tarjeta de red virtual, en cada máquina virtual son:
B rid g e o puente permite conectar la máquina virtual a la red que usa el equipo anfitrión. Conecta el adaptador
de red de la máquina virtual, con el adaptador "físico" o real del equipo. Es la opción más empleada.
H o s t-o n ly permite al sistema anfitrión comunicarse con los sistemas invitados de las máquinas virtuales
instaladas en el equipo. Las máquinas virtuales sólosolo pueden comunicarse directamente con el sistema
host físico y las máquinas virtuales que también son miembros de la misma red.
NAT permite realizar NAT entre las máquinas virtuales y la red externa a la que pertenece el host físico. Permite
por tanto la conexión a una red externa en aquellos casos en que únicamente se dispone de una dirección IP, que
usa el anfitrión. Por ejemplo se puede conectar una máquina virtual a Internet a través del adaptador de red del
equipo anfitrión. Se emplea para aislar la comunicación exterior con las máquinas virtuales.
Como hemos comentado anteriorm ente, tenemos una herramienta instalada que nos permite configurar ciertos
aspectos de las distintas formas de funcionamiento de los adaptadores de red en ías máquinas virtuales. Esta
herramienta se llama "Manage Virtual Networks" y la podemos encontrar en Inicio - todos los programas Vmware - Vmware Server - Manage Virtual Networks.
Si abrimos la herramienta nos muestra una pantalla en la que tenemos seis pestañas de configuración:
fS . *u.l
ü
xrr’arj J*U?~JC£b rO yQ |
a
yv '«ong ] -*e
|
¡ \VT |
fv t * •
o4fou- y»**!n*t>© ra. use t * © *«' pac« ©f IT« edtcr to c w g « 1N 1
s*t3ng> o4 *otP n«b>orics. mX **o t c » tó to tm and rx re
.*cua¡tíe&>«r«
yj-.M-etO
.syiet: (Hoíí-oH»)
yS.'-vea(SAT)
S o v jfj
Ujotk:
DKP
~5rOjeC» tr » .a n ix a t» c*3Kr>mt ■
_______________
* prr ele rcfrxxV tf-*red
*o*!
jwdío^*rev*hotítP«»a»
192-168.50 0
&2Í4&.U80 Emcwc
La primera pestaña “ Sum m ary" hace referencia a un resumen de los adaptadores virtuales que están funcionando
con VMware así como de la descripción de cada adaptador, subred en la que está trabajando y si tiene activo o no
el servicio DHCP que integra la misma herramienta para los modos NAT y Host-only.
La siguiente pestaña "Autom atic Bridging" permite controlar y configurar un puente de red entre el adaptador
VMnetO con el adaptador de red físico del host.
La tercera pestaña "Host Virtual NetWork Mapping" permite definir, configurar y desactivar distintos adaptadores
de red virtuales que podemos asociar a una máquina virtual y que se comportarán, para las distintas máquinas
virtuales configuradas en un mismo modo, como un switch virtual interconectando a las distintas máquinas
virtuales. Dependiendo del m o d o de fu n c io n a m ie n to que tenga cada uno de ellos podemos observar como
podemos configurar distintas opciones.
204
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
En el caso de VMnet8, el funcionamiento que tiene por defecto es para realizar NAT, por lo que en dicho adaptador
podemos configurar la subred propia en la que trabaja, un servidor DHCP para que asigne las direcciones IP en las
máquinas virtuales configuradas con este adaptador y otros aspectos de configuración de NAT como las opciones
para la puerta de enlace virtual, así como el port forwarding (en caso de tener acceso a servidores en la máquina
virtual desde el exterior), DNS y Netbios.
En la sección "Host Virtual Adapters" muestra una lista de los adaptadores de red que se han creado en el Host
host físico a través de VMware, por defecto VMNet 1 (Host-only) y VMNet8(NAT). Mediante esta sección podemos
añadir, habilitar, deshabilitar y elim inar adaptadores según las necesidades.
En la sección "DHCP" tenemos lo referente al funcionamiento del servidor DHCP en cada uno de los adaptadores,
de manera que podemos iniciar, pasar y reiniciar el servidor o configurar cualquier parámetro del servidor en cada
uno de los adaptadores.
So—'* 7 1
| Ha* Vrtj» Mtfwa* Ujpprs I Ha«
idacun
O^CP |HVT J
Mi .k r' jív :o V* «
^C r V»6»' ^oto®Wj-íj Vni
“« f o r t i « « * « c o r * a r * > C P s e - <t
Ot¡CP ------trtU *'«!w or«
StfiTf!
192 168. 50 0
192.168.133 0
:ss
2S5 o
255:55.255 0
-‘Mcpecri
»Tretl
.■mea
.íw
1
X P w m lc » -----------------------------------------------------
S«r.xesto»:
Sfii
Se*- ce 'fO JO f
|
5t2P
Por último, en la sección "NAT" podemos seleccionar que adaptador de red realizará las funciones de NAT así como
iniciar, parar y reiniciar el servicio.
Como vemos, VMware tiene una gran cantidad de configuraciones posibles en función de las necesidades que
tengamos.
VIRTUAL!ZACIÓN DE SERVIDORES
U na de las aplicaciones más comunes de la virtualización es poder independizar la adm inistración de servidores
bajo una misma m áquina física. Las ventajas de disponer de servidores virtual izados frente a servidores físicos son
las siguientes;
A horro de costes: podremos adquirir un solo servidor, aunque m ás potente, y no tener que comprar más
servidores sino solam ente ir creándolos en el gestor de m áquinas virtuales. También perm ite ahorro en el coste
de m antenim iento y en el de personal, además de ahorrar espacio.
C re c im ie n to m á s flexible: instalar un nuevo servidor es mucho más sencillo y rápido frente a hacerlo con
un servidor físico.
A d m in istració n sim p lificad a: desde la consola del gestor de m áquinas virtuales podemos au m en tar o
reducir los recursos para una determ inada m áquina, reiniciarla, in stalar parches o sim plemente borrarla en
caso de problemas.
205
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
A p ro v ech a m ien to de a p lic a c io n e s an tiguas: una de las ventajas de la virtualización es la posibilidad de
conservar aplicaciones que funcionan en sistem as antiguos y aun así m odernizar la in fraestructura informática
de la em presa. Esa aplicación puede “sobrevivir” en una m áquina virtual independiente sin que haga falta
conservar el ordenador antiguo.
C en tra liza ció n d e tareas d e m an ten im ien to: podemos realizar copias de seguridad de un solo golpe de
todas las m áquinas, program ar actualizaciones y otras actividades desde el gestor de m áquinas virtuales.
También podemos centralizar otras funciones.
D ism in u y e tiem pos de parada: una ventaja im portante, solucionar problem as o realizar copias de seguridad
son ta re a s que se realizan en mucho menos tiempo. Por ejemplo, se puede clonar una m áquina y seguir dando
servicio m ientras se realiza m antenim iento de la m áquina virtual de producción como actualizaciones.
M ejor g estió n de recursos: se puede au m en tar la memoria o alm acenam iento de la m áquina huésped para
au m en tar los recursos de todas las m áquinas virtuales a la vez, por lo que se aprovecha mucho mejor las
inversiones en hardware.
B a la n ceo d e recursos: es posible asignar un grupo de servidores físicos para que proporcionen recursos a las
m áquinas virtuales y asignar una aplicación que haga un balanceo de los mismos, otorgando m ás memoria,
recursos de la CPU, alm acenam iento o ancho de banda de la red a la m áquina virtual que lo necesite.
I PRÁCTICA 8.5
SERVIDOR ÑAS VIRTUAL
Como vimos en el capítulo 2 existen diversos modelos de almacenamiento DAS, ÑAS y SAN. En esta práctica
veremos la instalación de un servidor ÑAS (F re e n a s) en VMware Server. Usando la configuración anterior de la
máquina virtual, vamos a instalar el sistema operativo Freenas en nuestra máquina virtual, con el propósito de
tener un servidor FTP disponible en una red local.
Para ello seleccionaremos la máquina virtual creada previamente y pulsaremos sobre el botón "play" ubicado en
la parte superior de la pantalla.
^
=
e
B
=
¿ ¿ •te s t** «*.*.*
™
u *
■
1 *
J
iJ T p i
f r tc * ( t
ln r « « t* r v
_______________ 1 V » « » - «
C anM
T»*«i fv « - n
»
s u t« «
N r l m w ace
0
9r«x r i f t o n
Pow er S iilo
O
1 X I «3M1
C
C u c tl OS
0
M em ory
¡ S í M0
VM «are Toola
0 MB
Ho«»»
(MS
V irtu a l M *rtS*ere Vermiai*
V I 'M ñ 7
W i> n*n>e
IT A d d 'c tte «
Mee
Conm adi
n« n3 «« rc
9
3
r%
*
iflì * Memer,
H
| h m 3í u : c$c s ! ; c >
2 M Mfi
i x
u
ti r•
I SOH* Or VI r 'N A M
206
fis o c a u
I.u * -3
i
w
w r jt n
Cc—c * * — *t
: : . y .c • SS 2S>M
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
Una vez iniciada la máquina, nos dirigim os a la pestaña "consolé" para entrar en el modo gráfico de la máquina
virtual. Como vemos, VMware nos advierte que es necesario un p lu g -in p ara p o d e r v is u a liz a r la m á q u in a
v ir tu a l. Pulsaremos en "install Plug-in" para descargar dicho plugin e instalarlo.
Automáticam ente, se descargará el plugin desde el servidor que ejecuta VMware el cual tendremos que instalar.
Tras la instalación del plugin será necesario volver a entrar en el navegador web ya que el asistente de instalación
lo cerró para aplicar los cambios.
Una vez dentro de la administración web y ubicados en la pestaña "consolé" de la máquina virtual podemos pulsar
el ratón en cualquier lugar para que se abra la ventana que nos permitirá visualizar la máquina virtual.
Tnt
*» ^
Acto seguido se abre una ventana nueva en la que podemos visualizar la máquina virtual y esperamos a que
cargue completamente Freenas. En las opciones que nos da Freenas para adm inistrar el sistema operativo
elegimos la opción 9 "Install/U pgrade to hard drive/flash device, etc." para in s ta la r el s is te m a o p e ra tiv o .
••«irts u w ra tu n H /..* i r a v ú l o t i
«< Htn* li HM M Sil CKT ;>81» f u r 1M
tC» /H tt'i »HIH by ( U l u l a r lo c K n V Lo
•
f rn « iia « u ru f i i r
í «cas
it A re s *
t.'ir y tf« fa « |
7» Robu»« «vitan
H ) S ln it 4 o w n
c \ r e t it n
OI tuu 1« 11
ta la r a auntu-r
nJn <ii li«ril 4 r Iw 'íla a H A n v lt*
«ilc
t il
En el asistente elegimos la opción 3 "Install 'fu ll' OS on HDD + DATA + SWAP partition''. Tras esto, seleccionamos
la unidad de CD/DVD donde se realizará la lectura del sistema operativo para su instalación (VMware Virtual
IDE CDROM Drive). Del mismo modo seleccionamos el disco duro en el que queremos realizar la instalación.
Introducim os el tamaño de la partición dei sistema operativo y de la partición SWAP. Tras la configuración
empezará la instalación. Reiniciaremos la máquina una vez terminada la instalación para arrancar el sistema
operativo instalado en la máquina virtual.
207
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
A d m in is tra c ió n de FreeNAS
Freenas es un sistema operativo que se a d m in is tra vía w e b por lo que podremos realizar su configuración
rem otam ente desde un equipo de la red. En este caso lo haremos desde el propio host físico. Una vez arrancado
el sistema operativo en la máquina virtual, lo prim ero será verificar su configuración de red.
En nuestro caso habíamos configurado la tarjeta de red de la máquina virtual en modo Bbridge, esto permite
configurar manualmente o asignada mediante DHCP una dirección IP en red con la máquina física. Para nuestro
ejemplo hemos configurado en la tarjeta de red dentro del sistema operativo FreeNas con la 192.168.1.250/24,
en red con la máquina física 192.168.1.2/24.
Una vez comprobemos que existe conectividad entre máquina física y virtual (por ejemplo realizaremos ping entre
las 2 máquinas), abriremos un cliente web en la máquina física e introduciremos en el navegador la siguiente
dirección IP, que será la asignada manualmente anteriorm ente:
h ttp ://1 9 2 .168.1.250
O
O 192.168.1.2SO'
Uumm (
Pawwd
logm
Introducim os el usuario "adm ín" con la contraseña "freenas" para acceder al adm inistrador web.
*-
c
___________
192.168.12S0
O
FreeNAS
System»
M p tw n rk
D KIc\
i
C w vkw
A xcpss
s i . i l in .
H o*tn« ro r
frxftM.bcd
V enan
0.7.2 Voband« (rw w on 55* 3)
D iv q n n s tic s
rHtdr on
SU Hoy l « W 5 8 0 7 M IC
O S VenaM
rr—aSD 7 >Rft£ASt-p3 { f i a c r i JWS06)
M ttfo rm
OQ6AJcrby«<R)Cor«OM)2CPüM OO#í I » «
21 ttw xlM *) 3 MCondC«)
CPU l e n p o a t w r
•1.0
fU J I r r tjW K T
n » n c
CPU UMQC
llr tp
0*c 2 * 1 * 0 * 49 UTC 2010
S y ifp m tím e
un— i
A c ív .*ir w J
á
t o i :_______________ _ j o *
ftemocy u n y
m
lo td iv r r tQ r t
a 08. 0 . « . 0.01
Onk i p j t r u u g r
No dak c x H tfj ed
-
l llX g f
Una vez dentro, instalaremos un servicio FTP, y crearemos un cliente llamado Pepe con contraseña Pepe.
208
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
Para iniciar el servicio FTP nos iremos a la sección "Services" y seleccionamos "FTP". H a b ilita m o s el s e rv ic io
activando la casilla "enable" de la parte superior derecha. Del mismo modo habilitamos la opción “ Only allow
authenticated users. Anonymous logins are prohibited."
«-
C Q 192.16& 1.250
.It
li
]
}
i
TCP port
to
)
HiDiiliei oí ilic n h
r u n runbcr of flmdUneous cfcrts.
Mah . f « v i . per 1P
m
JCKJUI
I2
1
Karrsjm runber o# ccm ccro nt par IP t d j m i (0 m u^vntod).
1
h \v * n jn fu rb o at eAo«ed pewvcrd
lim ro tit
tx fc rt dfccomec&on
<00
H u u n «Je a m n secondi.
P m n i root bgn
Spoeto* trfietfwr t • jfowed to b g r «s superuser (roo«) drf«hr.
AroTMno^a uw ri cr+y
Only tk m enonymots usart. Use t f v on o pJbfc FTP *te nCh no remote FTP eccess to reaí eccointi .
I0c4 users or*r
Tras habilitar las funciones pulsaremos en el botón "Save and restart" al final de la página. Ahora crearemos el
usuario Pepe. Para ello nos dirigimos a la sección "Access" y entramos en "users and groups" Pulsaremos en el
símbolo " + " para a ñ a d ir un u s u a rio . Introducirem os los datos necesarios para el usuario como el nombre, la
contraseña, el grupo primario que será FTP y directorio Home.
Y
r fie e M i local ■A£c«i|Us*>
3
3
192.166.1 250.
■• 3 i _ u s * n _ '* X f t p
User p*SS«*»ord
1001
User runanc id.
Shafl
notogr» w
Th» uncr'j bgn jhel
Pm iM iy yrcNJp
fia
Set tfw «ccourt s prnory grocp COtNv 9 v«n 7 0 4 1
« tnn
hr.
deemon
_
<Me*
ftp
guest
■ M
man
network
nobody
Set « ü to r d gro£> meróerih«» for this atxcxr*
Note: OH<*dr(or ta e *f* ró -á ó on the Mee) to »ebet end dosdea y o io i
Noe» 4roctory
U*w portS
Add
•fixttmfpto*
_
—
Cnter the pechiothehomedrectory <rf that user. Leeve thè hdd arrety to use deieJt petti /mrt
—! Grart access to the user portai.
O ra ri
Tras esto pulsamos en Add, Para aplicar los cambios tendremos que pulsar el botón "apply changes" del menú
principal de usuarios y grupos. Ya tenemos todo configurado, ahora solo queda probarlo, accediendo al servidor
FTP con la cuenta de usuario Pepe desde una máquina de la red local, con un diente FTP. En este caso para
probarlo lo haremos mediante un navegador web.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
Podremos acceder al directorio personal de Pepe para poder almacenar y descargar archivos desde el servidor
rem oto alojado en una máquina virtual.
REFERENCIAS WEB
Descripción de cl us ter de alta disponibilidad:
h ttp ;/ / w w w .lin iip s.co m I ìq -n o d e / 1 19
Información práctica sobre RAID, dispone de un enlace a un em ulador del funcionamiento de sistem as RAID
de Intel:
h ttp :/ / w w w .adm inso.es / w ik i!in d e x .p h p /2 .3 .2 ._Configuracione$_RAJD
Configuración de cluster de alta disponibilidad bajo Windows Server:
http: / / w w w .bujarra.com / ?p=2290
Configuración de cluster de alta disponibilidad bajo GNU/Linux:
http: / / w w w .alcancelibre.org/ sta tie p a g e s/ index.ph p/ como-cluster-heartbeat-centos
Software de virtùalización VMWare:
www. umware. com l e s i
Software de virtù alización V irtual Box de Oracle:
h ttp :/ / w w w .virtualbox.org /
Software de virLualización Virtual PC de Microsoft:
http: / / w w w .m icrosoft.com / w in d o w s/ virtu a l-p c/
210
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A LTA D IS P O N IB IL ID A D
RESUMEN DEL CAPÍTULO
En este capítulo hemos analizado y profundizado en distintas configuraciones de alta disponibilidad.
Las nuevas necesidades de los usuarios y las em presa exigen alta disponibilidad de los servicios más
críticos.
La mejor forma de asegurar la d isp o n ib ilid a d de nuestros equipos y los servicios que ellos sum inistran
de m anera fiable (99,999%) y sin interrupción las 24 horas del día du ran te siete días a la sem ana, es
d u p l icar de todos sus componentes críticos y la disposición del software y hardw are necesarios para que
los elem entos redundantes actúen cooperativamente.
Algunas de las soluciones que hemos analizado en este capítulo son:
R ed u n d a n cia y co n tro l d e er ro re s en el alm acen a m ien to : m ediante sistem as RAID. Los
m ás com únm ente empleados RAID 1 (conjunto en espejo) y RAID 5 (conjunto dividido con paridad
distribuida).
B a lan ceo d e carga: gestionando y controlando las peticiones de comunicación a distintos servidores
redundantes. Como ejemplo de aplicación hemos visto, en el caso de ten er d istin tas conexiones de
red que puedan ser solicitadas como una única.
V irtu alización : perm ite realizar bajo un mismo sistem a físico la adm inistración de distintos
sistem as operativos. Simplifica e independiza la configuración, instalación, realización de copias de
seguridad y restauración de servidores de red.
211
© R A -M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
EJERCICIOS PROPUESTOS
1. Busca las distintas soluciones que presenta Dell
de fuente de alim entación redundantes. M ediante el
análisis de un m anual describe su modo de conexión,
configuración y funcionam iento. ¿En qué casos
consideras que puede ser u n a buena opción?
¿C uántas tarje ta s de red debe ten er tu sistem a
físico? ¿Qué configuración de red has empleado
para las tarje ta s de red en la m áquina virtual?
¿Qué dirección IP disponen sus tarje ta s de red?
¿Qué puerta de enlace tendrá?
2. In stala el software de virtualización Virtual Box.
Crea u n a m áquina virtual U buntu que trabaje en
modo NAT. Instala en la m áquina virtual un servidor
web y configura los aspectos de NAT necesarios para
que sea accesible dicho servidor web desde el exterior
de la m áquina física.
6 . M onitoriza el tráfico filtrado por el cortafuegos y
3. P ara facilitar el manejo de las m áquinas virtuales
y su interacción con la m áquina física en VirtualBox
es posible in stalar el complemento GuestAdditions.
In stálalo y com prueba sus opciones. ¿Qué nuevas
fu n c io n e s p e rm ite y m ejora? ¿E x iste alg ú n
equivalente en VTVTWare Server?
7. Realiza una copia de seguridad de la m áquina
virtual creada anteriorm ente y configura otro equipo
para que la ejecute con norm alidad. ¿En qué tiempo
se ha realizado el respaldo de los servicios? ¿Crees
que es un m étodo m ás eficaz que re a liz a r u n a
imagen de disco o partición, con un sistem a operativo
com pletam ente configurado? Realiza la prueba.
4. R ealiza m ediante virtualización con 4 discos duros
bajo G N U /Linux una configuración y prueba de
RAID 5. ¿Cómo es posible recuperar la información
de uno de los discos en caso de pérdida?
5. C onfigura u n servidor m ediante una m áquina
v irtu al de alta disponibilidad que disponga de los
servicios de enrutado, filtrado proxy y cortafuegos
adecuado al tráfico de tu clase, perm itiendo tan solo
el acceso web a los sistem as del aula y perm itiendo
el acceso únicam ente a un servidor web ubicado en
la misma.
e) proxy, y realiza un informe en el que indiques:
Equipos con conexión, períodos y servicios de
acceso.
R anking de los 5 sitios web m ás visitados.
8 . D escubre e im plem enta a lta disponibilidad y
balanceo de carga en un servidor web m ediante
Apache y Tomcat con la ayuda del siguiente artículo:
h ttp : / / w w L u .a d ic to a a ltr a b a jo .c o m /tu to r ia le s /
t utoriales-ph p ?pagin a =apa che_tomcat_ba lanceo.
9. Realiza la instalación y configuración de VMware
S erver sobre u n a distribución GNU /Linux como
Debían.
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
TEST DE CONOCIMIENTOS
¿Qué sistem a RAID controla paridad?
RAIDO.
RAID 1.
RATD 5.
RAID 10.
La configuración de red (bajo VMWare) que perm ite
c re a r una red de m áquinas v irtu a le s privada,
d istin ta e independiente de la red a la que pertenece la
m áquina fisica es:
H ost-only.
B ridge.
NAT.
Ninguna de las anteriores.
La adm inistración de los servicios de virtualización
(bajo VMWare) se suele realizar m ediante:
Aplicación de escritorio.
Correo electrónico.
FTP.
Servicio web.
A los sistem as de máximo nivel de alta disponibilidad
se les tolera una inactividad anual de:
5 minutos.
10 minutos.
15 minutos.
no se les perm ite ningún minuto.
Bajo sistem as Windows podemos realizar balanceo
de carga con la aplicación:
VirtualBox.
Kerio Winroute.
V irtual PC.
W inGate.
Bajo siste m as G N U /Linux qué aplicación nos
perm ito m onitorizar la actividad de las d istin tas
tarjetas de red:
Iptraf.
Iproute.
Iptables.
Show_ip_route.
El balanceo de carga no perm ite realizar:
De 4 conexiones a In tern et tener 2 conexiones de
igual velocidad.
De 1 conexión a In tern et tener 2 conexiones de
igual velocidad.
De 2 conexiones a In tern et tener 1 sola conexión
de velocidades sum adas.
N inguna de las anteriores.
213
•
•
•
tr a
m
/
Conocer la normativa española
en m ateria de seguridad
informática,
/
Analizar la normativa y
aplicaciones de la LOPD, en
m ateria de seguridad de los datos
de carácter personal.
/
Analizar la normativa y
aplicaciones de la LSSICE, en
m ateria de comercio electrónico
y actividades empresariales vía
Internet.
/
Valorar la importancia de la
normativa como reguladora
de derechos y obligaciones a
ciudadanos y empresas.
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
El último punto que abaren la seguridad inform ática, cubre el resto de aspectos vistos h asta el momento: seguridad
física y lógica, alm acenam iento de los datos, comunicaciones y criptografía, es la norm ativa legal. En este tem a
verem os la norm ativa desde dos puntos de vista, la Ley Orgánica de Protección de Datos (LOPD), que pretende
proteger el uso de datos de carácter personal por parte de em presas y profesionales, y la Ley de Servicios de la
Sociedad de la Información y de Comercio Electrónico (LSSICE), que regula ciertos aspectos de las web que realicen
actividades económicas, como publicidad, venta online, etc., así como las notificaciones comerciales electrónicas, como
SMS o correos electrónicos publicitarios.
LEY ORGÁNICA DE PROTECCIÓN
DE DATOS (LOPD)
La protección de datos de carácter personal es una m ateria que ha tomado im portancia en los últim os años,
fundam entalm ente a raíz de la aprobación de la Ley O rgánica 15/1999 d e P ro tecc ió n de D atos d e C arácter
P er so n a l (LOPD), convirtiéndose en una obligación a cum plir por las em presas si no quieren e sta r expuestas a
sanciones por la A g en cia E sp añ ola d e P ro tecció n de D a to s (AGPD).
La LOPD ha adquirido una gran im portancia debido a que equipara y convierte el derecho a la protección de los
ciatos personales en un d erech o fu n d a m en ta l de la s p erson as.
El derecho fundam ental al que hacemos referencia tiene una estrecha relación con el derecho a la intim idad y al
honor, encuadrándose todos ellos dentro del art. 18 de la Constitución. Este nuevo derecho fundam ental adopta la
denom inación de libertad inform ativa o autodeterm inación inform ática, protegiendo el “control que a cada una de
las personas le corresponde sobre la información que les concierne personalm ente, sea íntim a o no, para preservar el
lib re desarrollo de la personalidad”.
La LOPD establece una serie de ob lig a c io n es destinadas a la protección de los datos personales contenidos en
fic h e r o s a u to m a tizad os o in form atizad os, com o e n no a u to m a tiza d o s o en p ap el, que poseen em presas v
A dm inistraciones Públicas, y que son tratad as por éstas con diferentes finalidades; gestión de personal, proveedores,
clientes, cam pañas de m arketing, etc.
A
Analiza la noticia "M uchos bancos incum plen la LOPD en m ateria de videovigilancia", encontrada en
h ttp ://b lo g .c y s ia .c o m /2 0 0 9 /0 7 /la -b a n c a -y -la -lo p d /, e indica:
•
¿Qué requisitos deben cu m p lir las grabaciones de seguridad en relación al cu m p lim ien to de la
LOPD?
•
¿Es necesario p ed ir el co nse ntim ien to de las personas film adas?
ÁMBITO DE APLICACIÓN DE LA LOPD
U na de las principales dudas que se encuentran los em presarios y profesionales con respecto a la LOPD es
la determ inación de q u é fich er o s o d a to s d e ca r á c te r p erso n a l tratados, se encuentran am parados por la
norm ativa.
216
© R A -M A
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A
La LOPD establece su ám bito de aplicación en el artículo 2, al establecer que “la presente Ley Orgánica será do
aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratam iento, y a
toda m odalidad de uso posterior de estos datos por los sectores público y privado”.
Así, para la determ inación de qué concretos ficheros o datos de carácter personal entran dentro del ámbito de
aplicación de la LOPD debemos tener en cuenta tres conceptos:
D ato d e cará cter personal: cualquier información concerniente a personas físicas, identificadas o identificables;
es decir, toda inform ación num érica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de
recogida, tratam iento o transm isión concerniente a una persona física identificada o identificable.
F ic h e ro : conjunto organizado de datos de carácter personal, cualquiera que sea la forma o m odalidad de su
creación, alm acenam iento, organización y acceso.
T ratam iento: operaciones y procedimientos técnicos de carácter autom atizado o no, que peí-mi tan la recogida,
grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias.
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
U na vez h a n sido localizados y determ inados los ficheros de datos de carácter personal se procederá a la notificación
de los mismos a la Agencia Española de Protección de Datos p ara su inscripción. Las com unidades autónom as de
M adrid, C ataluña y País Vasco, poseen regulaciones y agencias propias.
La Agencia Española de Protección de Datos, a través de su página web Lvww.cigpd.es (en el apartado "Canal del
Responsable de ficheros - Inscripción de ficheros”), ofrece los fo r m u la r io s que deben ser utilizados para la notificación
de ficheros, p ara efectuar la notificación en soporte papel, como para efectuarla por In tern et (con certificado digital)
o soporte magnético.
El p ro ced im ien to establecido para la modificación y supresión de ficheros inscritos en la Agencia Española
de Protección de Datos, es el mismo que el indicado para la creación de ficheros. Como principal diferencia entre
dichos procedim ientos, encontram os la necesidad de contar con el có d ig o d e in sc r ip c ió n ya otorgado por la
Agencia Española de Protección de Datos en el momento de la inscripción del fichero, para poder efectuar cualquier
modificación del fichero inscrito, o bien para la supresión del mismo.
217
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
TRATAM IENTO D E LOS DATOS
La LOPD establece una serie de lim ita c io n e s al tra ta m ien to de los datos; lim itaciones fijadas para g aran tizar
un uso adecuado, lícito, no excesivo y con las debidas m edidas de seguridad que im pidan la alteración, pérdida o
tratam ien to no autorizado de los datos.
E n la m ayoría de los supuestos, la volu n tad se m a n ifiesta a tra v és d el c o n se n tim ie n to y, en los casos en
los que operan excepciones legales al consentim iento, el afectado m anifiesta su voluntad a través de su derecho de
oposición al tratam iento de los datos.
La re co g id a d e los d atos es una operación previa al tratam iento; por ello, la recogida de datos no suele p lan tear
problem as en referencia al consentim iento del afectado puesto que si éste nos proporciona los datos, se entiende que
existe un consentim iento implícito (un acto consciente de voluntad). Pero, lo que sí es im portante en la recogida es
proporcionar al afectado una serie de informaciones o elem entos fijados por la ley en el derecho de información (art.
5 de la Ley), para que el afectado pueda sum inistrar o no sus datos con el p len o c o n o cim ie n to d el a lca n ce d el
tr a ta m ie n to q u e se va a realizar. La información que habrá de proporcionarse es:
El titu la r del fichero.
Las finalidades del tratam iento.
El carácter obligatorio de las respuestas.
Los derechos y la posibilidad de ejercerlos.
La dirección y tas condiciones para ejercitar tales derechos.
El interesado siem pre podrá ejercer los derechos que le concede la Ley (impugnación de valoraciones, acceso,
rectificación, cancelación y oposición) y p od rá re v o ca r el c o n sen tim ien to dado al tratam iento de sus datos o
m an ife sta r su oposición parcial a dicho tratam iento.
Además, la Ley establece una serie de principios específicos para el tr a ta m ie n to d e lo s d a to s por p arte
del responsable del fichero; principios y o b lig a c io n es im p u e sta s para g a ra n tiza r su correcto tratam ien to ,
c o n se r v a c ió n , a cceso y d estru cción .
I PRÁCTICA 9.1
FORMULARIO LOPD
Un e je m p lo de la in fo rm a c ió n a p ro p o rc io n a r al in te re s a d o a través de una cláusula LOPD para un
fo r m u la r io de re co g id a de d a to s podría ser la siguiente:
”De conformidad con la Ley Orgánica 15/1999 de Protección de Datos Personales y a través de la cumpl¡mentación
del presente formulario, Vd. p resta su consentim iento para el tratam iento de sus datos personales facilitados, que
s e rá n incorporados al fichero “XXXXXXX”, titularidad de la EMPRESA XXX. inscrito en el Registro G eneral de la
A gencia Española de Protección de Datos, cuya finalidad es la gestión fiscal, contable y adm inistrativa de la relación
c o n tractu al, así como el envío de información comercial sobre nuestros productos y servicios.
218
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A
© R A -M A
Igualm ente le inform am os que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición
establecidos en dicha Ley a través de c a rta certificada, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente
dirección; EMPRESA XXX. D epartam ento de Atención al Cliente LOPD. C/XXXXXX n° X. 46000 Localidad.
Los campos señalados con * son obligatorios.
A
m odo
d e e je m p lo
podem os
v e r lo s t é r m i n o s
le g a le s d e l r e g is t r o
' m o m iu r 1 1 C .inal C lie n te
f*
ilv
in te r n e t-
' C25S38I
p a ra
a c c e s o a c lie n t e s
M o /llla l lr c f o *
_
[\A movistar H
<y1
Jmonm.r
e n la z o n a e x c l u s r
ulano y re cib iré * 1« c o n tra ic i
|cU moW iU>
r e c o m e n d a b le
f o r m u la r io s
que
r e lle n e m o s
al
A v is o (« g a l
En cum plim ianto da la Lay Orgánica 13/1999. do 13 do d>ciembra, da
Protacoón da D a to i da Ceiéctar Parsonal. conforma ai art. 3 f«lats»o al
daracho da inform ación an la »acogida do datos. Talefónica Móviles Esparta
S.A.U. (T M l). 1a inform al
La raspuaste al cue*t>onano a t voluntaria. Es obligatorio cum plim entar
todo* los datos solicitados en al cuastionano. a axcepdón dal e-m all que e i
opcional (an al cas o da no d iip o n e r dal nrusmo).
antTiiTo m o v íjt*(
E s s ie m p r e
X¡
cjnatdent» mjvW«- «JJi^cda/tcnlrcfcf/CClJ.CWjutfc
• U r m ó v il
léfntM»
|C~
m o v is t a r .
Lo* datos de carácter parsonal que facilita en acte cuestionario an tu
condición de titu la r del contrato do le (moa Junto a lo * obtenidos durant« ’a
vigencia da la piestaoón dal sarvioo serán m du id o t an ficheros
inform atitados titularidad de T alafónka MOvilas Esperte 8.A.U. .ras pona »ble
dal tratem lanto y dastinatana de los datos a in/orm aaón.con domicilio an
i« v i|t ( f M | fw
calla Ronda de le Comunicaoón s/n. Ed'fioo Sur 3- 28050 Madud. para le
gestibn del sarvicio y con la finalidad de anvierle informaciones publicitarias
u ofartas vía postal. parsonaliradas o no. da productos y sarvloos de
__ telacom uniceoonas. Si u rta d no da ie a ova aste trata m ie n to sa realice con
(leer térmnos legates |» finalidad Indicada diríja atento a la d<recoón da T M l, llam a al teléfono
I Gratuito 4407 o entre an la o ir tn a va b i v*n» rro m tA f.e r. A jim iim o .
Sarvl ¿ingiéndosa por asento a Telafónlca Móvilas CipaKa S A Ref O atoi an la
1 o tada dirección utCad podré ajarota» lo« daracbos da accoro, rectificación.
1 cancalaoòn y o p o iio ó n pravistos an la Lay.
-o r.o soy
«1 titula* <
m enos
r e v is a r
que
e s ta s
c lá u s u la s
se
in c lu y e n
en
lo s
t é r m in o s
de
io s
c o n tra to s
o
y a c e p te m o s .
NIVELES DE SEGURIDAD
La LOPD y el Reglam ento de Medidas de Seguridad (RD 994/1999), establecen la obligación de establecer una
serie de m edidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal,
m edidas que habrán de adoptarse/im plem entarse por la em presa o profesional que alm acene estos datos. E n tre estas
m edidas se incluye la elaboración de un D ocu m en to d e S egu rid ad en el que se detallarán los d a to s alm acen ad os,
las m ed id a s de segu rid ad ad op tad as, así como las p erso n a s que tie n e n acceso a eso s datos.
La ley identifica tres niveles de m ed id a s d e seg u rid a d , BÁSICO, MEDIO y ALTO, los cuales deberán ser
adoptados en función de los distintos tipos de datos personales (datos de salud, ideo logia, religión, creen cías, infracciones
adm inistrativas, de morosidad, etc.). El reglam ento ha establecido los niveles de seguridad de forma acum ulativa; es
decir, que al nivel de seguridad Medio se aplicarán las medidas de seguridad del nivel Básico.
219
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
Tabla 8.1
TIPO DE DATOS
MEDIDAS DE SEGURIDAD
OBLIGATORIAS
✓ Nombre
✓ Documento de Seguridad
✓ Apellidos
✓ Régimen de funciones y
obligaciones del personal
✓ Direcciones de contacto (tanto
físicas como electrónicas)
✓ Teléfono (tanto fijo como
móvil)
✓ Otros
J Registro de incidencias
✓ Identificación y autenticación
de usuarios
✓ Control de acceso
✓ Gestión de soportes
✓ Copias de respaldo y
recuperación
✓ Comisión infracciones penales
✓ Comisión infracciones
adm inistrativas
✓ Información de Hacienda
Pública
✓ Inform ación de servicios
financieros
✓ Ideología
✓ Religión
✓ Creencias
✓ Origen racial
✓ Salud
✓ Vida
✓ Medidas de seguridad de nivel
básico
✓ Responsable de Seguridad
✓ Auditoria bianual
✓ Medidas adicionales de
Identificación y autenticación
de usuarios
✓ Control de acceso físico
✓ Medidas de seguridad de nivel
básico y medio
✓ Seguridad en la distribución de
soportes
✓ Registro de accesos
✓ Medidas adicionales de copias de
respaldo
El órgano de control del cumplimiento de la norm ativa de protección de datos dentro del territorio español, con
c a rá c te r general, es la Agencia Española de Protección de Datos (AEPD). Las sanciones tienen una elevada cuantía,
siendo E spaña el país de la Unión Europea que tiene las sanciones m ás altas en m ateria de protección de datos. Dichas
sanciones dependen de la infracción cometida y se dividen en:
Las sa n c io n e s le v e s van desde 601,01 a 60.101,21 €
Las sa n c io n e s graves van desde 60.101,21 a 300.506,05 €
Las sa n cio n e s m uy graves van desde 300.506,05 a 601.012,10 €
Pese al elevado im porte de las sanciones, existen m achas em presas en E spaña que todavía no se han adecuado a
la m ism a, o lo han hecho de forma parcial o no revisan de form a periódica su adecuación; por lo que resulta esencial
el m antenim iento y revisión de la adecuación realizada.
220
© R A -M A
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M A T IC A
I PRACTICA 9.2
NORMAS DE LA ORGANIZACIÓN
feocr
rt»
Eia
á'
f’ro tu c d td ri ú* Inicio d» « ntdn interat tir t U si» del
« _| > ^9 i« o « n di M/t»«*
- _J C a r/y in tn dt « N m
3
^
I Ctri^pj/aot*\ó»
M»MUdrfr«do
X
M id o
C a rl^i« )» Oí A«C* i abcJ
* Jvro* da co—rdoi I
j^<iWvi«ú4nA»M«f(
• J Orwcnv»
«•
txiMk
4»nl
n M td i
«»MUdrfnA)
I» «(¿dorada
i l ex
DrtfiAC«!«
J o p a c rM d i »
• d»bt « d m d n u g tto i « i « c u
¿2 Cortftpuraatodiuau»«
«■ C jM 9 J M d n d i« /iM ri
_J C iW i^ n r o* wM jw
_J PWtfiM «tiras****«
se*
g0§(n■
On?<dj6*U
tane* 4afrvfc
4 catt
lOnrKxdetM ri
»
H <Sm
ntfco . C**at4Uda
g Q ln o o 4 > m 0 n rt« « iM r w w » jn » l« K » n r t ^ r f «
SJlTBL * I W i r t * « 9 K i*a « M M rM iiw > ita u M O (« «
ggVwo<)»icaúrtrt«MSM: tfcJt? M n w « p« a ta uauarot %» rtm tm
W »
H » x(4 i« 7 n d
'> )rc s rK r
En el caso de Windows veremos como al inicio del sistema podemos incluir un mensaje y será necesaria la
aceptación del mismo para continuar. Ayudará a recordar tas n o rm a s y re c o m e n d a c io n e s de s e g u rid a d de
n u e s tra o rg a n iz a c ió n , haciendo de este modo que sean conocidas por todos los usuarios.
Ejecutamos gpedit.msc para la configuración de directivas de grupo, y en el apartado Configuración de equipo
/ Configuración de Windows / Directivas locales / Opciones de seguridad, pulsaremos sobre las directiva de
in ic io de se sió n in te ra c tiv o : te x to de m e n s a je para los u s u a rio s q u e in te n ta n in ic ia r una sesión así
como in ic io de se sió n in te ra c tiv o : títu lo de m e n s a je p ara los u s u a rio s q ue in te n ta n in ic ia r una se sió n,
y añadiremos el texto y título que deseemos.
LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y
DE COMERCIO ELECTRÓNICO (LSSICE)
La L SSI, le y 34/2002 de 11 de ju lio , d e S erv icio s de la S ocied ad d e la In form ación y d e C om ercio
E lectr ó n ic o (LSSICE) tiene como objeto la regulación del régim en jurídico de los se r v ic io s de la so cied a d d e la
in fo rm a c ió n y de Ja co n tr a ta ció n p or vía electró n ica . E ntiende por “servido de la sociedad de la inform ación”,
toda actividad que cumple con los siguientes requisitos:
Recibe una con Ira prestación económica.
La actividad se realiza a distancia (no presencial).
Por medios electrónicos o telemáticos.
A petición individual del d estinatario del servicio.
Como aplicación práctica de la LSSICE por parte de la A dm inistración, siem pre que se pueda p ercib ir un
in g reso eco n ó m ico (independientem ente de la cuantía) a tra v és de un m edio telem ático, como por ejemplo u.n
sitio web, esta actividad en tra en el ám bito de aplicación de esta Ley.
221
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
E N T O R N O S WEB
Según el a r tíc u lo 10.1 de la LSSICE, el prestador de servicios de la sociedad de la información e sta rá obligado a
disponer de los medios que perm itan, tanto a los destinatarios del servicio como a los órganos com petentes, acceder
por medios electrónicos, de forma perm anente, fácil, directa y gratu ita, a la siguiente in fo rm a c ió n :
1. Su n om b re o d en o m in a ció n social; su re sid e n c ia o d o m icilio o, en su defecto, la dirección de uno de sus
establecim ientos perm anentes en E spaña; su dirección de correo electrónico y cualquier otro dato que perm ita
establecer con él una comunicación directa y efectiva.
2. Los d a to s d e su in sc rip ció n e n el R eg istro M ercan til.
3. El n ú m ero d e id e n tific a c ió n fisca l que le corresponda.
4. P re cio s d el servicio.
De acuerdo con el artículo 39 de la LSSICE, por la comisión de infracciones se im pondrán las siguientes
sa n cio n es:
a) Infracciones muy graves, m u lta d e 150.001 h a sta 600.000 eu ros. La reiteración en el plazo de tres años de
dos o m ás infracciones m uy graves, podrá d ar lugar, a la prohibición de operar en España, d u ra n te un plazo
máximo de dos años.
b) Infracciones graves, m u lta d e 30.001 h a sta 150.000 euros.
c) Infracciones leves, m ulta d e h a sta 30.000 eu ros.
I PRÁCTICA 9.3
LSSICE WEB
Veamos un ejemplo de cómo cum plir con el artículo 10.1 de la LSSI:
1. Para el caso de un autónom o: se deberá incluir un link a pie de página, de todas las páginas de la web, con
el título "Inform ación Legal", "Datos LSSI", o similar, los siguientes datos: Nombre y Apellido, Domicilio:
Calle(C.P.) Localidad, DNI/CIF, Emailemail, Teléfono.
Sobre la obligación de incluir el te lé fo n o se entiende este como "cualquierotro dato que perm ita establecer
con él una comunicación directa y efectiva".
2. Para el caso en que se trate de una empresa, se deberá incluir un a v is o le g a l - LSSI o similar, con las
C o n d icio n e s G e n e ra le s de Acceso y u tiliz a c ió n del s itio w eb .
COMUNICACIONES COMERCIALES
E n tre otros aspectos, la LSSICE regula, en sus artículos 19 a 22, el envío de co m u n ica cio n es co m erc ia le s por
v ía e lec tró n ica . Es por ello que en este apartado nos centrarem os en los supuestos de aplicación de la LSSICE más
com unes: el envío de correos electrónicos y SMS-MMS.
222
© RA MA
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M À T IC A
En todos estos supuestos, la LSSICE pretende im pedir la proliferación del fenómeno conocido como sp a m , para
ello se exigen una serie de r e q u isito s para el en vío d e co m u n ica cio n es co m erc ia le s e le c tr ó n ic a s y que e x ista
u n c o n se n tim ie n to exp reso.
El a rtícu lo 21.1 prohíbe de forma expresa el envío de comunicaciones comerciales electrónicas (por correo electrónico
u otro medio equivalente), que no h u b ieran sid o p reviam en te so lic ita d a s o a u to riza d a s ex p re sa m en te por
su d estin atario (persona física o jurídica). U na vez obtenido el consentim iento previo y expreso p ara el envío de la
comunicación comercial, el m en saje en v ia d o d eb erá cu m p lir co n los sig u ie n te s r e q u isito s inform ativos:
Identificar de forma clara el nombre de la persona física o jurídica en nombre de la que envía el m ensaje
publicitario.
Incluir en el comienzo del mensaje la palabra “P u b licid a d " (en los correos electrónicos ) o “Publi" (especialm ente
en los SMS).
F acilitar al receptor del m ensaje la posibilidad de revocar el consentim iento de una forma sencilla y gratu ita.
La LSSICE prevé en su apartado segundo, que no será n e c e sa r io e l c o n sen tim ien to p rev io d el recep to r del
m ensaje cuando los d a to s h u b iera n sid o o b ten id o s d e form a lic ita en el m arco d e u n a rela ció n co n tra ctu a l
p rev ia , y que las com unicaciones versen sobre productos o servicios sim ilares a los inicialm ente adquiridos o
contratados y que sean de la propia em presa, organización o profesional.
La LSSICE establece en su artículo 38 el apartado de infracciones y establece como una infracción leve el envío
de comunicaciones comerciales sin el cum plim iento de alguno de los requisitos recientem ente analizados (sanción
h asta 30.000 €).
En el caso de que se envíen tr es o m ás co m u n ica cio n es comerciales a un mismo destinatario en el plazo de un
año, sin cum plir con los requisitos establecidos, la infracción p asaría a ser considerada como grave (m ulta de 30.001
a 150.000 €).
PRÁCTICA 9.4
LOPD y LSSICE EN EL CORREO ELECTRÓNICO
En los correos electrónicos que las empresas envían a sus dientes o usuarios debe de incluirse una cláusula o pie
de página con la P o lítica de p riv a c id a d , a modo de ejemplo:
Política de privacidad. En cumplimiento de la LOPD 15/1999 y de la LSSI-CE 34/2002 se INFORMA que los datos
de carácter personal que se facilitan, incluido su correo electrónico, y que resultan necesarios para el envío de la
información solicitada, se incorporarán a un fichero automatizado cuya titularidad y responsabilidad viene ostentada
XXXX. Al rem itir el interesado sus datos de carácter personal y de correo electrónico a XXXX, expresamente se
AUTORIZA la utilización de dichos datos a los efectos de las comunicaciones periódicas, incluyendo expresamente
las que se realicen vía correo electrónico, así como otras ofertas de servicios, inform aciones o productos
relacionados con la actividad institucional que se desarrolla.
El interesado podrá ejercitar respecto a sus datos los derechos de acceso, rectificación, cancelación y oposición
enviando un correo electrónico a la siguiente dirección electrónica XXXX solicitando, en su caso, (1) Que se le
rem itan por la misma vía sus datos personales que obran en los ficheros de XXXX a los efectos de su consulta o
su posible rectificación o bien (2) Que se cancele y/o revoque la autorización para la recepción de comunicaciones,
debiendo notificar a XXXX la efectiva rectificación y/o cancelación de los datos de carácter personal de su
fichero.
223
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
REFERENCIAS WEB
Sitio web de la agencia española de protección de datos:
w w w .agpd.es
Web con noticias sobre la LOPD y LSSICE:
www. leydeprotecciondedatos. com.
Noticias sobre denuncias de LOPD:
http: I / todonoticiaslopd.com /
Guía práctica de Microsoft p ara adaptación a la LOPD:
ht t p. II www. microsoft. com I bus in ess I sm b /es-es / g u ia s / lopd I home.m spx
INTECO - sobre la LSSICE:
http: / 1cert.inteco.esIFormacion / Legislación/Ley_d£_Servicios_de_la_Sociedad_de_la_Inform ación /
Página web del M inisterio de Industria, Turism o y Consumo sobre la LSSICE:
http: / / www.rnityc.es / d g d s i/ Issi / Paginas / 1ndex.aspx /
RESUMEN DEL CAPÍTULO
En este capítulo hemos analizado la norm ativa que regula derechos y obligaciones con respecto a dos
aspectos fundam entales:
La Ley Orgánica de Protección de Datos (LO PD ) pretende proteger el uso de datos de carácter
personal de los ciudadanos, en la recogida, tratam iento y eliminación de los mismos m ediante
ficheros, que realizan em presas y profesionales. El organismo que verifica, controla y sanciona los
aspectos de dicha ley es la Agencia Española de Protección de Datos, aunque Madrid. C ataluña y
País Vasco poseen sus propias agencias.
La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), regula
ciertos aspectos de los servicios electrónicos, como sitios web que realicen actividades económicas,
como publicidad, venta online, etc., así como las notificaciones comerciales electrónicas, como SMS
o correos electrónicos publicitarios.
E stas leyes de reciente creación, 1999 LOPD y 2002 LSSICE, suponen un inicio en la regulación
norm ativa de la inform ática y sus aspectos de seguridad, garantizando los derechos de las personas y
ciudadanos, evitando abusos sobre la privacidad de los datos personales, y ofreciendo un nuevo marco que
dé tran sparencia a las operaciones comerciales a través de las redes de telecomunicaciones, y especialm ente
a través de Internet.
224
© R A -M A
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A
EJERCICIOS PROPUESTOS
1. Explica por qué crees que surge la norm ativa de
protección de datos en España. ¿Crees que Los datos
personales son em picados en ocasiones con un fin
deshonesto? ¿Crees que los medios de comunicación
protegen la intim idad de las personas?
2. Busca cómo se realiza la notificación de ficheros
por In te rn e t o por soporte magnético, y explica el
proceso. ¿Cuál es el medio recomendado por la AGPD
para la notificación de ficheros?
3. Extrae tres noticias de http: / / todonoticiaslopd.
co m í y explica exactam ente qué ha ocurrido, qué
tipo de incum plim iento se h a realizado y la sanción
propuesta (nivel y cuantía). ¿Qué datos y qué nivel
de protección poseen los datos de carácter personal
mal empleados?
4. E n su artículo 19, la LOPD indica con respecto al
control de acceso físico íart.19): exclusivam ente el
personal autorizado en el Documento de Seguridad
podrá te n e r acceso a los locales en donde se
encuentren ubicados los sistem as de información con
datos de carácter personal.
¿Qué tipos de m edidas deberíam os de tom ar
para cum plir con la norm ativa? Realiza algunas
recomendaciones técnicas.
5. Busca al menos 2 web españolas, que no cum plan
con la LSSI, explica por qué lo has deducido, y otras 2
que sí, indicando cómo has encontrado su aviso legal
y qué indica éste con respecto a la LSSI.
6.
B usca a lg u n a n o ticia de in fra cció n por
incum plim iento de la LSSI, por com unicación
comercial, qué sanción se le impuso y cuáles fueron
los motivos.
¿Qué tipo de infracción se cometió?
¿Ante qué organism o se interpuso la dem anda?
¿Crees que la sanción es proporcionada? Explica
tus motivos.
7. Analiza las preguntas frecuentes o FAQS de la web
del M inisterio de Industria, Turism o y Comercio, en
relación a la LSSI:
h ttp : / / w w w .m ityc.es / d g d s i / Issí / faqs
¿Qué acción se puede realizar si nos envían sparrií
¿A qué organism o se puede reclam ar?
R evisa en su web el aviso legal, ¿cumple la
A dm inistración con la LSSI? ¿E stá obligado a
ello?
22!
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
TEST DE CONOCIMIENTOS
¿En qué año aparece la LOPD?
1990.
1995.
1999.
2004.
Indica cuáJ de los siguientes datos y archivos no
está sujeto a la LOPD:
Archivo con base de datos de m úsica en mi casa.
Ficha de inscripción en papel con datos de un
centro polideportivo.
A puntes en papel sobre un cliente en un restau ­
rante.
F acturas em itidas con datos de clientes de un
taller mecánico.
L a LOPD afecta a ficheros:
Solo en soporte electrónico.
Solo en soporte electrónico pero estructurados.
Tanto en soporte papel como electrónico.
Solo en soporte papel.
E l organismo que regula y supervisa la protección
de datos personales en los ficheros de em presa es:
Asociación E spañola de Profesionales del
Diseño(AEPD).
A gencia E sp añola de Protección Personal
(AEPP).
Agencia de Protección de D atos Españoles
(APDE).
Agencia E spañola de Protección de Datos
(AGPD).
226
En caso de solicitarm e una entidad datos relativos a
salud, las m edidas de seguridad que deberá adoptar
internam ente en sus ficheros serán de nivel:
Bajo.
Medio.
Alto.
No los puede reg istrar si no es un centro san i­
tario.
¿En qué año aparece la LSSICE?
1990.
2002 .
1999.
2004.
La LSSICE no regula aspectos como:
El precio de los SMS.
La información legal sobre los webmaater.
La publicidad a través del correo electrónico
El comercio electrónico.
La LSSICE no regula aspectos como:
El precio de los SMS.
La información legal sobre los webm aster.
La publicidad a través del correo electrónico.
El comercio electrónico.
Material adicional
El m aterial adicional de este libro puede descargarlo en nuestro portal Web: h ttp ://w w iv .ra -m a .e s.
Debe dirigirse a la ficha correspondiente a esta obra, dentro de la ficha encontrará el enlace para poder realizar la
descarga. Dicha descarga consiste en un fichero ZIP con una contraseña de este tipo: XXX-XX-XXXX-XXX-X la cual
se corresponde con el ISBN de este libro.
Podrá localizar el núm ero de ISBN en la página 2 (página de créditos). P ara su correcta descompresión deberá
introducir los dígitos y los guiones.
Cuando descomprima el fichero obtendrá los archivos que com plem entan al libro para que pueda continuar con
su aprendizaje.
INFORMACIÓN ADICIONAL Y GARANTÍA
RA-MA EDITORIAL g arantiza que estos contenidos han sido sometidos a un riguroso control de calidad.
Los archivos están Ubres de virus, para comprobarlo se han utilizado las últim as versiones de los antivirus
líderes en el mercado.
RA-MA EDITORIAL no se hace responsable de cualquier pérdida, daño o costes provocados por el uso incorrecto
del contenido descargable.
Este m aterial es gratuito y se distribuye como contenido com plem entario al libro que h a adquirido, por lo que
queda term inantem ente prohibida su venta o distribución.
22 ',
índice Alfabético
Símbolos
3JDES, 1 1 1 ,1 1 2 ,1 2 7 ,1 3 2 ,1 4 5
8 0 2 .l l i , 149
A
ACL, 82, 8 3 ,8 4 ,1 6 2 ,1 7 0 ,1 7 8 ,1 8 1 ,1 8 3 ,1 8 6 .
A ctualización, 20, 21, 29,31
A dm inistración, 6 6 ,1 2 8 ,1 3 2 ,1 8 7 , 224, 225
A dw are, 9 2 ,1 0 2 ,1 0 8
AEPD, 220
AES, 1 1 1 ,1 1 2 ,1 1 3 ,1 1 5 ,1 2 7 ,1 3 2 ,1 4 5 ,1 4 9 ,1 5 2 ,1 5 4 ,
155
A gencia E sp añ o la de Protección de Datos, 216, 217,
2 1 8 ,2 1 9 ,2 2 0
AGPD, 224,225
A lta disponibilidad, 21
A nálisis forense, 28
A n tim alw are, 9 ,1 0 ,1 5 ,2 3 ,2 8 , 29, 32,66. 9 0 ,9 3 ,9 4 ,9 5 ,
1 0 0 ,1 0 2 ,1 0 3 ,1 0 5 ,1 0 8 ,2 2 4
A ntispyw are, 95
A ntivirus, 29,31, 90, 9 5 ,1 0 0 ,1 0 3 ,1 0 8
A RP Poisoning, 134,136
A taq u e de diccionario, 67
A taq u e de fu erza b ru ta, 67 ,1 1 6
A u d ito ría de seguridad, 27
A utenticación, 12, 6 7 ,1 2 1 ,1 5 4 ,1 5 5 ,1 7 7 ,1 8 0 ,1 8 1
AVR, 53
B otnet, 26, 90, 91,224
B row ser hijacker, 103,108
Bugs, 25
c
CCTV, 34,51. 224
C entro de respaldo, 4 7 ,4 8
C entros de procesam iento de datos, 47,186
C ertificado digital, 60, 6 4 ,1 0 8 ,1 2 3 ,1 2 5 ,1 2 7 ,1 2 8 ,1 2 9 ,
132,136,217
César, 109,110,111
chgrp, 83,84
c h m o d ,8 3 ,84
chown, 83, 84
Cifrado, 3 8 ,4 1 ,6 9 ,1 0 8 ,1 0 9 ,1 1 1 ,1 1 5 ,1 1 6 ,1 1 7 ,1 2 2
C ifrado asim étrico, 1 1 8 ,1 2 0 ,1 2 7 ,1 3 2 ,1 5 9 ,1 6 2
C ifrado híbrido, 117,127,132
Cifrado sim étrico. 1 1 2
Clave, 1 4 ,6 7 ,1 0 8 ,1 0 9 ,1 1 0 ,1 1 1 ,1 1 2 ,1 1 5 ,1 1 6 ,1 1 7 ,
1 1 8 ,1 1 9 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 3 ,1 2 5 ,1 2 7 ,1 2 8 ,1 2 9 ,1 3 2 ,
1 4 4 ,1 4 5 ,1 4 6 ,1 4 8 ,1 4 9 ,1 5 0 ,1 5 1 ,1 5 2 ,1 5 4 ,1 5 5 ,1 7 7 ,
1 8 1,193,194
Clave asim étrica, 117
Clave pública, 1 1 5 ,1 1 6 ,1 1 7 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 3 ,1 2 5
Clave privada, 1 1 5 ,1 1 7 ,1 2 0 ,1 2 1 ,1 2 2
Clave sim étrica, 109,117
j C lickers, 92
Cloud com puting, 186,187
C lustering, 186
B
C onfidencialidad, 1 2 ,2 9 ,3 2 ,1 1 7 ,1 4 5
Backdoor, 15,25, 9 1 ,9 7 ,1 0 2 ,1 0 8
C ontraseña, 6 7 ,6 9 ,8 4 , 8 6 ,1 2 8 ,1 3 2 ,1 5 5 ,1 5 9 ,1 6 2
B ackup, 35, 6 0,62
C o n traseñ as seguras, 84,86
B alanceo de carga, 9,10, 2 3 ,4 8 ,1 8 6 ,1 9 5 ,1 9 6 ,1 9 8 ,1 9 9 ,
C ontrol de acceso, 48,49, 60
2 1 2 ,2 1 3 ,2 1 6
Cookies,
92
B astidor, 49
Copia de seguridad, 2 9 ,3 1 ,3 5 ,6 0 ,1 2 8 ,1 3 2
B io m etría, 49, 50 60
CPD, 3 4 ,4 7 ,4 8 ,6 0 , 62,63
BIOS, 7 1,73
Blow fish, 42, 4 4 , 1 1 1 ,. 1 1 2,127,132
C redenciales, 49
229
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
FTP, 2 9 ,3 1 ,4 2 ,4 3 ,4 4 , 9 3 ,1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 2 ,
C rim ew are, 9 2 ,1 0 2 ,1 0 8
C rip to an alisis, 108
1 4 3 ,1 4 4 ,1 4 5 ,1 6 5 ,1 6 6 ,1 7 2 ,1 7 3 ,1 7 4 ,1 8 3 ,1 8 6 ,2 0 6 ,
C rip to g rafía, 108., 109,1 1 .2 ,1 1 6 ,1 1 7 ,1 2 0 ,1 2 2 ,1 2 6 , 216
2 0 8 .2 0 9 .2 1 0 .2 1 3 .2 1 6 .2 2 4 .
C rip to g rafía sim étrica, 111,117
F u erz a b ru ta , 26, 224
C ron, 38,41
G
D
G estor de arran q u e , 75, 77
DAS, 3 6 ,6 0 ,6 1 , 206,210.
getfacl, 84
D a ta center, 47
GPG, 1 1 2,117,118,120.
DDoS, 2 6 ,2 2 4
G rayw are, 92
D E S, 4 2 ,4 4 ,1 1 1 ,1 1 2 ,1 2 7 ,1 3 2 ,1 4 5
G reyw are, 9 2 ,1 0 5 ,1 0 8
D iccionario, 26, 224
G usano, 25, 90, 92
D iferencial. 36
H
D iffie-H eüm an, 11 7,127,132
D irectiv a de bloqueo de cuentas, 68
H acker, 24,47
D irectiv a, 68
H ash, 115,121
D irectiv a de co n traseñ as, 68
H igh Availability, 21
D isponibilidad, 1 2 ,2 9 ,3 2 ,4 8
Hoax, 26, 9 2 ,1 0 2 ,1 0 8 ,2 2 4
D istribución Live, 74, 7 7 ,7 8 ,8 0 ,8 1
HTTP, 139,224.
DM Z, 1 3 7 ,1 69,173, 182,183,186
HTTPS, 1 2 3 ,1 2 5 ,1 3 6 ,1 3 9 ,1 4 1 ,1 4 3 ,1 4 5 ,1 4 6 ,1 4 8 ,
D N Ie, 1 2 2 ,1 2 3 ,1 2 5 ,1 2 6 ,1 2 7 ,1 2 8 ,1 2 9 ,1 3 2
1 5 9 .1 6 0 .1 6 2 .1 7 4 .2 0 0 .2 0 3 .2 2 4 .
D N S, 139,224.
D N S spoofing, 135,136
I
DoS, 2 6 ,1 3 2 ,2 2 4
DSA, 1 1 7 ,1 1 8 ,1 2 0 ,1 2 7 ,1 3 2
IDEA, 111, 112,127,132
D SS, 117
Identificación, 67
D u a l Hom ed-H ost, 169,183,186
IDS, 1 3 6 ,1 3 7 ,1 3 8 ,1 5 8 ,1 5 9 ,1 6 2
Increm ental, 36
E
Infostealers, 9 2 ,1 0 2 ,1 0 8
E F S , 1 3 ,1 4 ,1 5 ,1 1 3 ,1 1 5
Ingeniería social, 2 6 ,9 2 ,2 2 4
E lG am al, 1 1 2 ,1 1 7 ,1 1 8 ,1 2 0 ,1 2 7 ,1 3 2
In teg rid ad , 1 2 ,2 9 ,3 2 ,1 1 7 ,1 2 1 ,1 4 5
E steg an o g rafía, 128,132
Interceptación, 132
E x p lo its, 19,21
Interrupción, 132
IPSEC, 141,1 4 6 ,1 6 0 ,1 6 2
F
F abricación, 132
ISO 27001, 27, 29
ISO 27002, 27
FakeAV, 94
J
F iltra d o de direcciones MAC, 155
F írew a li, 2 9 ,3 1 ,1 3 9 ,1 6 2 ,1 6 8 ,1 7 1 ,1 7 2 ,1 7 3 ,1 8 1 ,1 8 3 ,
Joke, 9 2 ,1 0 2 ,1 0 8
186.
F ir m a digital, 8 3 ,8 4 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 5
fn m t, 12 6 ,1 2 8 ,1 3 2
230
K
Keyloggers, 9 2 ,1 0 2 ,1 0 8
© R A -M A
ÍN D IC E A L F A B É T IC O
L
L2TP, 14 6 ,1 6 0 ,162
La mm er, 24
LDAP, 67
Log, 7 1 ,1 6 6 ,1 6 8
Login, 67
LOPD, 23, 2 1 6 ,2 1 7 ,2 1 8 ,2 1 9 , 224, 225,226
LSSI, 2 2 1 , 222 , 223, 224, 225
L SSIC E , 2 1 6 ,2 2 1 ,2 2 2 ,2 2 3 ,2 2 4
M
;
I
;
:
;
i
!
I
;
;
i
P in za am perim étrica, 54
P K 3 ,125,127,132
P O P 3 ,1 3 9 ,1 4 1 ,1 4 3 ,1 4 5 ,2 2 4 .
Potencia ap a ren te, 54
Potencia real, 54
PPTP, 1 4 6,160,162
Proxy, 9 ,1 0 ,2 3 ,1 6 2 ,1 6 5 ,1 6 6 ,1 6 8 ,1 6 9 ,1 7 4 ,1 7 5 ,1 7 6 ,
1 7 7 ,1 7 8 ,1 7 9 ,1 8 0 ,1 8 1 ,1 8 2 ,1 8 3 ,1 8 6 ,2 1 2 ,2 1 6
Proxy abierto, 174
Proxy anónim o, 174
Proxy caché Web, 174
P roxy inverso, 174
Proxy NAT, 174
P S K .1 4 9 ,152
pw stealer, 9 2 ,1 0 2 ,1 0 3 ,1 0 5 ,1 0 8
M alw are, 1 0 ,1 1 ,1 5 ,1 7 , 20, 2 1 , 25,26, 29,31, 3 2 ,3 5 ,4 1 ,
¡
6 6 , 9 0 ,9 2 ,9 4 ,9 5 , 9 6 ,9 7 ,9 8 ,9 9 ,1 0 0 ,1 0 2 ,1 0 3 ,1 0 4 ,
!
1 0 5 ,1 0 8 ,1 5 9 ,1 6 2 ,2 2 4
i
M an in th e m iddle, 133
M BSA, 18, 21
R
M D 5 ,71, 7 7 ,7 9 ,8 1 ,1 1 5 ,1 1 6 ,1 4 5
I Rack, 49
M etasploits, 19,21
RADIUS, 1 4 9 ,1 5 3 ,1 5 8 ,1 6 2
M inucia, 50
;
RAID,
186,187,188
M itM , 1 3 3 ,1 3 4 ,1 3 6 ,1 4 3 ,1 4 5 ,1 5 9 ,1 6 0 ,1 6 2
R C 5 ,111,127,132
M odificación, 132
;
Red
zombie, 90,91
MTTF, 22
í R e s ta u ra r S istem a, 41
M TTR, 22
; R ijndael, 4 2 ,4 4 ,1 1 1
: R oguew are, 2 5 ,9 0 ,9 2 ,9 4 ,1 0 2 ,1 0 8
N
i Rol, 84,86
NAS, 3 6 ,6 0 ,6 1 ,2 0 6 ,2 1 0
: R ootkit, 15
NAT, 1 6 3 ,1 6 4 ,1 6 5 ,1 6 6 ,1 7 2 ,1 7 4 ,1 8 2 ,1 8 6 ,1 9 8 ,1 9 9 ,
; R ootkit h u n ter, 15
2 0 3 ,2 0 4 ,2 0 5 ,2 1 2 ,2 1 3 ,2 1 6 .
; R ound Robin, 194
N essus, 18,21
: RSA, 4 2 ,4 4 ,1 1 7 ,1 2 7 ,1 2 9 ,1 3 2 ,1 5 9 ,1 6 2
N etB IO S, 139,224
i
i
N ets ta t, 139
N ew bie, 24
N m ap, 17,21
No repudio, 1 2 ,2 9 ,3 2 ,, 117,1 2 0 ,1 2 1 ,1 4 5
P
PAM, 70
P assw ord, 4 9 ,6 0 ,6 3
P assw o rd cracking, 26, 224
P ecera, 48
PGP, 1 1 2 ,1 1 7 ,1 2 7 ,1 3 2 .
P h arm in g , 2 6 ,1 3 3 ,1 3 6 ,2 2 4
P h ish in g , 1 0 ,1 1 ,2 6 ,2 9 ,3 2 ,9 0 ,9 2 ,1 0 2 ,1 0 3 ,1 0 8 ,1 3 3 ,
160,162, 224
i
!
i
;
i
í
;
;
;
i
:
•
s
SAI, 34, 5 2 ,5 3 ,5 4 ,6 0 ,6 2 , 63,224
SAI O FF-LIN E, 53
SAI O N -LINE o de DOBLE CONVERSION, 53
SAI O N -LIN E o LIN E INTERA CTIV E, 53
SAN, 3 6 ,6 0 ,6 1 ,2 0 6 ,2 1 0
Scam , 10,11, 26, 9 2 ,1 0 4 ,1 0 8 ,2 2 4
S creened H ost, 169,183,186
S creened-subnet. 169,183,186
S creening router, 169
Script-K iddies, 24
S eguridad activa, 28
S eguridad física, 2 8 ,4 7 ,6 6 , 216
231
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
S eg u rid ad lógica, 2 8,66
S eg u rid ad pasiva, 28
S erp e n t, 113,115
S erv id o r de autenticaciones, 67
setfacl, 84
SFC , 15
SHA, 71, 7 9 ,8 1 ,1 0 8 ,1 0 9 ,1 1 5 ,1 4 5
S hell hijacker, 103,108
S h o u ld e r surfing, 26,224
S m a rtC a rd , 49 ,1 2 2
SM TP, 1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 3 ,1 4 5 ,2 2 4 .
Sniffing, 26,132, 224
S p am , 1 0 ,1 1 ,2 5 ,2 6 , 9 2 ,1 0 2 ,1 0 3 ,1 0 4 ,1 0 8 ,1 2 8 ,1 3 2 ,
1 7 4 .2 23.224, 225.
Spoofing, 2 6 ,1 3 3 ,1 3 4 ,1 3 6 ,2 2 4
S pyw are, 1 0 ,1 1 ,2 9 ,3 2 , 92, 95,102,108.
S Q L Inyection, 104,108
S S H ,2 1 ,2 3 ,1 1 7 ,1 2 7 ,1 3 2 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 2 .1 4 4 ,1 4 5 ,
1 4 6 .1 5 8 .1 6 0 .1 6 2 .2 2 4 .
S SL , 2 3 ,4 2 ,4 4 ,1 1 7 ,1 2 7 ,1 3 2 ,1 4 1 ,1 4 3 ,1 4 4 ,1 4 5 ,1 4 6 ,
1 5 8 ,1 6 0 ,1 6 2 ,1 7 4.
S u stitu ció n , 1 0 8 ,1 09,110, 1 1 1 , 187
T
T ab nabbing, 133
T ar, 3 8 ,4 1
T eln e t, 1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 3 ,1 4 5 ,2 2 4
T exto plano, 1 4 ,8 1 ,1 0 8 ,1 1 0 , 111, 112,127,132,143,
1 4 4 ,1 4 5 ,1 5 3 ,1 5 5
T R IP , 1 4 9 ,1 5 2 ,1 5 4 ,1 5 5
T L S, 2 3 ,1 1 7 ,1 2 7 ,1 3 2 ,1 4 1 ,1 4 4 ,1 4 5 ,1 4 6 ,1 5 8 ,1 6 0 ,
162.
232
TPC, 125
T ransposición, 1 0 8,110,111
Troyano, 25, 90, 9 1 .9 2 ,1 0 3 ,1 0 8
T ru eciy p t, 38,41
Tw ofísh, 113,115
u
UBCD, 72, 75,80
UPS, 34, 52,224
V
VAF, 51
Vatios, 54
V irtualización, 9,10, 23,1 8 6 ,1 9 9 , 205, 206,2 1 0 ,2 1 2 ,
213,216
V irus, 2 5 ,4 7 ,9 0 , 9 1 ,1 0 0 ,1 0 3 ,1 0 8
VPN, 2 3 ,1 4 5 ,1 4 6 ,1 4 7 ,1 4 8 ,1 5 8 ,1 6 0 ,1 6 2 ,1 7 2 ,1 8 1 .
198,199.
V ulnerabilidad, 2 7 ,2 9 ,3 1 ,9 1 ,9 2
w
W aanaber, 24
WEP, 1 4 9 ,1 5 0 ,1 5 1 ,1 5 2 ,1 5 5 ,1 5 8 ,1 6 0 ,1 6 2 .
W ireless, 148,158
WLAN, 5 1 ,1 4 9 ,1 5 5 ,1 5 9 ,1 6 0 ,1 6 2
WPA, 1 4 9 ,1 5 1 ,1 5 2 ,1 5 5 ,1 5 8 ,1 6 0 ,1 6 2 .
W PA -E nterprise, 149
X
X .5 0 9 ,123
La p re sen te obra e stá dirig id a a los e stu d ia n te s del Ciclo F orm ativo de G rado S u p erio r de Administrât
de Sistemas Informáticos en Red (ASIR), en concreto p a ra el Módulo Profesional Seguridad y ¿
Disponibilidad.
A lo largo del libro se a n aliza la seg u rid ad in fo rm ática y la a lta d isponibilidad desde d istin ta s perspecti
com pletando de este modo u n a visión global de la m a te ria , p a ra no d e ja r n in g ú n aspecto vulnere
principios y terminología, seguridad pasiva, copias de seguridad, seguridad física y lógica, softi
antim alware, criptografía de la información y las comunicaciones¡ seguridad en redes corporal
atendiendo especialm ente a su seg u rid ad p e rim e tra l, configuraciones avanzadas de alta disponibilidt
norm ativa en m ateria de seguridad informática.
El enfoque del libra es em in e n tem e n te práctico, d u ra n te el desarro llo de los capítulos se re a liz a n u n 1
de 51 p rácticas. E n los capítulos se incluyen recom endaciones p a ra d e sa rro lla r u n a com pleta labor c
A d m in istra d o r de sistem as, adem ás de activ id ad es y ejem plos, con la finalidad de fa c ilita r la asim ila
de los conocim ientos tra ta d o s.
Así m ism o, se incorporan te s t de conocim ientos y ejercicios p ro p u esto s con la fin alid ad de com probar
los objetivos de cada capítulo se h a n asim ilado correctam ente.
WWW
E n la pág in a w eb de Ra-M a (www.ra-m a.es) se e n c u e n tra disponibl
m a te ria l de apoyo y com plem entario.
ra-ma e
788499 640 891
Ra-Ma*