üo,dades •• 8 ••••• .,. . • • .. ". " .. ••• ,,,,0· ••• ·\0 . e competeoC

Certificados de profesionalidad

Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Aranda

p.II.p' r.

J.Lc 'Yr-, €

~ Formativo

Gro~o Medio ~

Seguridad informática «La base de tu futuro»

El proyecto editorial de McGraw-Hill poro lo formación profesional ha sido desarrollado según tres principios básicos:

• Una metodología basada en la práctico y en la adecuación de contenidos y procedimientos a la realidad profesional.

• Unos materia les desarrollados para conseguir las destrezas, habilida­des y resultados de aprendizaje que necesitarós pora conseguir tu título y desenvolverle en el mercado laboral.

• Uno presentación de los conten idos doro y atractiva, con variedad de recursos gráficos y multimedia que facilitarán tu aprendizaje.

El proyecto poro el módulo profesional Seguridad informático ha sido desorro­liado considerando los unidades de competencia del Catálogo Nocional de Cualificaciones Profesionales:

Unidades de compelencia profesional

Mantener y regular el subsistema físico en sistemas informáticos. (UC0957_2)

Ejecutar procedimientos de administración y mantenimiento en el software base y de aplicación del cliente. (UC0958_2)

Mantener la seguridad de los subsistemas físicos y lógicos en sistemas

I

informáticas. (UC0959_2)

Confiamos en que esta obro seo una herramienta útil y eficaz, y que contribuya a tu formación como profesional.

l

Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Aranda

Revisor técnico Alberto Sánchez Alonso

MADRID - BARCELONA - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MÉXICO

NUEVA YORK - PANAMÁ - SAN JUAN - BOGOTÁ - SANTIAGO - SAO PAULO

AUCI<LAND - HAMBURGO - LONDRES - MILÁN - MONTREAL - NUEVA DELHI - PARís

SAN FRANCISCO - SIONEY - SINGAPUR - STo LOUIS - TOKIO - TQRQNTO

Seguridad iurormática . Ciclo Formativo Grado Medio

No está permitida la reproducción total o parcial de este libro. ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright. Si necesita fotocopiar o escanear algún fragmento de esta obra, diríjase a CEDRO (Centro Español de Derechos Reprográficos. www.cedro.org)

Nota: Este libro se atiene al artículo 32 del derecho de cita de la Ley de Propiedad Intelectual de 1996 (RDLeg 111996 de 12 de Abril)

Derechos reservados © 2010, respecto a la tercera edición en español, por:

McGraw-Hill/Interamericana de España, S.L. Edificio Valrealty, \." planta Basauri, 17 28023 Aravaca (Madrid)

ISBN: 978-84-481-7137-7 Depósito legal: M-1 9725-20 I O

© César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez, Laura Fernández Aranda

Autores: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez, Laura Fernández Aranda Autores del material complementario: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez, Laura Fernández Aranda Equipo editorial: Ariadna Allés, Paloma Sánchez, María Justicia, Waldo Pérez Equipo de preimpresión: Meritxell Carceller, Daniel MontanyiI. Diseño de cubierta: neprotel.com Diseño interior: neprotel.com Fotograrías: Age, Aisa, Corbis, Getly, SanDisk, Quick Image, Google Oregón Ilustraciones: Mamen Fuente Canalda Composición: Ediciones Gráficas Arial, S.L. Impresión: Edigrafos, S. A.

IMPRESO EN ESPAÑA - PRINTED IN SPAIN

Presentación En la actualidad tanto las empresas coma los usuarios de a pie guardan gran cantidad de información en sus ordenadores. En el caso de los usuarios do­mésticos almacenamos gran cantidad de recuerdos en nuestros equipos. Hoy en día es prácticamente impensable realizar una fotografía con cámara ana­lógica; todos, jóvenes y personas mayores, nos hemos actualizado y usamos cámaras digitales para inmortalizar esos grandes momentos de nuestra vids que terminan almacenados en el disco dura.

Toda esa información debemos prategerla tanto de posibles pérdidas como de los posibles intrusos. Imaginaos que un desalmado entra en nuestra equipo y d;fund" por Internet esas fotografías que no queremos compartir con nadie; o pensemos, por ejemplo, en la cantidad de famosos que intentan proteger la intimidad de sus hijos. Para poder seguir manteniendo la confidencialidad, la disponibilidad y la integridad de la información necesitamos tomar numerosas medidas de protección.

En el caso de las empresas, toda la información es almacenada en los equi­pos/ sus comunicaciones son realizadas mediante videoconferencias sin nece­sidad de desplazarnos numerosos kilómetras para hablar durante una sesión de trabajo. .

La mayoría de las actividades desarrolladas en las empresas se encuentran au­tomatizadas mediante diversas aplicaciones informáticas, por lo que la caída de sus sistemas puede suponer grandes pérdidas económicas; la pérdida de información, a su vez, puede hacer parar la actividad de numerosas empresas (imaginad para una inmobiliaria lo que supondría perder la información).

Eso sí, lo que en ambos casos sucede es que las empresas pierden fiabilidad frente al resto de las empresas. Además, en el caso de las comunicaciones de­bemos asegurar tanto la integridad como la confidencialidad y el no repudio.

Gracias a todos estos avances tecnológicos hemos sustituido la máquina de escribir y los archivadores por equipos informáticos, o las largas esperas del correo por la inmediatez del correo electrónico y las videoconferencias. Todo este avance se ha desarrollado paralelamente al desarrallo de medidas de seguridad.

En este libro estudiaremos las distintas maneras de protegernos sobre posibles ataques ci esa confidencialidad que, por una razón u otra, tanto interesa pro­teger; serán siempre estudiadas desde un punto de vista práctico.

El libro se ha dividido en distintos bloques. En el primero de ellos, introductorio, intentamos justificar y motivar al lector al estudio de la seguridad informótica.

El segundo bloque aborda conceptos y técnicas relativos a la seguridad pasiva en los sistemas informáticos, tratándose aspectos como las arquitecturas hard­ware y, por supuesto, las copias de seguridad, que resultan cruciales en cual­quier equipo o sistema que se precie. Los sistemas criptográficos son utilizados constantemente en el día a día de casi cualquier persona, hasta el punto de

que en la actualidad el DNI incorpora un chip electrónica que permite realizar diversas gestiones seguras utilizando técnicas como las que se abordorón en el tercer bloque tratado en el libro.

El cuarto bloque se dedica a la seguridad activa en el sistema, tratando dis­tintas técnicas de seguridad software, relacionadas con términos tan de moda como hacker o virus, de modo que podamos identificar los riesgos a los que se enfrenta cualquier equipo conectado a una red.

Por último, no podíamos dejar de hablar de cortafuegos y praxy, considerados como técnicas de seguridad de alto nivel en redes, pero imprescindibles en cualquier sistema o red que quiera estar protegido, especialmente si se conecta a redes no seguras.

Son varias las personas que nos han ayudado en este proyecto y que no que­remos dejar de mencionar. Agradecemos la colaboración que nos han pres­tado Daniel Magaña, de la Universidad Antonio de Nebrija, facilitóndonos documentación y fotografías de la realización de las copias de seguridad; a Dominador Saiz, al que le hemos robado numerosas horas de su tiempo libre y a Gustavo Delgado, de Tiscar Instalaciones, por todas las horas que nos ha dedicado y sus explicaciones sobre los centros de procesamiento de datos.

Otro mención importante es paro www.informationweek.com. su editor, John Foley, y su editor jefe, Rob Prestan, que nos han permitido utilizar sus imágenes del centro de dotas de Google en Oregón.

Dedicamos este libro o nuestros parejos y familias, que han sufrido los sinsabo­res de esto experiencia y nuestro mol humor.

Los autores

, Indice

o Unidad l. ~ancep!~s básicos de la seguridad mformallca ....................................... ..

4. Modos de recuperación frente a pérdidas 7 en el sistema operativo .. .. ............................. 63

l. Seguridad informática ¿por qué? ................. . 8 5. Creación de imágenes del sistema .......... .. .... 69

2. Objetivos de la seguridad informática ......... .. 10 6. Copia de seguridad del registro .......... .. ........ 72 3. Clasificación de seguridad .......................... . 13 7. Políticas de copias de seguridad .......... .. ....... 73

3.1. Seguridad física y lógica ........ .. .. .. ....... . 3.2. Seguridad activa y pasiva .............. ..... .

4. Amenazas y fraudes en los sistemas de la información ...................................... .. 4.1. Actuaciones para mejoror lo seguridad ..

13 O Unidad 4. Sistemas de identificación. 16 Criptografía ......... .. ............................. 79

17 1. ¿Cómo aseguramos la privacidad

18 de la información? ....................................... 80 4.2. Vulnerabilidades ................................. . 4.3. Tipos de amenazas ............................ .. 4.4. Pautas de protección para nuestro

sistema ........................... . .................. .

20 2. Un poco de historia de la criptografía ............ 80 21 3. Criptografía simétrica y asimétrica ............ .. .. 84

3.1. Criptografía simétrica .. .................. . ...... 84 22 3.2. Criptografía asimétrica ..... .. .. .. .......... ... . 86

5. Leyes relacionadas con la seguridad 3.3. Criptografía híbrida ..................... .. ...... 90 de la información ...................................... .. 5.1. Normativa que protege los datos

personales ......................................... . 5.2. Normativa de los sistemas de información

23 4. Algoritmos ........................................... .. ..... 90

23 5. Función Resumen ................... .. ...... .... .......... 91 6. Firma digital ...... .. .. .... ...... ... .. .. .. .. .. .. .. .......... 92

y comercio electrónico ........................ . 26 7. Certificados digitales ........ ... .. .. .. .. .. ... ..... . .. .. . 94 8.

o Unidad 2. Seguridad pasiva. Hardware PKI .............. ........................................ ... .... 95

y almacenamiento ............................ .. 29 O Unidad 5. Seguridad activa en el sistema ............. 105 1. Ubicación y protección física ...................... ..

1.1. Factores para elegir la ubicación .......... . 1 .2. Control de acceso .............................. .. 1.3. Sistemas de climatización y protección

en el CPD .......................................... . 1 .4. Recuperación en caso de desastre ...... .. .

2 . Sistemas de alimentación ininterrumpida ...... .. 2.1. Definición de SAl ...................... ...... .... . 2.2. Tipos de SAl ............................ .. .. .. .... . 2.3. Modo de funcionamiento .............. .. .. .. ..

30 1. Introducción a la seguridad del sistema .. ........ 106 30

2. Seguridad en el acceso al ordenador ............ 106 32 2.1. ¿Cómo evitamos que personas ajenas

33 . modifiquen la BIOS? ............................ 106

35 2.2. ¿Cómo proteger el GRUB con

contraseña? .............................. .. ... .. ... 108 35 2.3. Cifrado de particiones .......................... 112 35 2.4. Cuotas de disco ................................... 117 36 Activación y uso de cuotas de disco 36 en Windows ....................................... 117

3. Almacenamiento de la información .............. .. 37 Cuotas de usuario en UBUNTU ...... .... ... 1 19 4. Almocenomiento redundante y distribuido .... .. 38 3. Autenticación de los usuarios .................... .. .. 123

4.1. RAID en Windows .............................. . 40 3.1. Políticas de contraseñas ................... .. ... 123 4.2. RAID en Windows Vista .................. .... . 40 3.2 . Sistemas biométricos ................... .. .. .. ... 125 4.3. RAID en Windows 2008 Server ...... . .... . 43 3.3. Listas de control de acceso .................... 126

5. Clusters de servidores .................... .... ....... .. . 44 4. Vulnerabilidades del sistema ......................... 129 5.1. Clasificación de los clusters .................. . 44 4 . 1. Evitar vulnerabilidades en Windows ...... 129 5.2. Componentes de los clusters ...... .. ........ . 45 5. Monitorización del sistema .. .......... .. .......... .. . 131

6. Almacenamiento externo ............................ .. 46 5.1. Monitorización en Windows ............. .. .. 131 6.1. Network Attached Storage .............. .. .. .. 46 5.2. Monitorización en Linux ................ ... .. .. 131

6.2. Storage Area Network ............ . ...... .. .. .. 46 6. Software que vulnera la seguridad del sistema ......................................... .. ...... 133

o Unidad 3. Seguridad Pasiva. Recuperación de datos ............................................ .

6.1. Clasificación de los atacantes ............... 133

49 6.2. Tipos de ataques ................................. 134

l. Introducción .................................. .. ...... .. .. .. 50 O Unidad 6. Seguridad activa en redes ................... 145

2. Tipos de copias de seguridad .................. .. .. . 51 1. Seguridad en la conexión a redes no fiables .. 146 3. Copias de seguridad de los datos ................ . 52 1.1. Spyware en tu ordenador ................ .... . 147

3.1. Copia de seguridad de datos en 2. Protocolos seguros ... .. ................... .. ....... ...... 149 Windows .......... ................................. . 54 2.1. Protocolo HTIPS .... .. ........ .. ........... .. ..... 149

3.2. Copia de seguridad de datos en Linux .. . 61 2.2. Protocolo SSH .................. .. ...... .. .. .. . .... 150 5

, Indice

3. Seguridad en redes cableadas..... ......... .... .. .. 152 3.1. Red privada virtual (VPN) ......... .... ........ 152

¿Qué es una VPN? ... ......... .... ............. 152 ¿Cómo funciona una VPN? . ..... ..... ........ 152 Instalación y configuración de una VPN . 152

3.2. Detección de intrusos ............. .............. 159 3.3. Arranque de servicios .. ................. .... . .. 159

Servicios en Windows Vista ....... .... ....... 159 Servicios en Ubuntu ............ ............. .... 161

4. Seguridad en redes inalómbricas ....... ........... 162 4.1. Tecnologías Wi-fi.. ................... ....... ..... 163 4.2. Conceptos de redes Wi-fi ..................... 164 4.3. Seguridad Wi-fi.................... .... .... ....... 165

5. Seguridad WEP .............. ..... ............ .... ....... 166

6. Seguridad WPA ................................... .... ... 170 6.1. Seguridad WPA personal........... ... ....... 170 6.2. Seguridad WPA empresarial................. 172

o Unidad 7. Seguridad de alto nivel en redes: cortafuegos ........................................ 179

l. Seguridad de alto nivel............................. .. . 180

2. Cortafuegos: qué son y para qué sirven ......... 181

3. Tipos de cortafuegos.................................... 184 3.1. Según su ubicación..... .... ...... .... .. .. ....... 1 84

Cortafuegos personales.......... . .. .. .. ..... . . 1 84 Cortafuegos de subredes ........... .... ....... 1 86

3.2. Según su tecnología.................. .. .. .. .. ... 186

4. Filtrado de paquetes........... ......................... 1 87 4.1. Parámetros utilizados para filtrar

paquetes ............... .......................... ... 1 87 4.2. Reglas de filtrado.......... .... .... .... .... ....... 188

5. Uso de cortafuegos...................................... 192 5.1. Criterios para elegir un cortafuegos ....... 192 5.2. Instalación y configuración de un

cortafuegos comercial....................... ... 192

6. Arquitecturas de red con cortafuegos ...... .. ..... 197 6.1. Dual-Homed Has!................................. 197 6.2. Screened Host ..................................... 197 6.3. Screened subnet .......... .. ...................... 198

7. Monitorización y logs .................................. 199 7.1. Registra de actividad de los sistemas

operativos........................................... 199 7.2. Registras de actividad del cortafuegos.... 200

o Unidad 8. Seguridad de alto nivel en redes: proxy................................................. 203

l. Intraducción ................................................ 204

2. Características del praxy....... .. .. .. ...... .. .. ... .... 205

3. Funcionamiento del praxy............................. 206

4. WinGate.............. ........... .... .. ..... ... .. .. ......... 208 4.1. Instalación ................ ...... .............. .. .... 208 4 .2. Configuración inicial............... .... .. .. ..... 209 4.3. Servicios de WinGate .......................... 211

Parada y orranque de los servicios........ 211 Configuración de los servicios.......... ..... 212

4.4. Tipos de praxy .............................. .. .... 212 4.5. Creación de usuarios........ .. .. .. ....... ...... 214

5. PureSight.............................................. .. .... 217

6. Control de lag en WinGate ........ .. .. .. ...... .. .... 218

7. Squid ........................................................ 219 7.1. Instalación de Squid....... .. .. .. ... ............. 219 7.2. Configuración inicial...................... .. .... 220

http_port....................................... ... ... 220 cache_dir ........ .. .. .. ...... .. ..................... 220 cache_mem......................................... 221 cache_mgr................................. ......... 221 accessJog, cacheJog y cache_store_ lag..................................................... 221 cache_effective_user y cache_effective_ group................................................. 221 ftp_user ........................ ...... ...... .. ........ 221 error _directory .............. ...... ................ 221

7 .3 . Control de acceso en Squid ........ .. ........ 222 acl............ ...... .......... .. ...... .. ...... .. ....... 222 acl src ...................... .. .. .. .. .. ... .. ........... 222 http_access .............. ...................... ..... 222 AcI ds!.................. .. .. .. .. .. .. .. .. .. ... .. .. .. ... 224 AcI dstdomain ....... .. ...... .. .. .. ........... .. ... 224 urLregex .............. .. ...... .. ...... .. ....... ..... 224 time .............................................. .. ... 225

7.4. Autenticación ...... .... ............................ 226 7.5. Clasificación de sitios en Squid ............. 229 7.6. Gestión del proxy con Webmin.

Control de lag.... ................................. 230 Instalar y configurar Webmin para Squid 230 Utilización de Webmin......................... 231 Análisis del lag de Squid con Webmin... 231

o Anexo: índice de términos .................................. 235

ijj) n'il o d ©l d Conceptos básicos

de la seguridad informática

y estudiaremos:

• los servicios de seguridod.

• las clasificaciones de seguridad.

• las amenazas y fraudes.

• legislación: protección de datos y servicios de la sociedad de la información y correo electrónico.

En esta unidad aprenderemos a:

• Valorar la importancia de mantener la información segura.

• Describir las diferencias entre seguridad física y lógica y entre seguridad activa y pasiva.

• Valorar la importancia de establecer una política de contraseñas.

• Contrastar la incidencia del software malicioso y las técnicas de ingeniería social en los fraudes informáticos y robos de información.

• Determinar la necesidad de controlar el acceso a la información personal almacenada.

• Describir la legislación sobre protección de datos de carácter personal y sobre los servicios de la sociedad de la información y comercio electrónico.

~1 Conceptos básicos de la seguridad informática

Gene Spafford, experto en segu­ridad informática, afirma: «El único sistema verdaderamente seguro es aquel que se encuen­tra apagado, encerrado en una caja fuerte de titanio, enterra­do en un bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi vida por ello».

• l. Seguridad informática ¿por qué? El espectacular auge de Internet y de [as servicias telemáticos ha hecho que [os orde­nadores y [as redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumenta imprescindible en [as tareas de [as empresas.

Ya no tenemos necesidad de ir a[ banco para conocer [os movimientos realizados en nuestra cuenta bancaria, ni para realizar transferencias ... directamente podemos rea[i­zar dichas operaciones desde e[ ordenador de casa. Lo mismo ocurre con [as empresas; sea cual sea su tamaño, disponen de equipos conectadas a Internet que [es ayudan en sus pracesas productivos.

Cualquier fallo en [os mismos puede suponer una gran pérdida económica ocasionada por e[ parón producido, bien por [a pérdida de infarmación o por e[ mal funcionamiento de [as equipos infarmáticos, de modo que es muy importante asegurar un correcto fun­cionamiento de [os sistemas y redes informáticas.

Uno de [os principales problemas a [os que se enfrenta [a seguridad infarmática es [a creencia de muchos usuarios de que a ellos nunca [es va a pasar [o que a otros. Es im­pensable que nas vayamos de casa y nos dejemos [a puerta abierta. Lo mismo ocurre con [a seguridad de [a infarmación.

Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros sistemas sean menos vulnerables a [as distintas amenazas. Sí, menos vu[nera­bies: nadie puede asegurar que su sistema sea cien par cien segura, hasta [a seguridad de [a NASA y del Pentágono han sido violadas por hackers. Hay una lucha permanente entre [os técnicos protectores del sistema y [os que buscan rendimientos económicos fá­ciles, o simplemente su minuto de gloria a[ superar e[ reto de asomarse a[ otro [oda de [a barrera de protección.

Tenemos que intentar [agror un nivel de seguridad razonable y estar preparados para que, cuando se produzcan [os ataques, [os daños puedan ser evitados en unos porcenta­jes que se aproximen a[ ciento por cien o en caso contrario haber sido [o suficientemente precavidos para realizar [as copias de seguridad y de esta manera volver a poner en funcionamiento [os sistemas en e[ menor tiempo posible.

~]t¡ .. .. . ~

Detienen en Málaga a un hacker por introducirse en un ordenador del Pentágono MÁLAGA, 16 DE ENERO DE 2006 (EUROPA PRESS)

La Guardia Civil ha detenido a un hacker, en una operación desarro­llada en Málaga, como presunto autor de un acceso ilegal a través de Internet a un ordenador del Departamento de Defensa de Estados Unidos.

tanto el correcto funcionamiento como la seguridad de un dique seco de mantenimiento de submarinos nucleares}}. A raíz de la operación realizada por la Guardia Civil, se detectó la existencia de un grupo dedicado a vulnerar la seguridad de sistemas informáticos conectados a través de Internet, con el fin de utilizar la información para fines ilegítimos.

El ordenador al que accedió el hacker estaba ubicudo en la base naval de Painl Loma. en San Diego, California, según indicó la Benemérita a través de un comunicado. La operación, denominada Navy, se inició cuando efectivos de segu ~

fidad informática de la Armada de Estados Unidos detectaron un acceso ilegal a dicho ordenador, por lo que comunicaron este hecho a su Servicio de Investigación Criminal Naval (NCIS). Este servi~

cio detectó que el ataque se había procedido desde un ordenador de España, motivo por el cual lo puso en conocimiento de la Unidad de Ciberterrorismo de la Guardia Civil. La denuncia, interpuesta a través de la Emb~jada de Estados Unidos en España, ponía de manifiesto que «el ataque comprometía gravemente

Una vez descubierto este grupo, las investigaciones se centraron en una persona residente en Málaga, que resultó ser el autor del mencio~ nado ataque, según la Guardia Civil. Dentro de la misma operación, se identificó y se tomó declaración a otras cuatro personas en distintas provincias de España en calidad de testigos y por su presuma relación con los hechos. Las acciones realizadas por este grupo causaron daños valorados en más de 500000 dólares y habrían comprometido la seguridad de más de un centenar de sistemas informáticos, informaron desde el Instituto Annado.

Conceptos básicos de la seguridad informática 1 - ---

Análisis de contraseñas

Caso práctico 1 9 Vamos a analizar el tiempo que tarda un PC cama las que podemos tener en casa en descubrir una contraseña.

Ripper son aplicaciones clásicas capaces de descubrir contraseñas.

Existen en Internet multitud de programas dedicadas a descubrir las contraseñas haciendo uso del método de fuerza bruta, que consiste en ir probando todas y cada una de las posibles contraseñas. Brutus o John the

Coma se puede ver en la Tabla 1.1 las contraseñas en las que sólo se utilizan caracteres en minúsculas (la misma ocurriría si solamente se hace usa de las letras mayúsculas) san mucha más vulnerables ante este tipo de pragramas.

~_'n~'_-""""',"_~~~_""'"_--.o......-_,...",,,,,,' r~ , "

~: M~scülas, l1Ji~Ú5~1:!!é5 y car~pe.slales •

3 Menos de 1 segundo Un suspiro

4 Menos de 2 minutos

5 Alrededor de 2 horas

Un suspiro y medio

10 segundos

6 Alrededor de unos 9 días 5 minutos

7

S

9

Entre 2 y 3 años

Alrededor de 2 siglos

Unos veinte mil años

Alrededor de 2 horas

Menos de 3 días

Alrededor de 2 meses

Tabla 1. l . Tiempos que tardan en defectar las contraseñas.

Caso p'ráctica 2 9 ¿Qué problemas pueden surgir cuando se introduce un virus que formatea equipos en una empresa que vende productos por lnlernel?

Vamos a pensar en las per¡uicios ocasionados a una empresa que ha visto afecta­dos sus equipos informáticos por un virus que se ha transmitido por la red. El virus estaba diseñado para formatear los equipos a las 13.30 horas.

las páginas web de lo empresa donde comercializaba sus productos de¡an de funcionar. Esto provoca una gran pérdida económica debido a la falta de ventas durante el tiempo en el que no están disponibles.

A ello se suma la pérdida de confianza por parte de los clientes al conocer la vul­nerabilidad de sus sislemas infarmáticos, y la pérdida de confianza por porte de los proveedores por la mismo razón .

Además, si la empresa no ha realizado copias de seguridad de los datos de ven­tas, clientes, etc., perderá mucha información valiosa como cortera de clientes, pagos a proveedores a facturas.

9 Hacker. Intruso que se infiltra en los equipos informáticos como reto. En ningún coso buscan un beneficio económico o dañar la estructura del sistema .

Cracker. Intrusos que buscan un beneficio económico o dañar las estructuras del sistema.

En lo actualidad, los medios de comunicación han popularizado la palabra hacker poro ambas acepciones.

Caso práctico 3 9 ¿Qué problemas puede tener un interna uta que se conecta a Inlernet utilizando nuestro router Wifi, el cual no tiene ningún tipo de contraseña?

Pensemos el caso extremo, un pederasta que utilizo nuestra conexión para descorgorse pornografía infantil.

la policía en una investigación nos señalaría como cul­pables de las descargas por ser nuestra IP la que de¡a el rastro.

~/ 1 Conceptos básicos de lo seguridod informática ------~---------~-----------

~ Actividades

1. Asocia los mecanismos con los objetivos de la seguridad informática.

• 2. Objetivos de la seguridad informática Si estudiamos las múltiples definiciones que de seguridad informática dan las distintas entidades, deduciremos los objetivos de la seguridad informática.

Según la IS027002, "La seguridad de la informacián se puede caracterizar por la preservación de:

• Confidencialidad: asegura que el acceso a la informacián está adecuadamente autorizado.

• Integridad: salvaguarda la precisión y completitud de la información y sus métodos de proceso

• Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la infarma­ción cuando la necesitam).

Otra de las definiciones de lo seguridad informática dada por INFOSEC Glossary 2000: "Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella informacián que procesan, almacenan y comu­nicam>.

De estas definiciones podemos deducir que los principales objetivos de la seguridad informática son:

• Confidencialidad: consiste en la capacidad de garantizar que la información, al­macenada en el sistema informático o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha información, es decir, que si los contenidos cayesen en manos ajenas, estas no podrían acceder a la información o a su interpretación.

Este es uno de los principales problemas a los que se enfrentan muchas empresas; en los últimos años se ha incrementado el robo de los portátiles con la consecuente pérdida de información confidencial, de clientes, líneas de negocio ...

En relación a este objetivo, en el último apartado de este tema, analizaremos la Ley de Protección de Datos de Carácter Personal.

• Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento.

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible para sus usuarios.

• Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creación sin autorización. La información que disponemos es válida y consistente.

Este objetivo es muy importante cuando estamos realizando trámites bancarios por In­ternet. Se deberá garantizar que ningún intruso pueda capturar y modificar los datos en tránsito.

• No repudio: este objetivo garantiza la participación de las partes en una comuni­cación. En toda comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio:

No repudio en origen: garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.

No repudio en destino: El receptor no puede negar que recibió el mensaje, por­que el emisor tiene pruebas de la recepción del mismo.

1 e Conceptos básicos de la segu ridad informática 1

Este servicio es muy importante en los transacciones comerciales por Internet, ya que incrementa la confianza entre las partes en las comunicaciones.

Confidencialidad

Disponibilidad No repudio

Fig. 1.1. Esquema de los objetivos de la seguridad informática.

Para conseguir los objetivos mostrados en la Figura 1.1 se utilizan los siguientes meca­nismos:

o Autenticación, que permite identificar al emisar de un mensaje, al creadar de un documento o al equipo que se conecta a una red o a un servicio.

o Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios después de haber superado el proceso de autenticación.

o Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de seguridad tomadas.

o Encriptación, que ayuda a ocultar la información transmitida por la red o almacena­da en los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo y clave de descifrado, pueda acceder a los datos que se quieren proteger.

o Realización de copias de seguridad e imágenes de respaldo, para que en caso de fallos nos permita la recuperación de la información perdida o dañada.

o Antivirus, como su nombre indica, consiste en un programa que permite estar prote­gido contra las amenazas de los virus.

o Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados en ambos sentidos, desde los equipos hacia la red y viceversa.

o Servidores proxys, consiste en ordenadores con software especial, que hacen de in­termediario entre la red interna de una empresa y una red externa, como pueda ser Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de los usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros), o el Web (acceso a páginas de Internet).

o Utilización firma electrónica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. También se utilizan mucho hoy en día para establecer comunicaciones seguras entre el PC del usuario y los servidores de Internet como las páginas web de los bancos.

o Conjunto de leyes encaminadas a la protección de datos personales que obligan a las empresas a asegurar su confidencialidad.

I l \

ti, (/ ¡

Formas de autenticarse:

• Por algo que el usuario sabe: password, PIN ...

• Por algo que el usuario posee: tarjeta de claves, tarjeta ATM (tarjeta bancaria) ...

• Por algo que el usuario es: ca· racterísticas biométricas, hue· 110 dactilar, iris ...

2

Conceplos básicos de lo seguridad infarmálico

Q Caso práctico 4

Certificado digital en Internet Explorer 7

Observemos el certificado dig ital que utilizo Gmoil a la hora de autenticar o los usuarios mediante el nombre y contraseño del mismo. Poro realizar esto actividad se ha utilizado la aplicación Internet Explorer 7.

En la Figuro 1.2, en la zona reservada para las direc­ciones. podemos observar que el protocolo utilizado es HTTPS en lugar de HTTP, que suele ser más habitual. En este caso se está utilizando un protocolo de transferencia de hipertexto seguro.

(;!"ajj _.-U_"'_ ... _do_ ...... .. .. __ .......... _ ............ ~, ..... _ .... _ ... _ ........ ~ .. ..- ... ..... _"'_ .. _ ...... ,~ _ ...........

_.c,,-J<

ti ::,::.o:;= ........... ~ _ _ ........ ___ .. ~_~ ... ~ ... "" =

Q :::~ ... " ... _ .. "' .... .. _, .. __ ' ..... '''' ....... ,_ .. __ ......

. , ....... c.-n" .... _ [ ';"'--· 1

L::==== .. ..,.._ ........ ~_ ... ____ ~ __

Fig . 1.2. Pantalla Google.

Ceftifitido '---"'-' ...... Do..,., Rl,¡ta de artifiu.cin

[ Rl Información del czrtificado

Este Cbtiflc::¡¡¡do csbi destinado a los sig\JicJ1tcs Pnlpdslto:

• A$eg\rlllll identidad de un ~ re!OOlo

Emitido par \\'\'II'I.googIe.am

Emitido por ihIIwte SGe CA

Váido dHelc 28/03/2009 ham 28/03/2.010

[§03c=:idtlt'=~ a,~ rr.as nformación&efCZI de, ct'fhfirado~

I -"" 1

Fig. 1.4. Información general del certificado.

Si hacemos e1ic sobre el condado, que se muestro en lo parte derecho de lo URl, veremos lo Figuro 1.3, donde podemos verifica r que lo conexión estará cifrada usando un certificado digital de Google. Si hocemos e1ic sobre Ver Certificados de lo Figuro 1.4 nos muestro la información deta llada del mismo (Fig. 1.5).

~:==""------I :::::-.::.::: ..

" E:'.--;:"""'_ .. ,,--_ ..... _ ._ ... _-_ .. ~- ..... Q ::~;., .. _-~,_ ......... " .. _ --, ...... , .... -.-.... _.-

._ .. "-"lo,...,' .....

---·l

Fig . 1.3. Pantalla Goagle con certificado.

Certificado .~

~"''''''' Rl,¡1iI de artiliald6n

Mostrar: I <Todo:;> -1 1,'

e ..... v'""" o

8t.ünero de, ~erie 01""76003"'<9"",7 ... ~ Al;critmo de frrna shalRSA =

O"""" Thawte SGe CA, ThawteCons.,. -Ov,,",_ sábado, 28 de ~ de 2009 •..

D vA!:do hasta domingo, 28 de l!\l!nO de 201, ..

O""'In M'M.goog!e,rom, Go~ lflc .... Oda~_ RSA (102"lBils) J;11 ..... ~~r4au..:: ,,1 ... ~..t.Ie-,;.¡....r,.,. -30 91 99 02 91 91 DO d6 b9 el ad b9 61 Oh o

1f 4e b6 3e 09 3d ah e9 e3 2b b6 e9 a4 3.

~ 19 2f d3 51 20 22 45 95 d9 00 91 33 9a a1 a2 49 ea 30 57 26 97 66 e7 5a ef f1 9b Oc Ji el b9 7f 7b e3 c7 ce al 9c dO 1f 3e 91 15 10 59 fe 06 b3 bf be ge 02 b9 51 de fb a6 b9 17 42 e6 46 e7 22 el 5e 27 10 fe 54 e5 92 6e De 60 76 9a ce f9 7f 50 b9 5a 09 4a de b1 64 bd aO 74 41 b2 50 9f 96 9d la -

t :::if.:a: proped.l!des··· l [Cop¡-;u en Gídt. ... 3 1 Mas nformadón aarca de los d! l a·l!~ d .. 1 cl!' b~,arlf)

I -'" 1

Fig. 1.5. Detaffe del certificado.

Conceptos bósicos de la seguridad informótica 1

• 3. Clasificación de seguridad Se pueden hacer diversas clasificaciones de la seguridad informática en función de distintos criterios.

Cenlro de cálculo. Lugar se encuentran ubicados los recursos informáticos de una organización. Según el activo a proteger, es decir, todos los recursos del sistema de información ne­

cesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del percance, minimizando los efectos ocasionados por el mismo.

Sinónimos de centro de cálcu­lo: Centro de procesamiento de datos (CPD), centro de datos y centro de cómputo.

3.1. Seguridad física y lógica

En este apartado distinguiremos los distintos tipos de seguridad en función del recurso a proteger.

o Seguridad física

Habitualmente nos centromos en protegernos de posibles hackers, virus ... y nos olvi­damos de un aspecto muy importante en la seguridad informática, la seguridad física.

,,.. ... ... "m»1.' s .~n I~~': I

La seguridad física es aquella que trata de proteger el hardware (los equipos infor­máticos, el cableado ... ) de los posibles desastres naturales (terremotos, tifones ... ), de incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más.

, •• J

'.. . .. .... - .. ~" . .. .. ... p

Fig. 1.6. Terremotos registrados por el Instituto GeográFico Nocional de España de los primeros diez días del mes de julio de 2009.

A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:

Incendios

Inundaciones

Robos

Señales electromagnéticas

Apagones

Sobrecargos eléctricas

Desastres naturales

• El mobiliario de los centros de cálculo debe ser ignífugo.

• Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias inflamables o explosivos.

• Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores ... para sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionado numerosas pérdidas materiales.

• Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales.

• Impermeabilizar las paredes y techos del CPD. Sellar las puertas poro evitar la entrada de agua proveniente de las plantas superiores.

• Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad, vigilantes jurados ... ; con todas estas medidas pretendemos evitar la entrada de personal no autorizado.

• Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos informáticos y del cableado de red.

• En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales deberemos proteger el centro Frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.

• Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida, SAl, que' proporcionan corriente eléc­trica durante un periodo de tiempo suficiente.

• Además de proporcionar alimentación, los SAl proFesionales incorporan filtros para evitar picos de tensión, es decir, estabilizan lo señal eléctrico.

• Estando en continuo contacto con el Instituto Geográfico Nocional y lo Agencio Estatal de Meteorología, organismos que informan sobre los movimientos sísmicos y meteorológicos en España.

Tabla 1.2 . Amenazas y mecanismos de defensa en seguridad Física.

13

Conceptos básicos de la seguridad informática

o Seguridad lógica

La seguridad lógica complementa a la seguridad física, protegiendo el software de las equipas informáticas, es decir, las aplicaciones y las datas de usuaria, de rabas, de pérdida de datas, entrada de virus informáticos, modificaciones na autorizadas de los datas, ataques desde la red, etc.

fir ...... ~ d. IV;""" .. " r .... .. _ . .................. ,...M ......... ....... " .. .. ""''''' ... ''''.H • ...... '"'''''' ...... ""¡'" .. , ... .......... . " ... ,, ......... ~.,.,,'''

.<_ ... .,...."", ...... . ,..".,.. ..• ..-a._ .. _ ..... _ ....... ~ .. ".<t...,D

(~'W" #'fPtttEíd ...... __ . ""' • • , _ .. ~~ ...... <&O<a ... ::=-.:::::.'_. __ "'-r.,... . _ . ..... ..

~ .. , ...... (-, ""',,...,.. ..... "' ... ..,. ............ . ..... " _ .. :>T.>I

~ .,... ... _--""'~ ..... ..,.,....... r:_ .. _ ." __

"'""'" .. "_ ......... """ ......... ... ..-0-........ ......... _ .. . '_.,

;:'.;:.:. .......... '''''''''''''., ...... "-~ .. ~ C'_( .. _J .... _ ............ -- .. ~, ......... " ........ -=.::= ..... _ . ..,..,. .... ,. ........ _., .. "" •.•... _ ........ ,,., <::;!;.u=

A continuación vamos a enumeror las principales amenazas y mecanismos para salva­guordarnos de las mismas:

Robos

Pérdida de información

Pérdida de integridad en la información

Entrada de virus

Ataques desde la red

Modificaciones no autorizadas

• Cifrar la información almacenada en los soportes para que en caso de robo no sea legible.

• Utilizar contraseñas para evitar el acceso a lo información. • Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras,

caligrafío ... ).

• Realizar copias de seguridad para poder restaurar la información per­dido.

• Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del sistema operativo adecuado.

• Uso de conjunto de discos redundantes, protege contra la pérdida de datos y proporciona la recuperación de los datos en tiempo real.

• Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp ...

• Mediante la firma digital en el envío de información a través de mensa­jes enviados por la red.

• Uso de la instrucción del sistema operativo Windows¡ sfc (system file checker).

• Uso de antiviru s, que evite que se infecten los equipos con programas malintencionados.

• Firewall, autorizando y auditando los conexiones permitidas. • Programas de monitorización • Servidores Proxys, autorizando y auditando las conexiones permitidas.

• Uso de contraseñas que no permitan el acceso a la información. • Uso de listas de control de acceso. • Cifrar documentos.

Tabla 1.3. Amenazas y mecanismos de defensa en seguridad lógico.

Conceptos básicos de la seguridad informática 1

Caso práctico 5 9 Verificación de la integridad de 105 ficheros del sistema en Windows Vista

En algunas ocasiones, los virus modifican o dañan los ficheros del sistema. A con­tinuación vamos a comprobar mediante el uso del comando sfc de Windows Vista la integridad de los mismos.

Las acciones que debemos realizar son las siguientes:

Hacemos dic en el botón Inicio.

En el cuadro de búsqueda, escribimos Símbolo del sistema o cmd.

Escribimos sfc/ verifyonly , y empiezo la comprobación del sistema (Fig . 1.7). Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en lo Figuro 1.8.

Fig. 1.7. Comando sfc.

Fig. 1.8. Final eiecución de sfc.

Con el parámetro / scannow el comando examina inmediatamente todos los archivos del sistema protegidos y reemplaza las versiones incorrectas que encuentre por versio­nes correctas de los mismos.

Para ejecutar muchos cornalnd,,. del sistema deberemos contar con privilegios de administrador.

En el caso de realizar el caso próctico en Windows XP la orden deberia ser:

sfc/SCANNOW

y, 1 Conceplos básicos de la seguridad informática

Fig. 1.9. Tarieta inteligente.

Fig. 1.10. SAl.

6

3.2. Seguridad activa y pasiva

Como se comentó al inicio del aportado 3, aquí el criterio de clasificación es el mamen· to en el que se ponen en marcho las medidos oportunas.

o Seguridad activa

La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los doñas en los sistemas informóticos.

A continuación, vamos o enumerar los principales técnicas de seguridad activa:

Uso de contraseñas

listas de control de acceso

Encriptación

Uso de software de seguridad informática

Firmas y certiFicados digitales

Sistemas de Ficheros con tolerancia a fallos

Cuotas de disco

. , .".'~~ "GJ!ue previene? ' '. "', t: .. .

Previene el acceso a recursos por parle de personas no auto­rizadas.

Previene el acceso a los Ficheros por parle de personal no autorizado.

Evita que personas sin autorización puedan interpretar la información.

Previene de virus informáticos y de entrados indeseadas 01 sistema informático.

Permite comprobar la procedencia¡ autenticidad e integridad de los mensajes.

Previene fallos de integridad en caso de apagones de sincro­nización o comunicación.

Previene que ciertos usuarios hagan un uso indebido de la capaddad de disco.

Tabla 1.4. Técnicas de seguridad activa.

En las Figuras 1.9 y 1.10 podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activo, impiden el acceso a personas no autorizadas a los recursos, y los SAl Isistemas de alimentación ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar lo información una vez que se ha praducido el desastre lel apagón de luz).

o Seguridad pasiva

La seguridad pasiva complemento O la seguridad activo y se encargo de minimizar los efectos que hoyo ocasionado algún percance.

A continuación enumeramos los técnicos más importantes de seguridad pasivo:

Conjunto de discos redundantes

SAl

Realización de copias de seguridad

Podemos restaurar información que no es válida ni consis­tente.

Una vez que la corriente se pierde las bateríos del SAl se ponen en funcionamiento proporcionando la corriente nece­saria para el correcto funcionamiento.

A partir de las copias realizadas, podemos información en caso de pérdida de dolos.

Tabla 1.5. Técnicas de seguridad pasivo.

Conceptos básicos de la seguridad informática 1

• 4. Amenazas y fraudes en los sistemas de la información

Durante los primeros meses de 2009, en España hemos vivido una época de crisis fi­nanciera, lo que ocasionó numerosos despidos en las empresas. la situación produjo un aumento en los casos de robos de información confidencial por parte de los empleados despedidos, y puso en evidencia la falta de seguridad informática en dichas empresas.

'ff la seguridad de un sistema real nunca será completa, pero el uso de buenas politicas de segu­ridad es imprescindible poro evitar y minimizar los daños.

El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanterías), como los equipos informáticos (servidores, ordenado­res de escritorio, impresoras), como los datos que se manejan (datos de clientes, factu­ras, personal) . Cualquier daño que se produzca sobre estos activos tendrá un impacto en la empresa (Fig. 1.11).

Aclivos ' ) ,

! Daño

===~» G <II~t==== ,-_V_U_In_e_ra_bi_lid_a_de_s ___

4-Riesgos

Plan de acluación

Fig. 1.11 . Posos poro lo meioro de lo seguridad.

2. Analiza si aumenta o disminuye el riesgo en caso de que el daño sufrido por SiTour sea, además de la pér­dida de datos de los clientes, la pérdida de facturas y datos de proveedores. Identifica previamente activos, daños, impactos y vulnerabilidades.

Especificar los activos, daños e impacto que sufre la agen­cia de viajes SiTour que almaceno los datos de los clientes únicamente en un portátil que utiliza el director

En un descuido se le cae el portátil al suela y este se estro­pea. los datos del disco no se recuperan hasta dos días

ldeSPUéS del accidente.

En este caso, los activos son el portátil y los datos de los clientes, el daño es la rotura del portátil y el impacto es la pérdida de negocio durante 48 horas y la necesidad de

Actividades 9' 3. Analiza si aumenta o disminuye el riesgo en caso de

que se instale un cortafuegos y se mantenga un antivi­rus actualizado en el portátil del director de SiTour.

Caso práctico 6 9 adquirir un nueva equipo. En el nuevo portótil se graban las datas recuperados de los clientes, siendo de nuevo la única copia existente de los mismos la que hay en el disco duro. Se instalan ademós los programas necesarios para la gestión de SiTour pero no se considera la necesidad de instalar un antivirus y un Firewall , por lo que se estó hacien­do vulnerable el equipo.

Una vulnerabilidad es cualquier fallo que compromete la seguridad del sistema.

18

Conceptos básicos de la seguridad informática

.. . .

Un problema que suele encono trarse o la hora de diseñar estos actuaciones es que los geren­tes de las empresas no ven la necesidad de invertir personal, esfuerzo y dinero en seguridad informática .

q Coso práctico 7

Especificar los activos, doñas, impacto y vulnerabilidad que sufre la agencia de viajes SiTour

El director ha recibido un correo de un remitente desconocido con un fichero od· junto que resulto ser un virus, y dado que no hoy un ontivirus funcionando en el portátil, este se infecto y el virus borro el contenido del disco duro de formo irrecu· perable.

En este coso los activos son el portátil y los datos; el daño es lo pérdida de datos, el impacto es lo pérdida de negocio de lo empresa , y lo vulnerabilidad se genero por lo falto de ontivirus.

El impacto es de muy alto nivel porque, como recordarás, no hoy otra copio de los datos de los clientes .

Un riesgo es lo posibilidad de que se produzco un impacto negativo para lo em· preso aprovechando alguno de sus vulnerabilidades (Fig . 1.10). Por ejemplo, en el coso anterior el riesgo es que, o través de lo vulnerabilidad que supone no tener un antivirus se produzco lo pérdida de clientes e incluso lo quiebro de lo empresa.

4.1. Actuaciones para mejorar la seguridad

Los posos o seguir para mejorar lo seguridad son los siguientes:

• Identificar los activos, es decir, los elementos que lo empresa quiere proteger.

• Formocián de los trabajadores de los empresas en cuanto o materias de seguridad.

• Concienciac ión de lo importancia de lo seguridad informático para los trabajadores de lo empresa. .

• Evaluar los riesgos, considerando el impacto que pueden tener los daños que se produzcan sobre los activos y los vulnerabilidades del sistema.

• Diseñar el plan de actuación, que debe incluir:

Los medidos que troten de minimizar el impacto de los daños ya producidos. Es lo que hemos estudiado referido o la seguridad pasivo.

Las medidos que traten de prevenir los daños minimizando la existencia de vul· nerabilidades. Se trata de la seguridad activa.

• Revisar periódicamente las medidos de seguridad adoptados.

~ Actividades

4. Supón que en el ordenador portátil con cámara web integrado que tienes en tu habitación, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes siempre conectado o Internet. Un desconocido tomo el control de tu portátil y te dos cuento porque te encuentras lo cámara web encendido y tú no lo has conectado.

Analizo activos, vulnerabilidades y riesgos, y detallo cuales podrían ser los daños producidos y el impacto de los mismos.

5. Imagina ahora que lo persono que ha tomado el control de tu ordenador no hoce nado en tu ordenador y tú no te dos cuenta de esta situación. Un día te dejas conectado tu DNI electrónico en el lector del ordenador.

Analizo los posibles riesgos y el impacto de los mismos.

Conceptos básicos de lo seguridad inFormática 1

Caso práctico 8 9 Descubrir qué equipos están conectados en la red de SiTour, qué servicios tienen instalados y descubrir qué programa y versión está detrás de un servidor Web

Para poder tomar medidas y proteger nuestra red, es bue­no conocer los pasos que un atacante seguiría para inten­tar abordar nuestra equipo:

1. Analiza la red en busca de equipos y servicios

Existen muchos analizadores de red, nosotros para este caso vamos a utilizar nmap y su interfaz gráfico Zen· map (http://nmap.org), un programa que se puede eie­cutar sobre Windows o GNU/Linux.

Como se puede ver en la Figura 1.12 (resultado de un análisis rápido, quick scan) nmap ha detectado dentro de la red de SiTour tres equipos, el equipo SERVER, el rauter y nuestro propio equipo. Para el equipo SERVER, que es el que está seleccionado en la figura, ha detec­tado varios servicios activos. Un atacante estudiaría todos los servicios activos y las versiones de los pro­gramas que dan estos servicios para buscar una vulne­rabilidad en ellos. Nosotros en este caso práctico nos vamos a centrar en el servicio http.

Seil.n 1001s E,rofile .l:ielp

lb ,>"V ~ Ü () f) o • New Sean Command wízard Save Sean Open Sean Report a bug Help

Quick Sean on 192.168.1.1/24 'A' 1

Target: (192.168.1.1/24 !vi Profile: I Quick Sean H 1 Sean I

Command: Inmap.T Aggressive.v.n 192.168.1.1/24 I I Hosts 1I Serviees I Ports I Hosts ~map Output IHost Details Iscan Details I OS I Host

I Port I Protocol I State I SeNiee I Version ., 80 "p open http Ii' 192.168.1.2

Ii' ., m "p open msrpc

192.168.1.3 netbios·ssn

IU .. 139 "p open

192.168.1.203 ., 44S "p open mierosoft·ds ., '54 "p open n,p ~~

Fig. 1.1 2. Equipos de Jo red.

2. Investiga los servicios que tiene activos el equipo que se quiere atacar

Dentro del mismo programa, como se ve en la Figura 1.13, que muestra el resultado de aplicar un escaneo más profundo, se nos muestra el programa y [a versión que está detrás de dicho servicio. En el caso del servi­dor Web, puerto 80, el programa servidar es Apache httpd 2.2.11.

l I

1:

3. Investiga vulnerabilidades que puedan tener los proto­colos activos

Ahora que ya conocemos que programa está utilizando e[ equipo SERVER para ofrecer e[ servicio Web y la ver­sión del mismo, podemos buscar en Internet sus vulnera­bilidades conocidas.

Una página en la que podemos encontrar esta infor­macián es http://securityfocus.com. También puedes encontrar las vulnerabilidades en las páginas oficiales, es decir, en este caso en www.apache.org.

Recuerda que un servidor Web tiene por abietiva servir aplicaciones de tipa Web, es decir, programas cons­truidos con las lenguaies HTML, iavaScript y PHP entre otros. Estos programas también pueden tener fallos que podría utilizar un posible atacante.

Si utilizamos aplicaciones propias de la empresa, ten­dremos que descubrir y carregir nuestras propias vulne­rabi[idades si par el contraria utilizamos aplicaciones más genéricas como por eiemplo WordPress, Joomla o Maodle, tendremos que seguir las noticias oficiales de seguridad de esas aplicaciones para que en casa de que se produzca un fallo, solucionarlo en cuanto este sea conocida por la empresa.

Estos pasos también se pueden simplificar a través de algún programa de detección de vulnerabi[idades cama, par eiemp[a, nessus (www.nessus.org).

Se.an Iools .e,rofile .l:ielp 1:

lb ,>"V o ~ rf:J Q @ New Sean Command Wizard Save Sean Open Sean Report a bug Help

Intense Sean on 192.168.1.1124 A ' ¡ Tll:rget: 1192.168.1.1/24 !vi Profile: Ilntense Sean !vi I Sean I Command: Inmap ·T Aggress ive.A.v 192.168.1.1{24 I ~I Serviees I I Ports I Hosts Nmap Output IHost Details Isean Detaü;l

I Host rnteresting por ts on 192.168.1.203: B

OS Hol libol!!o' 1710 fittered ports

D 192.168.1.2 PORT STATE SERVICE VERSIOU

Ii' 192.168.1.3 80/tcp open http Apache httpd 2.2.11 ((Win32) PHP/ 5.3. O)

/ : 192.168.1 .203 135/ t cp 0 rU!1I ms rpc Ili c roso ft willlJ ows RIlC 139/ t c p opcn nc tLli os - ss ll '1<I5/ l c p a pclI II c tb i os - ss n 55'1/ l c [l a [l cn rt s p? , .. _ ," " ................. -.,.4.0

Fig. 1.13. Detalle de Jos servicios.

~/1 Conceptos básicos de la seguridad informática

Mic:ro,;oft tiene su propia página sobre noticias de seguridad:

http://www.microsoft.com/ spain/seguridad Poreiemplo, busca: "boletín MS09-027», donde encontrarás infor· moción sobre una vulnerabilidad de Microsoft Office Word.

" El técnico de seguridad, antes de instalar cualquier aplicación, debe conocer sus vulnerabilidades. De esta manera podrá determinar si es necesario la descarga de algún parche o bien desestimar su instalación.

4.2. Vulnerabilidades

Las vulnerabilidades de un sistema san una puerta abierta para posibles ataques, de ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser apra­vechadas.

Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema:

• Vulnerabilidades ya canacidas sobre aplicaciones o sistemas instalados. Son vul­nerabilidades de las que ya tienen conocimiento las empresas que desarrallan el programa al que afecta y para las cuales ya existe una solución, que se publica en forma de parche.

Existen listas de correo relacionadas con las noticias oficiales de seguridad que in­forman de la detección de esas vulnerabilidades y las publicaciones de los parches a las que podemos suscribirnos.

• Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades también son conocidas por las empresas desarrolladores de la aplicación, pero puesto que nosotras no tenemos dicha aplicación instalada no tendremos que actuar.

• Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido detec­tadas por la empresa que desarrolla el programa, por lo que si otra persona aiena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este pragrama.

Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que respondan a estos informes.

Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una idea de los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificación:

Crítica Vulnerabilidad que puede permitir la propagación de un gusano de Infernet sin la acción del usuario.

Importante

Moderado

Baia

Vulnerabilidad que puede poner en peligro lo confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento.

El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías o la difi­cultad intrínseca en sacar partido a la vulnerabilidad.

Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.

Tabla 1.6. Clasificación de gravedad de los vulnerabilidades Iwww.microsoft.coml.

:0

~ Actividades

6. ¿Que clasificación de las que hemos estudiado en la Tabla 1.6 han dado a la vulnerabilidad que se comenta en el ¿Sabías que? de esta misma página?

Z Busca una de las últimas vulnerabilidades publicadas por Microsoft que afecte a uno de sus sistemas operativos.

Haz un informe con los siguientes puntos:

• la descripción de la vulnerabilidad,

• a qué software afecta,

• qué clasificación le ha dado Microsoft,

• qué impacto podría tener, si en tu opinión afecta a nuestros sistemas (los de clase),

• qué medidas tenemos que tomar para corregir esta vulnerabilidad.

Conceplos básicos de la seguridad inFormática 1

4.3. Tipos de amenazas

Un sistema informático se ve expuesto a un gran númera de amenazas y ataques. En este apartado veremos una pequeña introducción a las clasificaciones más importantes, y trataremos este tema con más detalle en la Unidad 5: Seguridad activa en el sislema.

Para identificar las amenazas a las que está expuesto un sistema informático realizare­mos tres clasificaciones: la primera de los tipos de atacantes, la segunda de los tipos de ataques que puede sufrir y la tercera de cómo actúan estos ataques.

la Tabla 1.7 recoge, en la primera columna, los nombres con los que se han denomi­nado a las personas que llevan a cabo los ataques; en la segunda columna, verás una pequeña definición que los caracteriza.

Hackers

Crackers

Phreakers

Sniffers

lammers

Newbie

Ciberterrorista

Programadores de virus

Carders

Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas pero sin motivación económica o dañina.

Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intención maliciosa, bien para dañarlo o para obtener un beneFicio económico.

Crackers telefónicos, que sabotean las redes de telefonía para conseguir llama­das gratuitas.

Expertos en redes que analizan el tráfico para obtener información extrayéndola de los paquetes que se transmiten por la red.

Chicos jóvenes sin grandes conocimientos de informática pero que se consideran a sí mismos hackers y se vanaglorian de ello.

Hacker novato.

Expertos en informática e intrusiones en la red que trabajan para países y orga­nizaciones como espías y saboteadores informáticos.

Expertos en programación, redes y sistemas que crean programas dañinos que producen efectos no deseados en los sistemas o aplicaciones,

Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automáticos.

Tabla 1.7. Tipos de atacantes.

En la Tabla 1.8 se recogen los principales ataques que puede sufrir un sistema si se apravechan sus vulnerabilidades.

Interrupción

Intercepción

Modificación

Fabricación

Un recurso del sistema o la red deja de estar disponible debido a un ataque.

Un intruso accede a la información de nuestro equipo o a la que enviamos por la red.

La información ha sido modificada sin autorización, por lo que ya no es válida.

Se crea un producto Ipor ejemplo una página Web) difícil de distinguir del autén­tico y que puede utilizarse para hacerse, por ejemplo, con información confiden­cial del usuario.

Tabla 1.8. Tipos de alaques.

En 2005 Creative distribuyó en Japón cerca de 3700 reproduc­tores de mp3 infectados con virus.

la compañía Creative Labs anunció que en 3700 de sus reproductores de MP3 vendidos en Japón se ha distribuido acci­dentalmente un virus que afecta al sistema operativo Windows, según informó el sitio británico The Regisler.

El virus que se coló en los MP3 player corresponde al gusano Wullik-B (también cono­cido como Rays-A), actualmente detectado por la mayoría de las software de seguridad y que según F-Secure sólo se activa si el usuario accede al archi­vo infectado y hace doble clic sobre él.

Fuente: www.cadenaser.com

22

Conceptos básicos de la seguridad informática

Los tipos de amenazas pueden clasificarse también en función de cómo actúan los ataques, siendo los principales los que se han incluido en la Tabla l.9 que aparece a continuación:

Spaafing

Sniffing

Conexión no autorizada

Malware

Keylaggers

Denegación de Servicio

Ingeniería social

Phishing

Suplanto lo identidad de un pe o algún doto del mismo Icama su dirección MAq

Monitorizo y analizo el tráfico de la red para hacerse con información.

Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se des­cubren, se realiza una conexión no autorizada a los mismos.

Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo, dañando el sistema de múltiples formas.

Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través del teclado, e incluso pueden realizar capturas de pantallas.

Interrumpe el servicio que se está ofreciendo en servidores o redes de ordenado­res . También denominado DoS Idenial of Servicel.

Se obtiene información confidencial de una persona u organismo para utilizarla con fines maliciosos. Los ejemplos más llamativos son el phishing y el spam.

Se engaña al usuario para obtener su información confidencial suplantando la identidad de un organismo o página web de Internet.

Tabla 1.9. Formas de actuar de los ataques.

4.4. Pautas de protección para nuestro sistema

Cualquier equipo conectado en red esiá expuesto a ser atacado. Como ya sabes, hay auténticos expertos informáticos que se dedican a buscar vulnerabilidades en los siste­mas, dedicando mucho tiempo y esfuerzo a este fin. Para prateger tu sistema tendrás que ser más listo que ellos y dedicar también mucho tiempo y esfuerzo a esta tarea. Algunas de las pautas que debes seguir son:

o No instalar nada que no sea necesario en los servidores.

o Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen vulnerabilidades de los programas por lo que es necesario mantener siempre actua­lizado el sistema.

o Formar a los usuarios del sistema para que hagan uso de buenas prácticas.

o Instalar un firewall. Esta herramienta permite controlar el tráfico entre una red priva­da y una pública.

o Mantener copias de seguridad según las necesidades.

o Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desa­rrollada en el sistema, por la que su revisión periódica puede detectar a tiempo un posible ataque.

o Sentido común y experiencia previa del administrador.

~ Actividades

8. Analiza el artículo del primer apartado de la unidad e identifica el tipo de ata­cante del que hablan y el tipo de ataque que realiza.

9. Analiza cuales de las pautas no cumple el sistema que tienes en tu casa.

Conceptos básicos de la seguridad informática 1

• 5. Leyes relacionadas con la seguridad de la información

En los siguientes apartados vamos a trotar las principales leyes relacionadas con la seguridad de la información: Ley de protección de datos de carácter personal y Ley de servicios de la información y el comercio electrónico.

5.1. Normativa que protege los datos personales

Muy a menudo, en nuestro vida diaria, nuestros datos personales son solicitados para realizar diversos trámites en empresas o en organismos tanto públicos como privados; por e¡emplo, cuando cambiamos de número de móvil o contratamos un nuevo proveedor de servicios de Internet. Desde ese instante, nuestro nombre, apellidos, dirección, etc., pasan a formar parte de una serie de ficheros. Su gestión está regulada por la Ley de Protección de Datos de Carácter Personal (LO 15/1999), más conocida como LOPD, que se desarrolla en el RD 1720/2007, Y es supervisada por la Agencia Española de Protección de Datos.

El ob¡etivo de esta leyes garantizar y proteger los derechos fundamentales y, espe­cialmente, la intimidad de las personas físicas en relación con sus datos personales. Es decir, especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre otros aspectos.

Puede que nunca te hayas f¡¡ado, pero es habitual encontrar carteles donde se hace referencia a esta ley, por e¡emplo en las estaciones de RENFE o cuando rellenas tu ma­trícula.

11 ' lI'I'u;>t:O ;lO r.:uu<pr.

AlHXOI

Comunidad de Madrid

"".dl¡¡dd.~I6" . " .......... oll . nlclu m .. fond ... plblbn. Ck. .... FOI' ........ ... d. G ... do .. .,¡)o

t«I:l:. _.101 .. _ IDmI-·,><:·.""doI l·"'·Go'C>'-l:¡"..¡al' .. ,.tJ .... · ... ~_.. ICH'"' .,..' . ~ I <II. I ......... 1o I T.~b-.

.. "" .. ..... :~ & ........ _....,

"'" '" IL~ ... "". (0.'\;$' ,....." ... <"'""" • .,III I ~ . ;a.."' ... . ...... "'ail'o ¡'O,¡.,... .. '''' ...... I',.~ ... ..-~ .. .

Cuando LOPD habla de ros, se refiere a «conjunto orga­nizado de datos de carácter personal cualquiera que fuera la forma o modalidad de su crea· ción, almacenamiento, organiza· ción y accesQ». Es decir, no solo se aplica a ficheros de datos en soporte informático, sino tam­bién a documentos impresos, vídeos, grabaciones de audio, etcétera.

9 En algunas de las comunida· des autónomas, como Madrid, Cataluña, El País Vasco y Galicia, existen leyes y decretos que, basándose en la LOPD, regulan los ficheros de datos de carácter personal y la agencia de Protección de Datos de dicha comunidad.

D .<"" •• ".( ...... CO OOlf~ .. _ . Dc..' ~ .... ent:aGl,. ...

DOo.<I" .. <1o _~ ... .., .. , ... 'l;..... Dc. .<I"G<lo~ • • & ........ "' ..... _ .... /ro:I: _ <la"'_'''' 0 "-.". ... , <IO~ • ...,.,."'10 ,.. .. h ••• "' • •• " ........ ......... ....... eo :s ."1:.

I

=11

Los datos personales recogidos, serán tratados con su con­sentimiento informado en los términos del artículo 5 de la Ley Orgánica 15/ 1999, y de conformidad con los principios dis­puestos en la misma y en la Ley 8/2001, de la Comunidad de Madrid, pudiendo ejercer el derecho de acceso, rectificación, cancelación y oposición ante el responsable del fichero. Para cualquier cuestión relacionada con esta materia, o si tiene usted alguna sugerencia que permita mejorar este impreso, puede dirigirse al teléfono de información administrativa 012.

II:I IJ:""' . .. , .... "'.~ ... • 0< . .. _~.,= ": CQ ~ .\.6rG~.,. <O .... I>.c • .,. . ...... ",,.. o CHa> " 1Il~ ... .. ... :E<' ...

... ( .. ;.~ . 'aoIU: ... .. ".r .... ", 'o .. l '0"" V 11Ft. PRESIDENtE DEL CON!)EJO ESCOlAR oa CfNfltO

Fig. 1.14. Formulario de matriculación de lo Comunidad de Madrid.

24

Conceptos básicos de la seguridad informático

o Protección de datos

La LOPD no solo la tenemos que conocer desde nuestra profesión como técnicos en sis­temas microinformóticos y redes, sino también como particulares, ya que nuestros datos están almacenados en ficheros que deberán cumplir esta legislación.

q Caso práctico 9

'"

La agencia de viajes SiTour ha decidido hacer una ficha a cada cliente que solicite información sobre algún viaje, con el objetivo de enviarle sus nuevas ofertas y pro­mociones

Describe el proceso que tú, como técnico informático de la agencia, tendrás que realizar para poder almacenar y gestionar dichos datos de acuerdo a la narmativa vigente.

En primer lugar, según la LOPD se debe solicitar a la Agencia de Protección de Datos la creación de dicho fichero. En esta solicitud habrá que especificar:

Responsable del fichero: La agencia de viajes SiTour.

Finalidad: El ob jetivo es comercial, es decir, el envío de ofertas y promociones.

Tipo de datos de carácter personal que contiene: nombre y apellidos, DNI o NIE, teléfono, dirección postal y correo electrónico.

Medidas de seguridad: nivel básico, según se especifica en la LOPD.

Los datos que se deseen almacenar en el fichero tendrán que ajustarse a los obje­tivos, es decir no se puede solicitar al cliente sus ingresos anuales. Estos datos solo podrán ser utilizados para el objetivo para el que se han recogido y tendrán que ser cancelados una vez que no sean necesarios para este objetivo.

La Agencia de Protección de Datos se pronunciará sobre la solicitud en un plazo de un mes y si no se entenderá que el fichero se ha inscrito correctamente.

En el momento de la recogida de datos de carácter personal, hay que informar al cliente de:

La incorporación de sus dotas a un fichero de datos de carácter personal.

La finalidad de estos datos, que en este caso es el envío de ofertas y promociones.

De su derecho de acceso, rectificación y cancelación, así como del procedimiento que el cliente debe seguir, ya dónde debe dirigirse para ejercitar dicho derecho.

De la identidad y dirección del responsable del tratamiento de los datos, en este caso la agencia de viajes Sitour.

Además, tanto la persona responsable del fichero como quienes intervengan sobre él tienen deber de secreto sobre los datos que contiene.

El documento informativo que se proporcionará a los clientes, y del que la empresa guardará una copia firmada por este, podría ser el siguiente:

En cumplimiento de la establecido en la ley orgánica 15/ 1999 de Protección de Datos de Carácter Personal y en el Real Decreto 1720/2007, que aprue­ba su reglamento de desarrollo, los clientes quedan informados y prestan su consentimiento a la incorporación de sus datos a los ficheros existentes en SiTour y al tratamiento de los mismos. Los datos personales serán tratados exclusivamente con la finalidad de informar al cliente sobre nuevas ofertas y promociones. No se real izará ninguna cesión de estos datos.

Según lo dispuesto en la misma ley, los clientes tienen derecho a consultar, modificar o cancelar los datos proparcionados a SiTour, dirigiéndose al de­partamento de informática de SiTour.

Conceptos básicos de la seguridad informática 1

o Medidas de seguridad

Como ya sabes, siempre que se vaya a crear un fichero de datos de carácter personal, es necesario solicitar la aprobación de la Agencia de Protección de Datos.

Cuando se realiza esta solicitud es obligatorio especificar los datos que contendrá el fichero y el nivel de seguridad que se aplicará al fichero. Los niveles de seguridad son tres: básico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la Tabla 1.1 o.

Todos los datos de carácter personal tienen que tener como mínimo este nivel.

Básico

Referidos a inFracciones administrativas (o penales), a gestión tributaria, datos Fiscales y Financieros.

Medio Dalas que proporcionan inFormación sobre las características o personali­dad de las afectados.

Referidos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Alto

Tabla 1.10. Correspondencia dotas - seguridad.

El nivel que debe aplicarse es el más alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel es básico, pero si además se incluye la afiliación sindical, el nivel de seguridad del fichero será alto. Cada nivel tiene unas características de seguridad propias, como se ve en la Tabla 1.1l.

Básico

Medio

Alto

Debe existir un documento de seguridad donde figuren las Funciones y obligaciones de cada usuario del fichero. El responsable del fichero debe mantener una lista de usuarios y sus accesos actualizada. Las contraseñas de los usuarios (en caso de ser este el método de autenticación) serán cam­biadas en un periodo no superior a un año.

Es obligatorio crear un registro de las incidencias relacionadas con este fichero.

Cualquier documento que contenga datos de carácter personal que se deseche tendrá que ser borrado o destruido.

Habrá que realizar copias de seguridad como mínimo una vez a la semana.

Al menos una vez cada dos años una auditoría verificará que los procedi­mientos de seguridad aplicados son los correctos.

Deben establecerse mecanismos para evitar el acceso reiterado no autori­zado a los datos y sistemas de control de acceso a los lugares donde estén los equipos que almacenen los datos.

Los datos deben ser cifrados para que no se manipulen cuando se realice su transporte, por ejemplo, cuando se almacenen los datos en un portátil. También deberán ciFrarse para realizar cualquier transmisión por redes públicas o inalámbricas.

Las copias de seguridad deben almacenarse en un lugar Físico diFerente a los datos.

Deberán registrarse los intentos de acceso a los datos de los dos últimos años como mínimo.

Tabla 1.11. Características de los niveles de seguridad.

Auditoría. Proceso que consis­te en obtener y evaluar objeti­vamente los procesos de una empresa para comprobar que cumplen con las normas y crite­rios establecidos.

Las datos referentes a los niv~ de seguridad están especifica­dos con más detalle en la LOPD y en el decreto 1720/2007.

Actividades 9' 10. Dadas las siguientes situa­

ciones, identifica el tipo de infraccián que SiTour está cometiendo. Para ello consulta el artículo 43 de la LOPD:

o SiTour realiza el envío de ofertas y promo­ciones sin solicitar la creación del fichero de datos de sus clientes.

o SiTour no está reali­zando copias de segu­ridad del fichero de datos.

o SiTour realiza la reco­gida de datos a sus clientes sin informar­les de la finalidad del fichera.

11. Las infracciones de la actividad anterior tienen asignada una sanclon económica en el artículo 45 de la LOPD. Búscala e indica cuál es en cada caso.

Conceptos básicos de la seguridad informática

S' b·-· ? ¿ a ... Ias que .... ~ Si se detecla que un conlenido o un enlace a un contenido no cumple la normaliva Ipor ejem· plo, atenta conlra la dignidad de una persona o contra los derechos de aulor). la empresa que lo aloja tiene que colaborar para suprimir o inutilizar el con­lenido o el enlace.

5.2. Normativa de los sistemas de información y comercio electrónico

La regulación de los sistemas de información es un temo muy extenso y complejo, tanto que existe un organismo, lo Comisión del Mercado de las Telecomunicaciones (CMT). que establece las normas y procedimientos de los mercados nocionales de comunicacio· nes electrónicas y de servicios audiovisuales.

Lo ley 34/2002 de servicios de lo información y el comercio electrónico regula el régi. men jurídico de las servicias de lo sociedad de la información y lo contratación por vía electrónica en las empresas que proporcionan estos servicios establecidos en España o en estados miembros de lo unión Europea.

Algunos de los aspectos más importantes de esto ley son:

• Los empresas o las que afecta están obligadas o proporcionar información sobre nombre, domicilio, dirección de correo electrónico, número de identificación fiscal e información clara sobre el precio de las productos. Si esta información se incluye en la página web, la empresa estará cumpliendo con este requisito.

• Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la información contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos o enlaces a datos incluidos por clientes.

• Establece la validez de los contratos realizados por vía electrónica. Para demostrar la existencia de dicho contrato jurídicamente es suficiente con la presentación del documento en formato electrónico. Por ejemplo en el caso de los billetes de transpor· te adquiridas a través de Internet, el documento electrónico justifica dicho controto.

La aplicacián de estas leyes ha derivado en acciones judiciales, como la siguiente:

o-m .. " ~tección de Datos multa a Telefónica con 60.000 euros .

. ; .

• La Agencia Españolo de Protección de Dolos IAEPD) ha impuesto a Telefónica una multa de 60 101 ,21 euros por haber revelado dolos de clientes a consecuencia de un problema técnico que sufrió el porlal de Terra.

htlp://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php

... Un grupo de jóvenes insulto y veja en 2006 a un chico de 17 años con síndrame de dawn. Uno de ellos lo grabo y acabo colgado en Google Video, el servício de hospedaje de vídeos del gigante informótico que mós larde adquiriría Yautube. Lo escena llego o recibir 5.500 visitas en dos meses y aparece entre los «vídeos más divertidos». ¿Quién es el res­ponsable de lo dignidad del agredido, socavado en unas imógenes que alcanzaron uno audiencia global? Un juez en Milón lo juzgo desde hoy, cenlróndose en lo responsabilidad de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresi­dente de la empreso, se enfrentan a una acusación penal por difamar a la víctima y a Vivi Dow n, una asociación de personas con síndrome de down. Ademós, la Fiscalía les consi­dera responsables del incumplimienlo de la legislación ilaliana en materia de privacidad.

15/12/2009 Daniel Basleira • Diario Público

Identificar las necesidades de la seguridad informática

1. Analiza las perjuicios que puede ocasionarte la conexión a una red wifi que no pide ningún tipo de contraseña.

2. Analiza la seguridad que tendrían las claves farmadas exclusivamente por números.

3. Comprueba la seguridad de las contraseñas que habi­tualmente utilizas en el comprabadar de contrase­ñas de Microsoft: hHp://www.microsoft.com/latam/ athome/security/privacy/password_checker.mspx.

4. Escribe en un papel tu nombre, apellidos, númera de teléfono móvil, número fijo, fecha de nacimiento, direc­ción postal, nombre de familiares y mascotas y nom­bres de usuario para el equipa de tu casa, el correa electrónica y otros servicios a los que accedes por Inter­net. Intercambia tu papel con el de un compañero e intenta, haciendo combinaciones de estos datos, des­cubrir sus contraseñas.

5. En esta actividad vamos a trabajar con Chrame, nave­gador gratuito diseñado por la compañía Google. En caso de que no lo tengas descárgatelo de Internet. Vete a la página de Gmail, es decir al correo electrónico de Google, y busca en ella el certificado que utiliza Gmail.

6. Rellena la siguiente tabla:

Física activa

7. Indica los pasos que debemos realizar para conseguir mejorar la seguridad informática.

8. Imagina que la empresa en la que eres responsable de seguridad sufre un ataque a través del servidor Web utilizando una vulnerabilidad conocida. ¿Que medidas tomarías?

9. Pon un ejemplo de sistema en el que los riesgos estén asociadas a impactos altos y otro ejemplo en el que estén asociados a mayor probabilidad de vulnerabili­dades.

10. Busca una noticia en un periódico sobre seguridad informática e identifica los tipos de atacantes y los tipos de ataques. ¿Crees que el ataque se pudo llevar a cabo debido a una mala planificación de la seguridad?

Conceptos básicos de la seguridad informática 1

Comprueba tu aprendizaje f9 11. Infórmate en la página de Microsoft sobre la vulnerabi­

lidad MS07-041 que afecta al servidor Web de Micro­soft Internet Information Server.

12. Busca un boletín de seguridad de Microsoft en el que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderna un resumen, cómo ha sido clasificada, a qué sistemas afecta, si crees que nos afectaría y cómo pueden protegerse los equipos afectados de esta vulne­rabilidad.

13. Accede a la página de Hispasec Sistemas hHp://www. hispasec.com/index_html y suscríbete a «Una al día» para recibir en tu correo electrónico una noticia cada día sobre problemas de seguridad que afecten a cual­quier sistema. Elige una noticia que afecte a un sistema que conozcas y haz un resumen del problema de segu­ridad en tu cuaderno.

14. Busca información sobre las listas Robinson y averigua en qué consisten, cómo funcionan, quién puede entrar a formar parte de ellas y cuál es el procedimiento para que una persona sea incluida en ellas.

Reconocer la legislación y normativa sobre la seguridod y protección de datos onalizando las repercusiones de su incumplimiento

15. En el Caso práctico 9 vimos el procedimiento que seguido por SiTour para almacenar y gestionar los datos de sus clientes según la normativa vigente. Una vez que ha realizado todo este proceso, SiTour envía a SiCon, una empresa de construcción con la que tiene acuerdos comerciales, los datos de su fichero de clien­tes pero no informa a estos del envío. Responde a las siguientes preguntas:

• ¿Cuál es el organismo que se ocupa de controlar y multar estas infracciones?

• ¿En que ley se recogen las sanciones a aplicar? • ¿Cuál es la gravedad de la infracción que está come-

tiendo?

• ¿Qué multa pueden tener? Nota: Es la primera vez que se sanciona a estas empre­sas y el volumen de datos afectadas no es muy alto, por lo que las sanciones a aplicar serán las mínimas pasibles.

16. Terminado este curso y con la formación adquirida, decides montar una empresa en Internet que se va a dedicar a ofrecer un disco duro an-line. Necesitas de cada usuario: nombre, apellido, teléfono y dirección de correo electrónico. ¿En qué afectan estos datos a la formación de tu empresa? ¿Qué medidas de segu­ridad tendrás que tomar cuando almacenas esta infor­mación?

~/1 Conceptos básicos de la seguridad informótica

Confidenciolidod

Disponibilidod

Integridod Interrupción

No Repudio Intercepción

Modificación

Seguridad físico

-C Fabricación

Seguridad lógica

pasiva Spoofing

Sniffing Conocidas sobre

aplicaciones Conexión no autorizada o sistemas instalados

Molwore Conocidas sobre .. .. . ~ aplicaciones

Keyloggers no inslaladas

Aún no conocidas Denegación de servicio

Ingeniería social

Hackers

Crackers

Phreakers

Sniffers Ley 15/1999

{ de protección de dalos de

Lammers carácter personal . . Newbie Ley 34/2002 de servicios

de la información Ciberterrorisla y el comercio electrónico

Programadores de virus

Carders

B

lUJ n'il D d <OJ dl Seguridad pasiva.

Hardware y almacenamiento

y estudiaremos:

• Ubicación y protección física de los equipos y servidores.

• Sistemas de alimentación ininterrumpido.

• Almacenamiento de la información.

• Almacenamiento redundante y distribuido: RAID, clusters, NAS y SAN.

En esta unidad aprenderemos a:

• Definir las características de la ubicación física y condiciones ambientales de los equipos y servidores, así como los protocolos de actuación frente a incidencias y alarmas en el subsistema físico.

• Seleccionar y verificar los sistemas de alimentación ininterrumpido y dónde utilizarlos.

• Describir las tecnologías de almacenamiento redundante y distribuido.

• Clasificar y enumerar los distintos métodos de almacenamiento según su disponibilidad y accesibilidad a la información.

• Identificar y utilizar medios de almacenamiento remotos y extraíbles.

Seguridad pasivo. Hardware y almacenamiento

~ Actividades

1. Realiza en equipo una tormenta de ideas para descubrir qué factores hay que tener en cuenta para elegir dónde situor los equipos que forman el CPD. Es esencial que ten­góis siempre presente lo importante que son estos equipos y la información que manejan para cual­quier organización.

Fíjate en la Figura 2.1 para analizar estos fac­tores, teniendo en cuenta los equipos y armarios donde se instalan, que puedes ver en la imagen, así como las característi­cas de este CPD.

• l. Ubicación y protección física El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dónde vamos a instalarlo. Esta decisión puede parecer superflua, pero nada más lejos de la realidad: resulta vital para el mantenimiento y protección de nues­tros sistemas.

Los planes de seguridad física se basan en proteger el hardware de los posibles desas­tres naturales, de incendios, inundaciones, sobrecargas eléctricas, robos y otra serie de amenazas.

Se trata, por tanto, de aplicar barreras físicas y procedimientos de control, como medi­das de prevención y contra medidas para proteger las recursos y la información, tanta para mantener la seguridad dentro y alrededor del Centro de Cálculo como los medios de acceso remoto a él o desde él.

Veremos algunos de los mecanismos de seguridad física de los que hemos hablado en la Unidad 1, que, cama recordarás, se recogen en la Tabla 1.2, relativa a amenazas y mecanismos de defensa de seguridad.

Cada sistema informática es única. Par ejemplo, en la Figura 2.1 se puede ver la vis­ta parcial de un CPD de una organización grande, pero en pequeñas empresas u organizaciones, ei CPD podría estar compuesta sala par una de esios módulos a par un servidor. Cuando hablemos del plan de seguridad física na podemos pensar que existe un plan de seguridad general aplicable a cualquier tipo de instalación.

En esta unidad nos centraremos en las pautas de aplicación general, teniendo en cuenta que estas deben personalizar­se para cada empresa y cada edifido. Además, no es lo mismo establecer las características de una sala técnica en una zona donde los terremotos son ha- \ bitLJales, por ejemplo, a hacerlo para una zona donde apenas hay temblares apreciables. Fig. 2 .1. Saja de servidores.

1.1. Factores para elegir la ubicación

Cuando hay que instalar un nuevo centra de cálculo es necesario fijarse en varios fac­tares. En concreta, se elegirá la ubicación en función de la disponibilidad física y la fa­cilidad para modificar aquellas aspectos que vayan a hacer que la instalación sea más segura. Existen una serie de factores que dependen de las instalaciones propiamente dichas, coma son:

• El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cómo es el acceso de equipas y personal, y qué características tienen las instalaciones de suministro eléctrico, acondicionamiento térmico, etc. Igualmente, hemos de atender a cuestiones de índole física como la altura y anchura de los espacias disponibles para la instalación, si tienen columnas, cómo es el suelo, la iluminación, etc.

• Tratamiento acústico. En general, se ha de tener en cuenta que habrá equipos, como las de aire condicionado, necesarios para refrigerar los servidores, que son bastante ruidosos. Deben instalarse en entornos donde el ruido y la vibración estén amortiguados.

• Seguridad física del edificio. Se estudiará el sistema contra incendias, la protección contra inundaciones y otras peligros naturales que puedan afectar a la instalación.

• Suministro eléctrico propio del CPD. La alimentación de los equipos de un centro de procesamiento de datos tiene que tener unas condiciones especiales, ya que no puede estor sujeta a los fluctuaciones o picos de lo red eléctrico que pueda sufrir el resto del edificio. No sue­le ser posible disponer de toda una red de suministro eléctrico propio, como la que ves en la Figura 2.3, pero siempre es conveniente utilizar una sistema independien­te del resto de la instalación y elementos de protección y seguridad específicos, como sistemas de alimentación ininterrumpida, a los que dedicaremos el Apartado 2 de la unidad: equipos electrógenos, baterías, etc.

Seguridad pasivo. Hardware y almacenamiento 2

• Existen otra serie de factores inherentes a la localiza­ción, es decir, condiciones ambientales que rodean al local donde vayamos a instalar el CPD. Los principales son los factores naturales (frío, calor, inundaciones, in­cendios o terremotos); los servicios disponibles, espe­cialmente de energía eléctrica y comunicaciones (an­tenas, líneas telefónicas, etc.), y otras instalaciones de la misma zona; y la seguridad del entorno, ya que la zona donde vaya situarse el CPD debe ser tranquila, pero no un sitio desolado. Otros factores que han de tenerse en consideración son el vandalismo, el sabotaje y el terrorismo.

Fig. 2.2. Sistema de refrigeración del centro de datos de Google en The Dalles, Oregón. Fuente: www.informationweek.com.

o ¿Dónde se debe instalar el CPD?

Atendiendo solo a estos factores ya podemos obtener las primeras conclusiones poro instalor el CPD en una ubica­ción de características idóneas. Así pues, siempre que po­damos, tendremos en cuenta que:

• Deben evitarse áreas con fuentes de interferencia de radiofrecuencia, tales como transmisores de radio y es­taciones de TY.

• El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable o nocivo.

Fig. 2.3. Sistema de alimentación del compleja de Google en The Dalles, Oregón. Fuente: www.;nformationweek.com.

• El espacio deberá estar protegido ante entornos peligrosos, especialmente inunda-ciones. Se buscará descartar:

Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son más propensas al vandalismo o los sabotajes.

Sótanos, que pueden dar problemas de inundaciones debido a cañerías princi­pales, sumideros o depósitos de agua .

Última planta, evitando desastres aéreos, etc.

Encima de garajes de vehículos de motor, donde el fuego se puede originar y extender más fácilmente.

Según esto, la ubicación más conveniente se sitúa en las plantos intermedias de un edi­ficio o en ubicaciones centrales en entornos empresariales.

Actividades "

2. Estudia las instalaciones de tu centro. Dadas las características del mismo, ¿dónde crees que podría instalarse un pequeño centro de cálculo?

Seguridad pasiva. Hardware y almacenamiento

1.2. Control de acceso

De modo complementario o la correcta elección de la ubicación del CPD es necesario un férreo control de acceso al mismo. Dependiendo del tipo de instalación y de la inver­sión económica que se realice se dispondró de distintos sistemas de seguridad, como los siguientes:

o Servicio de vigilancia, donde el acceso es controlado por personal de seguridad que comprueban la identificación de todo aquel que quiera acceder a una ubicación.

En general, suele utilizarse en el control de acceso al edificio a al emplazamiento y se complementa can otros sistemas en el acceso directa al CPD.

o Detectores de metales y escáneres de control de pertenencias, que permiten «revisar» a las personas, evitando su acceso a las instala­ciones con instrumentas potencialmente peligrosas a armas.

o Utilización de sistemas biamétricas, basados en identificar caracterís­ticas únicas de las personas cuyo acceso esté autorizado, coma sus huellas digitalizadas a su iris, de los que hablaremos en la Unidad 5.

Fig. 2.4. Control de acceso al complejo de Google en The Dalles, Oregón. Fuente: www.inFormationweek.com.

o Protección electrónica, basada en el usa de sensores conectadas a centrales de alarma que reaccionan ante la emisión de distintas se­ñales. Cuando un sensar detecta un riesgo, informa a la central que procesa la información y responde según proceda, par ejemplo emitiendo señales sonoras que alerten de la situación.

~ Actividades

3. Busca información sobre distintos sistemas de pro­tección electrónico, sus aplicaciones y costes de implantación.

,

Q Caso Jlráctico 1

Estudio de la ubicación del CPO de SiCon

SiCon, una importante empresa de construcción, ha decida trasladar sus oficinas a un nueva edificio. Una de los factares más impartantes para decidir entre las posi­bles ubicaciones, tres en total, es determinar cuál ofrece las mejores garantías para la instalación de su CPD. Es nuestra responsabilidad como técnicas informáticos presentar la propuesta de ubicación más conveniente.

l. Se trata de tres edificios situadas en diferentes zonas, consideradas todas ellas como seguras desde el punto de vista de robos y vandalismo, y que se sitúan en la misma área geográfica, donde no son habituales las inundaciones. Además se han seleccionado edificios con buenos sistemas contra incendios, etc.

2. El primero de ellos se sitúa en el centro de una gran ciudad, junto a otra serie de edificios principalmente de oficinas, aunque también hay alguno de viviendas; el segundo de los edificios se encuentra en un gran parque empresarial con múl­tiples oficinas, pero donde no hay fábricas; el tercero, en un polígono industrial, donde se concentran fábricas de metalurgia, factorías de vehículos, así como otra serie de fabricas de maquinaria pesada.

3. Los edificios tienen control de acceso mediante guardias y cámaras, que man­tendrá una empresa externa.

4. La altura de los edificios, es decir, las plantas disponibles en cada edificio, es distinta. En el edificio céntrico disponemos de siete plantas en un edificio compartido con otra empresa, en el parque empresarial de un edificio de seis plantas y en el polígono industrial de un edificio de dos plantas, ambos de uso exclusivo de SiCon.

c:. Las tres zonas están bien dotadas de servicios de comunicaciones y las instala­ciones no presentan problemas eléctricos.

(Continúa)

Seguridad pasiva. Hardware y almacenamiento 2

Caso I!ráctico 1 9 ¡Continuación}

6. En el edificio situado en el centro de lo ciudad será necesario realizar ciertas reformas para amortiguar los sonidos de los equipos que se instalen, dada la cercanía de edificios de viviendas.

7. La empresa ha decidido realizar la inversión necesaria para instalar sistemas de control de acceso biométrico al CPD, para garantizar que sea la más seguro pasible, así como las sistemas de alimentación necesarias.

8. Una vez que conocemos estos datos, podemos realizar una tabla valorando las instalaciones en función de su conveniencia, donde morcaremos si se adecúa al factor de seguridad correspondiente. En uno situación real, el estudio sería más extenso y se deberían visitar los edificios para comprobar factores como la situación de tuberías (que no deben pasar por encima de la CPD), etc.

El edificio ./ ./

Tratamiento acústico ./

Seguridad física del edificio ./ ./

Fadores naturales ./ ./

Servicios e instalaciones cercanas ./ ./

Seguridad del enlorno ./ ./

Control de acceso ./ ./

Tabla 2.1 . Va/oración de /0 ubicación.

9. La valoración realizada indica que la ubicacián más apropiada es la del centra empresarial, donde además contamos con la venta¡a de poder instalar el CPD en la penúltima o antepenúltima planta, de las seis que disponemos. Aunque no se ha indicado, el hecho de que el edificio sea de uso exclusivo es otro factar venta¡oso ya que facilitará el control de acceso al mismo, como también lo será la consideración de si se trata de un emplazamiento en propiedad o alquilado.

1.3. Sistemas de climatización y protección en el CPD

Además de instalar el CPD en la me¡or localización posible, es imprescindible que se instalen en su interior, ¡unto con los equipos propios de procesamiento de datos, sistemas de climatización, de protección contra incendios (PCI) y sistemas de alarmo apropiados.

Los equipos de un centro de praceso de datos disipan mucha energía calorífico y hoy que refrigerarlos adecuadamente poro mantener los condiciones interiores de tempera­tura y humedad estables, yo que altas temperaturas podrían dañar estos equipos. Lo decisión sobre qué sistemas de climatización han de instalarse depende de los carac­terísticos de codo CPD, pero hoy un hecho que siempre ha de tenerse en cuenta: no se trato de climatizar el cuarto sino de refrigerar el equipo. Por ello debemos situar el servidor o rock o lo altura adecuado paro que le alcance lo circulacián de aire, y de modo que el aire frío de lo máquina se diri¡a o lo porte del equipo que absorbe aire, no a lo que lo expulso.

Actividades t' 4. Copio lo Tabla 2.1, y

complétala con uno columna denominada Jus­tificación, donde rozones por qué codo uno de las ubicaciones es adecuado o no respecto a coda fac­tor de seguridad. E¡em­plo: «lo ubicación del edificio en el polígono industrial no resulta ade­cuado por... mientras que el edificio céntrica y el parque empresarial sí porque ... ».

9 Con un extractor doméstico de aseo puede renovarse 10 veces por hora el aire de uno habila­ción de 2x2x2,5m. En un gara­¡e, por e¡emplo, el aire se debe renovar según la normativa siete veces por hora.

Seguridad pasivo. Hardware y almacenamiento

otros sistemas aún más compleios, como el uso de pasi­llos fríos y pasillos calientes y la refrigeración líquida, utilizados en grandes CPD con múltiples racks.

23 oC

Podemos, por ejemplo, utilizar un ventilador que expulsa el aire caliente al exterior para refrigerar un servidor como el que ves en la Figuro 2.5. Se trata de una opción bastante económica en la que debes tener en cuenta que haya recirculación del aire, es decir, que el aire debe atravesar el servidor.

Para un CPD que tenga varios racks, podemos optar por el uso de equipos murales o equipos de techo. En la Figura 2.6 puedes ver este tipo de instalación, donde también se ha instalado un secuenciador en una zona de temperatura característica. Este secuen­ciador proporciona un sistema de seguridad adicional, ya que alterna el uso de cada uno de los splits instalados, y, en caso de que suba la temperatura, ambos equipos se pondrán en funcionamiento para enfriar el CPD.

50 % Rejilla puerta

Fuera sala Aire frio

Fig. 2.5. Sistema de climatizoción con ventilador. Fig. 2.6. Sistema de climatización con Sp/its.

~ Actividades

Los sistemas contra incendios son otro de los factores clave en un CPD. No es tu misión instalarlos, pero sí debes conocer su funcionamiento básico ya que de ello puede depen­der inclusa tu propia seguridad. Es habitual utilizar dos tipos:

• Sistema de detección, como el sistema de detección precoz, que realiza análisis continuos del aire, de modo que puede observar un cambio de composición en el mismo, detectando un incendio incluso antes de que se produzca el fuego yactivan­do el sistema de desplazamiento de oxígeno.

• Sistema de desplazamiento de oxígeno. Este tipo de sistemas reduce la concentra­ción de oxígeno, extinguiendo así el fuego, de modo que no se utiliza agua, que puede dañar los equipos electrónicos. Dado que se produce un desplazamiento de oxígeno, es muy importante que el personal humano siga las normas de evacuación de la ubicación, ya que su activación podría perjudicar su integridad física.

5_ La agencia de viajes SiTour está considerando la nece­sidad de disponer de un centro de datos para gestionar y centralizar la información que maneja habitualmente. Estó situada en un local comercial bajo, que dispone de una sala central, donde se realiza casi toda la acti­vidad comercial, de dos despachos, uno de ellos utili­zado por el director de la agencia y de un pequeño almacén. La agencia se sitúa en un barrio de clase

media, donde no hay un índice especialmente alto de robos, junto a un edificio que está actualmente vacío. ¿Cuál crees que es la ubicación idónea para la instala­ción del CPD?

6. Investiga sobre distintos sistemas de climatización y contra incendios que podrían ser adecuados para el CPD de SiTour.

________________ --J)

Seguridad pasiva. Hardware y almacenamiento 2

1.4. Recuperación en caso de desastre

Nuestro objetivo debe ser siempre evitar daños en el CPD, pero hay que ser realistas y te­ner preparado un plan de contingencia que debe ponerse en marcha en caso de desastre.

Una opción que ha de tenerse en cuenta es tener un centro de backup independiente, de modo que aunque los equipos del CPD queden fuera de servicio por una avería muy grave, la organización podró seguir realizando su actividad con cierta normalidad. Dentro de los planes de contingencia debemos tener en cuenta la realización de sis­temas redundantes, como los sistemas RAID que abordaremos en el Apartado 4 de la unidad y el uso de copias de seguridad, a lo que dedicaremos la Unidad 3.

En caso de que se produzca un desastre, el primer paso es que se reúna el comité de crisis para evaluar los daños. Si se decide poner en marcha el plan de contingencia, es importante que los trabajos comiencen por recuperar las bases de datos y ficheros esenciales, así como desviar las comunicaciones más críticas al centro alternativo, desde donde se comenzará a operar en las áreas que sean prioritarias, ya que de no hacerlo las consecuencias podrían ser desastrosas.

• 2. Sistemas de alimentación ininterrumpida

Ningún equipo informático, por sofisticado que sea, está exento de sufrir un corte de luz y apagarse. Es por ello que es necesario, especialmente cuando se están procesan­do datos o dando servicios de alojamiento web u otros, utilizar sistemas auxiliares de alimentación.

2.1. Definición de SAl

Un SAlo sistema de alimentación ininterrumpida es un dispositivo electrónico que per­mite proteger a los equipos frente a los picos o caídas de tensión. De esta manera se dispone de una mayor estabilidad frente a los cambios del suministro eléctrico y de una fuente de alimentación auxiliar cuando se produce un corte de luz.

Este tipo de sistemas nacieron originalmente con el objetivo de proteger el trabajo que se estaba realizando en el momento en que se producía un apagón. La idea consistía en proporcionar al usuario del equipo el tiempo suficiente para guardar la informa­ción y apagar correctamente los equipos cuando se producía un corte en el suministro eléctrico, aunque posteriormente se le ha agregado capacidad para poder continuar trabajando cierto tiempo, aunque no se disponga de suministro.

Las características de los SAl dependen de cada modelo en concreto, pero en la siguien­te tabla tienes un resumen de sus funcionalidades.

Alimentación de ordenadores Se pueden conectar de uno a varios equipos al mismo SAl.

Actividades ~

Z Existen muchas empresas que ofrecen soluciones de almacenamiento y centros de datos. Busca informa­ción en Internet sobre alguna de ellas y analiza las ventajas y desventajas que puede tener para una empresa utilizar sus servi­cios, tanto desde el punto de vista de la seguridad como desde el punto de vista económico.

UPS (Uninterruptible Power son los siglas inglesas de También se conoce como No break.

Tiempo extra de trabajo Permiten seguir trabajando con el ordenador de 15 a 270 minutos cuando se produce un corte en el suministro eléctrico.

Alimentación de otros equipos

Regulador de voltaje

Otros conectores

No están diseñados para conectar dispositivos de alto consumo de energía (como grandes impresoras láser o plottersl.

Integrado en algunos modelos para evitar que los picos de tensión que se producen en la línea afecten a la alimentación de los equipos.

Algunos incorporan conectores para conectar el módem, router u otros dispositivos imprescindibles en la comunicación y protegerlos.

Tabla 2.2. Características de los SAl.

Seguridad pasiva. Hardware y almacenamiento

2.2. Tipos de SAl

En general, podemos identificar dos tipos de SAl, en función de su forma de trabajar:

•

•

Sistemas de alimentación en estado de espera o Stand-by Power Systems (SPS). Este tipo de SAl activa la alimentación desde baterías automáticamente cuando detecta un fallo en el suministro eléctrico.

SAl en línea (on-fine), que alimenta el ordenador de modo continuo, aunque no exis­ta un prablema en el suministro eléctrico, y al mismo tiempo recarga su batería. Este dispositivo tiene la ventaja de que ofrece una tensión de alimentación constante, ya que filtra los picos de la señal eléctrica que pudiesen dañar el ordenador, si bien el tiempo extra de trabajo que ofrece es menor que el de los SPS. -"'~"" -I!Il O.Ba~..., -\O Ovc<l_ -llEI~B~

Back·UPS es

6 5 o

Fig. 2.7. Distintos modelos de SAl.

Fig. 2.8. SAl con alimentación eléctrica.

2.3. Modo de funcionamiento

Como ya hemos dicho, un SAl es un dispositivo auxiliar que alimenta un ordenador, bien de modo continuo o bien quedando a la espera hasta que es necesario (cuando hay un corte de luz). Las Figuras 2.8 y 2.9 ilustran este funcionamiento.

En la Figura 2.18 podemos ver una representación de un SAl en línea, en una situación normal donde hay suministra eléctrico. El SAl está conectado, por un lado, a un enchufe de la red, a través del cual recibe la corriente con la que va cargando sus baterías, y por otra se conecta al equipo o equipos a los que vaya a prateger.

En la Figura 2.9 podemos ver cuál es la situación cuando se praduce un corte de luz, y la alimentación del ordenador depende únicamente de las baterías internas del SAl. Dispondremos de alimentación el tiempo que estas baterías tarden en descargarse .

Fig. 2.9. SAl cuando hay un corte de alimentación eléctrica.

• :..'

Seguridad pasiva. Hardware y almacenamiento

• 3. Almacenamiento de la información

Otro de los factores clave de la seguridad de cualquier sistema es cómo y donde se al­macena la información. En este punto hablaremos de los tres aspectos más importantes que debemos tener en cuenta cuando tratemos la seguridad física de la información: el rendimiento, la disponibilidad y la accesibilidad a la misma.

Existen numerosas técnicas que se esperan proporcionen estas características, como son los sistemas RAID, los clusters de servidores y las arquitecturas SAN y NAS, a los que dedicaremos el resto del tema.

Pero, ¿qué entendemos por rendimiento, disponibilidad o accesibilidad a la informa­ción?

Pues bien, siempre que hablemos de rendimiento nos estaremos refiriendo a la capaci­dad de cálculo de información de un ordenador. El objetiva es obtener un rendimiento mayar, y esto se puede conseguir na solo can grandes y modernos ordenadores, sino utilizando arquitecturas que reciclan equipas que se han dejada de usar parque se en­contraban anticuadas.

El concepto de disponibilidad hará refe­rencia a la capacidad de las sistemas de estar siempre en funcionamiento. Un siste­ma de alta disponibilidad está compuesto por sistemas redundantes o que trabajan en paralelo, de modo que cuando se pra­duzca un fallo en el sistema principal, se arranquen los sistemas secundarios auto­máticamente y el equipo no deje de fun­cionar en ningún momento.

Otra factor importante es la accesibilidad a la información; si nuestra información se encuentra duplicada y en lugar seguro, pera la accesibilidad a ella es mala, por ejemplo porque solo es posible acceder por carretera y se han almacenado las copias de seguridad a una distancia de varias horas de viaje, en caso de desastre el tiempo que se empleará en poner en marcha el plan de recuperación será ma-

No hay que confundir acc:esible con seguro, un sistema con difi­cultad de acceso puede no ser seguro si una vez que se llega al emplazamiento es posible hacerse con la información sim­plemente abriendo una puerta.

yor que con un sistema accesible. Fig. 2.10. Racks de computadoras de un ePD ¡Will Weterings).

Actividades "

8. Busca en Internet información sobre distintos tipos de SAl disponibles en el mer­cado. Crea una tabla clasificándolos en función del tiempo de trabajo extra que ofrecen, del númera de equipos que pueden conectarse a ellos, si disponen de reguladores de tensión y de su precio. Algunos de los fabricantes más importan­tes que puedes consultar son Emerson, APC, Eaton, Socomec.

9. Como ya sabes, un SAl incorpora habitualmente mecanismos reguladores de tensión, pero su precia hace que no sea asequible a un usuario doméstico. En el mercado existen alternativas mucho más económicas para prateger los equ;-­pos contra subidas y picos de tensión. Busca información sobre estos equipos en Internet, y selecciona el que te parezca más adecuado para tu ordenador personal; justifica el porqué de tu elección. Puedes consultar las páginas de los fabricantes de la Actividad 8.

i / 2 Seguridad pasiva. Hardware y almacenamiento ----~--~------~----------------------

RAIDQ

A1

A3

A5

A7

...... Disco O

Fig. 2.11 . RAID O.

RAID 1

"- A1 ~

"- A2

A3

A4

'-- --- '-Disco O

Fig. 2.12. RAID 1.

A2

A4

A6

A8

..... Disco 1

A1 A2

A3

A4

..... Disco 1

4. Almacenamiento redundante y distribuido

RAID consiste en un conjunto de técnicas hardware o software que utilizando varios discos proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabi­lidad en el almacenamiento. Se trato de un sistema de almacenamiento que utilizando varios discos y distribuyendo o replicando la información entre ellos consigue algunas de las siguientes características:

o Mayor capacidad: es una forma económica de conseguir capacidades grandes de almacenamiento. Combinando varios discos más o menos económicos podemos conseguir una unidad de almacenamiento de una capacidad mucho mayor que la de los discos por separado.

o Mayor tolerancia a fallos: en caso de producirse un error, con RAID el sistema será capaz en algunos casos de recuperar la información perdida y podrá seguir funcio­nando correctamente.

o Mayor seguridad: debido a que el sistema es más tolerante con los fallos y mantie­ne cierta información duplicada, aumentaremos la disponibilidad y tendremos más garantías de la integridad de los datos.

o Mayor velocidad: al tener en algunos casos cierta información repetida y distribui­da, se podrán realizar varias operaciones simultáneamente, lo que pravocará mayor velocidad.

Este conjunto de técnicas están organizadas en niveles. Algunos de estos niveles son:

o RAID nivelO (RAID O): en este nivel los datos se distribuyen equilibrada mente (y de forma transparente para los usuarios) entre dos o más discos. Como podemos ver en la Figura 2.11 los bloques de la unidad A se almacenan de forma alternativa entre los discos O Y 1 de forma que los bloques impares de la unidad se almacenan en el disco O y los bloques pares en el disco l.

Esta técnica favorece la velocidad debido a que cuando se lee o escribe un dato, si el dato está almacenado en dos discos diferentes, se podrá realizar lo operación simultáneamente. Para ello ambos discos tienen que estar gestionados por controladoras independientes.

Hay que tener en cuenta que RAID O no incluye ninguna información redundan­te, por lo que en caso de producirse un fallo en cualquiera de los discos que componen la unidad provocaría la pérdida de información en dicha unidad.

o RAID nivel 1 (RAID 1): a menudo se conoce también como espejo. Consiste en mantener una copia idéntica de la información de un disco en otro u otros dis­cos, de forma que el usuario ve únicamente una unidad, pero físicamente esto unidad está siendo almacenada de forma idéntica en dos o más discos de forma simultánea.

Como podemos ver en la Figura 2.12 todos los bloques de la unidad A se alma­cenan de forma idéntica en ambos discos.

Si se produjera un fallo en un disco la unidad podría seguir funcionando sobre un solo disco mientras sustituimos el disco dañado por otro y rehacemos el es­pejo.

El principal inconveniente es que el espacio de la unidad se reduce a la mitad del espacio disponible. Es decir, si disponemos de dos discos de 1 TB cada uno (2 TB entre los dos) y montamos una unidad en RAID 1, esta unidad tendrá un espacio total de 1 TB.

Seguridad pasiva. Hardware y almacenamiento 2

• RAID nivel 5 (RAID 5): En RAID 5 los bloques de datas que se almacenan en la unidad, y la información redundante de dichos bloques se distribuye cíclicamente entre todos los discos que forman el volumen RAID 5. Por ejemplo si aplicamos RAID 5 sobre un conjunto de 4 discos, como vemos en la Figura 2.16, las bloques de datos se colocan en tres de los cuatro discos, dejando un hueco libre en cada línea que irá rotando de forma cíclica (una línea está formada por un bloque con el mismo número de orden de cada disco y estó representado en la Figura 2.16 con el mismo color). En este hueco se colocará un bloque de paridad. Con este sistema, el bloque de paridad (en la Figura 2.13, Ap, Bp ... ) se coloca cada vez en un disco. Como vemos en la Figura 2.13 el bloque de paridad de la línea A (Ap) está en el disco 3, el bloque de paridad de la línea B (Bp) está en el disco 2 yasí sucesivamente.

l

El bloque de paridad se calcula a partir de los bloques de datos de la misma línea, de forma que el primero será un 1, si hay un número impar de unos en el primer bit de los bloques de datos de la misma línea, y O si hay un número par de unos.

Por ejemplo, en la Figura 2.13 en el bloque de paridad Ap el primer bit (el más significativo) será un 1 porque hay un número impar de unos en el primer bit de cada bloque de datos de esa línea (es decir los bit marcados en rojo). El espacio total disponible para un volumen RAID 5 que utiliza N discos es la suma del espacio de los N discos menos el espacio de uno.

Actividades 9t 10. Dado el conjunto de 4 discos de la Figura 2.14 que monta un volumen RAID 5,

calcula los bloques de paridad y completa la figura.

---Linea A IDID0 11011

1--... --101 Ap 0~01 011 f.... --050 11101

Linea B 1--...11111010 11110001 Bp 00010101

1--...1110000C!.... 00001109.-f.... Cp ..:.- f....1111011!...-Linea e

Linea D Dp 10001001 1111101~ f....1 01 01 01.9... Linea E 11111110 01111110 10101010 Ep

Linea F 11110000 00001110 Fp 01011101

Linea G 00101011 Gp 10101010 00110110

Disco O Disco 1 Disco 2 Disco 3

Fig. 2.14. Conjunto de 4 discos.

11. Imagina que se perdiera el disco 1. Llega una petición de lectura de la línea F, ¿podría realizarse? ¿Qué información devolvería?

12. Cuando aún no se ha recuperado el disco, llega una petición de escritura para la línea F: hay que escribir el valor 1000llll OOOOlllO Ol Olll O. ¿Crees que se podrá realizar esta operación? Haz las modificaciones que sean necesarias.

13. Una vez que se ha conseguido un disco con las características adecuadas, se decide sustituir el disco dañado y recuperar el funcionamiento normal de la unidad utilizando los cuatro discos. Recupera la información de dicho disco uti­lizando solo la información de los discos O, 2 y 3.

Disco O Disco 1 Disco 2 Disco 3

Fig. 2.13. RAID 5.

Los discos dinámicas na están disponibles en las versiones Home de Windows XP y Windows Vista.

En RAID 5 si se produce fal en dos discos la información es irrecuperable. Esto parece muy improbable, pero o medida que se añaden más discos, la proba­bilidad aumenta.

Seguridad pasiva . Hardware y almacenamiento

~. -""", """""""-.....-....j

Se puede pasar un disco básico a dinámico sin perder informa~ ción, pero no al revés.

Además cuando un disco se con~ vierte en dinámico solo podrá arrancar el sistema operativo que está activo en el momento de la conversión.

q Caso p'ráctico 2

4.1. RAID en Windows

En Windows estamos acostumbrados a que una unidad física corresponda con una unidad lógica (o varias en caso de tener varias particiones). Este es el concepto clásico de Windows, los discos básicos.

A partir de Windows 2000 comienza a aplicarse además de los discos básicos un nue· va tipo de almacenamiento llamado discos dinámicos. Al igual que en los discos básicos creábamos unidades lógicas, en las discos dinámicas creamos volúmenes dinámicas. Existen cinca tipas de volúmenes dinámicos:

• Simples: es un valumen que utiliza espacio de un solo disco física. Es el tipo de dis­co dinámica que se crea cuando transformamos una unidad lógica en un volumen dinámico.

• Distribuidas: es un valumen que se crea ocupando espacia de varias discos. Se cons­truye coma una concatenación de discos, sin existir una regla que especifique cómo tienen que almacenarse las datas en las discos (coma ocurre en RAID O). Permite crear unidades grandes a partir de varios discos. Los principales inconvenientes san que na supone ninguna meiara en la velocidad del acceso y que na incluye redun­dancia. También san conocidas cama JBOD.

• Seccionadas: corresponde can el nivelO de RAID.

• Refleiados: corresponde con el nivel 1 de RAID.

• RAID 5: corresponde con el nivel 5 de RAID.

4.2. RAID en Windows Vista

Dentro de la rama de sistemas operativos de Microsoft no orientados a servidores (Win­dows XP, Vista ... ) solo es posible crear los tres primeros tipos de volúmenes dinámicos: simples, distribuidos y seccionados.

Creación de volúmenes seccionados en Windows Vista

Crear un volumen seccionado en Windows vista para ace­lerar el acceso a disco y meiarar así la experiencia de los usuarios mientras realizan operaciones de tiempo real.

Debemos comprobar en el administrador de discos que tenemos al menos dos discos más a parte del disco en el que tenemos el sistema operativo.

1. Accedemos al administrador de equipos de Windows. Para ello accedemos a la sección de Sistema y mantenimiento del Panel de control, accedemos a Herra­mientas administrativas y posteriormente al Administrador de equipos. Una forma más rápida de acceder a esta ventana es hacer clic con el botón derecho del ratón sobre el acceso directo a equipo y seleccionar la opción Administrar.

Susc~r nuev~> soluciones Ver el his t ori~ 1 de problemas

Información y herramientas Consultar la puntuadón total de I~ Usar herr~m i en t as p~ra

J:iJ11 Administrador de dii, oo.;iti,'o,1 ~ ~ Ver hardware y dispositivos

i I equipos

~Administraci6n de impre1ión ~Configurac1ón del sistema

!EJ Directiva de seguridad local r§ Firewall de Windows con seguridad avan ...

~Herramienta de diagnóstico de memoria ~lniciador ¡SCSI

2. Una vez que nos encontramos en la con­sola de administración de equipos (Fig. 2.15), accedemos en la ventana de la izquierda (árbol de la consola) a Admi­nistración de discos, que se encuentra dentro de la sección Almacenamiento.

(lI Monitor de confiabilidad y rendimiento ~Orlgene1 de datos oose @ Programadordetareas 1&, Servidos

eventos

Fig. 2.15. Acceso a Administración de equipos en Vista o través de Panel de control.

(Continúal

(Continuación)

En la Figura 2.16 podemos ver cuatro discos, el disco O que es el volumen de sistema y de inicio y los discos 1, 2 Y 3 que de momento son discos con todo su espacio sin asignar.

"" 10,00 GB NTFS

Seguridad pasiva, Hardware y almacenamiento

Casa p'ráctica 2 9 Para poder continuar con los siguientes pasos de este caso práctico tenemos que tener al menos 2 discos del mismo tamaño y sin asignar (es decir, libres).

9 DiK" O OinlÍmk" 10,OOGB Enplntlllll Cenede (Sislema, Ananque, Archivo de pIgin.cifln, Ve lc.d ,,)

blIDbI;" 1 BlÍsieo 10'OOI;,~e"~,----.!. En pi Nuevo VIl~mVl cftrtribuido_

~ Nuevo VOktnVl secd orudo_

: ic Ccnvm i, VI disco dinimico_

10,00 Ccn'rol;' VI di.aI GPT E,p

Propiedades U D B,hic Ayu da 10,OOI .... .....:...."I .. lOm.oo'""".------' En plnlall. No Is'gnado

Fig. 2.16. Administrador de equipos.

3. Para convertir los discos que tenemos libres en discos seccionados, pulsamos con el botón derecho sobre uno de los discos sin asignar, yen el menú desplegable que nos aparece seleccionamos la opción Nuevo volumen

--_ ... ..... ~ .. IJ, I!I D.,.rlll • .Il It ....... "" _ ... , ...... c-....... __ .. ...... ..

Fig. 2.17. Nuevo volumen seccionado,

4. Seleccionamos los discos que queremos utilizar para generar el volumen seccionado (Fig. 2.19). Los discos que seleccionemos almacenarán de forma repartida (tal y como se explica en el punto 3) los ficheros y direc-

' ................ lUÓIINdO 121 _d_ I l'uede~b<h<::l r .... """"""~docb:::op""'etI.ooUnen .

S<Iecoc:neIo.cb:cs_d ........ JcIes;ouesha;.ck:en~.

........ ~ .. ; []~I;";"

,. 10000MB

~Io.., HIZJ81.1B

I <~todo.l

T5!Iñ>l.:tIrIdclvcUnon .... ~ab,\ .. (M~ "",- .--=r.oornia:lo<bx:nt40(l.lB)-. ¡¡¡¡m-Sfto:i::r.t lo Cdid.o~ d. ts¡l&:>:I (I.IB) ~

~I ~.> I I c.nc:.u I

Fig. 2.19. Seleccionar discos a seccionar,

seccionado (Fig. 2.17). Nos aparecerá el Asistente para nuevo volumen seccionado (Fig. 2.18). Pulsamos en Siguiente para seguir con la configuración.

Asistente p.ilr.l nuevo volumen s.ccdonado

..,....,."...".....,II»=r .. ." ........ -==-nclo

.... r ... _r~~"'~ .... _ ·'"

...,.*'~C""' __ ...........

Fig. 2. 18. Asistente para V"¡',,ncIAn seccionado,

torios que coloquemos en el nuevo volumen seccio­nado. En la Figura 2.19 puedes ver que para el desa­rrollo de este caso práctico se han seleccionado los tres discos que estaban sin asignar en la Figura 2.16.

11uMr ........... ~

"fIIlIrldno do .... cJ.I o n.II. do ~ ] p." ctt ...... ..:cao tn.b 1""",,",0 . PIret!. U7W ...... 1oInr de Lrida;j D oQ do LndI~''''V"::itnon.

@r ~!alolnrdc<ri1a:l~. , lC3 O M:rt.-., lo 09HrU cnU IfTFS Yacl.,

! I I Ó=' I e Ha ..qw ...... I.tr.Dl\Udo_dc...-.dad

~1 SQ.>tne> I I ""'" I

Fig. 2.20. Asignar letra a la nueva unidad. (Continúo)

~/ 2 Seguridad pasivo. Hardware y almacenamiento ------~--~--------~--------------------------

12

q Caso práctico :2

(Continuación)

5. Eri el siguiente paso seleccionamos la letra de la unidad que queremos asignarle al nuevo volumen (tiene que ser una letra que no esté asignada a ninguna otra unidad). Si seleccionamos la opción Montar en (o siguiente carpeta NTFS vacío podemos integrar el espacio de este volumen dentro de una unidad ya existente eligiendo la carpeta en donde queremos añadir este volumen.

-~ ........ Debe fo:m.!l!ear ~e vol.rnerlarlles de poder ~ dilo. en él.

~----------------------------" I .

{) No fOlllllllfW este voh.rnen I @ Famaeil'" ale vob!Ien can La adop3Ci6n li¡.l.ier1e:

~em/l6e arc:Nvc1: ~INTF~S~~~~§" I Ta-nñcl"'u .. dadde~: ~emNdo .. 1

~a del vobnen: Odas USUlIri::.

DIWI...mSo~

O HabU. ~ de an;tyyg , Y ClfpeID'I

Fig. 2.21. Formolear volumen.

7. Por último se nos muestro un resumen de las operacio­nes que se van a realizar, en donde debemos compro­bar que corresponde con lo que deseábamos hacer ini­cialmente.

Uno vez que pulsamos sobre Finalizar, se nos mues­tra una advertencia (Fig . 2.23) en la que se nos avisa

1,

1

! '

6. A continuación en la Figura 2.21 seleccionamos el sis­tema de archivos con el que se desea formatear el nuevo volumen (Windows recomienda NTFS) y la eti­queta que queremos asignar a la unidad. En el caso de la Figura 2.21 se ha seleccionado sistema de fiche­ros NTFS y como etiqueta del volumen «Datos usua­riOS».

Anallzadón del Asistente para nuevo volumen secdonado

Fig. 2.22. Finalización asistente.

que los discos seleccionados se van a convertir en dis­cos dinámicos y que después de esta operación no se podrá arrancar ningún sistema operativo instalado en ellos a excepción del sistema actual (Windows Vista). Podemos pulsar sí porque inicialmente los discos no estaban asignados (Fig. 2.19), así que no contienen nin­guna informacián.

~A~d~m~i~n i~n~~~c~io~· n~d~.d~is~co~s~ ____________ -~II~~ _____________________ ~f13l13~\ 1

I la operación elegida convertirá 105 discos básicos seleccionados en discos dinámicos. Si los discos se convierten en dinámicos, no podrá iniciar ningún sistema operativo instalado en los volúmenes de los mismos, a excepción del volumen de arranque actual. ¿Está seguro de que desea continuar?

Fig. 2.23. Aviso de arranque de atros 50.

8. Puedes comprobar que la unidad generada tiene un tamaño igual al tamaño de las tres unidades. En el caso concreto de este caso práctico, 30 GB. Si cada uno de los discos que forman este nuevo volu-

Sí No

men tuviera una contraladora diferente aceleraríamos mucho los procesos de lectura/escritura en disco, ya que podrían realizarse 3 lecturas o escrituras al mismo tiempo.

Seguridad pasiva. Hardware y almacenamiento 2

• 4.3. RAID en Windows 2008 Server

En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los tipos de volúmenes dinámicos estudiados en el Apartado 4.1. En concreto en el siguiente caso práctico crearemos un volumen reflejado utilizando Windows 2008 Server.

Reflejar en Windows 2008 el volumen de sistema y de inicio

1. Arrancamos Windows 2008 Server y entramos en el Administrador de/servidor (Fig. 2.24). El administrador del servidor lo podemos encontrar en las Herramientas administrativas igual que el Administrador de equipo en Windows Vista. También podemos entrar pulsando el botón secundario del ratón sobre el acceso directo de equipo.

.

... _, ,,= I IM OG!l !~.C'lG!l frI_WI I ",.~,do L

.!..l . 'b ... ~.aé: . ~ .. .:.=n= .... I DS. = Fig. 2.24. Administrador de servidor.

2. Es fundamental que los discos que vayamos a utilizar para reflejarse sean del mismo tamaño. Puesto que uno de los discos, el del sistema (disco O en la Figura 2.24) ya está asignado y tiene un tamaño, tendremos que utilizar un disco de mayor o igual tamaño que este. En el caso de la Figura 2.24 se ha utilizado un disco de igual tamaño.

1r.F5

~,~ .. ~;r ........ ~ •. ~ ..

Fig. 2.25. Agregar rel/e;o. Administrador de discos.

Caso p'ráctico 3 9

Microsoft también recomienda que los discos sean de las mismas características y estén manejados por controla­doras diferentes. Así nos estaremos protegiendo ante un mayor número de tipos de fallos (si se produjera un fallo en la controladora de uno de los discos el otro seguiría funcionando).

3. Una vez comprobado esto, hacemos dic sobre el área asignada del volumen que queremos reflejar y seleccio­namos la opción Agregar reflejo, tal y como podemos ver en la Figura 2.25. Si no aparece esta opción por lo general se debe a que el volumen que tenemos sin asignar no es del tamaño adecuado.

4. En la ventana Agregar reflejo seleccionamos el disco1 , que es sobre el que queremos reflejar el disco del sis­tema (disco O) y pulsamos sobre Agregar reflejo .

Agregar reflejo (

Si agrega un reflejo a un volumen existente se podrá tener una redundancia de datos. ya que se conservarán múltiples copias de los datos de un volumen en diferentes discos.

Seleccione una ublcadón para el reflejO de C:.

Discos:

I ~regar reflejo I Cancelar

Fig. 2.26. Agregar rel/e;o.

rx

5. Windows muestra una alerta (Fig. 2.26) que advierte, igual que en el caso práctico anterior, de que los dis­cos se van a transformar en dinámicos y por tanto solo podremos arrancar a partir de este momento Windows 2008 Server.

A partir de este momento, el sistema replicará la informa­ción que contenga el volumen del sistema en el otro disco. Así, si se produce un fallo en un disco del sistema seguirá funcionando con el otro.

~ ~ Seguridad pasiva. Hardware y almacenamiento ------~--~--------~--------------------------

Fig. 2.27. Clusler casero con ordenadores diversos (vista delantera).

Fig. 2.28. Clusler casero con ordenadores diversos (vista trasera).

los clusters son sistemas tan fia­bles que organizaciones como Google y Microsoft los utilizan para poner en marcha sus por­tales. Por ejemplo, en el año 2003, el cluster Google llegó a estar conformado por más de 15 000 ordenadores perso­nales.

5. Clusters de servidores Un cluster de servidores en un conjunto de vorios servidores que se construyen e instalan para trobajor como si fuesen uno solo. Es decir, un cluster es un grupo de ordenadores que se unen mediante una red de alta velocidad, de tal forma que el conjunto se ve como un único ordenador, mucho más potente que los ordenadores comunes.

Una de sus principales ventajas es que no es necesario que los equipos que lo integren sean iguales a nivel hardware ni que dispongan del mismo sistema operotivo, lo que per­mite reciclor equipos que se encontraban anticuados o en desuso y rentabilizor su uso mediante un cluster de servidores, como el que puedes ver en las Figuros 2.27 y 2.28.

Con este tipo de sistemas se busca conseguir cuatro servicios principales, aunque, en generol, según el tipo de cluster que utilicemos, obtendremos una combinación de vorios de ellos:

o Alta disponibilidad.

o Alto rendimiento.

o Balanceo de carga.

o Escalabilidad.

5.1. Clasificación de los clusters

Como en tantas otras tecnologías, podemos realizor la clasificación de los clusters en función de varios conceptos, pero todos ellos relacionados con los servicios que ya hemos mencionado.

Atendiendo a estas carocterísticas hablamos de tres tipos de clusters:

o Clusters de alto rendimiento (HC o Hjgh Performance C/usters). Este tipo de sistemas ejecutan tareas que requieren de una gran capacidad de cálculo o del uso de grandes cantidades de memoria (e incluso de ambas conjuntamente). Cuando están realizando este tipo de toreas, los recursos del cluster son utilizados casi en exclusiva duronte periodos de tiempo que pueden ser bastante largos.

o Clusters de alta disponibilidad (HA o High Avai/abi/ity). Con estos clusters se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen. Poro ello se utili­za hordwore duplicado, de modo que al no tener un único punto de fallos (aunque se produzca una avería en un componente siempre habrá otro que pueda realizor el mismo trabaja), se garontiza la disponibilidad del sistema. Por otra parte, incorporan softwore de deteccián y recuperoción ante fallos, con objeto de hacer más confiable el sistema para su uso.

o Clusters de alta eficiencia (HT o Hjgh Throughput). En estos sistemas el objetivo cen­trol de diseño es que se puedan ejecutor el mayor número de tareas en el menor tiempo posible, entendiendo que hablamos de tareas individuales cuyos datos na tienen dependencia entre sí.

Otro tipo de clasificación de los clusters de servidores viene dada por su ámbito de uso, donde hablaremos de dos tipos:

o Clusters de infraestructuros comerciales, que conjugan la alta disponibilidad con la alta eficiencia.

o Clusters científicos, que en generol son sistemas de alto rendimiento.

Lo cierto es que muchas de las carocterísticas de las orquitecturas de hardwore y soft­wore son las mismas en todos estos tipos de clusters, aunque luego los requisitos de las. aplicaciones que funcionen sobre ellos sean muy distintos. Esto hace que un determina­do tipo de cluster pueda también presentor coracterísticas de los otros.

Seguridad pasiva. Hardware y almacenamiento

• 5.2. Componentes de los clusters

Poro que un cluster funcione necesito de uno serie de componentes, que, como yo sobe­mos, pueden tener diversos orígenes; es decir, no tienen por qué ser de lo mismo morco, modelo o característicos físicos. Entre estos componentes están:

• Nodos: es el nombre genérico que se dará a cualquier máquina que utilicemos para montar un cluster, como pueden ser ordenadores de sobremesa o servidores. Aún cuando podemos utilizar cualquier tipo de hardware para montar nuestro sistema, es siempre buena ideo que hoyo cierto parecido entre los capacidades de todos los nodos (en la Figura 2.29 puedes ver un cluster montado con ordenadores idénticos), ya que, en coso contrario, habrá siempre cierta tendencia o enviar el trabajo a realizar a aquel equipo que disponga de una mayor capacidad de procesamiento.

• Sistema operativo: podemos utilizar cualquier sistema operativo que tenga dos característicos básicas: debe ser multiproceso y multiusuario. Es también convenien­te que sea fácil acceder o él y usarlo, poro facilitar el trabajo sobre el mismo.

• Conexión de Red: es necesario que los distintos nodos de nuestra red estén conectados entre sí. Para ello podemos utilizar una conexión Ethernet (con las pla­cas de red que incorporan los equipos e incluso con las integradas en los placas base) u otras sistemas de alta velocidad como Fast Ethernet, Gigabit Ethernet, Myrinet, Infiniband, SCI, etc.

• Middleware: es el nombre que recibe el software que se encuentra entre el sistema operativo y las aplicacio­nes. Su objetivo es que el usuario del cluster tenga la sensación de estar frente a un único superordenador yo que provee de uno interfaz único de acceso 01 sistema. Mediante este software se consigue optimizar el uso del sistema y realizar operaciones de balanceo de carga, tolerancia de fallos, etc. Se ocupa, además, de detectar nuevos nodos que vayamos añadiendo al cluster, dotan­dolo de una gran posibilidad de escalabilidad.

• Sistema de almacenamiento: cuando trabajamos con clusters podemos hacer uso de un sistema de almace­namiento interno en los equipos, utilizando los discos duros de manero similar a como lo hacemos en un PC, o bien recurrir o sistemas de almacenamiento más complejos, que proporcionarán una mayor eficiencia y disponibilidad de los datos, como san los dispositi­vos NAS (Nefwork Attoches Storoge) o las redes SAN (Storoge Areo Nefwork), de lo que hablaremos con mayor detalle en el siguiente apartado, dedicado al almacenamiento externo. Fig. 2.29. Cluster montado con equipos idénticos.

Actividades ~

14. Realizo un listado de sistemas operativos multiusuario y multiprocesador. Con­sulto en Internet si pueden utilizarse poro montar un cluster de servidores.

15. Busco información sobre los conexiones de alto velocidad mencionados en el Apartado 5.2. ¿Qué velocidades proporcionan? ¿Qué requisitos hardware necesitamos poro utilizarlos?

Seguridad pasiva. Hardware y almacenamiento

NAS ----------- -- - -----,

[1 Disco n : - -- ------- -- -- -- - __ ,

Fig. 2.30. Arquitectura NAS.

SAN r ____ _ _ __ _____ ___ __ •

,- - - - - - - - - - - - - - - - -, , ,

[1 Disco 11 , "-------------- - - - -,

Fig. 2.31. Arquitectura SAN.

16

• 6. Almacenamiento externo

En el apartado anterior hemos visto que con los clusters podemos procesar mucha más infarmacián que un ordenador independiente, pero ¿dánde guardamos esta informacián?

Una posibilidad es utilizar las sistemas de almacenamiento de las nodos, sus discos duros, por ejemplo. Pero existen otras alternativas que nos permitirán un control y una gestión mucha mayores sobre los datos procesados, como las tecnologías NAS y SAN. El uso de cualquiera de estas tecnologías es independiente de la existencia de un cluster, aunque resulta idónea como método de almacenamiento cuando se dispone de uno, especialmente si las complementamos con utilidades para la realización de copias de seguridad como las que veremos en la Unidad 3.

6.1. Network Attached Storage

Los dispositivos NAS (Nelwork Attached Storage) son dispositivos de almacenamiento específicas, a los cuales se accede utilizando protocolos de red, generalmente TCP/IP, como puedes ver en lo Figuro 2.30.

Lo ideo consiste en que el usuario solicita al servidor un fichero completo y, cuando lo recibe, lo maneja localmente, lo cual hoce que este tipo de tecnología sea ideal para el uso con ficheros de pequeño tamaño, ofreciendo la posibilidad de manejar uno gran cantidad de ellos desde los equipos clientes.

El uso de NAS permite, con bajo coste, realizar balanceo de carga y tolerancia a fallos, por lo que es codo vez más utilizado en servidores Web poro proveer servicios de al­macenamiento, especialmente contenidos multimedia.

Hay otro factor que debemos tener en cuenta, y es que los sistemas NAS suelen estar compuestos por uno o más dispositivos que se disponen en RAID, como hemos vistos en el Apartado 4 de lo unidad, lo qu!,! permite aumentar su capacidad, eficiencia y tolerancia ante fallos.

6.2. Storage Area Network

Una red SAN (Storage Area Nelwork) o red con área de almacenamiento, está pensa­da paro conector servidores, discos de almacenamiento, etc., utilizando tecnologías de fibra (que alcanzan hasta 8 Gb/s), como ves en la Figura 2.31.

El uso de conexiones de alto velocidad permite que sea posible conectar de manero rápida y segura los distintos elementos de esta red, independientemente de su ubicación físico.

De modo general, un dispositivo de almacenamiento no es propiedad exclusiva de un servidor, lo que permite que varios servidores puedan acceder o los mismos recursos. El funcionamiento se basa en las peticiones de datos que realizan las aplicaciones 01 ser­vidor, que se ocupo de obtener las datos del disco concreto donde estén almacenados.

Dependiendo de lo cantidad de información manejado, podremos optar por el uso de una u otra tecnología. Poro grandes volúmenes, sería conveniente utilizar una red SAN, mientras que poro pequeñas compañías lo idóneo sería un dispositivo NAS. Esto no quiere decir que ambas tecnologías sean excluyentes; existe, de hecho, la posibilidad de combinarlas en sistemas cuyas características así lo riequieran.

~ Actividades

16. Compara las tecnologías NAS y SAN. ¿Qué ventajas y desventajas tiene el uso de cada una de ellas?

Aplicar medidas de seguridad pasiva en sistemas informá­ticos describiendo características de entornos y relacionán­dolas con sus necesidades

1. En la actualidad se están buscando alternativas para aprovechar el calor generado por los Centros de Datos en otros usos. Busca infarmacián y noticias de este tema, crea un pequeño documento con las más curio­sas y añade algún posible uso alternativo que se te ocu­rra.

2. Busca información sobre el funcionamiento de los siste­mas de detección precoz contra incendios, e ilústralo con casos reales de uso.

J. Últimamente están praduciéndose algunos picos de tensión y cortes intermitentes en la zona donde está situada la agencia de viajes SiTour, lo que les ha lle­vado a plantearse la posibilidad de instalar SAl que evite posibles daños en sus equipos y les proparciones el tiempo necesario para guardar los datos con los que estén trabajando en el momento del corte. ¿Qué equipo les recomendarías? ¿Por qué?

Puedes utilizar la tabla que desarrallaste en la Activi­dad 7 de la unidad, ya que debes tener en cuenta los mismos factores utilizados como referencia para reali­zar dicha actividad.

Array de discos

Fig. 2.32. Arquitectura 1.

Seguridad pasiva. Hardware y almacenamiento 2

Comprueba tu aprendizaje "

Gestionar dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para ase­gurar la integridad de la información

4. Comprueba en la documentación de tu placa base si so parta algún tipo de RAID. Si lo soporta, localiza la opción en el menú de configuración de BIOS.

5. Genera un volumen seccionado en Windows utilizando tres discos.

6. La red de Supercomputación Española se compone de varios c1usters situados en diferentes puntos del país. Averigua qué sistemas la integran, cuál es su localiza­ción geográfica y cuál es la finalidad de uso principal de cada uno de ellos.

7. Las siguientes figuras representan redes donde se han utilizado alguno de los sistemas de almacenamiento vis­tos en la unidad: NAS y SAN. Identifica cuál corres­ponde a cada uno de ellos y explica por qué.

Fig. 2.33. Arquitectura 2.

-=::y- r

2 Seguridad pasiva. Hardware y almacenamiento

.8

Factores relativos .... _...:0:.;105 instalaciones

Otros factores

Control de acceso

Recuperación ante desastres

-(

En estado de espera ISPS)

~ -­En línea

• C·", .~ ,í' Almacenaml ~ ~eíliil~nfo:rmamon

Almacenamiento -f "-_...:.::re::;::du::::nd;;:;:a~nte~_,,

Cluster de servidores

Network Attached Storage

Slorage Area Network

Edificio

Espacio y movilidad

Tratamiento acústico

Seguridad física del edificio

Suministro eléctrico propio del CPO

Factores naturales

Servicios disponibles

Seguridad del entorno

RAID O

RAID 1

RAID 5

Cluster de alto rendimiento

Cluster de alta disponibilidad

Cluster de alta eficiencia

llJUllDdOJdJ Seguridad pasiva. Recuperación de datos

y estudiaremos:

• Copias de seguridad e imágenes de respaldo.

• Medias de almacenamiento en copias de seguridad.

• Políticas de copias de seguridad.

• Software de copias de seguridad.

• Recuperación de datos.

En esto unidad aprenderemos a:

• Seleccionar estrategias para la realización de copias de seguridad.

• Realizar copias con distintas estrategias.

• Crear y restaurar imágenes de restauración de sistemas en funcionamiento.

• Aplicar técnicas de recuperación de datos.

• Definir políticas de copias de seguridad.

( ( . ,

~,, ~t(

;0

Seguridad pasiva. Recuperación de dolos

/ , ¿Sabías.q,!e ••• ? • Según un estudio realizado por la Universidad de Texas, solo el 6 % de las empresas que tienen pérdidas catastróficas de datos logran seguir su aclividad frente a un 43 % que nunca podrán reabrir su negocio; el resto ten­drá que cerrar en dos años.

Según información publicada en The Guardian una empresa incapaz de acceder a sus datos durante diez días nunca se recu­perará totalmente: el 43 % de ellas irá a la bancarrota, ya que una parada de tan solo cuatro horas puede costarle hasta un 30 % de sus ingresos mensuales a una compañía de servicios de telecomunicaciones e infra­estructura.

1. Introducción Hoy en día, tanta las empresas como los particulares guardamos gran cantidad de in­formación en los soportes de almacenamiento de nuestros equipos informáticos. En un gran número de entidades y hogares dicha información se encuentra protegida contra amenazas lógicas, una vez que tenemos instalados programas específicos poro ello, como antivirus o firewall; sin embargo, son muchas menos las personas o entidades que realizan copias de seguridad; copias que permitirían restaurar la información en caso de pérdidas ocasionadas por desastres de diversa índole, coma incendios, inundacio­nes, apagones, terremotos ... Dichos desastres pueden suponer grandes pérdidas para las empresas en caso de no poder recuperar la información.

Recordemos algunos de los sucesos ocurridos en los últimos años, la caída de las Torres Gemelas o el grave incendio ocurrido en la Torre Windsor. En ambos casos se perdió gran cantidad de información. En el caso del incendio en Madrid fallaron los deteclores de humo, las alarmas ... pero no fallaron, en cambio, los planes de protección de datos de las empresas Garrigues y Deloitte, que en poco más de 72 horas después del suceso, trabajaban con acceso pleno a cada una de sus aplicaciones y a la información. Gracias al plan de recuperación en caso de desastre, estas empresas pudieron en un breve espacio de tiempo volver a su actividad sin sufrir grandes pérdidas económicas. Estos desastres lograron que numerosas empresas que no tenían planes desarrollados de recuperación para casos de desastres tomaran consciencia de la necesidad de los mismos y empezaran a realizar copias de seguridad, tanto de la configuración de los sistemas como de los datos.

Todos, tanto las grandes empresas multinacionales como el usuario de a pie, debemos guardar copias de seguridad de la información de nuestros equipos, porque Murphy puede aparecer en cualquier momento a hacernos una visita. Cuántas veces hemos de­dicado horas a preparar un traba¡o para clase y en el último momento se ha ido la luz o ha entrado un virus, y es entonces que nos lamentamos de no haber hecho copias de seguridad cada cierto intervalo de tiempo.

Como conclusión, las copias de seguridad garantizan dos de los ob¡etivos estudiados en la primera unidad, la integridad y disponibilidad de la información. Estas son útiles para restaurar el sistema operativo, las aplicaciones y los datos en caso de ocurrir algún desastre. Además, debemos tener presente lo que estudiamos en la primera unidad refe­rido a la Agencia Española de Protección de Datos; recordemos las exigencias de dicha entidad a las empresas que almacenan datos personales de usuarios: estas deberán realizar copias de seguridad de los datos recogidos en sus equipos.

Estas copias de seguridad se podrán realizar en multitud de soportes de almacena­miento, cintas, CD, DVD, en discos duros externos o en dispositivos de almacenamiento remotos.

Otro punto en el que deberíamos pensar es cómo destruir de manera segura los so­portes donde hemos guardado los datos, ya que en numerosos casos se almacena información confidencial. Debemos evitar que, una vez que consideremos la máquina obsoleta para nuestra empresa y la tiremos o la reciclemos, vendiéndola a empresas o a particulares con menos necesidades que nosotros, estos puedan leer la información confidencial del disco. En el mercado existen diversos métodos que garantizan la des­trucción de los datos.

~ Actividades

1. Visita las páginas http://www.blancco.com/en/frontpage/ y http://www.edrsolutions.com.

Analiza los distintos tipos de mecanismos de destrucción de disco y ordenadores que poseen.

Seguridad pasiva . Recuperación de dolos

• 2. Tipos de copias de seguridad Dependiendo de la cantidad de ficheros que se almacenan en el momento de realizar la copia, podemos distinguir tres clases de copias de seguridad:

• Completa: como su nombre indica, realiza una copia de todos los archivos y direc­torios seleccionados_

• Diferencial: se copian todos los archivos que se han creado a actualizado desde la última copia de seguridad completa realizada_ Por ejemplo, si hacemos una copia de seguridad completa todos los viernes a las 00:00 horas y una copia de seguri­dad diferencial el resta de las días, cada copia diferencial guardará los archivos que se hayan creado o modificada desde el viernes a las 00:00 horas hasta e l momento de realizar la nueva copia. Una de las ventajas de este tipo de copia frente a la anterior es que se requiere menos espacio y tiempo para el proceso de la copia .

./

Datos día 1

Copla lolal

./

Modificación dla 2

./

1....-

./

1/

l Copia

diferencial día 2

Modificación día 3

Modificación día2

1....-

1....-

IL

1/

Fig_ 3.1. Archivos modificados que se deben guardar en /a copia diferencial.

f

Copia diferencial

día 3

• Incremental: se copian los archivos que se han modificada desde la última copia de seguridad completa o diferencial realizada. Por ejemplo, si hacemos una copia completa los viernes a las 00:00 horas y copias de seguridad incremental el resto de los días a la misma hora, cada copia incremental solo guardará los archivos que se hayan modificado el día que se realiza la copia desde las 00:00 hasta las 23:59. Una de las ventajas de este tipo de copias de seguridad frente a la anteriar, es que el proceso de la copia es mós rópido y ocupan menos espacio; ahora bien, si hemos de restaurar los archivos por pérdida a causa de un desastre, necesitare­mos la copia de seguridad completa, y todas las copias incrementales realizadas desde la copia integral.

Datos día 1

Copia lolal Modificación Clfa 2

1....-

1/ I

1/

Copia incremental

día2

./

Modificación dla3

Modificación dla2

Fig. 3.2. Archivos modificodos que se deben guardor en Jo copio incrementol.

;-

1/

1....-

1/

1/

- Copia incremental

día 3

Actividades ~

2. Indica qué necesitamos cuando se realizan copias completas y diferenciales para restaurar la información.

3

Seguridad pasiva. Recuperación de datos

Fig. 3.3. CD regrcbcble.

3. Copias de seguridad de los datos las copias de seguridad de las datos, como su nombre indica, son copias de la infor­mación que se almacenan en un lugar diferente al original. Aunque parezca mentira, se trata de un error muy habitual que tanto los administradores como los usuarios del sistema suelen cometer, al guardar las copias de los datas en la misma ubicación que los originales a muy cerca de los mismos. lo que suele hacerse por comodidad resulta un fallo garrafal: imaginemos que en una empresa se produce un incendio o una inun­dación en el centro de cálculo, donde además se guardan las copias de seguridad de los datos y las imágenes de los sistemas, ¿qué sucedería? El incendio arrasaría tanto los equipos con sus sistemas y datos como todas las copias e imágenes de respaldo de los sistemas, aplicaciones e información. la empresa habría perdido toda la información, por lo que perderían mucho tiempo y dinero hasta volver a recuperarlo todo. lo habi­tual, en las organizaciones con una buena seguridad, consiste en almacenar una copia de los datos en el propio centro de procesamiento de datos, y otra copia completa en un lugar diferente al centro de cálculo, que se encontrará protegido de la misma manera que los centros de procesamiento de datos.

Otro de los problemas clásicos cuando las organizaciones realizan copias de seguridad resulta de la mala política de etiquetado de las copias. Debemos ser muy exhaustivos cuando etiquetamos las copias de respaldo, y al mismo tiempo, hemos de conseguir que los datos que etiquetemos no sean muy claros para los posibles intrusos. Se recomienda etiquetarlas mediante códigos impresos, códigos cuyo significado sea conocido exclusi­vamente por los técnicos que manejan las copias de seguridad.

o ¿De qué archivos debemos hacer copias de seguridad?

las copias de seguridad deben realizarse de todos los archivos que sean difíciles o imposibles de reemplazar (esquemas . de red, distribución de IP, listas de control de acceso, etc) .

o ¿Dónde debemos hacer las copias de seguridad?

Como hemos comentado anteriormente, una de los errores más habituales es utilizar el mismo soporte en el que se encuentran los datos para almacenar las copias o ubicarlas en el mismo lugar donde se encuentran los equipos de los que hemos realizado las copias.

la finalidad de la copia de seguridad es poder recuperar los datos en caso de desastre. Si la copia se encuentra en el mismo disco o en una partición del mismo y se produce una avería física en él, no podremos recuperar los datos ni la copia de seguridad.

las copias de seguridad se pueden hacer en distintos soportes, en discos duros externos, en discos compactos, en OVO, en cintas, en memorias flash, en discos SSO ...

la realización de copias de seguridad en un sitio diferente a la ubicación original se de­nomina OFf-sile Dala Proleclion. Existen numerosas empresas especializadas en dichos servicios, como hHp:/ /www.perfectbackup.es.

o Soportes

A continuación vamos a analizar las ventajas y desventajas de los distintos soportes:

• los discas CO y OVO regraba bies ofrecen un númera muy limitado de escrituras, a pesar de que la mayoría de los fabricantes aseguran que se pueden realizar unas mil grabaciones. la experiencia nos demuestra que después de varias decenas de escrituras, las grabaciones fallan, y aparecen mensajes del tipo «el soporte es de solo lecturo» . .

Seguridad pasiva . Recuperación de dolos 3

• La cinta es una de los soportes más antiguos que se siguen utilizando en la actua· lidad. Sus características principales son el gran volumen de almacenamiento que permiten y su alta fiabilidad. Son más lentas que los discos duros convencionales, pues como sabemos, el acceso a las datos es secuencial (siempre debemos recorrer toda la cinta desde el principio hasta que encontremos el dato).

• Los memorias de tipo flash (pendrive, microSD, compactFlash y similares) no son muy recomendables, ya que se suelen estropear con facilidad debido a los golpes y a los altos voltajes que reciben en ocasiones accidentalmente, y además hay que tomar en cuenta la capacidad tan escasa que tienen.

Fig. 3.4. Distintos modelos de almacenaje.

• Los discos duros o discos rígidos usan métodos de grabación basados en la imanta· ción del soporte. Aunque han ido evolucionando ráridamente, esto sola ha supuesto un incremento en la capacidad de los mismos, en e tiempo de acceso a los sectores y en lo fiabilidad. Hoy que recordar que no hoce muchos años ero necesario opor· cor lo aguja del disco poro poder trasladarlo de un lugar o otro. Si lo aguja no se aporcaba, una vez que desconectábamos el disco esta se movía y podía golpear y rayar los discos que componían el disco duro. Hoy en día ya no es necesario aparo car la aguja, es una operación que los discos realizan automáticamente cada vez que se apagan.

Fig. 3.5. Distintos modelos de discos duros.

• En la actualidad se empiezan a realizar copias de seguridad en soportes SSO. La desventaja de este tipo de unidades es el precio, son muy caras, y su capacidad es limitada. Sin embargo, este tipo de tecnología SSD (Salid Slale Orive) tiene grandes venta jas frente a los discos duros convencionales porque no tienen elementos mecá· nicos, lo que los hace ser mucho más fiables frente a los discos duros tradicionales . El rendimiento de la tecnología SSD es mayor que el de los discos duros clásicos, y el tiempo de acceso de los SSD es bastante inferior a un milisegundo frente a las varias decenas de milisegundos habituales de los discos duros tradicionales. Es una de las opciones de futuro, dado que su precio actual hace impensable adquirir un disco de 500GB. l

Se está investigando en una nuevo tecnología basado en nanotubos que permitirá una durabilidad de los discos duros muy superior a la actual. Hablamos de unos 1000 años.

Actividades "

3. Realizar un estudio como parativo que recoja los distintos tipos de sopor· tes, con su capacidad máxima y precio medio par GB.

~/ 3 Seguridad pasiva. Recuperación de dalas

4

----

3.1. Copia de seguridad de datos en Windows

Hay muchas herramientas que permiten hacer copias de seguridad de los datos en sistemas Windows. Vamos a estudiar en profundidad la herramienta Backup4all. Esta herramienta nos permite proteger los datos de los posibles pérdidas parciales o totales, automatiza el proceso de realización de copias de seguridad y permite, entre otras funciones, comprimir y cifrar las copias de seguridad.

q Caso práctico 1

Crear copia de seguridad completa para poder recuperar 105 datos con facilidad en caso de desastre

En esta práctica vamos a crear una copia de seguridad del directorio denominado "Seguridad Infarmática». En él se encuentran almacenados datos impartantes que na que­remos perder. Para realizar el backup, vamos a utilizar la aplicación Backup4all Professional, que podremos descar-

o ~~~..,.,.. .t:1 · ,QOlS11.QD . ....... ]11 - ¡~ a l

!!:..- ~,,- ,- ....

It ~ .", 1 :: 1 • 1 fui U U ~ I (9 ,,~ ~m

, ... '"

Fig. 3.6. Pantalla inicial Backup4all Prafe55ianal.

2. Hacemos dic sobre el icono New,! para realizar una nueva copia de seguridad. Como se trata de la primera copia de respaldo que vamos a realizar la haremos completa.

3. En la nueva pantalla (Fig. 3.7) escribimos el nombre y la ubicación donde vamos a guardar la copia de seguridad. Como vemos, la aplicación permite ele­gir dónde queremos realizar la copia de seguridad: local (en el propio disco, grabarla en un CD o DVD o bien en un disco duro externo), en la red, o bien mediante FTP. En esta primera práctica vamos a guar­dar la copia en la carpeta que par defecto nos indica la aplicación.

4. Para continuar, podemos hacer dic bien en el botón Nexl (Siguiente), bien en el botón Advanced made (moda avanzado). Al ser la primera vez que maneja­mos la aplicación, haremos dic en el botón Next para ir familiarizándonos con la herramienta. En la nueva ven­tana (Fig. 3.8) debemos elegir el directorio, fichero!s o

garnos gratuitamente de la página www.backup4all.com/ download.php.

1. Una vez instalada la aplicación, veremos una panta­lla similar a la de la Figura 3.6. En dicha pantalla se encuentran desactivadas los botones de Backup (copia de seguridad) y Restare (recuperación), debido a que aún no hemos realizado ninguna copia de seguridad.

() I¡ ..... e.:;kup W",¡n;\ 1=1 8 J a I

@ Name your backup

Dld",pnlmo::

Where do you want lo saya your backup?

Fclder.

Advlncrdm~de I

Fig. 3.7. lugar y nombre de la copia de seguridad.

e '" "

Whal do you want to backup?

~!5el~",~·.;;"",of",fiIH",.",",,,,f.,,,,,,,,,"=======;~ ... 1 ~'::r1 (dnl.JI lo blCkup 111 File\Folder Si:e III e Hillerfil on Synem DI

m 1iJ €!) G'l ~ Plgdile en 5ylltm 01 (2) = TtmPCraryFilts'Ule

l

C~"';!df;¡;."i;;'.51 [1 ~,~,,:¡':,";:'.=llll=:!,,"=;;;~:;::JI lO :~~: Adv,nctd mode I I P,eviOUl 1I Nul I I »Ve ~ I I

Fig. 3.8. Directorio del que vamos a hacer la copia.

(Continúa)

Seguridad pasiva. Recuperación de dolos 3

Casa práctico 1 9 (Continuación)

conjunto de directorios de los que vamos o realizar lo copio. En nuestro coso, queremos hacer lo copio del directorio llamado «Seguridad Informático» , por lo que tenemos que hacer dic en Add folder (añadir carpeta). En el coso de se quisieron hacer copias de seguridad de ficheros, deberíamos haber hecho dic sobre Add files (añadir ficheros). Después de seleccionar el direc­torio hocemos dic en Next.

o New Badrup WlL!rn

How do you want to backup?

I Makefull ·1

Encrypt?

O Yes @ No

I le."! pil:;w.ord:

Confirrn new pilssl".'ord:

Help How do you \11M! lo backup?

5. En lo siguiente pantalla (Fig . 3.10) debemos elegir el tipo de copio; como es lo primero vez que guar­damos los datos, haremos uno copio de seguridad completo, de modo que elegimos lo opción Make full (Realizar completo). En esto pantalla podemos optar también por cifrar lo copio . En este coso no lo cifro­remos, por lo que dejamos marcado lo opción por defecto (No).

Advaneed mode Previous H Next I I SlIve ~ I I Cincel

Fig. 3.9. Tipo de copio.

6. En lo siguiente pantalla debemos especificar lo perio­dicidad de lo copio. En nuestro coso debemos selec­cionar lo opción manualmente, yo que por el momento no queremos que se repito lo copio completo en un futuro. Después de dicho elección, hocemos dic sobre Save (Guardar) y seleccionamos la opción Save and run (Guardar y ejecutor).

Inmediatamente después, lo aplicación se pone en fun­cionamiento y empiezo o almacenar lo información se-

leccionada en la nuevo ubicación. Tronscurridos varios minutos, lo copio de seguridad habrá terminado y podre­mos comprobar cómo los datos guardados en el direc­tario Seguridad Informático se han copiado en un archi­vo comprimido (con extensión zip) dentro del directorio COPIA_SEGURIDAD (nombre del backup, Fig . 3.8) en el directorio My Backup4all que se encuentra en lo carpeta Mis Documentos.

Lo mismo herramienta, Backupal14Professional, nos permite realizar copias de seguridad incrementales, como veremos en el siguiente coso práctico.

Actividades _

4. Habitualmente los usuarios de o pie guardamos lo información bajo el directorio Mis Documentos. Os proponemos que realicéis uno copio de seguridad como pleta de dicho carpeta en un disco extraíble.

)

i6

Seguridad pasiva. Recuperación de datas

Para comprobar el funciona~ miento de la copia de seguridad diferencial es conveniente que modifiquéis la información alma~ cenada en el directorio donde vamos a realizar la nueva copia diferencial.

~ Actividades

5. Anteriormente hemos reali­zado una copio completa del directorio Mis Docu­mentos. Debido a que cons­tantemente estamos actua­lizando los documentos ya creados o bien creando nuevos documentos¡ os pro~ ponemos que realicéis una copia de seguridad diferen­cial de dicha corpeta.

-

¡q Caso flráctico 2

Crear copio de seguridad diferencial para salvaguardar los archivos que se han creado o actualizado desde la última copia de seguridad completa realizada

Poro realizar esta actividad, vamos a utilizar la misma aplicación que en el caso práctico anterior, Backupall4Professional.

1. En el caso práctico anterior, realizamos la copia de seguridad completa del directorio «Seguridad Informática» que guardamos con el nombre Copia_Segu­ridad (Fig. 3.10).

, .. _-,- -..

Im~Kl .. o" l>dh".......... l.~ ... _ _ ..... ' n ....

I""'~ ....... --1i:U>.=

-

Fig. 3.10. Información de las copias de seguridad.

2. Paro hacer la copia diferencial de la copia realizada en el caso práctico ante­rior, debemos seleccionar la copia de seguridad realizada anteriormente, deno-minada «Copia_seguridad». O

3. Hacer dic sobre el icono Properties ' ,,,mio (Propiedades).

4. En la nueva ventana, modificaremos el tipo de copia seleccionando diferencial (dentro de Type, seleccionamos DifferentiaJ). Con ello, conseguiremos que se guarden los ficheros nuevos y aquellos que hayan sido modificados desde que se realizó la copia completa del directorio. Por último hocemos dic en Save and run (Guardar y ejecutar).

G~.'~I I

~-~" I \.1 i.=l ~ .. rtI d"""

E.<: . rn,1 hMd d,.... I

CD. ovo cr E~fOV I

~m"",,~I. I

Il tI",,,,k I

FTl' .. "",r I 1.CJ;i'

So"rn.

......

' -

I ~_ ....... keful~

R) I 'h.cI;flctl11li.I""o<l'

D W'h.clill,,01\l;.I .. , ....

I

I In,atl>~ I!

so d- ,. 01 htI ~.tkup '''' !;¡¡ ~~

Fig. 3.11. Definición de la copia diferencial.

P, ........ I :,'

,:'

Seguridad pasiva . Recuperación de datas

Una buena solución sería automatizar este proceso para que la copia de seguridad se haga siempre a partir de una determinada hora.

Caso F!ráctico 3 9 Programar la realización de uno copio incremental todos días o los 22:00 horas

En esta práctica vamos a programar una copia de seguridad del tipo incremental para que se realice de manera automática todos los días a las 22:00.

1. Abrimos la aplicación Backupal14 Professional y hacemos elic en Nuevo.

2. En la nueva pantalla hacemos elic en Advanced mode (Modo avanzado, Fig. 3.12).

l l amo your b<1ckup

Whcro do you w<1nllo !)<1VO your b<1ckup?

(il. ,,1

fol~.c.

Fig. 3.12. Cuadro de diálogo de la nueva copia de seguridad.

3. En el panel izquierdo de la nueva pantalla hacemos clic sobre General. En el panel derecho escribimos el nombre de la copia, en nuestro caso Copia_incre­mental, y rellenamos el campo de descripción. El resto de los campos los deja­mos como estaban.

Ph ""~"'''''''"''''I''> " <1>.DI'tI., .o.-".. ...., • . . ...... t>o """"

t .. ~.

1""" j "''' ..... , i .... ""' ...

Fig. 3.13. Pestaña General de la copia de seguridad.

4. En el panel izquierdo hocemos elic en Destination (Destino) y elegimos el soporte donde vamos a guardar la copia de seguridad. En nuestro caso vamos a seleccionar un disco duro externo. Inmediatamente después de realizar la nueva elección podemos observar cómo la bola verde, que anteriormente estaba situada junto a Local hard drive, ha cambiado de posición situándose al lado de External hard drive (Disco duro externo). Hacemos elic en el panel izquierdo sobre External hard drive, y elegimos el disco a utilizar haciendo elic en la pestaña para ver los disponibles. Hacemos elic en Browse (Explorar) para especificar la carpeta donde queremos guardar la nueva copia.

3

57

Seguridad pasiva. Recuperación de dolos

q Casa práctico 3

(Continuación)

5. En el panel izquierdo hacemos clic sobre Sources (Fuente u origen) para definir qué datas queremos guardar en la copia de seguridad. Hacemos clic en Add folder (añadir carpeta) en el caso de querer añadir un directorio, o en Add file (Añadir fichero) para añadir archivos. Posteriormente buscamos la carpeta/s y/o fichero/s.

I O ~·t.< ..... ,,-,

, I :~~:::.::,. ~L-á1¡~ '"~"~.~~~-§'~.~~~-~'~~~~~===~:J CO. !Ml.,.t. ... <IJ ~~'*-;~I ..... ~.~ ~ _ . . ::1 "''''''''''1. f....r""'.. lOa ~..,,_

n • .."...,

1

= ~.

,~ ,. M ... ,.!."

• 'il L:l I;o\u...,v.n...

Fig. 3 .14 . Definición de la información a copiar.

Brome Fer Fcld~r L..!U

SeIea Itle fcIder to be &ddell In Itle SDU'=crbWul: I

J.l Mis equipos '<irtuales . ~ JJ My BIC~U¡>,bll r, ¡!j My Hcfmann

e ~ ] Ilrcgramll ~ J.. pUrllo r. ] SEGURlDADINFORMÁTICA

L. TElOE -" m I ,

CMp:1ZI: SEGlRlDAO ll'a:oRMÁllCA

I c.ur rueva I3J)eIZl I ~I~I

Fig. 3.15. Explorando.

6. En el panel izquierdo hacemos clic en Type (tipo) para determinar el tipo de copia que queremos realizar. En nuestro casa seleccionamos incremental.

lD<ol h. nl ~, .....

1.1 bl.m.1 h.,~ <!t~

Il). ovo '" ~1"'"1 R.movelll.

1I.",,,,,t

FfP ..... "

'"' 11.1 l.,C'.m,o'ol

I Io\;/ro,

, Com~, • .,.on ¡ M;.nad

I ~~' L~

~ ~Ih<<I<f ..... ~"l.upl¡p<: N _ (l Di/f .. "",.1 ",' In""""""

O ~ ... IimiI"....,h .. r:fr.le._

t:l V .... limó n""'b .. r:ft"kup ·c " , :

Fig. 3 .16. Definición del lipo de copia a realizar.

7. Como vamos a guardar la copia de seguridad en un disco dura externo, a priori sin protección en el acceso a los datos, vamos a intentar asegurar la copia con­tra intrusos, cifrándola (concepto que veremos en profundidad en la siguiente unidad). El cifrado permitirá ocultar la información a personas ajenas. Cifrare­mos la unidad mediante el algoritmo AES (128 bits). A continuación escribimos la clave para cifrar. Esta contraseña debe ser de al menos 8 caracteres, y debe estar formada tanto por números como por letras en mayúsculas y minúsculas (Figs. 3.18 y 3.19).

(Continúo)

J I

Seguridad pasiva. Recuperación de datos

__ ~ _______________ -=C:::a::s;:;a ..!:p'::.ra:::;· ctico 3 9 (Continuociónl

0' .... __ --...0 · ...... ,-.....

'1 ::.,':" . _. ~

.~

1 .... ... _

D ..... , ... , ' ..... ~.." ..... .. "' .. , .. , ... D Lh .......... ,'.-. ..... .

... ,,, ... ,,......

l'

::::=~~, ~ .. ~, ....... , ""', .. _ ...... '. , • ...... ~~~ .. - , .... .... "" ... ' .. '~ ,_...... · 1

., ...... ,."",,

CE:JC§!J

Fig. 3. 17. Comprimir y cifrar copio.

Se:t password l~ I 'r=~--~---=~=----

EntEr cid pasEwcrd:

Enter new eassword:

• •••••••• Confirm new password:

l········· [j Show pllssword

OK 1 1 C.""I

Fig. 3.18 . Contraseño.

8. Progromamas la copia haciendo clic sobre Scheduler (Planificadorl. Hacemos

clic en Add (Añadir). En la nueva ventana definimos el tipo de copia, el usuario y la clave del mismo,

i • ::::::::: .. I :;:.: -. ,,"'c,

, '-

C...-.:= lo'

¡ •• -

1·::- 1I

! ;::::- 11 ~ .. : ::::::::"_._ ...... -

b --.y l ~~:~ .~_~ -~ .. ,,~'- '-

~ ""u, ""'",,===3 1"" !!:."'"..".., . 1 1:10,,, ,,,,, ,,01,,, ,,,,

c ¡"" C T.~

Fig. 3.19. Programador. Fig. 3.20. Propiedades de lo programación,

9. Posteriormente se abre una nueva ventana en el que especificamos la periodici­dad y la hora en la que se realizará la copia. En nuestro caso definimos que se realice todos los días a las 22.00 horas.

~ Alas llOO rwamen!e,comenW\doel l 1110/2009

Prcgramart!<u: H::nI d~ n.:i:I :

~I~~~. ___ ~ .. I 22.00 ¡;j I AVIMlla:luu. I

I'regz:nMla ta.-ea a.u..!:tlenle

Cada ~d¡a(l)

., ¡:¡

Fig. 3.21. Definición de lo hora y periodicidad de la capia.

3

59

Seguridad pasiva. Recuperación de dolos

Como es lógico, lo herramienta nos permite, en caso de pérdida de datos, recuperar la información a partir de las copias de respaldo realizadas. Veamos un ejemplo en el siguiente caso próctico.

Q Caso p'ráctico 4

Restaurar copia de segurida d para recuperar los dalas perdidos

En esta próctica vamos a int entar recuperar los datos que guardamos en la copia ealizada anteriormente con la aplicación Backup4all de seguridad incremental r

Professional.

ano I,,¿ 1 para restaurar la copia. lo

20

30

40

Hacemos elic sobre el ic

En la nueva ventana defi nimos dónde queremos que se restaure la copia . En el staure en la misma ubicación, dejamos la opción por caso de querer que se re

defecto, Use original loe alion; en caso contrario, marcamos la segunda opción, (Elegir otra ubicación). Choose another localion

Elegimas la que querem os restaurar entre las distintas opciones: restaurar las os los ficheras, seleccionar los ficheros y restaurar la

mas, filtrar los ficheros y restaurar la última versión .. . En mas la primera opción, Restaurar las últimas versiones acemos elic en Finish.

últimas versiones de tod última versión de los mis nuestro caso selecciona de todos los ficheros, y h

O CC¡::;'.i~I · Rnlc,..W •••

Whoro do you Wiln 110 ros loro?

~u .... ~n.g;., .II"totic:n

o Chceu oncth .. lcuúon CC=========:=JI@ o D~ no' " .... d,c.o 1,

How do you wanll o rasloro?

'I!' l'.fit=th. t'I«t ""';"n

O P.clcrc.H rol .......

O Chcc .... r~n."d tule,. \h. 1.1001 VftUcn

etc,,\ho l.otet ""';cn

..u;' .lnyvtnicn

cttdrda

e Che~dfo/l .. ro/n.nd'

() Chcc.dfoll .. r,rn ond,

El Rmcn: oc.Iudod ond del

Dp .... ¡ .... rd ..... "'. md d ..c.rd

- O- tic ......

Fig. 3.22. Cambia

Como la copia incremen sos, debemos introducir I

Ent~ r Password

ndo las propiedades de una copia.

tal se había cifrado para protegerla de posibles intru­a elave.

Enter pi!lssword for b (fiI~ -C:\Users\Ani!l\

Ickup number 2 Documl!nts\S .. AD INFORMÁl1CA\ tl!lT1a3\ tl!lTl

•••••••••

I

Figo 30230 Clave de ciFrado.

~ Actividades

60 Restaura las copias de seguridad creadas en las Actividades 4 y 5 .

Seguridad pasiva. Recuperación de dolos 3

• 3.2. Copia de seguridad de datos en Linux

Hay muchas aplicaciones sobre Linux que nas permiten realizar copias de seguridad, desde las más básicas cama dump y restare hasta herramientas más avanzadas cama duplicity. En el siguiente caso práctico vamos a aprender a manejar dicha herramienta.

Casa práctico 5

Crear copias de seguridad y restauración de las mismas con la herramienta duplicity en GNU/Linux

Duplicity es un software libre que se utiliza en las distribu­

ciones GNU/Linux para realizar copias de seguridad. Sus características principales son las siguientes:

1. Puede guardar la copia en un servidar FTP. Sugerimos

la aplicación quick and easy Ftp server, por ser muy sencila su configuración.

2. Comprime las copias para ocupar menos espacio y

consumir un menor ancho de banda.

"',. p' : ,

3. Cifra la información utilizando el archiconocido pro­grama GnuPG.

4. Se utiliza mediante el uso de comandos, de modo que es muy sencillo realizar scripts para automatizar tareas.

Antes de poder utilizarlo para realizar copias de seguridad y guardarlas en un servidor FTP necesitamos instalarlo, ya sea mediante el uso los comandos para instalar software de nuestra distribución, ya mediante el uso de alguna aplicación grófica como el Gestar de paquetes de Synaptic IFig. 3.24).

" ! :- = 6rChivo fditar faqulte t.onnguración Al'-Ida

~ 1m <P prop~ades ! ~ Recargar Marcar todas 111 actualizaciones Aplicar Buscar - .-

Todo E Paquete ¡ versión instalad .. ultima

duplicity O baclr;upninja 0.9.5·2

fOJ dupicity 0.4.10

!' I I ¡I ) encrypted bandwldlh--efflcJent backup

1'1 I i . 1 Duplicity backs directoriu by producing encf)'Pted tar·formal

I volumes

S.eccianes I and uploading them lo a remote or local file server. Because

I fstado I dupWcity

uses librsync. the incremental archives are space effici!nt

I Origen I and onty

I record the parts of files tha! h....,. changed since the last

[íbos pef'5ooahados I badrup.

I Besukadol da bú. queda I Because duplicityUll1 GnuPG to encl)1ll and/or sign thuI

;¡¡rchives. they . ¡2 pilquetes lisIados. 1122 Instalados. o rot05. 3 para inltalarfatlualizar. O para eliminar; se uSBrin 1

Fig. 3.24. Geslor Synaplic.

Es posible que nuestra distribución no tenga instalado el paquete G nuPG, en cuyo caso también tendríamos que instalar el paquete correspondiente.

Una vez realizado todos los pasos anteriores, y por supues­to teniendo acceso a un servidor FTP, estamos en disposi­ción de realizar copias de seguridad cifradas y comprimi­das que se guardarán en el servidor remoto.

En esta práctica vamos a cifrar una carpeta de nombre '<recetas», que se encuentra en el escritorio del usuario Ma­carena. Para ello abriremos un Terminal y ejecutamos el comando que muestra la Figura 3.25.

~rchivo Editar Y'er Terminal ~olapas AlUda

Como podemos observar, haremos una copia de la car­peta en un servidar FTP de nombre ftp.sitour.com, utilizan­do la cuenta que allí tendrá el usuario Macarena. Tras la

o rw

macarena@jupiter:-$ duplicity --short-filena.es Escritorio/recetas/ ftp://.acarena@ftp.sitour.com

Fig. 3.25. Comando duplicity.

(Continúa)

~/ 3 Seguridad pasiva . Recuperación de datas ----

q Caso práctico 5

(Continuación)

ejecución del comando se nos pide que introduzcamos dos claves: la primera, la del usuaria Macarena en el servidor FTP, y la segunda, la que utilizará GnuPG para el cifrado de la informacián.

6rChiva ¡¡d~ ar ~.r rl rmlna! .solape. ~d/l

En nuestro caso hemos introducido «patata» e «inesque­guapaes» (Fig. 3.26).

A cantinuacián se nas muestro infarmacián sobre el resultada.

.. c ... nl@jupiter,·t i~p\idt~ · · 'hoH-Ht ,,, .. u !se.itado/recelosl ftp :// .. c.r.nl~ftp.,it.ur . c .. PIo~"""rd for 'ftp,sitour.ul' : GnuP<l plnph'UI : Relrp. tu contir.,

Fig. 3.26. (n traducción de contraseñas.

C/u""'" ~.. lt'I' J''' '' ''''''' ~u....... T UI

'K ••• nlpj""i~uplldt' · · ' .... n · lit"" .. ., I!nti tod../n cltl . ' flp " I .. c.r .... ~lIp . lito .. r . co. PIo ...... ,d fo. ' f1., . • ilour.u . ' , GnuIPG p.u .. II .... : Ro-1JPo lO confi .. , 'ID .ivnl'tu ... f"""d. Mulli", u fuU lote1up, ··-----------·1 Bukup 5ulinlu l · ···· ··· · ····· 5nnTi .. 1255337972 . !>1 ,Ito" Oct 1] lO:~ : S2 200!1I EndTi .. ~n. S5 tito .. Oct 11 IO:U, S:Z lOO'J ) a, .. ,.dTi .. 0.04 10 . D4 UCOncll) Sou retFilu , So'I rccFihSh. 16-410 11S.1 d) lb1'ilu , /CIof'ih5iz. 1~ 116.1 IlDI o.htedFU u o o. lnv.~FU.1 o o.ln g.~FU .5iz. o 10 by tul o.lng.~OoltI5h. o 10 byt .. l OoHIEntri .. 6 ~ltlSiZl 78 178 byt .. l TotolOortin.tionSiz.Chlng. s.-~ (5-1, b,t nl Errors o

Fig. 3.27. Información del resultado de ejecutar el comando duplicity.

La primera vez que utilizamos duplicity para realizar el backup de una carpeta la aplicación genera una copia de seguridad completa . A partir de ese momento, las copias de seguridad sobre dicha carpeta serán de tipo incremen-

tal, es decir; se copiarán únicamente los archivos nuevos a modificadas desde que se hizo la copia anterior. Se puede forzar en cualquier momento la realizacián de la copia completa añadiendo el modificador «full» (Fig . 3.28).

•• , ...... ""' ..... J .. ..... .

6rthivo Ed~ ar ~r I. rminal s.a l~pu ~da

.. cl r.n.@ju~il. r ' .' cIu~licll, ,.,11 .. • Ioort - U h n .. u EI<r1urio,rlcdal' ft~"I .. nr.l\ltftp.sitour.co ..

Fig. 3.28. Copia de seguridad completa con duplici ty _

Si la que queremos es restaurar la copia de seguridad ten­dremos que ejecutar el comando que muestra la Figura 3.29.

e,rthivo Editar ~r Jem'lfl aJ s.olapas ~a

Si quisiéramos reponer un unlco fichero, par ejemplo el fi­chero paella de la carpeta «españolas», en el directorio del que hemos hecha la copia de seguridad «recetas», tendría­mos que ejecutar un comanda cama el de la Figura 3.30.

n Clr.n.@jupit"r , ., dul'ticity • ·,hut · filen .. " ftl" /f .. c ... nl,ltp . 5;,0 .. r .ce l ElcriteriD/ rccctu/ nc ... na@jupitor:., •

Fig. 3.29. Reslaurar copia de seguridad con duplicity

Fig. 3.30. Res/aurar un lichera de la copia de seguridad.

Cama vemos hemos utilizado el modificador - -file­to-restore, que toma tres argumentas: el primero, el fichera que queremos restaurar; el segunda, el lugar donde

se encuentra la copia de seguridad; y el tercera, el lugar en el cual la vamos a restaurar.

)

,

3~ _________________________ S_e~g~u_ri_d_o_d~p_o_si_vo_._R_e_c_u~pe_r_o_c_ió_n_d_e_d_o_IO_S_______ I

4. Modos de recuperación frente a pérdidas en el sistema operativo

A lo largo de lo unidad hemos estudiado los distintos formas de recuperar lo información (correos electrónicos, documentos de Word, Excel, bases de datos) perdida o causa de algún desastre. Al igual que los datos, el sistema operativo falla o funciona de manera imprevisible debido a alguna actualización incorrecta o al insertar una nueva aplica­ción, un nuevo controlador poro algún dispositivo, etc.

Al igual que realizamos copias de seguridad de los datos, debemos realizar otras del sistema operotivo, para así restablecer su correcto funcionamiento lo más rápidamente posible y evitar la instalacián del mismo desde cero (esta última es la opción más drás­tico y la que más tiempo consumiría).

En el caso de los sistemas operativos de la familia Microsoft podremos intentar restaurar el sistema del equipo al estado en el que se encontraba antes de realizar la acción que produjo la avería en el mismo. La restauración permite devolver los archivos del sistema a un momento anterior.

Pero paro ello debemos crear y guardar puntos de restauración. El sistema operativo Windows Vista ofrece la posibilidad de guardar puntos de restauración de manera au­tomático, para lo cual deberemos tener activada la prateccián del sistema.

Coso práctico 6 9 Activar la protección del sistema en Windows Vista para que cree puntos de restau­ración automáticamente

En esto práctica vamos o activar lo protección del sistema en Windows Vista para que sea el propio sistema operativo el que se encargue de generar puntos de res­tauración de forma automática. Gracias a dichos puntos de restauración podremos recuperar el sistema operativo en caso de fallo.

1. Abre el Panel de control.

2_ Hoz clic en Sistema.

3. En el panel izquierdo hoz clic en Protección del sistema.

4_ Selecciono lo casilla de verificación que aparece al lado del disco en el que quieras activar la protección automático, hoz clic en Aplicar y posteriormente en Aceptar.

>--, 0"" '""~.~~- ..".

..... ".-..... , ....

Fig. 3.31. Prolección del sislemo.

Prcpiod.od .. d~ ;;,1=\.0 uu ,-~

....... n ....... I'r.::IIC:I6n 001 Il0l ..... -..-t; :::...~:;o=~~~~=

Re.taI. <111 ........ G)u:!a. rr.t .... Io • .-cI'rm I FlalanrOlll ..... _ I a"'¡""", deI_niy c:m> etI ............ ~Olft ........

Mc.dom:loo..rr.ó1l1JomiICa Cnt.FUtcsdo_~..c~.endoccs..,¡~· -- ~ do mtan<:ic!n _

El J. W"RE '''''"' O",\Io:!a':·)~1 O!l11l!2!1C!902!D5

P .. .,. • ..,lU1:>do_~.~ 1 ""' , __ '" ó=I J ÓOI;luH ht;a de ... ~

1-1 1"""'" 1 ~

Fig. 3.32. Activación de lo protección del sistema.

):

Restaurar el sistema no funciona si se utilizan discos inferiores a 1 GB.

'. - . Impor:tant!' 1" \ •

En el caso de guardar punlos de restauración de manera auto­mática debemos tener al menos 300MB de espacio disponible. Restaurar sistema puede llegar a ocupar hasla el 15 % del espa­cio de disco.

Seguridad pasiva. Recuperación de dalos

~ Actividades

7. Crea un punto de restau­ración manualmente.

En el caso de tener activada la protección automática del sistema, este creará los puntos de restauración todos los días y justo antes de detectar el comienzo de lo realización de cambios en el equipo.

En el coso de no tener activada lo pratección automática, debemos crear los puntos de restauración manualmente, cuando pensemos que alguna de los acciones que vayamos o realizar (instalación de actualizaciones, instalación de cantraladares de nuevos dispo­sitivos, etc.) pueda dejar al sistema operativo en un estado inestable.

Q caso ~rác tico 7

e restauración antes de una instalación de un cantrolador que puede Crear punto d dejar 01 siste ma operativo en un estado imprevisible

Los puntos de restauración son creados por la restauración del sistema a intervalos uando detecta el comienzo de la realización de cambios en el equipo específicos, c

o bien cuand o de manera manual se lo solicitamos.

Para crear un punto de restauración manualmente debemos realizar los siguientes pasos:

1.

2.

3_

4_

5_

6_

Abrimos e I Panel de control.

dic en Sistema. Hacemos

En el pan el izquierdo, hocemos dic sobre Protección del sistema.

En la pest año Protección del sistema hocemos dic sobre Crear (Fig. 3.33 ).

Ponemos u n nombre 01 punto de restau ración indicando el momento en el que se uestra coso, «Antes de instalar tarjeta Wi-Fi» y hocemos d ic en Crear. crea. En n

(Fig . 3.35)

Empiezo punto de r

el proceso de creación del punto de restauración. Una vez creado el estauración, podemos proceder a instalar la tarjeta Wi-Fi con lo segu­

que si el proceso dejase 01 sistema operativo en un estado inestable, ridad de podríamos recuperarlo utilizando el punto de restauración creado anteriormente.

PrcpOnlode,,,",w

,---~ lÍi ~~":: pone. d. '" ..... ::..!n ~ .. .s. ........ ~cr.bo

en .... 0l'Il . ,r.l!1.n!~ ~.- ."" :n a "!!, ' . ~ ...... ;

. Protección de l sistema .....-. UU

Crea r un punto de restauración

Escriba U'I.!I desoipd6n para ayud&r a ~~b el pu11D de restallaOÓll. La

~ ..... ""..,.. .. fedla y hora adIJ~es se &Qre;6n '1I1Dm1tic.1mente. d."" ..... d .. ¡uto""-"""

I\n.ll a..rt ...... o..p.rI .. .s.rt

.... -~ J, Wn"E 0E:. \.\Iuf;)(

Antes de iUWu tarjeta Will I

1I1

I "'M II ""'"'" I 1II '- - - ~I

Fig. 3.34. Nombre de punID de restauración,

~ ..... oII<n I::. c!oc=.

Fig. 3.33. e rear punto de restauración.

Protección del sistema

Creando un punto de restauradón. "

F ig. 3.35. Creando punto de restauración.

3~ ___________________________ S_e~g_u_ri_d_a_d~p_a_s_iv_a_. _R_e_cu~p_e_r_a_ci_ó_n_d_e __ d_at_o_s_______ I

Cuando creamos puntos de restauración mediante la herramienta Restaurar sistema se guarda información del estado del sistema en el directorio X:\System Volume Informa­tion, donde X es la unidad en la que se encuentra instalado el sistema operativo (por lo general C). Esta información es una «instantónem> del estado del sistema, de su registro y de las aplicaciones y controladores instalados.

La restauración a un punto anterior solo afecta a la configuración de los archivos del sistema, programas, orchivos ejecutables y el registro; no afecta a los documentos per­sonales, par lo que con dicha operación na podemos intentar recuperar un archivo que hayamos eliminado.

Caso práctico 8 9 Restaurar el sistema a un punto anterior creado para recuperar el correcto funcionamiento del sistemo operotivo

Supongamos que después de la instalación del controlador de lo nueva tarjeta Wi-Fi, el sistema operativo ha empeza­do a fallor. Gracias a que habíamos creado un punto de restauración antes de la instalación previendo el posible percance, podemos recuperar el correcto funcionamiento del sistema, restituyéndolo a su estado anterior a la instala­ción del controlador.

1. Hacemos clic en Inicio, posteriormente clic en Herra­mientas de sistema y por último en Restaurar sistema.

2. Se abre una nueva ventana, Restaurar archivos y configuración del sistema, en la que hacemos clic en Siguiente para restaurar el sistema.

Restaurar archivos y configuración del sistema

Restlurlr SiStema puede ' yu:W a r~'er m II'QbIcmu que ¡)UecW1 p-ovoar que el e:;uitXI se ejea...te CD!Ile!1clUd Q deJe de responder.

Fig. 3.36. Pantalla inicial Restaurar sistema.

3. Se abre una nueva ventana en la que elegimos el punto de restauración, «Antes de instalar tarjeta wifÍ». Hace­mos clic en Siguiente.

4. En la siguiente ventana nos pide confirmación de la res­tauración del sistema al punto seleccionado.

5. Se abre un nuevo aviso en el que nos informa de que no podremos interrumpir la operación de restauración. Hace­mos clic en Sí y empieza el proceso de restauración.

Una vez finalizado el proceso de restauración el sistema fun­cionará con normalidad. Se habrá desinstalado el controla­dor de la tarjeta Wi-Fi, pero no se perderá ninguno de los do­cumentos posteriores a la creación del punto de restauración.

Elegir un punto de restaunldón RestaLlMs.'stema noam!:i4rA ni e!:m:rarj ~ dOQmll!!1to y el proce:s.o es re~e.

I1a9I de; en el p.,nto de restlur.OÓI'I que d~e L!SIII" y depul!:s haga óc: en sou;enll! . l e';"'" . ~ ~!!J~ !In Mio de 'Mt", .. "c'_-\n?

Feala yhora 1-

Ol/1Df20090:2Il:::.5

I < "'trb 11 Sg.ier¡tIl > I CanczIar I

Fig. 3.37. Elección del punto de restauración.

Un. ve:.:: iniciado, no H posib le interrumpir RUbur, r sirtema y no se pueden deshacer los cambios harta que se haya completado. ¿Está seguro de que duea continuar?

----------=!!!!!~~'f ,~urar siste ma

l' Preparándose para restaurar : 1 SiS~:~ ,

1 1 SI No 1

Fig. 3.38. Menso;e de aviso. Fig. 3.39. Restaurando el sistema.

y 3 Seguridad pasiva. Recuperación de datas ~~~~~~~~~~~~~~~~~~~--

56

q Caso p'ráctico 9

Eliminar en Windows Vista los puntos de restauración más antiguos y dejar los más recientes

En numerosos ocasiones hemos oído hablar de lo mucho que ocupa este sistema operativo. Gran parte del tamaño se debe a que incluye mucha información en los puntos de restauración (versiones anteriores e instantáneas). Como comentamos, los puntos de restauración pueden llegar a consumir el quince por ciento de la memoria del disco duro.

Mediante el liberador de espacio en disco podemos eli­minar todos los puntos de restauración excepto los más

Opciones del Libeflldor de eSp'acio en d¡ICo

~ Elija los archivos que desea considerar para liberar espacio.

l -Jo Sól~ mis archivos--

~ Archivos de todos los usuarios en este equipo

Fig. 3.40. Opciones del Liberador de espacio en disco.

2. En el cuadro de diálogo Opciones del Liberador de espacio en disco, nos pregunta si al liberar espacio en disco queremos liberarlo solo de nuestras archi­vos o de todos los usuarios del equipo. Hacemos dic sobre Archivos de todos los usuarios en este equipo (Fig. 3.40).

.-::. libf:rtdllf lit t11',cill en dl"o ~,. ViiI. ("1 ""'" I

~'yQl1l;ltfÍI!i:U

~ ~Lb:'''''''tl¡)aooenda::ollq..d. b'~

I lbera"_

PcóiltttltmUes¡lIlác..,~liqAI1~11os pu'IIOI ~. "'lIa.n.c!o1. e:c:ef:I~ el /JIU ",cieo1e.

En~¡;u'II1 Wcicr\t.de Wn:1lWl 'mI.o,eld:s<:e poóo¡, in;loir l"ISIardnell ~ I!It:tIvcI e ~gonel ~I do Ú'ipil1 de ~d de WI'ld:lYl1 Ccn1*Ie PC= plrtl! ele los lUltos de mlautloM. Esta rlcmuta:!n ~ te t!tMInI .

I lbmr_. I

Fig. 3.42. Eliminar punto de restauración.

5. En Restaurar sistema e instantáneas, hacemos dic en el botón Liberar. A continuación se muestra un mensaje de aviso en el que nos informa que si tenemos varios puntos de restauración antiguos, podríamos no nece­sitarlos, de tal manera que si los eliminamos ganaría­mos espacio en el disco. Hacemos dic en Eliminar (Fig. 3.43).

recientes. Antes de proceder, anotad el espacio disponible en disco.

1. Hacemos dic en el botón de Inicio de Windows Vista, Todos los programas, Accesorios, Herramientas del sistema y a continuación en Liberador de espacio en disco.

liberador de espacio en disco: sele<ción de uní ... LJ!..J

Seleccione la unidad en donde deselllibe~ espacio.

Unidades:

I Aceplor

Fig, 3.41. Selección de la unidad.

" , ~ ,:

3. Seleccionamos la unidad donde queremos liberar espa­cio, en nuestro caso C: (Fig. 3.41).

4. En el nuevo cuadro de diálogo aparecen dos pesta­ñas. Hacemos dic sobre la pestaña Más opciones (Fig. 3.42).

I !,jDer~ a~ ~$pacio en d¡j§" --,

¿Confirma que desea eliminar todo menos el punto de restauración más reciente?

Si tiene varios puntos de r~auraci6n guardados, podría ya no nec!Sitar los mas antiguos. Si 105 eliminll, ahorrara espacio en disco.

I Eliminar 1I (ancflar I

Fig. 3.43. Mensaje de aviso.

6. Volvemos a la ventana anterior. Pulsamos en Aceptar y se nos abre un nuevo aviso informándonos de que dichos archivos se borrarán permanentemente. Hace­mos dic en Eliminar archivos.

Si comparamos el espacio ocupado en el disco antes y después de ejecutar los pasas anteriores, se puede apre­ciar que aumenta el espacio disponible después de elimi­nar los puntos de restauración antiguos.

Seguridad pasiva . Recuperación de datos

En el casa práctico ocho se pudo recuperar el sistema, pero hay ocasiones en la que la restauración del sistema no puede realizarse, bien porque no se hayan creado puntos de restauración o bien porque el sistema se encuentre demasiado degradado. En el caso de que no podamos iniciar Windows, pero sí se haya iniciado correctamente la última vez que se encendió el equipo, podremos utilizar como inicio la última configura­ción válida conocida.

Cada vez que apagamos el arde nadar y el sistema operativo, Windows, se cierra co­rrectamente, la configuración del sistema se guarda en el registro.

Veamos en el siguiente caso práctico cómo podemos arrancar el sistema operativo con dicha opción.

Casa p'ráctico 10 9 Arrancar el equipo con la última configuración válida conocida

1. Hacemos clic en el botón de Inicio , en la flecha situada junto al botón Bloquear ya continuación en Reiniciar.

2. En el caso de que el equipo solo tenga un sistema operativo, al arrancar presio­naremos la tecla de función F8. En caso de que el ordenador tenga más de un sistema operativo instalado deberemos elegir el sistema operativo a arrancar y posteriormente la tecla F8.

3.

I 4

En la nueva pantalla se muestran las opciones de arranque avanzadas. Debe­mos seleccionar la opción La última configuración válida conocida, ya continua­cián presionamos la tecla Entrar.

Posteriormente el sistema operativo arrancará con normalidad.

En el caso en el que la última configuración válida no hubiese corregido el mal funcio­namiento del sistema operativo intentaríamos restaurar el sistema desde el símbolo del sistema.

Reiniciamos el equipo en modo segura con símbolo de sistema (es decir, el sistema ope­rativo se arranca con un conjunto limitado de archivos y controladores, y se inicia Win­dows con una ventana de símbolo de sistema en lugar de la clásica interfaz del sistema).

En la ventana de símbolo de sistema escribimos rstrui.exe; presionamos Entrar.

En caso de que no pudiésemos iniciar el equipo con las opciones anteriores podemos probar con la Reparación de inicio de Windows.

La Reparación de inicio es una herramienta de recuperación de Windows que permite solucionar algunos problemas, como la falta de archivos del sistema o bien archivos corruptos del mismo. Cuando ejecutamos dicha opción el sistema examina el equipo en busca del problema e intenta corregirlo.

Para poner en práctica dicha opción debemos seguir los siguientes pasos:

1. Reiniciar el equipo.

2. Presionar la tecla F8 al arrancar el sistema operativo para acceder al menú de Opciones de inicio avanzadas.

3. Seleccionar la primera opción Reparar equipo y a continuación presionar la tecla Entrar.

4. Seleccionar la distribución del teclado y presionar Entrar.

5. Seleccionar el nombre de usuario y contraseña.

6. En el menÚ de opciones de recuperación del sistema hacer clic en Reparación de Inicio.

3

~3 Seguridad pasiva. Recuperación de datos

~ Caso práctico 11

Recuperación automótica del sistema en Windows XP

Hay ocasiones en la que la restauración del sistema na se puede realizar pues este está tan degradado que no pode­mos arrancarlo ni siquiera en modo a prueba de errares; si nos hemos aplicado el refrán de hombre prevenido vale por dos, habremos realizado una copia de seguridad del mismo, ya sea mediante el uso de imágenes que más tarde describiremos, o mediante el método que aquí tratamos, conocido como ASR (Automated System Recovery).

Para realizar una copia de seguridad del sistema utilizan­do ASR vamos a necesitar un medio en el cual guardar la copia, y un disquete que contendrá la información sobre el sistema.

1. Ejecutamos la herramienta de algunos sistemas de Microsoft conocida como utilidad de copia de seguri­dad, bien ejecutando la orden ntbackup en la consola de Ms Dos, bien a través del menú Inicio> Programas > Accesorios> Herramientas del sistema y por último Copia de seguridad (Fig. 3.44).

Si no obtenemos una ventana como la que muestra la Figu­ra 3.44 es porque se nos habrá iniciado la aplicación en modo asistente, y tendremos que hacer click en el enlace de modo avanzado para que aparezca la ventana men­cionada.

2. Pulsamos el botón Asistente para recuperaclon auto­mática del sistema. La aplicación muestra una nueva ventana que nos avisa de algo muy importante: si queremos hacer una copia de seguridad de nuestros datos debemos usar algún otro método, pues ASR no

BienwridD I Copiadt~l ResIu'.y.tnirWtJ.1IIIIÓOI1 F'IqJ_lrabaPs I Utilidad de copia de seguridad en modo avanzado

Sibpre/ieo. ~C*JtiIr "~pa.us.-ccrfv,.-aciooes ~PIIJ.Ia~de ~ el ......

Fig. 3.44. Utilidad ntbackup.

nos guardará los datos que estén en una partición dis­tinta a la que contiene el sistema operativo. Pulsamos Siguiente.

3. En la nueva ventana que nos muestra elegimos el medio en el que queremos guardar la copia y el nombre selec­cionado para la misma. Pulsamos Siguiente y después Finalizar, tras lo que esta utilidad empezará a realizar la copia de respaldo de nuestro sistema. Al final del praceso nos pedirá que introduzcamos un disquete en blanco y formateado, que como se mencionó anterior­mente utiliza para guardar ciertos datos. Por último guardaremos a buen recaudo el archivo que contiene la copia de respaldo de nuestra sistema y el disquete, para cuando los necesitemos.

En caso de necesitar restaurar el sistema operativo a par­tir del archivo creado anteriormente, deberemos seguir los siguientes pasos:

1. Arrancamos el ordenador utilizando el CD original que contiene el sistema operativo, estando atentos a los pri­meros momentos de la instalación, en los que se nos avisará en la parte inferior de la pantalla de pulsar F2 (Fig. 3.45).

Seguiremos los pasos que este proceso nos solicite, como introducir el disquete que creamos o comunicarle cuál es el fichera que contiene la copia del sistema.

Cuando finalicemos el proceso tendremos el PC con la mis­ma configuración y el mismo estado que cuando realiza­mos la copia de seguridad.

Fig. 3.45. Pantalla inicio.

Seguridad pasiva . Recuperación de datos 3

• 5. Creación de imágenes del sistema

Hacer una copia de seguridad de los datos que tengamos en los equipos informóticos de la empresa de forma mós o menos regular es tarea obligatoria, si no queremos sufrir los quebraderos de cabeza que nos puede ocasionar la pérdida de los mismos.

Aunque hacer una copia de seguridad del propio sistema no es tan importante o impres­cindible como la copia de los datos, no es menos cierto que nos ahorrará mucho tiempo en caso de tener que reinstalarlo.

Con el propásito de hacer copias de seguridad del sistema -y hacer así su reinstalación más cómoda, sencilla y en menos tiempo- existen aplicaciones como Symantec Ghost y Acronis True Image, entre otras. En el siguiente caso práctico aprenderemos a crear una copia de seguridad o imagen, como estas aplicaciones las llaman. La guardaremos en una partición oculta del mismo disco donde tengamos instalado el sistema, de modo que si más tarde necesitamos su restauracián, la haremos utilizando una utilidad que Acronis True Image instalará en nuestro disco.

Casa (lráctico 12 9 Creación de una imagen del disco en una partición oculto sobre el mismo para poder restaurar el sistema en caso de que en algún momento se quede en un estado inestable

1. Necesitamos el CD de inicio: para nuestro caso utili­zamos un CD de inicio con la versión 10.0 de Acronis True Image Home.

Turn 0 " COn! ulel ¡neludes drlVelS 10/ USBjPC CeJd/SCSI hOId dl l lts

Fig. 3.46. Pantalla inicial Acronis True Image.

En caso de' querer iniciar desde el disco duro, seleccio­namos la opción Windows. No es nuestro caso, en esta práctica elegiremos la primero opción, Acronis True Image Home (Fu" version), pues lo que queremos es iniciar esta aplicación para realizar la imagen de nuestro sistema. Tras esperar un par de minutos se nos muestra la pantalla prin­cipal de la aplicación (Fig. 3.47).

2. Configuramos la BIOS del sistema con la opción de iniciar desde CD/DVD y después iniciamos el PC con el CD en su bandeja. Obtenemos una imagen como la siguiente:

,'! Acpnlo Tru!llmu!lP Humll _

TIIIII~

4 WeneguAoonl1 Secu 'o Zona

"Z 6C'_vo:oA:ton' l SI~!lUp RecoYl!ry Meneg~1

~ Vahdele8~o,upAJth, .. iJ Show Lo!l

Fig. 3.47. Pantalla principal Acronis True Image.

(!) Holp

I !~ lot:!!l Com utlr

3. Creamos lo que esta herramienta llama una zona de seguridad de Acronis, que no es más que una partición oculta en nuestro disco duro que contiene el fichero de respaldo. Si quisiéramos podríamos guardar la copia en algún otro lugar como una carpeta compartida en red, un servidor de FTP u otro disco duro, incluyendo discos duros externos, pero para nuestra próctica hemos esco­gido guardarla en el propio disco duro del Pe.

(Continúa)

~/ 3 Seguridad pasiva. Recuperación de datas ------~--~----~~-----------------------------

Q Caso práctico 12

(Continuación)

La elección de esta opción, realizar la imagen en una par­tición creada en el propia disco, tiene la desventaja de ser una mala elección en casa de que se rompiese el disco; pero tiene lo ventaja de ser la elección mós útil en caso de que el disco duro no falle y sea el sistema el que lo haga.

Para crear esta zona de seguridad elegimos la opción Manage Acronis Secure Zone de la pógina principal de la aplicación, obteniendo una ventana informativa. Le damos a Siguiente y mostraró una pantalla como esta (Fig. 3.49).

4. Elegimos la unidad de la cual Acronis va a robar un trozo para crear esta partición oculta o zona de segu­ridad. Seleccionamos en nuestro coso la partición C del primer disco, pues no tenemos más particiones ni discos. Pulsamos Siguiente. Obtenemos una panta­lla que nos permite elegir el tamaño que tendrá esta zona de seguridad. Tras elegir el tamaño adecuado (en la partición tendrá que caber la imagen de nuestro sistema, que ocupará una determinada cantidad de giga bytes en función de las aplicaciones instaladas y datos que contenga), volvemos a pulsar Siguiente;

,,"n'l" ...... "0'. Su"",!,, 1n"n Wi,n¡~

CUI.'u AcIaN O !,.,ctI,,, ¡""u . ~I

'"",t;nnO""'~""""""s.c.uZ_ u"'.J _""''""'~'''¡'r''''''''''' ' '''' ~ I ~O" P~"b!'O O"' '''''l~'

ahora la aplicación nos pide una contraseña para pro­teger la zona de seguridad de accesos indeseados (Fig. 3.50).

5. Rellenamos el farmulario y pulsamos Siguiente.

6. La herramienta nos da la oportunidad de activar Acro­nis Startup Recovery Manager en nuestro disco, una utilidad (en realidad es un gestor de orranque y la pro­pia aplicación) que más tarde nos permitirá restaurar nuestro sistema sin necesitar de hacer uso del CD de ini­cio de Acronis. Nos avisa que va a sobrescribir el MBR (Master Boot Record) y que si tenemos algún gestor de arranque instalado, como pueden ser el LlLO o el GRUB de GNU/Linux, tengamos cuidado pues lo dejará inutili­zado. En este caso elegimos instalar esta utilidad y pul­samos nuevamente Siguiente, llegando al último paso de esta parte. Aparece una nueva ventana informativa con las operaciones que la aplicación va a realizar. Leeremos atentamente por si nos hemos confundido y si estamos de acuerdo pulsamos el botón de Proceder (Proceed). Esperamos unos minutos, hasta que la ope­ración de creación de la zona de seguridad concluya.

Plu .. . , IIClIhI pricn. ID lIlb hllPIlC8 Jrcm. Th, <ha .. " pOll.1'on. wilI b' 18';'l d ~ nl "'U"'Y1Il '11"'" Iha ' pIlC8ID Acmni. Slan 2cnl .

Provida po.s5word and confirm it in the boxes below. Note that the password is ce.se-sensitive.

I PaItáon I 0111. 1

'o ':;'NTFS(C¡ 799GB 6.m GBNTFS

'.11"'* 1:>1 ) (;oncI1

O Qo not use pe.ssward protection

@ !.!se pe.ssword protection

,Enlerlhe po.ssword: ~I .~.~ •• ~.~.~======~ Confirm !he pe.ssword: ~I.~.~ •• ~.~.~======o=! ______ = ,Secret question: IWho was your childhood hero?

8nswer. ~lpCJip~i=:ca~l~zas~la~rg~aOl'¡L __________________ ...J

Fig. 3.48. Creación de la zona de seguridad de Acronis. Fig. 3.49. Definición de contraseñas.

Monage Acronis SeCUra Zone Wizard

Activoting Acronis Startup Recovery Manager A You cen odrvote Actonls Slor1up Recollery Mflnflger Thls monoger ollows you ~ i 10 restare your computer 01 boot Irme berare operotmg system stor1s

Please choose whetheryou wantlo adillale Acronis Startup Recovery Manager.

@ 8cWaleAcronisStartupRecolleryManager

o Do not adillate Acronis Startup Recovery Manager

IDeScriPtiOn

Whan activatad Acronis Startup Recovery Manager oJlowsyou lo run Acronis Trua Imaga Home befare slarting operating system by pressing Fl 1 al boottime.

Fig. 3.50. Activación de la zona de seguridad. (Continúa)

(Continuación)

7. Ahora que yo hemos creado un hueca en nuestra disco duro paro guardar lo copio de nuestro sistema, vamos o crear la imagen. Para ello volvemos a lo ventana princi­pal de lo aplicación (Fig. 3.47), pera en este caso elegi­mos la opción Backup (copia de seguridad), pasando o una ventano informativo en lo que pulsaremos Siguiente. Llegados o este punto veremos un cuadro de diálaga coma el que se muestra o continuación (Fig. 3.51):

CrBule Hockup Wllord

Saled Bockup Typa ( I!! 'I - r

You can selea type 01 dala your want lo beck up ~

Salad whOlyou wont 10 bock up:

@ !&::~.!!!P:!&l

o MyQolo

LDeScriPtiOn VVhen you seled lhis oplion you can aeote on imoga oflhe entire disk 01 its partitions. Bocking up lhe anUre system disk (creoting o. disk imoge) tokas significant disk spoca. bul enobles yeu lo reslore lhe systam in minutes in case 01 severe doto domoges al hardware _:,.

Fig. 3.51. Definición de los datos para la imagen.

Este contiene das opciones: la primera permite hacer uno copio de todo nuestro ordenador y la segunda permite hacer una copia de las carpetas especificados. Como en este coso queremos crear uno imagen del sistema completo elegimos lo primera de los opciones, My Computer (Mi ordenador), y pulsamos Siguiente.

8. Aparece uno nuevo ventano en la que debemos indi­car de qué particián, particiones o disco duro completo queremos realizar lo imagen. Tras elegir en nuestro coso la particián C, pulsamos Siguiente y nos aparece uno ventano informándonos de algo muy interesante: si yo hemos realizado onteriarmente una copia de seguri­dad del sistema podremos ahora crear uno copio dife­rencial o incremental con lo ideo de solamente agregar a lo copio ya existente lo que hayamos agregado o modificado desde su creacián. Tras pulsar OK nos apa­recerá una nuevo pantalla en la que tendremos que elegir el lugar donde vamos a guardar lo imagen, que en nuestro caso, como ya sabemos, va a ser la zona de seguridad, por tonto elegimos Acronis Secure Zone (Fig. 3.53) Y pulsamos Siguiente.

9. Aparece una ventano con tres opciones: lo primera para crear uno copio completa, lo segundo para rea­lizar uno copia incremental y lo tercera paro realizar uno copio diferencial. Nosotros vamos a crear uno

Seguridad pasiva. Recuperación de datos 3

Caso práctico 12 9 copio completo, por ser lo primera que lo realizamos de nuestro sistema. Seleccionamos lo primera opción, Creote o new Full bockup archive (crear una nuevo copia de seguridad completo) y pulsamos siguiente.

10. Escribimos lo imagen en lo zona segura. Debida a que lo protegimos onteriarmente por contraseña, nos pedirá que lo introduzcamos. A continuación pulsamos Siguiente, dando paso a uno ventano en la que tendre­mos que elegir el grada de compresión de la copia de seguridad. Sabemos que cuanta más comprimamos la copia menos acuporá en disco pero más tiempo tar­daremos en crearlo, y también en reponerla cuando nas hago falta. Elegiremos la opción de máxima com­presión: na tenemos prisa, pero sí poco espacia en el disco. Marcamos la opción Maximun y pulsamos Siguiente. Aparece un cuadro de texto para que intro­duzcamos un comentario sobre la imagen que vamos a crear; se puede dejar en blanco, pero se recomiendo escribir alga como lo fecho y el contenida, a el PC del cual es lo imagen. Pulsamos Siguiente y cama en el cosa de lo creación de lo zona segura aparece una última ventano informándonos de los operaciones que se van o realizar. Pulsamos Proceder (Proceed) y tras esperar unos minutos nuestra copia de respaldo estará guardado en lo zona de seguridad.

Si en algún momento necesitamos restaurar nuestro sis­tema o partir de esto imagen tendremos que realizar los siguientes posos: arrancar el PC desde el CD de Acronis, o ejecutar Acronis pulsando FlI mientras se inicio el ordenador, aunque esto opción solo estará disponible si instalamos Acronis Startup Recovery Ma­nager, coma se comentó más arribo. Ahora tendremos que elegir lo opción Recavery (recuperar) de la panta­lla principal del programo y seguir el procesa guiado paro reconstruir nuestra imagen.

Bockup Archiva Locollon C~ I~

Choose en e,llshng beckup lile lO back up only chonge s Ihol tcok ploce slnce Ihe ~ bockup cleflllon 01 enle, lite name lar 6 newlull bockup

X Delate frie E:1 Cteete newl) -w-~ Acronis Secure lona

9 My Computar Ac,on' s SecU/e Zone

[ti ~ 3.5 Aoppy (A:) [B,~ Local Disk (C)

[ti ti Computers Neor Me #,J FTPConnections

Free speca: 3.746 GB TolaJ size: 3.769 GH

Acronis SeOJre Zone is e protected portition on yoUI hmd disk drive lhel is ineccessible to ordinOJY opplications.

We recornmend thotyou ereo.ta backup orchives in \he Acrnnis SSOJra Zone; \ha file nome is nol required in lhis

Fig. 3.52. Selección de la zona para guardar la copia de seguridad.

~~ Seguridad pasiva. Recuperación de datas ------~--~------~----------------------------

6. Copia de seguridad del registro Antes de entrar en el proceso de la copia de seguridad del registro, recordemos que el Registra de Windows es una base de datos que contiene información del hardware, de las aplicaciones que tenemos instaladas e información de los cuentas. Habitualmente na es necesaria que toquemos el registra, ya que san las aplicaciones las que suelen introducir los cambios directamente en él.

Un cambia erróneo en el registra podría ocasionar que el equipa dejase de funcionar, par la tanta siempre que vayamos a hacer cambias en el misma se recomienda que hagamos copias de seguridad.

1. Iniciamos el equipo como administradores.

2. Abrimos el editor del registro escribiendo en la consola regedit.

---

L'.. • t,;" ",

,1,1 (" 7.llIlf, M,. ,'" ,,1\ C""I,,,,-,,t ,,,,, 11,· · ",'U ",,, I .. ,t" . 1" ,1"1'''' lo" • F'jtUln""" IU'II",,¡,ll!.llIlll

. , On., ) ," '1' ,1,1

Fig. 3.53. Instrucción para e;ecutar el registro.

3. Buscamos la clave a subclave de la que queremos realizar la copia de seguridad y hacemos clic en ella. Como en nuestro caso queremos realizar la copia de todo el registro seleccionamos el equipo.

; .. JJ HKEY_CLASSES_ROOT t> .j,¡ HKEY_CURRENT_USER ~ -J.! HKEY_LOCAt_MACHINE ~ . Jj HKEY_USERS ~ .Jj HKEY_CURRENT_CONFIG

Fig. 3.54. Registra de Windaws.

Tipo

4. Hacemos clic sobre Archivo y seleccionamos Exportar.

Datos

5. En el cuadro Guardar en, seleccionamos la ubicación donde deseamos guardar la copia de seguridad en el cuadro Nombre de archivo y por último hacemos clic en Guardar.

". '-. ••

' t~cm~ J f"h. mod.fi, .. ;~" Tipn

JI ...,tAUllS JJ l:l:dd JJ BlutloOlh JI e"". d.In~I"V." ;h."· El M""do' _ JI O ..... I •• d. Jl .lcm.n1".~rd"".r JI FLAiH

j¡ hlll'''''' J.. JnUlct .. Jj In1<M'; ••

Jl r.'.A~D.,,,,y .. j¡ Mt.OL<Oovrnlo,d,

I't .. """,,~

~ , T<d:>

O Rr. .. ooIt:=-.ae.

hm.~.

Fig. 3.55. Guardar la copia de registra.

e;;,¡ '

l'

--"

Seguridad pasiva . Recuperación de datos

• 7. Políticas de copias de seguridad las políticas de copias de seguridad deben definir el tipa de copias y la periodicidad de las mismas, así como los soportes en las que se deben realizar y las ubicaciones de los centros de respaldo.

los centros de respaldo son las ubicaciones donde se guardan las copias de seguridad. Estos en la mayoría de las empresas pequeñas se encuentran muy cerca del centro de cálculo o en la misma estancia, tanto por comodidad de los técnicos, que siempre tienen a mano el material, como por espacia, pero las empresas grandes que manejan grandes volúmenes de datos suelen ubicarlas lo suficientemente lejos como para que no se vean afectados par la misma catástrofe que provoque el percance en las instalaciones del centro de procesamiento.

Estas ubicaciones deben estar protegidas de la misma manera que los centros de procesamiento de datos, es decir, estarán protegi-dos los accesos para que solo pueda entrar el personal autorizado. Data-Safe Deberán estar protegidos tanto frente a los distintos accidentes o catástrofes naturales (incendios, inundaciones, etc.) como ante los posibles ataques software que estudiaremos más adelante. Es fre-cuente encontrar las copias de seguridad almacenadas en armarios ignífugos como el que se muestra en la Figura 3.56. Gracias a este tipo de armarios podríamos proteger la información en caso de que se produzca un incendio.

Como estudiamos en el primer epígrafe de la unidad, uno de los clásicos errares que se producen en las empresas y en las hogares en los que se realizan las copias de seguridad es el mal etiquetado de las mismas. Es muy habitual en los hogares españoles realizar copias de respaldo en los soportes ópticos (CD y DVD) y almace­narlas de manera desordenada y sin ningún etiquetado. Toda una locura cada vez que tengamos que buscar un archivo para restau­rar, par lo que se recomienda diseñar una etiqueta y pegarla al soporte que guarde la copia con la infarmación que detallamos a continuación.

Una etiqueta carrecta debería incluir la siguiente información:

• Identifícador de copia, mediante esta cadena alfanumérica iden­tificamos de manera unívoca cada una de las copias de seguri­dad realizadas. Facilita la búsqueda de las mismas.

3

• Tipo de copia, debemos definir si la copia es incremental, dife­rencial o completa.

• Fecha en la que se realizó la copia, ya que en numerosas oca­siones debemos buscar las copias por fecha de realización de las mismas.

Fig. 3.56. Armario ignífugo para almacenamienlo de copias de seguridad.

•

•

Contenido, siempre se incluirá el contenida en clave que almacena la copia de segu­ridad. En caso de querer recuperar un determinado archivo lo buscaremos sin nece­sidad de estar cargando cada una de las copias en el equipo. Hay que recordar que tanto el nombre de la copia como los datos almacenadas en ella deben ir en clave para que en caso de encontrarse al alcance de intrusos, estos no sean capaces de descifrar la información almacenada en los mismos. Por tanto la información escrita en la etiqueta como la almacenada en los soportes informáticos debería ir cifrada.

Responsable, debe figurar el técnico que realizó la copia de seguridad para poder pedide que facilite las consultas o las peticiones de actualización y restauración de la misma.

A continuación hemos diseñado una posible etiqueta para los soportes de las copias de seguridad (Tabla 3.1).

Seguridad pasiva. Recuperación de datos

Tipo de copia

Fecha

Datas

Técnico

Firma

lO . ,

Iden~licadar de la copia

o Completa o Datos

o Incremental o Sistema

o Diferencial

lAño, mes, dio)

Se deberá utilizar la nomenclatura específica de la empresa, de forma que facilite a localización de archivos concretos YI en caso de que sea confidencial, un posible intruso no seo capaz de conocer la información grabada.

Nombre de la persona que realizó la copia de respaldo

Firmo del responsable que realizó la copia

Tabla 3.1 . Etiqueta para soporte de copia de seguridad.

Al igual que debemos etiquetar correctamente las copias de seguridad, se debe llevar un registro exhaustivo de las mismas y de las restauraciones realizadas.

Este es otro de los graves errores que suelen cometer las empresas: realizan las copias de seguridad pero nadie se preocupa de comprobar si la copia se ha realizado correc­tamente ni de llevar un registro con la información de las mismas.

A continuación, vamos a diseñar una posible hoja de registro. Esta, además de la infor­mación que se almacenaba en la etiqueta que adjuntamos al soporte (el identificador de la copia, el tipo de copia, la fecha, los datos almacenados en la misma, el nombre, los apellidos y la firma del técnico responsable de la copia) deberá incluir los siguientes campos:

o Identificadar de la etiqueta, un código que se incluye en la etiqueta para poder loca­lizar de manera rápida la copia de seguridad, y que que coincide con ella cadena alfanumérica de la etiqueta.

o Tipo de soporte, debemos especificar si la copia se ha realizado en una cinta, disco duro, unidad USB ...

o Ubicación, en función del número de copias de seguridad y de la importancia de las mismas estarán ubicadas en unos u otros lugares, por lo que debemos indicar el sitio donde se encuentran almacenadas.

De la misma manera que se realiza el control de las copias de seguridad, se deberán registrar las restauraciones realizadas y los motivos que han ocasionado dicha recu­peración. En las hojas de registra de las restauraciones se deben incluir los siguientes campas:

o Fecha de restauración en la que se realizó la recuperación de la copia.

o Incidencia que ha motivado la restauración, causa que ocasiona la pérdida de in­formación.

o Ubicación, equipo en el que se realiza la restauración de la información perdida.

o Técnico, responsable que lleva a cabo la actuación.

Seguridad pasiva. Recuperación de datos

En la siguiente tabla podemos ver la hoja de registro que utiliza la empresa SiTour para controlar las copias que se han realizado:

Identificador de etiqueta

Tipo de copia

Tipo de soporte

Fecha

Ubicación

Datos

Técnico

Firma del técnico

• • • . :..! . .. .... . -.

D Completa

o Incremental

o Diferencial

DCinta O Disco duro

D CDROM

D DVDROM

D Llave USB

D Otro:

lAño, mes, día)

D Datos

D Sistema

=

Se deberá utilizar la nomenclatura específica de la empresa., de tal manera que los posibles intrusos no sean capaz de conocer la información grabada en caso de ser esta confidencial.

Tabla 3.2. Hoja de registro de copias de seguridad.

En la siguiente figura podemos ver una hoja de registro de las restauraciones de la co­pias de seguridad.

Fecha restauradón

Incidencia que ha motivado la restauración

ubicación

Técnico

Responsable

lAño, mes, dio)

Equipo donde se ha realizado la restauración.

Tabla 3.3. Ho;a de registro de restauraciones de seguridad.

3

~/3 Seguridad pasiva. Recuperación de datas ----~--~------------------------------

Toda política de copias de seguridad debe contemplar los siguientes puntos:

• Determinar la persona o perso.nas responsables encargadas de realizar y mantener las copias de seguridad. Se aconseia que al menos dos personas estén pendientes de las alertas que puedan ocurrir mientras se realiza la copia de seguridad. Estas alertas serán enviadas mediante correo electrónico a los responsables.

• Debemos analizar los datos susceptibles de ser salvaguardados en copias de segu­ridad. Al realizar el análisis, debemos tener en cuenta la frecuencia con la que se modifica o actualiza la información.

I ,:::::::- - - , _._ ,

;.:... I~ ~ ~:~. ,,". '

~~':$::::- bI: ~ , ..... " .. ,~ , ... ..., ..... , ..... - .'

.~,

""<.' en . , - , ,., ~ ,

' ~ ' -' 1~'J

, .. -, ,., "",., ''''.' <-.... ' ....

"" l~. -'

' H J l~ .-,

" '.'

' .... '1

~., ¡~~~.~ .. ªª .. ,' , ,--- .. . I •. • , I , l .

< ....... . . 'R ....... _ " ...... . . __ --; NO___ I

. i

"" 0 ........ . 0"" ..

~,,"" "'''' ... " .... ... ,."... "' .. "''''''' ' l.", G ,~, . ... , c_ ...... ,n; .. ,." ,,, ... ,. ............ e .. "", """ .. .. . t .. .", <-... .... . " ' "

,_ .. "' -. .... "", ," .. .......... ,,, .. ¡,. ..... , • • I , .. , ", .. , ... . '.", " , .. . .... ( .. d .

r,,, .... ,, , •• "

"',"".,,,UU :~'lI:.lH" "" :O;'~"'=JI . • '·.n' ''' '' ·~ :~·'l':ln!lM..

:':''''!>'''''' , ... "~" ,, n .. ",0,"""'- " ":"." ... " .... ":''"'''''",.,., 1~"~_~,:>'" . :~ ,m ,,;:' JJ

:<:' ;w .. " .,.... :~,YlW,=. ",.,.:", ;:, u . . :~,~:;"" u . "'i'''''H ...... ' ~I \"'''.'' :n

-

Fig. 3.57. Afertas de fa copia de seguridad de fa Universidad Antonia de Nebri;a.

• Debemos determinar el tipo de copia a realizar (completa, diferencial e incremental) en función de los datos a salvaguardar y de la periodicidad con la que se modifican. En el supuesto de que se modifiquen con mucha frecuencia, se incluirán en copias diferenciales o incrementales; en caso contrario, podríamos optar por incluirlos en las copias de seguridad completas, que se realizarán en intervalos más amplios de tiempo.

• Debemos determinar la frecuencia con la que se realizarán las copias de seguridad. En este punto analizaremos la cantidad de información que estamos dispuestos a perder, es decir, los datos que han sido modificados o creados desde la última copia de seguridad.

• Debemos determinar la ventana de backup (frania horaria en la que se deben reali­zar las copias de seguridad), teniendo en cuenta la duración que cada tipo de copia consumirá. Este punto está fuertemente relacionado con el tiempo que dedicaremos a realizar la copia, siendo especialmente relevante en sistemas 24/7 (por eiemplo, bases de datos de grandes corporaciones o de compañías aéreas), en los que no es posible realizar copias de seguridad completas que exigen la parada de la base de datos. En estos casos, se suelen utilizar alternativas como las snapshot (instantáneas) que permiten almacenar periódicamente el estado de la informacián.

• Debemos determinar el tipo de soporte en el que se realizarán las copias de seguri­dad. Esta decisión estará condicionada tanto por volumen de datos a guardar como por la frecuencia con la que se realizarán.

• Debemos determinar la ubicación de las copias de seguridad. Lo más aconseiable es almacenarlas en un centro ale iodo al de origen. De esta manera evitamos que las copias de respaldo y los datos se puedan ver afectados por el mismo percance. Estos centros deben estar protegidos de la misma forma que los centros de cálculo.

Gestionor dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegu­rar la integridad de la información

1. Los ficheros que se almacenan en el equipo tienen aso­ciados unos atributos:

o Lectura: r

o Oculto: h

o Sistema: s

o Archivo de almacenamiento: o

o) Creo un archivo.

b) Compruebo los atributos que tiene establecidos bien haciendo uso del comando attrib en el intérprete de comandos o bien mediante los propiedades del archivo; en este último coso, recuerdo que paro ver el atributo de archivo de almacenamiento tendrás que acceder o los Opciones Avanzados.

c) Realizo uno copio de seguridad del mismo.

d) ¿Tiene los mismos atributos establecidos o se ha des­activado alguno de ellos?

2. Debate con tus compañeros el tipo de copias de segu­ridad que recomendarías para uno pequeño empresa familiar dedicado o lo vento de delicatessen. Esto empresa tiene un sistema de información que gestiono los productos almacenados en lo tiendo, los ventas y los compras realizados o los proveedores. Como cabe suponer, el sistema de información contiene uno pequeño base de datos.

En función de los tipos de copias elegidos, ¿qué soparte utilizarias poro los copias de seguridad?

3. Indico los ventajas y desventajas de los distintos tipos de copias de seguridad que se pueden realizar.

4. Descargo lo aplicación gratuito y portable Toucan de lo página web http://saurcefarge.net/prajects/ partableapps/files/ y realizo uno copio de seguridad diferencial del directorio Mis documentos de tu Pe. ¿Cómo es lo copio? ¿Qué se ha incluido en lo copio?

5. Creo un archivo en Mis documentos y con lo aplicación Toucan vuelve o crear uno copio de seguridad incre­mental. ¿De qué se ha realizado lo copio?

6. Creo otro archivo en Mis documentos y con lo aplica­ción Toucan vuelve o crear uno copio de seguridad incremental y otro diferencial, ¿cuál de los dos ocupo más?

7. Como hemos estudiado en lo unidad los etiquetas de los copias de seguridad deben llevar reflejado lo infor­mación de los datos guardados. Diseño unos códigos para etiquetar los datos que se han almacenado en la copia de seguridad.

Seguridad pasiva . Recuperación de dolos 3

Comprueba tu aprendizaie~

8. Hay veces que desgraciadamente no hemos realizado copias de seguridad, o bien hemos borrado acciden­talmente un fichero que no tenia mas almacenado en ningún otro lugar; para solventar esas situaciones en el mercado existen numerosas aplicaciones como Reco­very Files, Recover My Files, Data Recovery Studio, Easy Recovery ...

a) Crea un archivo y bórralo.

b) Intenta recuperar el archivo con alguna de dichas aplicaciones.

9. Indica las ventajas y desventajas de los distintos sopor­tes donde se pueden guardar las copias de seguridad.

10. Indica la importancia de utilizar trituradoras de discos duros antes de deshacernos de los equipos par consi­derarlos obsoletos.

11. Debido al espacio que ocupan las copias de segu­ridad, nos debemos plantear la necesidad de eli­minar de forma periódica las copias de seguridad obsoletas, dejando espacio para las nuevas que realicemos.

Debate con tus compañeros los posibles esquemas de rotación para las siguientes empresas:

o Pequeño negocio familiar, dedicado a la venta de materiales de construcción. Esta empresa tiene un sistema de información en el que gestiona tanto el material del almacén como las ventas realiza­dos.

Realiza las copias de seguridad completas el primer día de cada mes y copias diferenciales todas los sóba­dos después de la hora de cierre del almacén en discos duros externos.

o Una agencio de viajes, que tiene contratado el servi­cio de copias de seguridad a una empresa externo. Las copias de seguridad se realizan de forma remota.

o Otra compañía de viajes, que realiza las copias de seguridad completa el primer domingo de cada mes y copias de seguridad incremental todos los días.

12. Relaciona mediante flechas los siguientes conceptos:

o Copio todo o Diferencial

o Realiza lo copio desde la última completa o Completo

o Realiza la copia desde la última copia o Incremental.

o Soporte o Centro de respaldo

o Almacenamiento copias o Cinta

o Puntos de restauración o Recuperación del sistema

~/ 3 Seguridad pasiva. Recuperación de datas ----

Completa

Tipos Diferencial

Incremental

.. . . ~ -. Soportes para copias

Políticas de copios seguridad

Puntos de restauración

Arranque con la última conFiguración vólida

Recuperación automáticas sistema

Creación y restauración imágenes

'8

I!I1DdJad Sistemas de identificación. Criptografía

y estudiaremos:

• Métodos para asegurar la privacidad de la información transmitido.

• Criptografía: - Cifrado de clave secreta (simétrica) - Cifrado de clave pública (asimétrica) - Funciones de mezcla o resumen (hash)

• Sistemas de identificoción: - Firmo digitol - Certificado digital - Distribución de claves. PKI

En esta unidad aprenderemos a:

• Describir e identificar sistemas lógicos de identificación: firma electrónica, certificado digital ...

• Utilizar sistemas de identificación lógica como la firma electrónica o el certificado digital.

Sistemas de identificación. Criptografía

La frontera entre la Prehistoria y la Historia la marca la aparición de los primeros textos escritos.

La frase «ostentar el bastón de mandm) se cree que proviene del uso de la escitala, de la época de la antigua Grecia. Cuando los mandatarios se enviaban mensajes cifrados uti­lizaban el método descrito. El poseedor del bastón ostentaba el poder.

~ Actividades

l. i,Cómo aseguramos la privacidad de la información?

Desde que el hombre es capaz de comunicarse por escrito, ha tenido la necesidad de preservar la privacidad de la información en la transmisión de mensajes confidenciales entre el emisor y el receptor. Esta necesidad en algunos casos se ha convertido en cru­cial, por ejemplo en las guerras; la intercepción de un mensaje de las tropas enemigas podría suponer la victoria. Hoy en día, esas guerras se desatan entre las empresas del mismo sector, que luchan por expandir su mercado. Estas suelen ser grondes multina­cionales, con distintas sedes, que precisan intercambiar gron cantidad de información confidencial entre sus trabajadores. La intercepción de estos datos por compañías de la competencia les puede hacer perder cantidades ingentes de dinero y de tiempo.

Desde el principio de la historia del hombre surge la necesidad de garantizar la confi­dencialidad de la información, por eso se han desarrollado diversas técnicas de enmas­caramiento u ocultación de la información, siendo en la actualidad uno de los principa­les objetivos que persigue la seguridad informática.

• 2. Un poco de historia de la criptografía Si analizamos la etimología del término criptografía, vemos que proviene de dos pala­bras del griego, cripta, que significa 'escondido', y grafía, que quiere decir 'escritura'. Por tanto podemos definir la criptografía como la ciencia que estudia la escritura oculta, es decir, aquella que enseña a diseñar códigos secretos y la operación inversa, a inter­pretar los mensajes cifrados.

Los primeros mensajes cifrados datan del siglo v a.e.; ya entonces los espartanos usaban la escítala para ocultar las comunicaciones. El método consistía en enrollar una cinta so­bre un bastón y posteriormente escribir el mensaje en forma longitudinal. Después la cinta se desenrollaba del bastón yero enviado mediante un mensajero; si éste ero atrapado por los enemigos, sólo obtendrían un conjunto de caracteres sin sentido. El receptor sólo podría interpretar el mensaje siempre y cuando tuviese un bastón similar al que se utilizó para ocultar el mensaje, es decir una vara con el mismo diámetro.

EMCCSEROET I N L OPOPDTCROAIIDCDMEIOEEORNN

Fig. 4.1 . Escítala.

Como podemos ver en la imagen, el mensaje es «es el primer método de encriptación conocido», pero en la cinta lo que se podría leer es «EMCCSEROETINLOPOPDTCROA IIDCDMEIOEEORNN».

1. Te proponemos que pongas en práctica este primer método de encriptación. Paro ello debes utilizar algún instrumento de clase que te sirva de bastón, puede ser la pata de la silla, la de la mesa, un bolígrofo ....

Enrolla un papel alrededor del instrumento utilizado como bastón y escribe el mensaje a tronsmitir según el método explicado anteriormente.

Envíale el texto a otro compañero y comprueba si ha sido capaz de descifrar el mensaje.

Comprueba que si un tercer compañero (el intruso) intercepta el mensaje sin conocer el bastón utilizado para cifrar la información, no sería capaz de interpre­tar el mensaje.

)

Sistemas de identificación. Criptografía

A mediados del siglo 11 a.c., los griegos desarrollaron otro método conocido con el nombre de quien se cree que lo desarrolló, el historiador Polybios. El cifrado consistia en sustituir cada letra del mensaje original por el par de letras o números que indicaban la fila y columna en la cual se encontraba. Veamos un ejemplo:

Tabla 4.1. Tabla cifrador de Polybios.

El mensaje que queremos enviar es «el cifrador de Polybios es el primer cifrador por sustitución de caracteres», y el mensaje cifrado que enviaremos es «AECA ACBDBA­DBAAADCDDB ADAE CECDCAEDAB BDCDDC AEDC AECA CEDBBDCBAEDB ACB­DBADBAAADCDDB CECDDB DCDEDCDDBDDDDEACBDCDCC ADAE ACAADBA­AACDDAEDBAEDC» .

f-______________________ C=a=s:::o:..l~ráctico 1 9 Cómo cifrar can el cifrador de Polybios Como hemos estudiado anteriormente, el cifrador de Polybios sustituía cada carác­ter del mensaje original por un par de letras o números. En el ejemplo anterior hemos cifrado la información mediante un par de letras, ahora lo vamos a hacer mediante números (Tabla 4.2).

Tabla 4.2. Tabla cifrador de Polybios.

Recordamos el mensaje original: «el cifrador de Polybios es el primer cifrador por sustitución de caracteres».

El mensaje cifrado sería: 1531 1324214211143442 14153534315412243443 1543 1531 354224321542 1324214211143442 353442 4345434424444513243433 1415 13114211134415421543

Actividades "

2. Envía a un compañero un mensaje cifrado mediante el cifrador de Polybios. El mensaje deberá incluir una pregunta que el compañera deberá contestarte. Así podréis comprobar si el proceso ha funcionado correctamente.

'- .....;:.,. I ..

, :flf:.. J"'JT~;J

4

81

./ ~ 4

Sistemas de identificación. Criptografía ------------------~--------------------

-~¿Sabía5 que ... ?

" En el cuento "El escarabajo de oro» de Edgar Allan Poe se relata la resolución de un cripto­grama utilizando la técnica esto­dística basada en la distribución de los caracteres en el alfabeto inglés.

CDEFGH

En el sigla I a.e. los romanos desarrollan el cifrodor del César, cuyo método consistía en sustituir cada carácter por otro, resultado de desplazar tres posiciones hacia la derecha el carácter original del alfabeto utilizado. Veamos un eiemplo:

Mensaie del César a Cleopatro: "sic amate ut sin ete iam viverem non posi!» (de tal manera te amo que sin ti no podría vivir).

Para traducir el mensaie necesitamos los dos alfabetos el claro y el cifrado (Tabla 4.3).

""""-_ , A BCD E F G

D E F G K

KLMNOPQ

MNOPQRST

Tabla 4.3. Tabla con los olfobetos latinos del cifrador del Césor.

El alfabeto ariginal es similar al del castellano excepto en las letras: H, J, Ñ Y W.

Si nos fijamos en el alfabeto cifrado el mensaie oculto debe corresponderse con el si­guiente: VMF DPRXI YX VMQ IXI MDP ZMZIUIP QRQ SRVMX

Una de las vulnerabilidades que presenta el cifrador del César es la carrespondencia existente entre el alfabeto original y el del cifrado. No es difícil descifrar los secretos de los mensaies si analizamos la frecuencia de las letras. La letra más utilizada en los mensaies originales es la e, así la letra más utilizada en el mensaie cifrado debe corres­ponderse con la letra e del alfabeto ariginal.

En el siglo xv Leán Battista Alberti escribiá un ensayo donde proponía utilizar dos o más alfabetos cifrados, alternando entre ellos durante la codificación. De esta manera solventa la vulnerabilidad ocasionada por el uso de un único alfabeto cifrado para co­dificar cada mensaie. Sin embargo, Alberti no logró desarrollar ninguna máquina que pusiera en práctica su idea, y será Blaise de Vigenere quien en el siglo XVI desarrolle la idea de Alberti. El cifrador de Vigenere utiliza veintiséis alfabetos cifrados, obteniéndose cada uno de ellos comenzando con la siguiente letra del anterior, es decir, el primer al­fabeto cifrado se carresponde con el cifrador del César con un cambio de una posición, de la misma manera para el segundo alfabeto, cifrado con el cifrador del César de dos posiciones (Tabla 4.4).

J K M N O W X Y Z A

DEFGH J KLMNOPQRST UVWXYZAB

EFGH JKLMNOPQRSTUVWXYZABC

F G H

G H

J KL MNOP QR S T UV WX y Z A BCD

KLMNOPQRSTUVWXYZABCDE

ZABCDEFGH J K MNOPQRSTUVWX

ABCDEFGH JKLMNOPQRSTUVWXY

BCDEFGH JKLMNOPQRSTUVWXYZ

Tabla 4.4. Cuadro de Vigen.re.

~ Actividades

3. Cifra mediante el cifrador del César el siguiente mensaie: «el cifrador del César tiene muchas vulnerabilidades». El mensaie está escrito en castellano. -

Sistemas de identificación. Criptografía 4 -------------------

De esta manera el emisor podría cifrar la primera letra can el quinto alfabeto, la segun­da con el decimo alfabeto, la tercera con el decimoquinto alfabeto, y así sucesivamente. Para descifrar el mensaje, el receptor debe saber qué línea de la tabla de Vigenere ha sido utilizada para codificar cada letra, por lo que previamente se han tenida que poner de acuerdo. Esto se logra utilizando una palabra clave. Vamos a ver un ejemplo.

Queremos enviar el mensaje "LA IDEA ES DE ALBERTI» utilizando la palabra clave "CI­FRADO».

e F R A D O e FRADOC F

l A D E A E SDEAlBE R T

N N U E D S UlJRlES T B N

Tabla 4.5. Resultado de cifrado.

Para ocultar el mensaje utilizamos la palabra CIFRADO; el praceso consiste en hacer corresponder la primera letra en claro, "L», con la letra que le corresponde en el alfa­beto cifrado que empieza por la letra "C», la segunda letra del mensaje en claro "A» se hace corresponder con su correspondiente en el alfabeto cifrado que empieza por la letra «1», y así sucesivamente.

La ventaja de este sistema es que no se puede descifrar el mensaje oculto analizando las frecuencias de las letras ya que una misma letra se corresponde con varias combinacio­nes distintas. Otra de las ventajas de este método es que se pueden utilizar innumerables claves.

Todos estos métodos criptográficos se fueran perfeccionando y mejorando según avan­zaba el tiempo. Es en la Segunda Guerra Mundial cuando se hace imprescindible el uso de máquinas que cifren los mensajes para así evitar que el enemigo interceptase información sensible para el desarrollo de las operaciones.

Según los ejemplos vistos anteriormente podemos hacer una clasificación de los méto­dos de criptografía:

• Sistemas de transposición: como indica su nombre consiste en descolocar el orden de las letras, sílabas o conjunto de letras. En función del número de transposiciones podemos clasificar los sistemas de transposición en:

Sistemas de transposición simples: cuando el texto en claro solo es sometido a una transposición.

Sistemas de transposición doble o múltiple, cuando se realiza una segunda trans­posición sobre texto que ya había sido cifrado mediante transposición simple. Con este método se consigue una mayor seguridad.

• Sistemas de sustitución: como su nombre indica se reemplazan algunas letras del alfabeto por otras o por un conjunto de ellas según el método. Según el tipo de sustitución se clasifica en:

Literal, se sustituyen letras por letras.

Numéricas, se sustituyen por números.

Esteganográfica, se sustituyen por signos o se oculta el mensaje tras una imagen, sonido, etc.

Actividades 9) 4_ Clasifica todos los métodos de cifrada estudiados en el Apartado 2, "Un poco

de historia de la criptagrafím), según las categorías especificadas anteriormente.

., ""b' ,.. ? ._ ¿SCL 1c;!5Iq!,e._ .. 9 Desde tiempos inmemoriales se han ocultado mensajes dentro de objetos. Por ejemplo según se cree los griegos tatuaban los mensajes en [a cabeza del escla­vo de mayor confianza y una vez que el pelo le había crecido lo enviaban con [a instrucción de que le raparan la cabeza. Este sistema se conoce como esteganografía.

~/4 Sistemas de identificación . Criptografía --~------------~~--------------------

~ Las claves nunca deben estar apuntadas en papel ni en nin­gún documenta que pueda estar al alcance de intrusos.

En la documentación de cripto­grafía es muy usual utilizar la figura de una llave para repre­sentar la clave. El término key significa 'llave o clave'.

3. Criptografía simétrica y asimétrica Hoy en día se utilizan fundamentalmente dos métodos de cifrados, el primero de ellos conocido como cifrado simétrico o de clave privada, el cual utiliza la misma clave para el cifrado y el descifrado. El segundo, conocido como cifrado asimétrico o de clave pú­blico, utiliza una pareja de claves para el proceso de cifrado y descifrado.

• 3.1. Criptografía simétrica

Este método se basa en un secreto compartido entre la entidad que cifra el mensaje y la que lo quiere descifrar, es decir, utiliza la misma clave en el proceso de cifrado que en el de descifrado.

Si analizamos los métodos utilizados para salvaguardar la confidencialidad de los men­sajes desde los primeros tiempos de la criptografía hasta mediados de los setenta (prác­ticamente hasta nuestros días), veremos que sálo se hacía uso de métodos simétricos, que exigían necesariamente que el emisor y el receptor se pusieran previamente de acuerdo en la clave que iban a utilizar. El método de Vigenere es un claro ejemplo de lo dicho.

Supongamos que Virginia y Macarena quieren intercambiar informacián confidencial. Antes de hacerlo, han de ponerse de acuerdo sobre la clave a utilizar, pues si la recep­tora no la conociera, le sería imposible leer el mensaje.

Texto claro

Encriptación

Fig. 4.2. Cifrado con clave privada.

Texto cifrado

Texto claro

Desencriptación

Este método tiene dos desventajas: la primera, como podemos deducir de lo explicado, es la que conlleva el intercambio de claves, ya que si las personas se conocen y están físicamente en contacto es más o menos fácil comunicarse la clave a utilizar (Virginia y Macarena pueden quedar e .. intercambiarse las claves que utilizarán), pero si Virginia y Macarena se encuentran separadas por miles de kilámetros, o incluso no se conocen, ¿cámo se intercambiarían la clave? Mediante un correo electrónico, correo ordinario, una llamada telefánica, pero todos ellos son medios de comunicacián inseguros; cual­quier intruso podría capturar la clave elegida, e incluso podría suceder que Virginia co­municase por error la clave a otra persona que no fuese Macarena, sino que se hiciera pasar por ella.

~ Actividades

5. Calcula cuántas claves necesitan intercambiar un grupo de cinco personas que se quieran mandar entre ellas correos electránicos cifrados.

la} ¿Cuántas claves son necesarias si el grupo lo conforman diez personas?

b} ¿Qué sucedería si en vez de diez fuesen cien? )

Sistemas de identificación. Criptografía 4 La segunda desventaja es la cantidad de claves que una persona debe memorizor; supongamos que Macarena intercambia información confidencial con cincuenta per­sonas diferentes, con cada una de ellas utiliza una clave distinta y cada cierto tiempo modifica dichas claves por seguridad. ¿Cuántas claves debería memorizar Macarena? Innumerables. " GPG viene de GNU Privacy

Guard, proporciona una imple­mentación para el estándar OpenPGP Me55age, con el obje­tivo de preservar la confiden­cialidad de los datos del usua­rio tanto en el almacenamiento como en la comunicación de la información.

Vamos a ver cuántas claves son necesarias cuando cuatro personas intercambian in­formación confidencial entre ellas utilizando cifrado simétrico. Como vemos en la Figu­ra 4.3, son necesarias 6 claves diferentes. Cada una de las líneas representa la clave intercambiada entre las parejas.

Gustavo

Virginia

Macarena

Fernando

Además supone una alternativa de libre distribución frente a PGP (Pretly Good Privacy) de P. limmerman perteneciente a una empresa que proporciona servi­cios de soporte para encripta­ción de datos y comunicaciones.

Fig. 4.3. Gráfico para calcular cuántas claves son necesarios.

Cifrado simétrico con GnuPG sobre lo distribución GNU/Linux En esta práctica vamos o aprender a cifrar documentos con la herramienta GnuPG, utilizando clave privada para inten­tar asegurar la confidencial del documento cifrado.

1. Para familiarizarnos con las opciones de gpg, en pri­mer lugar solicitamos la ayuda mediante el comando man gpg en la consola.

La ayuda nos informa de todas las opciones que podre­mos utilizar. Estas son numerosas, pero no os asustéis, para esta práctica debemos fijarnos solo en las siguien­tes opciones:

- e: cifra utilizado clave privada; para ello nos solici­tará una "frase de paso», passphrase, que se suele tra­ducir como 'clave o contraseña'.

-a: guarda el documento cifrado con caracteres ASCII.

2. Para cifrar el documento "Documento_Secreto» mediante un algoritmo simétrico, debemos utilizar la opción -e, por lo que ejecutamos la instrucción que se muestra en la Figura 4.4:

Fig. 4.4. Cifrando Documento_Secreto.

30 Una vez ejecutada la instrucción, la utilidad genera un documento en el mismo directorio donde se encuen­tra el archivo a cifrar, añadiendo la extensión .gpg al nombre de dicho documento (Fig. 4.5).

Caso práctico 2 9 4. Al abrir el archivo cifrodo mediante el editor de texto,

observamos que la herramienta nos ha convertida nuestro documento en un texto totalmente ilegible, con caracteres que no se corresponden con los de ASCII.

5. Para que la salida sea en ASCII, debemos añadir a la orden el parámetro -a. Ahora, tenemos un nuevo documento cifrado con el mismo nombre y en el mismo directorio en el que se encuentro el archivo a cifrar, al que le añade la extensión . ase (Fig. 4.6).

o. .. !;)r,¡¡ , ("'¡-"Elm!» , . {, Archivo Editar ~ .ll.Ulcar tielTillmlental QocumentOI Aluda

lb El . El Ji¡ n @I . Nuevo Abrlr Gu~rda1 Imprimir ... Desh~cC!l r~tlMtr Co!l ol! cOp'al Pe-¡¡a1

!tl Documento_5ec~to.gP9 [J I

1!Hl1!ll[[Il!IIlcelI!l".il' i!' ÉJ!]3.<nl!!l~IllI·OcA¡rnHftS.llll1\l!!lql!!lk . E YfiSSII!l!i2IIIJlAHU' hUift?i}hP11ID1ID' S IITIl~ . I09I1l1.U I OQMIID- nm"llITlt<p u [!]![!]IIIlIIIl[!]I!!lIT!lIIIl. ,Mi ·(0 úg¿\[[!J[!]2.II!lA7TA(!l!l]lII!l~/yl!DllIIl!!] \· t: ula~) yO $[[!J(

Flg. 4.5. Documento CIFrado.

lb El . El Ji¡ -Nuevo Abrl1 Guarda! Imprimir ... D~I.}(:~ Ilehace1 (1)11.! Copm !'eg.J<

D Dccumento.5ecn:to.asc o 1-• .. ·BEGIU PGP HESSAtiE .. ·•·

Version: GnuPG vl.4.9 (GllO/Linux)

jAOEAIoflCV\Olr7JZhBVgyYjCEljSjdVcdztgtlOCPBOUc90H9pdtntWehllSKIISU q4d..w4A4KWz8nSAYdtOUR9IJWfn23\uKVrfAkzUIlHC2Fosou50n...urkpBwIl100R cdiPiwvz 1119Vtjo('(S lUkvI)(l F4Diw(kr-Mt2G230eg\QEEvPs7VFTCOFB~3yj cSe Yd\\'02sqqniE .... • A~n¡ ----.EIIO PGP HESSAGE--'"

Fig. 4.6. Documento cifrado en ASCII.

,

86

Sistemas de identificación. Criptografía

A vez que Whitfield Diffie y Martin Hellman publicaron el nueva método se cree que inves­tigadores que trabajaban paro agencias de inteligencia militar también lo habían desarrolla­do pero por ser investigaciones secretas no salieron a la luz.

La criptografía asimétrica se utili­zará para firmar documentos de manero digital.

3.2. Criptografía asimétrica

En 1976, dos criptógrofos, Whitfield Diffie y Martin Hellmon, publicaron un nuevo mé­todo criptográfico que solucionaba las desventajas de la criptografía simétrica (la difícil distribución de claves y el elevado número de claves necesarias).

La genial idea de estos investigadores estadounidenses consiste en que cada una de las partes involucradas en una comunicación segura tienen una pareja de claves. Una de ellas, pública, que deberá intercambiar con cada una de las entidades con las que quie­ra comunicarse mensajes secretos, y otra de ellas privada, y que par tanta, jamás debe comunicar a nadie. Sí, has leído bien, una de las claves, la pública, se la comunicará a todo el mundo sin que cree ninguna vulnerabilidad en las comunicaciones, porque con ella nunca podría un intruso descifrar el mensaje.

Para cifrar un mensaje, el emisar utilizaró la clave pública del receptar, y a su vez, el receptar descifrará este mensaje haciendo uso de su clave privada. Veamos el procesa mediante el siguiente ejemplo: supongamos que Fernando y Macarena quieren inter­cambiarse información confidencial haciendo uso de la criptografía de clave pública. El primer paso es que cada uno de ellos obtenga una pareja de claves, es decir, Fernando tendrá dos claves y Macarena otras dos (uno de ellas pública y otra privada). Cada uno de ellos comunica la clave pública al otro utilizando el método que más sencillo le sea, pues como hemos dicho anteriormente, no pasaría absolutamente nada si algún intruso la obtuviese. Cuando Fernando quiera transmitir un mensaje a Macarena, utilizará la clave pública de esta para cifrarlo y cuando Macarena lo reciba, deberá descifrarlo utilizando su propia clave privada.

Como se puede ver, se han solventado las desventajas de la criptografía de clave pri­vada.

Como es lógico pensar, estas claves se generan a la vez y se encuentran relacionadas matemáticamente entre sí mediante funciones de un solo sentido; resulta prácticamen­te imposible descubrir la clave privada a partir de la pública. Veamos un ejemplo: enviamos un mensaje cifrado con una clave pública basada en el praducto de dos números primos grandes. Cuando el receptor recibe el mensaje debe descifrarlo, y para ello deberá hacer uso de la clave privada, basada en uno de los números primos que forman el producto que recoge la clave pública . En caso de no conocer alguno de los números primos que conforman la clave pública sería extremadamente difícil descifrar el mensaje.

Clave pública

'A\lA\JA' y 'A\I~\JA' Texto claro

Encriptación

Fig. 4 .7. Cifrado con clave pública.

Texto cifrado

Clave privada

y Texto claro

Desencriptación

Como observamos en la imagen anterior, la clave pública es conocida por numerosas personas, mientras que la clave privada debe ser guardada por el receptor con celo para no comprometer la confidencialidad de los mensajes.

Generación de un par de claves para usa de cifrado asimétrico

Esta práctica la desarrollaremos mediante la herramienta gpg en la distribucián GNU/Linux Ubuntu.

1. Ejecutamos la instruccián gpg can el parámetro -gen­key.

2. Al ejecutar la instruccián la herramienta nas pide que seleccionemos el tipo de clave deseada. Nos ofrece tres opciones; la primera DSA y EIGamal que generará las claves tanto para encriptar como para firmar; la segunda opcián DSA y la tercera, RSA, generarán un par de claves para firmar. Seleccionamos la opción 1, que es la opción por defecto que nos propone la herramienta.

Sistemas de identificación. Criptografía 4

Caso práctico 3 9 3. Una vez seleccionado el tipo de clave a generar, debe­

mos seleccionar el tamaño de la misma. Cuanto mayor sea la clave, más segura será contra ataques de fuerza bruta, pero más lento será el proceso de cifrado y des­cifrado, además de incrementar la longitud de la firma digital. La herramienta nos permite seleccionar entre 1024 y 4096 bits. Elegimos el tamaño que nos indica por defecto escribiendo 2048.

4. Por último, debemos especificar el tiempo de validez de la clave. En nuestra práctica vamos a generar una clave con un periodo de duración de un mes (escribimos 1 mi. En caso de necesitar más tiempo podríamos aplazar la fecha de caducidad.

!rthlvo EdItar Mer ~rmrnal AY.uda adrnin1strador@Jupiter:-$ gpg .. gen:k~ 1 'r---------,ol gpg (GnuPG) 1.4.9. Copyright (e) 200B Free !:l. ,¡are Foundation, Inc, This is free software: you are f ree to change and redistribute it. There is tlD WARRANTY. to the extent permitted by law,

Por favor seleccione tipo de clave deseado: (1) OSA Y ElGaoal (por defecto) (2) OSA (sólo firmar) (5) RSA (sólo '- "rJ

¿SU elección?: 1 2 El par de claves D~" tendrá 1024 bits. las claves ElG-E pueden tener entre 1024 y 400" hits de longitud. ¿De que tamaño quiere la clave? (2048) 20<l0 3 El tamaño requerido es de 2048 bits Por favor, especifique el periodo de validez de la clave.

o ., la clave nunca caduca en> lO la clave caduca en n dias <nloW .. la clave caduca en n semanas <nlora '11 la clave caduca en n /teses <nloy .. la clave caduca (' años

¿Validez de la clave (O)? 1m 4 la clave caduca mar 20 oct 200~~..: d:16:41 CEST ¿Es correcto (s/n)? s

Fig. 4.8. Generación de la pareja de claves,

5. Además de los parámetros de la clave, la herramienta nos solicita información sobre nosotros. Debemos indicarle nuestro nombre, correo electrónico y algún comentario.

6. Una vez que se introduzca la información del usuario, se crean las claves. En ese momento la aplicación nos informa que es necesario generar muchos bytes aleatorios por lo que es conveniente que mientras se crea la clave movamos el ratón o trabajemos en otra ventana, etc.

7. gpg necesita una contraseña para proteger las claves, por lo que nos solicita que introduzcamos una frase. Sí, nos solicita una frase para hacer hincapié en la impartan-

pub 1024D/15D922Be 2009·89-22

cia de la elección de una buena clave. Debemos tener especial cuidado a la hora de seleccionar la contraseña, ya que si algún intruso consigue la clave privada, podría mediante algún método descubrir la contraseña y tener acceso a todos nuestras documentos y mensajes cifra­dos. En las contraseñas no debemos utilizar palabras ni en castellano ni en ningún otro idioma, debemos mezclar tanto números como letras mayúsculas y minúsculas, debe­mos intercalar símbolos, como paréntesis, dólar, etc. Una buena contraseña es crucial para el uso de gpg.

B. Para finalizar listamos las claves mediante la instrucción gpg con el parámetro -k.

uid Fernando Delgago (Tecnico de 5eguridad informatica de la presa SiTour) <f.delgad~mai1.com> sub 204Bg/C1555A7B 2009-09-Z2

Fig. 4.9. lisIado de claves de Fernando.

l8

----; / 4 Sistemas de identificación. Criptografía

------------------~--------------------

Q Casa práctico 4

Generar un certificado de revocación con lo herramienta gpg poro informar a 105

usuarios que lo clave pública no debe ser usada nunca más

Se recomiendo que inmediatamente después de generar los claves, el usuario cree un certificado de revocación para lo clave público. De esto manero si el usuario olvidara lo contraseño o perdiese o viese vulnerado su clave privado por algún intruso podría publicar en algún servidor de Internet como el HTTP://PGPkeys.mit. edu: 11371 el certificado de revocación poro informar 01 resto de usuarios que no debe ser usado nunca más. Uno clave público revocado puede ser usado para verificar firmas hechos por el usuario en un posado, pero nunca podrá ser usado paro cifrar datos.

Paro esto práctico utilizaremos lo herramienta gpg con los siguientes parámetros:

- k: listo todos los claves.

-gen-rev oke : genera el certificado de revocacián poro la clave especificado. Debemos utilizar el siguiente formato: gpg -gen-revoke identificador _ clave, siendo el identificador_clave el númera que identifico lo clave o el nombre o el apellido del usuario o el correo o cualquiera de los palabras del comentario.

1. Antes de revocar lo clave, debemos conocer su identificación; poro ello listamos los claves mediante lo instrucción gpg con el parámetro -k.

2. Generamos el certificado de revocación mediante lo instrucción gpg con el parámetro -gen-revoke. En nuestro coso utilizamos el número que identifico lo clave poro crear un certificado de revocación poro lo mismo.

3. Respondemos afirmativamente o lo pregunto.

4. Posteriormente debemos indicar lo rozón por lo que se creo el certificado de revocación . Debido o que lo estamos generando inmediatamente después de creor lo clave, lo razón de lo revocación no es ninguno de los que nos propone, por lo que seleccionamos la primera opción ¡introducimos un cero). Después escribimos nuestra decisión: " Este certificado se creó inmediata­mente después de crear la clave. Hoy puede ser que esté comprometido o bien no vuelva a ser usado».

5. Por último, introducimos lo contraseña de lo clave.

6. El certificado de revocación ha sido creado y nos lo muestro en pantalla, advir­tiéndonos que lo podemos imprimir y después debemos guordarlo en algún lugar seguro, ya que si alguien se apodera del mismo, podría utilizarlo para inutilizar la clave.

Todo este proceso lo podemos ver en lo Figura 4.10:

1 B

p~b lPZ(P¡ U'E8Z11 l009·M·20 IIcaduca: 2009-111-2611 \lId llac."n, Sublil i P (1) '~I II'" lit ¡"11th) Clurfn~ll.{o~ lub 2G.1'g/J.O!06DHf 2009-09-:10 " '.¿Uf. : 1009·10·2011

.cblnhlt.dorOJuplter:- , gpg ··gen. ruoLe lM~UF 2 Ifl; IOZ'Pf'JHnn 11)(19·01·]1 Mitarfn. 5cl>til (p",'etor. ¿e Ingt h l a.ou'en'J9 .... n.u .... ¡(ru . un eerUfütl!D de ' IVOC.tU" ~Irl u ta Clav.l' 3 'D' fnor .UJ. un. ru6n plrl h .tvo¡¡cHn: I

D • No Ir 1110 nl"llUl'I rl16n , I ~ ~ ,hv. h. I I ~o co::prO!'etid. 1 • I I chv. 11. sido ...... phud •. 1 • II ch_. y. no nI' en UIO

IP~O;'~~~~~:; Q~.rll Illmionlr 1 aqui) 4 ~ 5~ duht6M O I ' ntroduZCI un. dttcrlpcl6n opcional; lC'bt\a con una \i~·· · "ac1a,

:/~~: ~:;!1~!~:~~~I~~e: !~:~d~~t~~:~~: ~e:~~t~I~~'~ r." 5 clm. Hoy puede 1 ;

Fig. 4 .10. Proceso de creación de certiFicado de revocación.

Sistemas de identificación. Criptografía 4

Intercambiar claves mediante la herramienta gpg

Casa p'ráctico 5 9 Para poder comunicarnos de manera segura, debemos intercambiar las claves públicas con todos aquellos usuarios con los que queramos establecer una comu­nicación.

Antes de poder enviar la clave pública a otro usuario debemos exportarla. Para ello debemos utilizar la herramienta gpg con el parámetro -export seguido del identificador de la clave (como vimos en el caso práctico anterior como identifica­dor, podemos utilizar el nombre, cualquier palabra del comentario, el correo ... ).

En nuestro caso, Fernando quiere comunicarse con Macarena, por lo que debe exportar su certificado (guardar la clave pública en el archivo fernando.gpg).

lB Archivo fditar :ier rermlnal Ayuda

fernandO@Jupiter:-s gpg ·k G

~~~~~~~~~~~~~~:: ~~~~~:~~~~:~~: ~~~ I pUb 1924D/1SD9228E 2999-09-22 u1d Fernando Delgago (Tecnico de seguridad informatica de la ero presa SiTour) <f.delgadO@grna i l.com> sub 2848g/ClS55A78 2899-89-22

fernandO@Jup l ter:-s 2pg -·output fernando .gpg --export Fernando fernandO@Juplter:-s I

Fig. 4 .11. Exportación de las claves de Fernando.

Una vez que ha exportado la clave, Fernando debe hacérsela llegar a Macarena para que esta la guarde en su anillo de claves, lugar donde se almacenan todas las claves públicas que se poseen.

Suponemos que Macarena ha recibido la clave pública de Fernando. El archivo fernando.gpg lo ha almacenado en su carpeta personal como podemos ver en la Figura 4.12.

A continuacián Macarena debe importar la clave de Fernando a su anillo de claves mediante la herramienta gpg con el parámetro -import y el nombre del archivo a importar, como se muestra en la Figura 4.12 .

. <:.~ •

Archivo fditar :ier Ji!nnlnal Ayuda macarena@Jupiter:-s 15 G Docur.:entos examples.desktop II:1lÍgcncs Plant illas Videos I Escritorio fcrnando .gpg ¡'¡lisica Público macarena@Jupiter:-S gpg - -import fernando. gpg ¡ gpg : clave lSD9228E: clave pública "Fernando oetgago (Tecnico de seguridad i ntor I matica de la empresa 5iTour) <f .delgadO@gmail.com>" importada gpg: Cantidad total procesada : 1 gpg: i!!!portadas : 1

Fig. 4.12. Importación de la clave de Fernando al anillo de Macarena.

En la Figura 4.13 vemos que ahora Macarena posee la clave pública de Fernando.

ArchIvo fdltar yer rermlnal Ayuda

r:1acarena@Jupiter:-s gpg ·k ~ Ihome/rnacarena/ . gnupg/pubring. gpg ............. . .............. _----pub 1024D/61C2F898 2099·99- 22 (( caduca: 2099 ·10-22]] uid Macarena Subtil (Seguridad Informatica SiTour) <IIlacarena~gm, ail.com> sub 29489/941888CO 2909 -99· 22 (( caduca: 2999 -19- 2211 1

1 pub 19240/1SD9228E 2999·99·22 uid Fernando Oelgago (Tecn i co de seguridad informatica de la ern presa 51Tourl <f .delgadO@gmail.com> I sub 2948g/Cl555A78 2999·09-22

Fig. 4. 13. Listado de claves de Macareno .

Actividades 9' 6_ La herramienta gpg,

mediante el parámetro -output, permite gra­bar el certificado de revo­cacián en un archivo.

Vuelve a generar un cer­tificado de revocación para la subclave que se guarde en el escritorio con el nombre de cert_ revocado.asc.

90

Sistemas de identificación . Criptografía

I principio Kerckhoff es la base de la mayor parte de los sis­temas actuales de seguridad, en los que la seguridad recae en algo que el usuario sabe (una clave), algo que el usuario posee (una tarjeta de identifica­ción) o algo que pertenezca a la naturaleza del usuario luna huella digital).

3.3. Criptografía híbrida

La desventaja de la criptografía de clave pública es la lentitud del proceso de cifrado y descifrado, que obedece tanto a la comple¡idad de los métodos utilizados como a la longitud de las claves. Pensemos que una longitud típica de una clave utilizada en criptografía simétrica es de 128 bits frente a los clásicos 2048 bits que se suelen utilizar para el tamaño de las claves en criptografía de claves asimétricas.

Otra de las desventajas es el mayor tamaño de la información cifrada con clave pública frente al tamaño de la misma cuando se cifra con clave privada.

Todo esto nos hace pensar que lo ideal sería utilizar criptografía de clave privada para intercambiar mensajes, pues estos son más pequeños y además el proceso es rápido, y utilizar criptografía de clave pública para el intercambio de las claves privadas. Veamos el siguiente ejemplo: Gustavo quiere intercambiar información con Virginia utilizando como clave privada "CIFRADO".

Para ello, antes de nada, Gustavo mandará un mensaje cifrado con la clave pública de Virginia, en el que informa de la clave que utilizarán ("CIFRADO,,), así solo Virginia podrá descifrar el mensaje y conocer la clave que utilizarán para la posterior comuni­cación.

4. Algoritmos Los algoritmos son los métodos que se utilizan para transformar el texto claro en el texto cifrado. Para aclarar esta definición, vamos a analizar el cifrado por sustitución del Cé­sar. El algoritmo consiste en sustituir cada letra del texto sin cifrar por otra letra del mis­mo alfabeto que se encuentra situada en el orden del diccionario N puestos por delante. N es el valor de la clave, que como podemos ver, junto con el algoritmo, determinará exactamente la letra que sustituirá a la original.

El principio de Kerckhoff establece que la fortaleza de un sistema de cifrado debe recaer en la clave y no en el algoritmo, lo cual quiere decir que aunque el algoritmo sea de dominio público (y este es el caso de la mayoría de ellos en la actualidad), si no cono­cemos la clave, no seremos capaces de descifrar los mensajes.

Como podemos imaginar, hoy en día se utilizan diferentes algoritmos, algunos válidos para criptografía de clave privada y otras para criptografía de clave pública. DES, 3DES, RC4, IDEA Y AES son nombres de algoritmos de clave privada y DH, EIGamal, RSA de clave pública, entre otros.

Los algoritmos de cifrado se clasifican en dos tipos:

• De bloque: llamados así porque dividen el documento en bloques de bits, que por lo general son del mismo tamaño, y cifran cada uno de estos de manera indepen­diente, para posteriormente construir el documento cifrado. Cuando se envía un do­cumento cifrado utilizando un algoritmo de bloque, primero se cifra completamente el archivo a enviar y luego se realiza su transmisión.

• De flujo: se diferencian de los anteriores en que se cifra bit a bit, byte a byte o carác­ter a carácter, en vez de grupos completos de bits; son muy útiles cuando tenemos que transmitir información cifrada según se va creando, es decir, se cifra sobre la marcha. El algoritmo de nombre AS que se utiliza en la telefonía móvil es de este tipo, pues según se van generando los bits que hay que transmitir, se van cifrando uno a uno y poniendo inmediatamente en el aire.

~ Actividades

7. Indica cuál es el algoritmo en el cifrado de la escítala y cuál es la clave.

Sistemas de identificación. Criptografía 4

5. Función Resumen

También se conocen por su nombre inglés hash; son funciones que asocian a cada do­cumento un número y que tienen la propiedad de que conocido el valor numérico, no se puede obtener el documento. Estas son conocidas por el nombre de funciones de un solo sentido.

El tamaño de un documento en bits podría ser una función resumen; también podría serlo, por ejemplo, la función que a cada documento le asocia su fecha de creación. Y aunque es verdad que estas dos funciones son funciones resúmenes, serían muy pocos útiles en el mundo de la criptografía, porque no cumplen los dos requisitos fundamen­tales: el primero de ellos, debe ser muy difícil que dos documentos distintos tengan el mismo resumen, y el segundo, que debe ser muy difícil, por no decir imposible, crear un documento a partir del valor de su resumen.

Como vemos, si nos fijamos en el primer ejemplo de la función tamaño en bits de un docu­mento, no cumple ninguno de estos requisitos, pues es fácil que dos documentos tengan el mismo tamaño, y aún mas fócil es crear un documento que tenga un tamaño dado.

Esto nos hace pensar que la manero de obtener el valor resumen de un documento em­pleará algoritmos complejos matemáticamente, para que así pueda cumplir las dos es­pecificaciones de la función resumen. Algunos de estos algoritmos son el MD5 y el SHA.

El aspecto que tiene el valor hash o función resumen de un documento utilizando el algoritmo MD5 es lDE928978E2BF219F76ElC5C2A9CCB1A; como podemos ver, un número escrito en hexadecimal de 32 dígitos, o lo que es lo mismo de 128 bits.

El resultado de aplicar este algoritmo a un documento siempre genera un número de 128 bits.

Sabemos que en Linux las contraseñas de los usuarios se encuentro n en el fichero /etc/ passwd o en versiones más actuales en el fichero /etc/shadow. Como imaginamos, es­tas contraseñas no se encuentran en texto claro, sino que se almacenan en estos ficheros utilizando funciones resumen; los algoritmos que más se utilizan son el MD5 y el SHA-512. Se recomienda utilizar este último pues se considera el MD5 mucho más inseguro.

En el siguiente texto se muestran las contraseñas de dos usuarios, el primero de nombre Macarena, con contraseña SHA-512, y el segundo Fernando, con contraseña MD5.

A continuación se muestra un extracto del fichero shadow donde se guardan las contra­señas cifradas de los usuarios de las últimas distribuciones de Ubuntu.

macarena:$6$R977XEKW$TPt4CYwdX3 85zM4BkaOXBS51V4GES 1 n R04PxBOoHys/ qx/BXeEOH6wGW2vID.GRaeUfKhlvIUpg uD/7imHeNu 1: 14595:0:99999:7:::

fernando:$l $U9Cre44W$V2mwkCU1 uH117zqWaqc7L/: 14595:0:99999:7:::

Como se puede observar en las líneas anteriores, la contraseña de Macarena, que utili­za el algoritmo SHA-512, es mucho más larga y por tanto será menos vulnerable que la de Fernando, que ha utilizado el algoritmo MD5 para ocultarla.

Actividades 9t 8. Bájate de la página http://www.blisstonia.com/softwore/WinMD5/#download

la aplicación WinMD5, que calcula el valor resumen de un documento utili­zando el algoritmo MD5.

a) Crea varios documentos de texto.

b) Calcula mediante la aplicación sus valores hash.

c) ¿Son muy parecidos los valores resumen de los documentos?

d) ¿Cómo son los valores hash obtenidos de dos documentos iguales que difie­ren exclusivamente en una letra?

En muchas páginas web te pue· des descargar además de un archivo su valor resumen para así comprobar si alguien ha modificado el archivo original y por tanto su valor no coincide con el que debería tener.

Sistemas de identificación. Criptografía

Texto claro

Función hash

6. Firma digital Cuando estampamos nuestra firma manuscrita en un documento, [e estamos dando a[ mismo veracidad y aceptando nuestra respansabi[idad sobre [a que en é[ se diga. Por eiemp[o, cuando firmamos un contrata de trabaia estamos aceptando [as condiciones que en este se establecen y por tanta responsabi[izándanas de [as mismas. Cuando firmamos una declaracián de [a renta, estamos admitiendo que ese es e[ dinero que nos deben de­va[ver a e[ que (esperemos que na) tenemos que entregar nosotras a [a Agencia Tributaria.

La firma digital viene a sustituir a [a manuscrita en e[ mundo de [a informática. Es decir, si firmamos de forma digital un documenta, [e estaremos dando veracidad y como sucede con [a firma manuscrita, no podremos decir que no [o hemos firmado nosotras; por [o tanto, seremos responsables de [o que en é[ se diga.

La descripción del mecanismo de firma electrónica es e[ siguiente:

• Se calcula un valor resumen del documento, utilizando algún algoritmo como e[ SHA.

• Este valor resumen se cifra uti[izanda [a clave privada de nuestra pareja de claves púb[ica-privoda (sí, has leído bien, resulta que no sólo se puede cifrar con [a clave pública, también algunos algoritmos de cifrado asimétrica permiten cifrar con [a clave privada, en especial [os que se utilizan para firmo digital. Esto permite asegu­rar que [a única persona que ha podido firmar e[ documenta soy yo, e[ único que conoce [a clave privada).

• E[ resultado de este valor es e[ que se conoce como firma digital del documento.

~ Clave pnvada utilizada para firmar

1

Como se deriva del pracesa recién ex­p[icado, [a firma digital nada tiene que ver con e[ cifrado del documento en sí. En ningún momento hemos cifrado e[ ar-

I =,.,.&:;=".,,'P~.:.;¡ ~ I =''''~'P~.:. j Resumen del mensaje Resumen firmado con Texto claro + firma

clave privada

Fig. 4.14. Esquema del proceso de firmar digitalmente.

chivo, y es que si pensamos en e[ praceso de [a firma manuscrita sucede que nun­ca cuando firmamos un papel [o estamos cifrando. Esto no quiere decir que no se pueda, también, cifrar y además firmar e[ documento. También podemos deducir que dos documentas distintos firmados digitalmente por una misma persona ten­drán firmas digitales distintas, pues [os va­[ores resumen del documento nunca serán iguales, y por tanto esto diferencia a este tipo de firma electrónica de [a firma clási­ca, pues esta última siempre es [a misma para [a misma persona firmante.

~ Caso ,,-rédico 6

Firma digital de un documento para asegurar la autenticidad del autor y la integridad del dacumento enviado Vamos o utilizar [o herramienta gpg con [os parámetros: archivo binario, como ficheros comprimidos, ejecuto­

• -clearsign: e[ contenido del documento o firmar no es cifrado, por [o que es legible para cuo[quier usuario sin ningún software especial. Solo será necesaria [a op[i­cación gpg para verificar [o autenticidad de [o firma.

b[es ...

En esto práctica vamos o ver [os distintas opciones

podemos utilizar para [a firma de un documento. que

• -s: firma con [a clave privada del usuario. E[ resultado es un fichero comprimido (binario) ilegible.

1. Ejecutamos [a instrucción gpg - -clearsign Docu-

mento secreto.

• - b: se utiliza cuando se desea que [a firma aparezca en un fichero separado; cuando se quiere firmar un

2. Introducimos [a contraseña de [a clave privada con [a

que vamos a cifrar e[ documento.

(Continúa)

Sistemas de identificación. Criptografía 4

(Continuación)

Casa práctico 6 9 3. Al finalizar el proceso, obtenemos un fichero con el

mismo nombre que el archivo a firmar con extensión asc (en nuestro caso Documento_secreto.asc). Como podemos ver en la Figura 4.15, en primer lugar apare­ce el texto en claro del documento firmado y posterior­mente la firma.

Vamos a cifrar el mismo documento utilizando el paróme­tro -s; para ello debemos ejecutar la instrucción gpg -s Documento secreto.

El resultado es un fichero binario ilegible. Para poder abrir­lo con el editor de textos le añadimos a la orden anteriar el parámetro -a, obteniendo el siguiente resultado.

····BEGIII PGP SIGtIED HESSAGE··· · · Ha5h: SHAl

Docur:ento secreto Que se enviará a lIacarena fincado. De esta r:anera nos asegura:os la autenticidad y la integri dad del n51:O.

·· ···BEGIU PGP SIGIIATURf····· version: GnuPG v1.4. 9 (GUu/Unux]

iEYEA/lECAAYFAkq+jGYA(gkOhBsEcxXZloSuMA(gqzKJRl~6o(lJGTnDdq)(rl/rz / UwAnj uyYYULD8oH3f upxKhP7Kb9a3GK "SIo'Il E ·-·- · ElIO PGP SIGIIAT\JRE-----

Fig . 4 .15. Documento firmado con opción - -clearsign.

Por último vamos a analizar la salida que produce la ejecución de la instrucción gpg -b -a Documento_ secreto.

Como hemos comentado anteriormente se suele utili­zar cuando se firman documentos en binario, como los ejecutables, ficheros comprimidos ... La salida es la firma del documento separada del mismo, como se puede ver en la Figura 4.17

Archivo fditar yer Buscar Herramientas D.ocumentos Ayuda

[b EJ v El i ~ 1 I Nuevo Abrir Guardar Imprimir... Desh;:¡Cel Hch<lccr c~¡¡r copiur Pegar

@ Documento)iecreto.ase IJ I I-----BEGIN PGP HESSAGE----­Version: GnuPG v1.4.9 (mlU/Linux)

j A9EAwtlCVW3L r7 J ZhBVgyY j CEl j S j dVCdZfgtl eCPBoUc9BM9pdtnt ltjohhSKWSrl q4dwW4MHWZBnBAYdtDUR9UWfn231uKVrfAkztiBHCZFosousDnwOrkpaVW8IOBR cdipiI'Nz lZI9VtJwYs lUkvIXI F4DiWC kmHt2G230eg 1 OEEv P s7VFTCO FBS3y j cSe YdW02sqqniEw =AgTN -----END PGP HE5SAGE-----

Fig. 4.16. Documento firmado con opción -s.

I~

Archivo fditar yer Buscar !:Ierramientas Qocumentos Aluda .. N~O ~r .., Gu~<!r I (mp~ir... I Deshacer fle!lacer 1lID ! Cort ar Copiar Pegar

lu Documento secreto.ase IJ I -----BEGIfj PGP SIGtjATURE· .. •• Version: GnuPG v1.4 . 9 (GtjU/Unux)

iEYEABECAAYFAkq+1WEAcgkQhaSEc)(XZI06gggcgzNqPrsrEH'r14RYpHbWLEjAAEY pygAOIg6SROBJVmUWJextaBficGyD5Nl =tlH3j -----EtlD PGP SIGNATURE· ....

Fig. 4 .17. Firma del documento con opción -b.

Describamos ahora el proceso de comprobación de una firma digital, que a diferencia de la comprobacián visual de la firma manuscrita, se tendrá que realizar mediante algún método informático. El que se utiliza es el siguiente:

• La firma se descifra utilizando la clave pública del firmante (has vuelto a leer bien, pues algunos algoritmos de cifrado asimétrico y en particular los que se emplean para la firma digital descifran con la clave pública lo que se ha cifrado con la clave privada), y con ello, como se deduce del método de firmado, se obtiene el valor resumen del documento.

•

•

Se obtiene el valor resumen del documento utilizando el mismo algoritmo que en el proceso de cifrado, por ejemplo el SHA.

Por último se comparan los dos valores resúmenes obtenidos en los dos procesos anteriores y si estos coinciden entonces la firma es válida; si estos son distintos la firma será nula.

Como puedes observar, dado el proceso de comprobacián de la firma, cualquier per­sona que quisiera comprobar tu firma de un documento necesitaró tener nuestra clave pública.

- - , , - , .. '(

.}W tb:'

Actividades ~

9. Comprueba la validez de las firmas digitales crea­das anteriormente. Paro ello deberás utilizar el parámetro -ver ify de la herramienta gpg.

93

Sistemas de identificación. Criptografía

Certificado : •

7. Certificados digitales El certificada digital es un documento que contiene fundamentalmente información sobre una persona o entidad, guarda su nombre, su dirección, email. .. , y una clave pública y una firma digital de un arganismo de confianza (autoridad certificadora) que rubrica que la clave pública que contiene el certificado pertenece al propietario del mismo. Esta última firma podriamos decir que es la más impartante del certificado, así como la firma del director de un colegio es lo más importante del certificado académico, pues sin ella este no tendría validez. Como podemos ver en el ejemplo, no sirve la firma de cualquier persona, sino que debe ser la del director del centro, por ser la persona en la que se confía paro dar validez a dicho certificado. Lo mismo ocurre con la firma digital, que lleva un certificado creado por algún arganismo de confianza; en España es La Casa de la Moneda y Timbre la que firma los certificados digitales de los usuarios. Estos certifica­dos nos facilitan muchos de los trámites que debemos realizar con las administraciones públicas, podemos entregar la declaración de la renta, consultar nuestra vida laboral y otras muchas gestiones. Todo ello gracias a que el certificado digital establece la iden­tidad del usuario en la red.

Nombre: Inés Fernández Subtil. D~a: 4496430-H Dirección: La estrella 10 Clave publica: AB56FE77 E9898FE ......... A8899808FAD55 EC8A45FBB45 ..

Fig. 4.18. Firma manuscrita.

?~

General DetaUes I Ruta C'e certificación I Al igual que existen multitud de formatos para guardar una imagen (jpg, bmp, png ... ) también existen multitud de for­matos para los archivos que alrnacenan los certificados di­gitales. El más extendido y usado en Internet es el estándar conocido como X.509

Mostrar: I <To_dos> El

CN = SiTourCA OU c::: Division de certificados 0= SITOUR.5A. L = Fuentemilanos 5= Segovia C=ES E = macarena@sitour.com

V3

jueves, 23 de septiembre de 2 .. . Macarena Subtil Marugan, Divi .. . RSA (512 B~s)

Motfificar propiedades... I Copiar en archivo... I Aceptar

Como podemos ver en la siguiente figura el certificado alma­ceno los siguientes campos:

• Versión, número de serie.

o Algoritmo de firma (identifica el algoritmo utilizado para firmar el paquete X.509).

o La autoridad certificadora (en la figura emisor).

o El periodo de validez (válido desde y válido hasta).

o El propietario de la clave (asunto.

o La clave pública.

o La firma digital de la autoridad certificadora.

o Huella digital.

o Uso de la clave.

o Dirección web donde se pueden consultar las prácticas de certificación.

Fig. 4.19. Campos de un certificado.

Sistemas de identificación. Criptografía

8. PKI PKI son los siglas de Public Key {nfrastructure (infraestructura de clave pública), o lo que es lo misma, todo lo necesario, tanta de hardware como de software, para las comu­nicaciones seguras mediante el uso de certificadas digitales y firmas digitales. De esta manera se alcanzan los cuatro objetivos de la seguridad informática que estudiamos en la primera unidad: autenticidad, confidencialidad, integridad y no repudio.

Las PKI están compuestas de:

• La autoridad de certificación, también conocida por sus siglas CA (Certifica te Au­thority), es la entidad de confianza encargada de emitir y revocar los certificados digitales.

• La autoridad de registro, también conocida por sus siglas RA (Registration Authority), es la encargada de controlar la generación de certificados. Primera procesa las peticiones que hacen los usuarios, posteriormente comprueba la identidad de los usuarios exigiéndoles que les presenten la documentación oportuna que permita ve­rificar la identidad de los mismos y por último solicita a la autoridad de certificación la expedición del certificado digital.

• Las autoridades de los repositorios donde se almacenan los certificados emitidos y aquellos que han sido revocados por cualquier motivo (haber sido comprometidas las firmas) y han dejado de ser válidos.

• Todo el software necesario para poder utilizar los certificados digitales.

• Política de seguridad definida para las comunicaciones.

En España para realizar numerosos trámites con las administraciones públicas por In­ternet nos exigen el uso de un certificado digital que asegure nuestra identidad. Dicho certificado es emitido por la Fábrica de la Moneda y Timbre, autoridad de certificación, que haciendo uso de numerosas oficinas de la administración pública (tesorerías de la Seguridad Social, oficinas de la Agencia Tributaria) como autoridades de registro verifi­can que la persona que solicita el certificado es quien dice ser al presentar el documento nacional de identidad en dichas oficinas.

Instalación de una entidad emisora de certificados

Caso práctico 7 9 En esta práctica vamos a instalar un servi­dor de certificados en un host, que tiene como sistema anfitrión un Windows 2000 Server. Con esto conseguiremos que los empleados de nuestra compañía obtengan certificados digitales, tras solicitárselos a este host. Más tarde los podrán usar para el envío de correo electrónico seguro y/o para la firma digital de documentos.

1. Instalamos en nuestro servidor, Jupiter, el liS, para ello accedemos al panel de cantrol. Hacemos doble c1ic en el icono Agregar o quitar programas y dentro de éste, hacemos c1ic sobre Agregar a quitar componentes de Windows. En la lista de componentes marcamos las opciones que se ven en la Figura 4.20.

-'i'l 'J'SOl'YiciodoIrOooS ..... o !JI S..ooo do CootlaIo s ....... D::IS..ooodo~_.

E_loIIIondo<o-,,>: rulUl

E...-z,<k¡xrijooncb:a 705JJIIoIB

~~: ~ 1.7101S .J

'~"'R .:J

Fig. 4.20. Agregamos componentes de Window5.

(Continúa)

4

Sistemas de identificación. Criptografía

~ Casa práctica 7

(Continuación)

2. Instalamos el servidor de certificados. Volvemos a Agregar o quitor componen­tes de Windows de la misma manera que en el paso anterior y morcamos la opción que aparece en la siguiente figura.

" .. _ . .-...,_ ......... .-,,--.u.o.-_ ......... _---" .. _ ............. ;::...:.. ........... ..,P..-

,,~

:m.tll .:J P-*' :::"...'!:.:W':=:0I0a::::~.c=--

( __ ..,_~ lJ~

E.................. r.ttU1III _ .. _ -- --- -----_ .-

.

Fjg. 4.21. Instalación servidor de certiFicados.

3. Después de pulsar en Siguiente, le indicamos a la aplicación que queremos instalar una entidad emisora de certificados del tipo Entidad emisora raíz inde­pendiente (Fig. 4.22).

' ... "' ................ "'-- ~ (,,,,_Il>00'' __ ''''_ ~

r r"'4>.1,....,..~ ... .. _ po Eróidod ......... ...........

rln1illod ....... ..-............. ....:.J ,.~r- ... __ .,,--f:--p-.,-_-=. =='::::':'~O::-~l:_-:-"'-'Io""'"

ro.m-_

Fig. 4.22. Instalación entidad emisora de certificados.

4. Al hacer clic en Siguiente, se abre un nuevo cuadro de diálogo, en el que debe­mos especificar el nombre de la entidad emisora, la organización, la ubicación de la misma, etc. (Fig. 4.23).

_ .. ~-IJo1""'" ...- 15I'tuUA.

u.idoiI ........... ¡O;;;;;;;;oIo'-:-' . - ,-1_.--- 11"';' "01 ........ ¡u---•• ~- f-•••• -

~"Io_ 1 .... __ ""· ..... -.010 ... _ I

,~- l' 1- 0!l~[Zi1111;m11131 ,.

Fig. 4.23. Datos de la entidad emisora. (Continúa) J

Sistemas de identificación. Criptografía

Caso p'ráctico 7 9 (Continuación)

5. En la siguiente pantalla, se nos permite modificar los directorios que se van a uti­lizar para guardar los datos referentes a este servidor de certificados. En nuestro caso, dejaremos los que propone, por lo que hocemos elic en Siguiente.

6. Por último nos muestro un mensaje en el que nos informa que es necesario detener el servidor de páginas web liS.

Fi' _l>,,~ -=Ó>"'_"" ... ""cr.>oU"'._' --

I Hemos creado una entidad emisora de certifi­cados. A partir de este momento, si entramos en herramientas administrativas vemos una nueva consola llamado Entidad emisora de certificados.

Fíg. 4.24. Directorios donde se guardan 105 datos del servidor de certiFicados.

cno¡dps d~ Cerllfic<lte Servu de Mlcrolofl =============---~.x

Fig. 4.25. Menso;e de aviso sobre fa creación del servidor de certificados.

Caso práctico 8 9 Petición y retirada de certificados de una entidad emisora En esta práctica vamos a aprender cámo debemos solicitar un certificado digital desde un ordenador de la empresa a la entidad emisora de certificados, que con­figuramos en el caso práctico anterior.

1. Abrimos el navegador, en nuestra caso Internet Explorer. Escribimos la URL http://jupiter/certsrv; Jupiter es el nombre del servidor de certificados. También podríamos haber utilizado la direccián IP del servidor en lugar de su nombre. Seleccionamos la segunda opcián, Solicitar un certificado, ya que es lo que nos hemos propuesto inicialmente.

1~. I,jIO'''""i iN

'" f ..... too J .... f'::,'l """" ...... "' 1Ifi~ ru-fbo~_ ífJ~ .. ¡) .. _ \\'9 DSA~do_"",,_

a Senlaosdo""'-'tc.tha_

BIenvenIdo

Use eSle sitio web para solicitar un celtJ~cado para su explorador web, su chellle de coneo eledrónico u 0\10 programa seguro Una vez. que tUlya adqutrido un certificado, pedr;! Identificarse de una forma segura hada otras personas en elweb, firmar SuS mensajes de torTeO eleCllóllico. cifrar sus mensajes de correo electrónico, y m~s dependiendo del Ilpo de certificado que haya solialado.

Selllcclonar un. tarea: r Recupere el certlflcado CA o la lista de revocación de ceruficados 10 Soocitar un certificado (" Comprobar un certificado pendiente

rrOOD Ci'!1 Hr..t1oul ~, ~I .=.J ~1 'I¡. 11D'to ~

Fig. 4.26. Solicitud del certificado. (Continúo)

4

97

Sistemas de identificación. Criptografía

- Sb· ' , l' ¿ O losque .••. • Cuando creamos un certificado que está comprometido debe­mos revocarlo.

lo podemos hacer mediante la línea de comandos_ Debemos escribir en el símbolo del siste­ma:

certutil -revoke NQ serie Código_motivo.

los códigos de motivos válidos son los que se especifican en la siguiente tabla:

Sin especificar O

Compromiso de clave

Compromiso de CA 2

Afiliación modificada 3

Reemplazo 4

Cese de operación 5

Certificado retenido 6

~casop~ra~·c~t~iC=O~8~ ______________ ~ __________________________ -1

(Continuación)

2. En la nueva pantalla debemos seleccionar el tipo de solicitud; seleccionamos Certificado de protección de correo electrónico, ya que lo vamos a utilizar para enviar correo electrónico.

3.

CJoI .. ~ .. I Itl ¡''''Ii).do<:"" " ,!,-"~,,-~ .• ,,, :.:JB0F:t~ ~ -_ .... ,--~ ..... --,_ lto. ~c.o", .. - ... ~ ~_niwrooI_ íD~-... ~.,.~ ~os..~"_digl:."

EIIglrtlpo de leUtltud

Eija el Vpo de sc~ otud que le gl5tarla hat~

lO So~ atlld de (eruf¡cadO de usuarin

.- iJ2 . 14 1. 1 Jj . J . ;;. 1~I!\"e .. o~ . "rJ".~,,\\·.~

,.. So~ cilUd avanzada

Fig. 4.27. Selección del tipo de solicitud.

:So;-M. ~ r .:J ¡;;-;'~

Nos pide la información de la persona que solicita el certificado digital, su nom­bre, e-mail. ..

Relene la slguenle mloonaaón de ¡delllJfl(aoón que ud en su certJ~cadc 110mb. jF,man;,

Fig. 4.28. Identificación de la persona que solicita el certificado.

4. Nos muestra un mensaje de alerta similar al que vemos en la Figura 4.29. Res­pondemos afirmativamente a la pregunta que contiene el mensaje de alerta, ya que en otra caso no solicitaríamos el certificado.

Peligro potencial para la secuencia de comandos - _

Este silo web est.S soklando Ln ooevo certflc.wo en su nombre. Sólo los si:Ios web de coriIanta deberÍ5l soIct.et certft:ados en SlJ nombre. lDesea soiI:iM tri cerficado?

~ 11 No

Fig. 4.29. Mensaie de alerta sobre la solicitud del certificado.

(Continúal

Sistemas de identificación. Criptografía 4

Caso práctico 8 9 (Continuación)

En la última pantalla se nas indica que nuestra certificada se encuentro pendiente, deberemos esperor unas días hasta que un administradar acepte la solicitud des­pués de comprobar que las datas enviadas san correctos .

Una vez que sea admitido el certificado, el usuario que lo solicitó deberá recogerlo en el mismo PC en el que se solici tó el certificado.

, . r

C.rtIfI=..do p.ndl.nt.

Se h.l reobido SU '" ¡ji t1l, "'4!ndMtt S ' ~elrbar¡¡o cebe esper¡¡r m QIH U'1 O Clrnnoll¡a~or err~e ~ cerllfJ<:adO (¡,.te ' 01010

Vuefa a éste S1bO ... eb lientro ele l>'I!l o CWe:J l lIJra rea.;¡eral Su cel'\Jfi(,dQ

11." ,\:", \<1. " '011 ' ''''''' ._:/,,.,.,~. _.0 ~ ,"'ro " le ~. ,,00.'0"" '" " r!l.:u:.

Fig. 4 .30. Certificada pendiente.

5. En el mismo equipo, en el solicitamos el certificado, debemos retirorlo. Escribi­mos la dirección http://jupiter.certsrvyseleccionamos la tercera opción, Com­probar un certificado pendiente.

6.

, .. ~. I I

i ;.tl.. e . i ¡; ;; l E . E'#J .h,I..\1

e"nv.nldo

UlI 'st' 5100 wt' p,va I~ClIoIi U'1 etrt&CIOco Oira su ~pIoraaor IOfb. l u ~er:I' CIt ( oneo &cuónoco 11 0:;0 orl9"ama s~ UIIoI m q.>! 1U)·a ac:ranCl:l1nCM;~Ca&.l. poor& ldefllftaorst Of 161a 10'lIIa UQ".J"i hao. Clill pe<'lOllolS en d .. elI. ftmur IIIS mensa¡es oe CCOleo IIKDÓlICO. a lfar ~ n'II'I'IU¡f:1 oe coneo eIeaIónco ,m.li Cepencllen:lO celtrpo ere Clm!ftc.ao Q'Je 1\01}'3 S~Cl.ldo

50I.cclon., UIII tano : ,. R~e ~ CelIJbCi(ID CA o la Ista de r!"iOClOeoo ce cerofiClOol:l$ ,. Sai e lar .... ceftJfi caao ro Ccvn;:lobar U1 ceftJI,cadoptnd<'nle

Fig. 4.31 . Solicitud para retirar certificado pendiente.

Elegimos el certificado, que queremos comprobar si ya ha sido admitido.

~~~~~~~~~~~~~~--------------------~~~ p .

-~ ... . _---tv.- If,oo ~c-o .... _ "" ... tll-a;--- !!..!~...--"' el---- ~"""""'cIo""'''''.R ID---........ · i'9_ .. _~_ 1 I a ·

i lO§5e ! i IAI '00 8143 .. 1I!!!i!f1l ":'

Comprobar tln' sollcltud d. cettln ca do pondlente

· 1' ·· 11"'''.

. ~. ''''' . Fig. 4.32. Solicitud para retirar certificado pendiente.

(Continúa)

· Sb'''· - ~ ¿ a las que •••• fI Paro leer lo información que contienen los certificadas del DNI electrónico necesitas un lec­tor de DNI; algunos teclados lo incorporan.

Fig. 4.33. Leclar de DNJ electrónico.

100

Sistemas de identificación. Criptografía

I empleadas se conectan desde su casa a la red corpo­rativa haciendo uso de tarjetas inteligentes que contienen la información necesaria para el acceso.

Q Caso práctico 8

(Continuación)

7. Nos dará algunos avisos sobre la instalacián y nos mostrará la opción de insta­lar el certificado.

Clrtm""do ImlUdo

Fig. 4 .34. Emisión del certilicado.

8. Instalamos el certificado haciendo elic sobre Instalar este certificado.

9. Respondemos afirmativamente al permiso que nos solicita para agregar los cer­tificados.

Este stIQ 'MIlI eot6 ~ In) o n>6s ~ I aste 1IqJpa. PerJrD- qua un 1Ilo 'MIlI <JIII no es d.. con'w.z8 fICtwIce RI5 catfbdcs ~ un lIo$gO por. '-~. El dIQ l'I'eb portIi lnItaIar ClI!tflc.-!os en los qJII no caiIa, lo <JIII poa,' ,1:SlI:1Ir en <JIII P1I'7...a5 qJe no sm d.. arIIan:a se ~ en este lICJ.IIIlo v lCaIdesen a RI5 detos.

lDMM pennb> QW aste P"OQI'IIfIII ~ los a.tfIca:Ios1 Haoa de en S JI arilo en ...te 1Ilo...b. Haoa de en No si no a:t& en ,y.

Fig. 4.35. Aceptamos añadir el certiFicado.

10. Nos muestra una pantalla en la que nos informa de que el certificado ha sido instalado.

Por último, comprobamos que el certificado ha sido bien instalado. Abrimos Internet Explorer y hacemos elic en Herramientas, opciones de Internet. Hacemos elic en la pestaña Contenido y hacemos elic en Certificados.

~I""""I .... "'-I

= ~ lnfonnadón del certlficado

Este [~rtlflcado está destinado a 105 siguientes propósitos: oProtegll m rnensajel; di! r;orraa dectr6nico

EmItido por!iTcuCA

Válido desde 22/09/2009 hasta 22/09/2010

7> TIene trlad.sve privada witspOilkiLe a estll =tr~ .

....,""'_=. d;:d"'_""':O¡'

Fig. 4 .36. Certilicada de Fernando.

Sistemas de identificación. Criptografía

Caso flráctico 9 9 Mandar correo electrónico haciendo uso de un certificado digital utilizando como gestor de correo Outlook Express

Se supone que el usuario tiene configurada una cuenta de correo en Outlook Ex­press.

1. Debemos asociar nuestro certificado de usuario a nuestra cuenta de correo. Para ello en el menú de herramientas del Outlook Express seleccionamos opción cuentas y hacemos ciic sobre Propiedades.

Internet . , ..... "

Cualquiera di,p ...

Fig. 4.37. Menú herramientas de Out/ook Express.

2. Hacemos ciic sobre la pestaña de seguridad.

'ª Propiedades de Sitour . ' ? IX

G.".,O/ I~ I~I Segy¡idad O~ 0.",,0<1 ..

Cuenta de ceneo

@¡ Escriba el nombre que prefiera para referirse a 10$ ...." servidOfe$. Por ejemplo, "Trabajo" o ''Servidor de correo

de Microsoft",

¡siloUl

I nfonnoci6n do tnIJlIrio

Nombre:

Drgarización:

Dirección de correo e\eclrórice:

IMaca~ena Subtil Marugan

Imacarena@~jtour.e$

Ditec:dón de re$puesla:

M IncIui le cuenta al recibir correo e1eclrónico o sincronizar

Aceptar

Fig. 4.38. Selección pestaña de seguridad.

Cerrar

(Continúa)

4

Sistemas de identificación. Criptografía

Q Caso p'ráctico 9

(Continuación)

3. En la ventana de Seguridad, hacemos clic sobre el botón Seleccionar del Certifi­cado de firma sobre el certificado expedido a nuestro nombre. Si no apareciese nuestro certificado en esta ventana debe ser porque cuando rellenamos la ins­tancia al solicitar el certificado pusimos uno correo electrónico diferente al que estamos utilizando.

Fig . 4.39. Selección del certificado.

4. Cuando queramos enviar correo firmado debemos marcar la opción firmar digi­talmente que se encuentra dentro del menú Herramientas a bien hacienda clie sobre el icono adecuado.

ÜlI (ompra de billetes .. - - -- --------

Archivo Edldón Ver Insertar Formato

111 Para: JFernando<ventas)

II! CC:

Asunto: lcompra de billetes

Arlal

La compra de los 10000 billetes de avión encargados por el director .. .

.. -Fig. 4.40. Envío de correo firmado digitalmente.

I R.

»

La única farma que tiene el destinataria de comprobar la autenticidad de la firma es mediante el certificado digital del remitente, pues este se ha mandado con el correo electrónico, por lo que puede comprobar la veracidad de la firma. Además al tener el certificado del remitente podrá hacer usa de su clave pública para man­darle correo cifrado can lo que nos aseguramos el na repudio, la confidencialidad e integridad de la información.

Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático

1. Inventa un método de cifrado simétrico para comuni­carte de manera segura con un compañera. Describe sus características.

2. Describe las características del morse como método de cifrado.

3. Durante la Segunda Guerra Mundial se desarrollaron numerosas métodos de cifrado para ocultar la información al ejército enemigo. Realiza una investigación que recoja los métodos de cifrado utilizados durante dicha época.

4. Descubre el resultado de cifrar mediante Vigenere la siguiente frase: La máquina Enigma fue utilizada por los alemanes utilizando como palabra clave «secreta».

5. Cifra mediante el algoritmo del César la frase: "El gran avance de la criptografía tuvo lugar durante el siglo xx» utilizando el alfabeto castellano.

Realiza el cifrado de la frase anterior utilizando el mismo algoritmo con el alfabeto inglés.

¿Has observado alguna diferencia o por el contrario el alfabeto no influye?

6. Relaciona mediante flechas:

MD5 Escítala

César Esteganografía

Vigenére IDEA

A5 EIGamal

Sistema de sustitución Algoritmo clave privada Función resumen Polialfabético Sistemas de sustitución Sistema de transposición Algoritmo clave pública Algoritmo de flujo

7. Indica el método que se utiliza en el cifrada de la pala­bra computación:

nóicatupmoc

ocpmtucaóin

0315131621200103091514

8. Descubre la rima de Gustavo Adolfo Bécquer que se encuentra oculta en el siguiente párrafo:

ehvd ha dxud txh jlph eodqgdphqwh odv ohyhv rqgdv txh mxjdqgr ulcd; ha vro ehvd d od qxeh hq rfflghqwh b gh sausxud b rur od pdwlcd; od oodpd hq ghuuhgru gho wurqfr duglhqwh sru ehvdu d rwud oodpd vh ghvolcd;

Sistemas de identificación. Criptografía 4

Comprueba tu a~rendizaie~

b kdv.wd ha vdxfh, Iqfolq<;:qgrvh d vx shvr, do uOr txh oh ehvd, yxhoyh xq ehvr.

Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e insta­lando software específico

9. Instala la aplicación gratuita pgp que podrás descargar de la página hllp://www.inicioo.com/descarga/win/ seguridad/pgp.htm.

10. Crea las parejas de claves que te permitan realizar cifrado asimétrico mediante la aplicación gratuita pgp.

11. Cifra un documento utilizando la aplicación del ejerci­cio anterior.

12. Mediante la aplicación anterior envía mensajes cifra­dos a tu compañero y descifra los recibidos.

13. Como hemos comentado en el apartado de certifica­dos, estos nos facilitan muchos trámites por Internet. Solicita un certificado a la Casa de la Moneda y Tim­bre accediendo a la página de www.cert.fnmt.es. Pos­teriormente deberás pasar por la oficina de registro para identificarte y retirarlo según las instrucciones que aparecen en la propia página.

14. Consulta los puntos del carnet de conducir con el certi­ficado digital solicitado en el ejercicio anterior. Solicita el certificado de empadronamiento.

15. Indica qué otros trámites puedes realizar con el certifi­cado digital.

16. Consigue un certificado digital de un compañero y mándale un mensaje cifrado a través de Outlook Express a su cuenta de correo personal; tu compañero deberá descifrarlo utilizando también Outlook Express.

17. Investiga lo que contiene en su chip el DNI electrónico, para ello entra en la página web del Portal Oficial sobre el DNI electrónico: hllp://www.dnielectronico. es/Guia_Basica/descrip_fisica.html.

18. Haz uso de la esteganografía para ocultar un mensaje tras una fotografía.

19. Enumera los componentes de una infraestructura de clave pública y explica sus funciones.

20. En las últimas versiones de la distribución de Ubuntu las contraseñas de los usuarios se guardan cifradas utili­zando el algoritmo SHA512 en el fichero /etc/shadow.

Contesta a las siguientes preguntas:

a) ¿Qué pasos hay que seguir para almacenar las con­traseñas cifradas utilizando el algoritmo MD5?

b) ¿Qué comando hay que utilizar para que las contra­señas de los usuarios se guarden en el fichero que J utilizaban las distribuciones antiguas?

1 /4 Sistemas de identificación. Criptografía

~~==~====~~~-------------

Esdtala

Palybias

Historia

César

Vigenere

Clasificación --C métodos criptográficos

"--~_.:.......::._--

Criptografía simétrica

Criptografía asimétrica

Criptografía híbrida

Bloque

Algoritmos -C Flujo

Función resumen

Firma

Certifícadas digitales

PKI

Transposición

Sustitución

l\J~ udlOJcdl

Seguridad activa en el sistema

y estudiaremos:

• La seguridad en el arranque y en particiones.

• Las actualizaciones y parches de seguridad en el sistema y en las aplicaciones.

• La autenticación de usuarios.

• listas de control de occeso.

• Lo monitorizoción del sistema.

• El software que vulnera la seguridad del sistema.

En esta unidad aprenderemos o:

• Instalar, probar y actualizar aplicaciones específicas para la detección y eliminación de software malicioso.

• Clasificar y detectar las principales incidencias y amenazas lógicas de un subsistema lógico.

• Aplicar técnicas de monitorización de accesos y actividad identificando situaciones anómalas.

• Valorar las ventajas que supone la utilización de sistemas biométricos.

1 /5 Seguridad activa en el sistema ----~----------------------------------

Debida a los numerosos fabri­cantes de BiaS que hay en el mercado, recomendamos consul­tar el manual de la placa base para ver las instrucciones espe­cíficas.

Para entrar en la BiaS debemos pulsar la tecla Sup o F2 al iniciar el ordenador, aunque esto real­mente depende de la BiaS del equipo. En el libro se ha hecho uso de la BiaS de VMWare.

l. Introducción a la seguridad del sistema

El título del tema hace referencia a un concepto que vimos en la primero unidad, la seguridad activa, definido como el conjunto de medidas que previenen o intentan evitar los daños en el sistema infarmático.

Se trata de estudiar qué mecanismos de protección podemos utilizar en nuestro equipo infarmática para evitar accesos indeseados de intrusos (personas a programas informá­ticos).

Aprenderemos a mejorar la seguridad en el acceso al ordenador mediante el uso de contraseñas en la BiaS y en el gestor de arranque. También aprenderemos a impedir la carga de un sistema operativo desde dispositivos extraíbles, memoria externa USB, CD/DVD ... , a configurar las contraseñas en las cuentas, a mejarar la seguridad ante los ataques definiendo políticas de contraseñas y mecanismos de autenticación, y par último, auditaremos todas las acciones anteriores.

2. Seguridad en el acceso al ordenador

Para evitar cualquier acceso indeseado a nuestra equipo debemos asegurar el arranque del mismo mediante el uso de contraseñas.

Si analizamos el procesa de encendida del ordenador, recordaremos la importancia que tiene la BiaS en el mismo; es la encargada de localizar y cargar el sistema opera­tiva o gestor de arranque.

2.1. ¿Cómo evitamos que personas ajenas modifiquen la BIOS?

El uso de contraseñas para acceder a la BIOS evitará que personal na autorizado reali­ce modificaciones indeseadas en la configuración de la misma, así como cambios en la secuencia de arranque, lo que permitiría la puesta en marcha del equipa desde medias extraíbles y el acceso a los datos almacenados en el mismo, vulnerando la confidencia­lidad de estos.

Q Caso pr::r.;:á:.;:c!::;ic"'o:...:.l ______________________ '"--!

Definimos lo clave de supervisor para proteger el acceso a la BI05

Can esta práctica vamos a proteger el acceso a la BIOS contra personas na autorizadas y así dificultar el acceso al equipa a dicha personal.

l¿oglCU DI!lbltte A: J.evICY Dlistll lle B:

• Pr IJ\olry lI.l!lter • PrINry SluC! • SCCllIlcary nu ter1 • Secundlry Slaue

• kybo.trd Fea tll~

(I ,Wl .25 111 [lIMbl ..

!lAIY¡re Ulrtua l ,,."", [~rt1 Ulrtul l 11.,,.,,

Stptetl IbIory : 640 IIB ütlendl!d IItRorlF 2!i1l20 Ka Bool - lI lIIl OlillllllJ:lUC Scn:cn : lDl .... 11IiJ

Fig. 5.1. Menú principal BiaS.

<1Ab> . Clhlfl-fab>. or <Eatm-> selet1.l rie l • .

1. Al entrar a la BIOS accedemos a la panta­lla principal (Fig. 5.1). Nos desplazamos por el menú hasta la op­ción Security que se muestra en la parte superior de la imagen (Fig.S.2).

(Continúa)

Superu lsor PasS&IOrd Is : Cleal' A User PasS&IOrd ls : Cleal'

Se l User PaSS&lOrd LEll lerJ " " GIl!

Passuord on Il001 : tD1 Stlbled J

Fig. 5.2. Menú Seguridad.

B

Ita Speclftc Help

Supen¡ lsor PUSIIIJl'1I controls atce5!S to the setup utlllq,.

tt,lin IldUdlUt:¡J I'IIIIImIIlllUU,t:p utllltot Securltg __ !!!!! PUUJ'f Ituut lJ.lt

StJperu lsor PaSS&.lOrd fs : Clear User Passuord fs : Clear

Fig. 5.3. Introducción de contraseña.

n ,llll Ildu,IIlCl'd

Superulsor I'assuord fs : Seh User Password ls : Clcar

Set lJser Passuord [[nterJ Se1 Superulsor Passuord [[nter]

Ita Speclflc Help

Enables pesuord entry on boot

Fig . 5.4. Contraseña Supervisor en arranque de la BIOS.

Seguridad activa en el sistema 5

________ Caso práctico 1 9 (Continuación)

La Figura 5.2 muestra las opciones de seguridad que po· demos configurar y el estado de las mismas.

A Como podemos ver en dicha figura, la contraseña de Supervisor está vacía (e/ear); con esta opcián permiti· mas la modificación de la BIOS a cualquier persona. Así, un intruso podría acceder a la BIOS y modificar la secuencia de arranque del equipo (Primero desde CD, segundo desde LAN, tercera desde HD).

El intruso podría reiniciar el ordenador con un CD pra· visto de software malintencionado que le permitiría descubrir a los usuarios y las contraseñas del equipo. Con la informacián conseguida, tendría acceso a los datos confidenciales de todos los usuarios del sistema.

• Con el fin de evitar los posibles intentos de modifica­cián de la BIOS, definimos una nueva contraseña para el Supervisor.

2. Pulsamos Enter en la opción Sel Supervisor Password (Definir clave del Supervisor).

3. Se abre un nuevo cuadra de diálogo (Fig. 5.3) en el que escribimos la contraseña para el Supervisor y pos­teriormente la verificamos escribiéndola nuevamente en el campo de confirmación.

A continuación nos avisará de que los cambios se han realizado· con éxito.

Como vemos en la Figura 5.4 la contraseña de Super­visor figura como asignada (Sel).

A partir de este momento siempre que queramos ac­ceder a la BIOS nos exigirá que escribamos la con­traseña de Supervisor, en caso contrario denegará el acceso.

4. Otra medida de seguridad adicional que podemos configurar en la BIOS: evitar que personal no autori­zado acceda al sistema introduciendo la clave de Su­pervisor en el momento de arrancar el equipo. Para ello activaremos la opción de Password on bool (con­traseña en el arranque). Es decir, la contraseña que definimos en la BIOS será solicitada al usuario tanto en el acceso a la BIOS como en el acceso al sistema operativo o gestor de arranque.

En resumen, con estas medidas hemos evitado que per­sonas no autorizadas puedan modificar la configura­ción de la BIOS permitiendo, por ejemplo, el arranque del sistema mediante dispositivos extraíbles, y acceder así a los datos almacenados en el equipo vulnerando la confidencialidad de estos.

~/ 5 Seguridad activa en el sistema ----~----------------------------------

Si se te olvida la contraseña de la BIOS, tendrás que abrir el pe y quitar durante un rata la pila de la placa base. Después vol­vemos a instalarla y ya tenemos reseteada la BIOS can la confi­guración del fabricante.

~ ACtiVidades.

1. Un técnico de seguridad informática inexperto tiene protegido el acceso a la BIOS mediante la contraseña de Supervi­sor. Cuando otras usua­rios pretenden entrar en la BIOS de los ordena­dares les solicita la clave del Supervisor. Este no quiere comunicar esta contraseña a los usua­rios de los equipos e idea una solución para solven­tar el prablema: definir la contraseña de usuario en la BIOS. Indica los pasos que debe realizar.

l 2. Desactiva la opción de la

BIOS, en caso de tenerla activada, que sirve para encender el equipo de forma remota a través de la red.

El gestor de arranque GRUB (Grand Unirier Boatloader) per­mite seleccionar entre los distin­tos sistemas operativos que ten­gamos instalados en el equipo. Este gestor es el que habitual­mente instalan por defecto las nuevas distribuciones de siste­mas GNU/Linux.

2.2. ¿Cómo proteger el GRUB con contraseña?

Para evitar que personas no autarizadas tengan acceso a la edición de las opciones de arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una contraseña.

q Caso "rédico 2:..-______ _

Definición de contraseñas en el GRUB en modo texto

Durante este proceso, vamos a modificar el fichero que almacena la configuración del gestor de arranque (GRUB), por lo que es recomendable realizar una copia de seguridad del mismo, para poder restaurarla en caso de que se produjese algún error en el arranque como consecuencia de las modificaciones realizadas.

1. Para ello, abrimos un nuevo terminal y tecleamos las instrucciones que aparecen en la Figura 5.5. Estas instrucciones realizan una copia de seguridad del fichero menu.lst y la edición del mismo.

root@Jupiter:/home/administrador# sudo cp /boot/grub/menu,lst Iboottgrub/copiamenu.lst root@Jupiter:/home~ministrador# sudo gedit Iboot/g rub/menu.lst

Fig. 5.5. Instrucción para edifor menu .1st.

2. Buscamos la línea #password topsecret.

3. Borramos la almohadilla, es decir le quitamos el comentario y cambiamos la contraseña topsecret por la que nosotros queramos; en nuestro ejemplo hemos elegido «patato» (Fig. 5.6). Se guardan los cambios en el fichera menu.lst y se reinicia la máquina para prabar la modificación realizada.

~ ~ ~ ~ r Imprimir... I Deshacer Rehacer ! Cortar Copiar Pegar

swo rd [ ' -- md5 ' 1 passwd in the first section of a menu file, disab1e a11 interactive

Windows 95/98/NT/2GGG (hd8,8¡

and entries protected by the

Fig. 5.6 . Modificación del parámetro password en el archivo menu . 1st.

Para finalizar reiniciamos el equipo y comprobamos, simulando ser un usuario que no conoce la contraseña, que no podremos modificar las opciones de arranque que nos muestra el gestor de arranque.

l )

Seguridad activa en el sistema 5

___ .::C!:!as~o~IRráctico 3

Definición de contraseñas cifradas en el GRUB en modo texto

1. Debemos abrir un nuevo terminal y escribir grub.

2. A continuoción, como podemos ver en la Figura 5.7, escribimos el subcomando rndScrypt que nos permitirá encriptar la contraseña que queramos poner.

3. Escribimos la clave a codificar y el programa nos muestra el password codifi­cado.

4. Par último, para salir del grub debemos escribir quit (salir).

suppo rted. For wo rd . TAB poss i ble command

completions . Anywhere else TAB l i sts t he possi ble completions of a devi ce/fi lename. ]

grub> md5c rypt

Password : *********** Encrypted: SlSgR24C/S rgwwCuiYnkfl4osBpe4mO.

grub> quit

Fig. 5.7. Encriptación de la contraseña.

5. Una vez encriptada la contraseña, deberemos copiarla en el fichero rnenu.lst, como podemos ver en la Figura 5.8. Fíjate que la línea no es similar a la de la práctica anteriar, ya que se ha añadido la opción --rndS, que indica que la contraseña está encriptada.

iñf .' ~

Archivo !;ditar Ver .Il.uscar Herramientas .Qocumentos Aluda

lb rE¡ v la l ~ l ~ I ~ ~ ~ I v Nuevo Abrir Guardar Imprimir... Deshacer Rehacer Cortar Copiar Pegar

~¡;¡l ., 1## passwo rd [ ' - -md5 ' 1 passwd I~_;!,used in t he fi rst secti on of a menu file, di sable all i nteracti ve

I:U~~~~~Ol (menu entry edi to r and command -linel and entries protected by t he command ' lock '

lit e.g. passvlO rd topsec ret (#,.,".~asswo rd - -md5 SlSgLhUO/Sal'178kHK1QfV3P2b2znUoe/ In'.... --md5 Sl$gR24C/$rgwwcuiYnkfl4osBpe4mO.

fo 1; examples

1# title Windows 95/98/NT / 20ee 1# root (hde,el 1# makeactive

Fig. 5 .8. Contraseña de acceso a GRUB cifrada.

11

Las contraseñas para acceder a los sistemas operativos gestiona­dos por el gestor de arranque deben cifrarse. Si nos descubren la clave que permite acceder a lo edición del GRUB verían lo contraseña y por tanto accede­rían al sistema. Si por el contra­rio la clave se encuentra cifrada verían una cadena de caracte­res sin sentido.

Podemos abrir un nuevo termi­nal de diversas maneras: pul­sando ALT + F2, que nos abrirá uno ventano en lo que debe­mos escribir gnorne-terrninal IFig. 5.91 o bien haciendo elic sobre Aplicaciones, Accesorios y Terminal.

l onome- ttrml~ 1 1::] o Ejuuta r en!Jna wmlMI I Ejecutarton el arthivo .. ·1

1> r.1 ostrllr la ll sUl de ¡¡plltadones co nodd15 b:

( Iiil''','' I I Q ,¡;ancelar 1 el "~C:.:-_-r I

Fig. 5.9. Arranque Terminal.

109

Seguridad activa en e! sistema

Q Caso R:.:r"'á""ct"'ic"'0'-4..:.. _____________________ --t

Establecer contraseñas al arranque de 105 sistemas operativos controlados por el GRUB

Con esta práctica evitaremos el acceso a los sistemas operativos gestionados por el GRUB a personal no autorizado.

1. Editamos el fichero de configuracián del GRUB, menu.lst y al final del mismo buscamos las líneas donde se define el título del sistema operativo (title) ya con· tinuación escribiremos password --mdS y la contraseña .

. :" , Q, '" •

Archivo .Editar ~ .a.uscar __ ..!!:.~!Tllenta~ocumentos Aluda ______ __ 1

N~O ~r v Guardar I Imp~ir ... I Deshacer r ehacer I c! r c! ar 1': ;;1 v I; ~ menu.lst 01 ## ## End Default Optians ##

title Ubuntu 9.94, kernel 2.6.28·11·generic password patata uuid 66d4a68S·9Bde·4B7c·b4d4· 7237cb47799b kernel /boat/vmUnuz· 2. 6. 2s-11-generic roat::UUID::66d4aSBS -BBde-4B7c' b4d4-7237cb47799b ro quiet splash initrd /boat/ ini t rd. irng- 2.6. 28-11-generic quiet

title Ubuntu 9.84, kernel 2.6.28·11·generic (recovery made) password ··rnd5 SlSAgZW7/SSl35rvzlRkP!ChgW9pUU9/ uuid 66d4aSB5 ·Bsde·4S7c· b4d4· 7237cb47799b kernel /boattvmlinuz· 2.6.28 -ll-generic raot=UUID=66d4a885 -8ade-487c-b4d4-7237cb47799b ro single ini trd !boot!ini trd. img -2.6. 28-11-generic

.,·,it;tl",'-__ -'lIhIUltJ..L...9.-B4 mente~tR"'.'_ _____________ ...Jl..J

Fig. 5.10. Contraseña de acceso al sistema Ubuntu cifrada.

~caso"~r~á~ct~ic~0~5~--------------------------------__ --,

110

Establecer contraseña del gestor de arranque mediante lo tionados por el GRUB o personal no autorizado utilizando aplicación startupmanager en LINUX, distribución Ubuntu uno aplicación visual 9.04, para evitar el acceso a 105 sistemas operativos ges·

Archivo .Editar f¡lquete tonfiguraclón AYlIda

Re~rgar Marcartodas I~ctuallzaclones lIp1iGIr prop~ades I lbdD

startupmanager El I Paquete I Versión Instalada I Última 'H startupmanager

1- 1

Grub and Splash screen conflgurntlon

I~. ~I ~~~~~~~~[)J I Obtener captura de pantalla I .5.ecclones StartUp-Manager configures sorne settings for grub and

~tado

Origen

splash screens (Currently only Usplash). It provides an easy to use interface.

filtros per.;onaUzadas lt Is origlnally a Ubuntu project. adapted for Debi an.

Besultados de búsqueda I ....=.., __

l!.E.!.quetes listados, 1179 Instalados, o rotos. O eara Instalar/actualizar, O para desInstalar

Fig. 5.11. Gestor 5ynoptic.

1.9.12-

I El

I

1. En primer lugar debemos instalar la aplicación en Ubuntu mediante el gestor de paquetes Synaptic, como podemos ver en las Figuras 5.11 y 5.12.

:~

Instalando software

lOs cambios marcados se estan aplicando ahora . Esto puede llevar algo de tiempo. Por favor, espere.

Ejecutando disparador post·instalación doc-bqse

O Cerrar esta ventana automáticamente tras aplicarse los cambios con éxito

1> Detalles

[ ~ ~enor I

Fig. 5.12. Instalación starfupmanager. (Continúa)

Seguridad activa en el sistema 5

(Continuación)

____________________________ .....;C::::a:::s:.::a:..lflráctico 5 9 3. Hacemos clic sobre la pestaña de seguridad, activa­

2. Una vez instalado, ejecutamos el programa accediendo a Sistema> Administración> Administrador de Arran­que (Fig. 5.13).

mos la opción de Proteger con contraseño e( cargador de arranque y escribimos la clave elegida como pode­mos ver en la Figuro 5.14. Para finalizar reiniciamos la máquina y comprobamos cámo afecta el cambio a la configuración del arranque.

ª fIl COntroladores de hardware 'fE Acerca de GNOM E

01' Acerca de Ubuntu -1t. creador de discos de arranque USB

Fig. 5.13. Administrador de Arranque.

., Administrador de Arranque - e x

¡opciones de arranque IAspecto I seguridad IAvanzadol

Opciones de protección

~ Proteger con contraseña el cargador de arranque

O Proteger con contraseña el modo de rescate

O Proteger con contraseña las opciones antiguas de arranque

Cambiar Contraseña 1:·

COntraseña: l······ I l'

COnfirmar contraseña: l······ I I Actualizar contraseña I

lA liij;

Q COntraseña modificada

~ 1

I ~Aceptar I

I ~AYlld· 1 I ~Qlrrar I

Fig. 5.1 4. Configurando contraseña en sfarfupmanoger.

Actividades ~

3. Haz el Caso práctico 5 ejecutando el programa direc­tamente en el terminal.

Recuerda que deberás tener privilegios de administro­dar para poder realizarlo.

4. Comprueba si el programa startupmanager escribe las contraseñas en el archivo menu.lst del GRUB cifradas o en texto clara.

Seguridad activa en el sistema

• 2.3. Cifrado de particiones

En este apartado vamos a estudiar cómo proteger la confidencialidad de los datos almacenados en los distintos volúmenes del equipo mediante el cifrado de particiones.

Cualquier software de encriptación de disco proteg", la información contra el acceso de personas no autorizadas.

~ Casa práctica 6

Ci rar una partición en Windows Para instalar esta aplicación sólo necesita mos 10 MB de

112

Con esta práctica conseguiremos proteger una partición espacio en disco duro y Microsoft Windows

de Windows, la información no será accesible para aque-Ilas personas que no conozcan la clave.

l. Nos descargamos DiskCryptor 0.7, lo de scomprimimos dcrypt que se a continuación gunta sobre la

y hacemos doble clic sobre el archivo

Para realizar esta actividad vamos a utilizar un programa encuentra en la carpeta i386 (Fig. 5.15); de código abierto, gratuito, DiskCryptor (hHp://www.dis- respondemos afirmativamente a la pre

kcryptor.de/en/downloads/). instalación del controlador DiskCryptor.

I Nombre ~

I Fecha modificación Tipo Tamaño Etiquetas

~ de_lsf.sys 31/05/200914:50 Archivo de sistema 17 KB ~ de.pi.dll 31/05/200914:51 Extensión de la apl ... 140 KB ~deeon 31/05/200914:50 Aplicación 47 KB I§ii: derypt -

31/05/200914:50 Aplicación 123 KB ~ derypt.sys 31/05/200914:50 Archivo de sistema 136 KB ~diskspeed 31/05/200914:50 Aplicación 12 KB

~

Confirm L~-""'J

rO Insl.1I DiskCryptor driver? I¡I¡:!

I sr I No I

Fig. 5.15. Inslalación del conlrolador DiskCryplor.

2. Una vez instalado ejecutamos la aplicación dcrypt.

, I!ii: DiskCryptor 0.7.435.90 . . l o l@)1 13 r

Fil e Vo lume!; Tool5 He1e Home~

I Disk Orives f>lount I I I Size I L.b~l~ Status I I j (3 TOSHIBA MKl637GSX ~ncrypt I

13 yolumel 1.46 gb WinRE NlFS boot QeClypt I E) ¡;,: 143gb Vistzl NlFS oyo E) Q,: 1.63 gb Nuevo vol NlFS

I ! "" HI.-DT-ST D\'IlAAM GSA-T2llN MountAD oiJ .: O bytes

!::!nrnount AH

I I IL"" HI.-DT-ST DVORAM GSA·T2llN G!J E: O bytes

I

Fig. 5.16. Programa DiskCryplor. (Conlinúa)

Seguridad activa en el sistema 5 ~

(Continuación)

Como hemos visto en la Figura 5.16 la aplicación visualiza las unidades de disco que puedes encriptar. En nuestro caso, lo que queremos encriptar es la D:, unidad dedicada a datos.

Illi: OiskC'}'Ptor 0.7.435.90 Ji~ ~ ..

, File Volumes Too l ~ Hel~

! Disk Orivos

Caso práctico 6 9 3. La seleccionamos y hacemos clic sobre el botón Encrypt

(cifrar). Posteriormente deberemos seleccionar entre los distintos algoritmos de encriptación (A ES, Twofish, Ser­pent, AES-Twofish, Serpent-AES, AES-Twofish-Serpent ... ) y hacer clic en el botón Next (siguiente).

- 1= I@] I 13 I Homepa~e

rllount I I Size ! labell...:r=l statu, 1 1

I g TOSHIBA MK1637GSX • ",crypt 13 yo/umel 1.<6 gb 'f1nRE NTFS boot

º-ecrypt I g ~: 143101b Vista NTFS oY' '" Q.: 1.63 101b Nuevo vol NTFS

I I = ",.nT~ - Mount AlI

\Device\HarddiskVolume3 U;U U,nrnount Al! I ¡

Encryption SeWngs

3 A1lO1oritnm: I AES-Twofish-Serpent !

Vf¡pe Mode: I None ..=J '.

Fig. 5.17. Selección del algoritmo de encripfación.

4. En la siguiente pantalla, deberemos escribir la contra­seña de encriptación. Además, en este paso la apli­cación nos infarma de la vulnerabilidad de nuestra contraseña según un gráfico. La contraseña que hemos

e

\Device\HarddiskVolume3

Volume Password

password:lzzzzzzzzzzzzzc confirm:lzcxzzzzzzzzzzz

StabJs: I Correct

Layout: I QWERTY

Password Rating

-

CapsLatin Medium 5mall Latin

I !;.ancel I

Fig. 5.18. Configuración de la contraseña.

escrito es $1 Nab74c$b!@12 y es considerada de difi­cultad Media. Pulsamos OK y después de unos minutos tendremos cifrada la unidad y fuera del alcance de per­sonas que no conozcan la clave de cifrado.

~

I

I §.how Password 1:'

I Use Keyñles

l' !;.eyfiles 1

::::1 " l' I

Digits

5pecial 5ymbols

§.ad< I OK I

I

Seguridad activa en el sistema

q Casa rédica 7

Cifrar una partición en Linux

Vamos a aprender o encriptar una unidad USB en Linux con el programa TrueCrypt, aplicación gratuita que nos po­demos descargar de la página hHp:/ /www.truecrypt.org.

Con ello conseguimos que aquellas personas que no co­nozcan la elave no puedan acceder a la informacián alma­cenada en la unidad USB.

". "' .... , ~,

~,

~,

~,

~.

~,

~,

~.

~.

~" ~"

¡ ... u

1. Para instalar TrueCrypt, debemos descargarnos la ver­sián para la distribución de GNU/Linux del programa (en nuestro caso Ubuntu) de dicha página, descompri­mirlo y ejecutar el programa de instalación.

2. Tras instalarlo, ejecutamos la aplicación y veremos una ventana similar a la Figura 5.19.

.. I l' "11" \o1I1um. I

Ilo; [1 ~;;;;~~===~~~~I .. S! I 5.1.«&1 . ...

1 a ilI t::! .... uulV.hlllury I ¡ I I ¡ I _ _ ~Ium. Ibol,,,. s.lnl Ctvie.".

:1 MOUl'll I I!IIIO.Mount O.-.im I 1 0111110II1II-"1 I! ,,.

Fig. 5.19. Ventana principal TrueCrypt.

En la Figura 5.19 vemos una lista de todas las unidades de TrueCrypt. Como acabamos de instalarlo, no tiene ninguna de ellas asignada.

3. Para cifrar la unidad de USB, debemos hacer elic en el botón ereate Volume (crear unidad). A continuación, se abriró una ventana, en la que se muestran dos opciones:

• ereate an encrypted file container (crear una carpeta cifrada).

• ereate a volumen within a parlilion/drive (crear una unidad para una partición a dispositivo).

La primera de ellas es la que el programa recomienda para el personal inexperto. En este caso na es necesa­rio formatear la unidad, solo crea una carpeta donde su contenido será cifrado.

4. La segunda opcián será la que seleccionaremos para alcanzar nuestro objetivo. La aplicación nos advierte que al realizar esta elección se formateará la unidad y cifrará la partición. A continuación, deberemos ver una nueva pantalla similar a la Figura 5.20 .

Volurnc Type

<J111andl,d bu lCm>I::!!.!!ci!!J

111 .. ,,111, 1p1llft ~ Y'~ "0/1111 n .. 11 • Mlmll.,.,oc~ 1'C1um.,

o HI.IId.n ltU'Cl'l'Il1 .... 1\Jm1

• nuy h.,~.ft Ih. )'OY "" '~" od by .,mola""lo r ..... ' " ...

~~~':':~~:::~::=~'::~~::::~7 ... L!~=~. duo! " 1>I""tnl.1/m1 1 .. ·u! .d h<!:IM...un. tI~)'OY l • • ~t.<o . ,..¡, . lulllOf\I l0lII00 .. 'lIVIaUt9 ti .. pnrr.td 10 r­w ......

'-____________________________ F_ig_._5_._20_._S_e_k_c_c_0_n_d_e_t_~_o_d_e __ un_i_d_ad_. _________________________________ (Continú~ )

5 r Seguridad activa en el sistema

.... __________________________________ --'C~a.5o práctico 7 9 (Continuación)

5. Seleccionamos la primera opción Standard TrueCrypt volumen (crear una unidad TrueCryprt narmal) y hace· mos clic sobre el botón Next.

6. En la siguiente pantalla (Fig. 5.21), debemos seleccio­nar la unidad a formatear. Hacemos clic en el botón Select Device (seleccionar dispositivo).

Volume Location

~------------------~I~·I ~~~ !ill Heversilve hlstery

A devlc:e-hcsted 1lueQypt vclume can be created wlthln a hard disk panltlon, sol!d-state drive, USB memory stick, and other stomge device5.

WARNING: Note that the panltionJdevice wil! be rorrnatted and al! data currently stered en it wlll be lest.

Fíg. 5.21 . Selección de dispositivo.

Z Aparece una pantalla (Fig. 5.22) con todos los dispo­sitivos de almacenamiento que tenemos conectados al ordenador. Seleccionamos el dispositivo USB reco­nocido en nuestro caso como /dev/sdb 1 de 483 MB. Dependiendo de la distribución de Linux y de los dis­tintos dispositivos conectados en el equipo puede ser reconocida con otro nombre .

... . , . Oevlce Slze Meunt Olrectcry --.... {dev/sda: 10,0 GB

Idev/sda1 3,7 GS {

{dev/sda5 4,7 GS (heme Idevfsda6 1,6 GS

.... /dev/sdb: 494 MB

{dev/Sdb1 4!B MS /media/disk

IO &anceJar l ~

8. Posteriormente, como podemos ver en la imagen (Fig. 5.23), debemos seleccionar el algoritmo de encrip­tación. Las opciones son numerosas, AES, Blowfish, Serpent, Twofish, AES-Twofish-Serpent ... En nuestro ejemplo hemos seleccionado el algoritmo AES-Twofish­Serpent y RIPEMD-160 para generar la clave. A conti­nuación hacemos clic sobre el botón Next.

Encryption Options

EncryptienAlgerithm--

~I AE.::':...Two=",:..h.;:;",,~:::'":..' __________ --'-': 11 Int

Threa ciphors in iiI cascado operating in XTS meda. Ellch bloc\:: is first encrypted with Serpent !2S6-bit kay), thao wilh l'wcfi$h (2S6.bit kayl. and finallywith AES (2S6·bit key). Ellth cipher usos its OWI\

key. AlI key5 are mutually ¡m/apandent.

Moro jnfpUVªt!90

Hash Algcrithm

~!~¡¡pEEM~D;¡:.16¡¡O===: .. JJJ: ¡ Infpuva!jgo po bp!b BIgQri!bmt

I Q AlIlda I I <frev 1I tloxt> I IO &oncelarl

Fig. 5.22 . Selección de partición. Fig. 5.23. Elección del algoritmo de cifrado.

9. Aparece una nueva pantalla (Fig. 5.24) en la que intro­duciremos la contraseña. En este punto, la aplicación nos advierte de la importancia de elegir una buena con­traseña; que no sean palabras que podamos encontrar en diccionarios o combinaciones de varias. La clave no debe tener información personal como nombre o fecha de nacimiento. Una buena contraseña debe ser una

combinación de letras mayúsculas, minúsculas, números y caracteres especiales, $,+,-@, ... Recomienda que el tamaño de la misma sea de más de 20 caracteres.

Cuanto mayor sea el número, menos vulnerable será la contraseña.

TrueCrypt admite contraseñas de hasta 64 caracteres. (Continúa)

I

~/ 5 Seguridad activa en el sistema ~--~----------------------------

~caSOp.~r~á~ct~ic~O~7~ ______________ ~ ______________________ ~ ________________________ --,

(Continuación)

10. Si activamos la opción Disp(ay password (visualizar clave), podemos ver los caracteres de la contraseña.

Escribimos la elave y hacemos elic en el botón Next.

f~~::::~:~u~"~':~:"~~':.":~:~~"~'~==~~:E~ Volumc Pll.'l'iword

,." ...... "i!; .. ~ .. ~ .. ~ .. ~ .. ~·~ .. ~ .. ~ .. ~ .. ~··~ .. ~·5 e.mm FOI,,,,,r<I: l!: ••••••••••••••••••••••• D~e!!.'3: o u¡.I..,.N ..

• ¡,,,..,_ ... lhot,,,"d,. .......... F .. ....,,¡·.,.."' .... ; _u.....,~ ... """, ... _<rlt.Wv¡I • ..,.,¡lhot .. ,Ib. _¡" ..... '1( .... <_.,,IoI~J . .,.wt~\OOI'd,I , ~

,_ ... , ... .., "'7"., ...... , ..... oINt~ .• ..nool:lIlOC.' "'Y , • .,. ... • .. Q ... F ... .....-d .......... ""'''~n .. '''''oI~p"o.nd ...... ",. loto ." . ..m ......... ,.,,;01 tIIoru'tn. , ... " ••• ~ • •• + 01"", , .. o"",,,,'" <h .. ,~. po ..... '" """""'11 01 rmn _10 '_ ... (1ho'""1"."'.¡,,~ .. ). n,.m ....... po .. tl. Io~" .... <.,.",,, • ., .

Fig. 5.24. Definición de contraseña.

11. A continuación, debemos elegir el tipo de sistema de ficheros que utilizaremos en nuestro USB. Debemos tener en cuenta dónde vamos a utilizar el dispositivo; si solo lo fuésemos a utilizar en Linux, lo formatearíamos en EXT3, pero si ademós quisiésemos utilizarlo en Win­dows, deberíamos formatearlo en FAT.

seguir con el proceso dando formato al dispositivo.

Como nosotros lo vamos a utilizar indistintamente en Linux y en Windows, lo formateamos con el sistema de archivos FAT.

Antes de formatear la aplicación nos recomiendan que hagamos movimientos con el ratón. Estos calcularón los valores aleatorios que se utilizarón para crear la elave de cifrado. Si estós seguro de que no tienes ningún dato importante que pudieses perder en el USB puedes

El proceso ha finalizado, la unidad ya estó preparada poro que todos los datos que introduzcamos en ella sean cifrados automáticamente, es decir que trabaje de forma transparente para el usuario.

12. Antes de utilizar la unidad USB debemos montarla con la aplicación TrueCrypt, para ello debemos volver a la pantalla inicial de dicha aplicación (Fig 5.19) Y hacer elic sobre Se(eet Deviee (seleccionar dispositivo). Se abrirá una ventana similar a la de la Figura 5.22, donde elegiremos la unidad que hemos cifrado. A con­tinuación la aplicación solicitará la contraseña. Una vez que introducimos la contraseña, la unidad se monta como truecryptl (Fig. 5.25).

Lugares 1 Sistema f!¡@ O !,

([C) Carpeta personal 1: ¡¡;¡ Escritorio I

O Documentos I! O Música l ' ID Imágenes

El Vídeos

~ Equipo

W Ubuntu 9.04 i386

{;d Disquete

~ Soporte de 507,5 MiS

IQ t~CryPtl I 1'= tnuecryPtl l

¡;m DQd -Fig. 5.25. Unidad montada.

Seguridad activa en el sistema 5

• 2.4. Cuotas de disco

La mayoría de las sistemas operativos poseen meconismos pora impedir que ciertos usuarios hagan un uso indebido de la capacidad del disco, y así evitar la ralentización del equipo por saturación del sistema de ficheras y el perjuicio al resto de los usuarios al limitarles el espacio en el disco.

Las cuotas de disco se pueden configurar en función de varios criterios, según usuarios, grupos o por volúmenes.

Veamos esto último con ejemplos:

• Supongamos una familia de tres miembros, Macarena, Fernando y Gustavo. Podría­mos establecer una cuota de disco para Gustavo de 2GB, para Macarena de 2GB y para Fernando que suele manejar planos que ocupan mucho espacio, le permitimos una cuota de 20 GB. Es decir, cada usuario puede tener una cuota distinta en fun­ción de sus necesidades; no tienen por qué tener todos la misma.

• Supongamos la empresa de construcción SiCom, en la que los usuarios se encuen­tran clasificados por grupos, Contabilidad, Arquitectos y Dirección. Repartiremos el sistema de ficheros entre los diversos grupos en función de las necesidades de los mismos. El grupo de Contabilidad suele trabajar con archivos Excel y Word, de pequeño tamaño, al igual que el grupo de dirección.

Sin embargo, el grupo de Arquitectos necesitan mucho espacio, ya que suelen tra­bajar con herramientas CAD. En función de las necesidades anteriores y el número de usuarios adscritos a esos grupos se definen las cuotas, 20 GB para el grupo de contabilidad, 8 GB para el grupo de dirección y 1 TB para el grupo de arquitectos.

• Supongamos que en un PC hay dos particiones, una de las particiones podría tener cuotas de usuario muy restrictivas y en la otra partición tener otras cuotas menos limitadas o incluso ni siquiera tenerlas.

o Activación y uso de cuotas de disco en Windows

Para activar las cuotas de disco en una partición en Windows debemos seguir los siguientes pasos:

Herramientas CAD. Son aplica­ciones de Diseño Asistido por Ordenador.

... . ~ Las cuotas de disco en Windows solo se pueden utilizar sobre volúmenes con sistemas de fiche­ros NTFS.

Cuidado con ser excesivamente restrictivo con la cuota.

Podríamos impedir incluso el ini­cio de sesión de un usuario, por no tener suficiente espacio para crear su carpeta en Documents and Settings.

Debemos hacer clic en el botón derecho sobre la partición donde queremos establecer las cuotas y elegir la opción Pro­piedades.

General Heuamienlas Hardware I Compartir Cuota '-_______ -,

Habilitamos la administración de la cuota seleccionando la ca­silla (Fig. 5.26).

I Estado: Las cuotas de disco estén deshabilitadas

q{labilital laadministrllción de cuota

~enega r e:pacio de dl:CO a u:uali01: Que e:.:ced"n et límite de cuota Si solo queremos hacer un seguimiento del uso del sistema de fi­cheros por parte de los usuarios y grupos no seleccionaremos la siguiente opción que muestra la Figura 5.27, Denegar espacio de disco a usuarios que excedan el límite de cuota.

Seleccionar el limite de cuota predetermlrllldo p<:ra !1 uevo~ u ~uwio; trl e:te VG t~lme rl:

Fig. 5.26. Cuotos.

~ I_."_ .v-. """. ,_ ........ 'n'" '-. .. ¡¡ .. "'. \ ........ ~ ... <t. ' ......... '~ .. "'. ¡¡ .. "". Iil.,,,,. '~""". ¡¡.,"'. ,,il ., ....

. ¡; . -,,¡

c ...... j ,.;:., ... . ." " ll" '"

"" " .. , ~" "

1~1" '" .,.., ,,, n,~HI

u ... , ,, , .... ", '"

¡"""" ... ..... , ¡" """

s:.."""

• 1,10 Fmi\ar u:o de di:co

Llm:tar e:;ncio de di:co a I s u~ lirrr.te

E~ t ¡,btece r el nivel di; éidvl!llenc.a en IS1!1 lírnlte I ~I =~vl I LI _'-'.Jv I

Seli?ccion ii ~ 1 3 ~ OPCiOll !!~ de registro de cuola pera e:le volumen

o Regl:tr.;,r ~UCC:D cUOindo un u:uario e~ceda ~u 11m:te de cuola

O Aeg::lrar :U :t::O cU:'lido un u:ualio eMced::. ~u nivel de adyerlenci¡¡

[ Valores da cuota ..

Aceptal Cancellll I I,p!:car

Seguridad activo en el sistema

Para ejecutar el visor de suce­sos podemos escribir evenfvwr. msc en la consola o en el menú ejecutar de Inicio, o ir a Panel de Control> Herramientas Administrativas > Visor de Sucesos.

~ Actividades

l

5. Piensa de qué forma un administrador de un ser­vidor de correo electró­nico podría asignar 100 MB de espacio en disco o usuorias de paga y 5MB 01 resto de usuarios regi s­tradas.

6. Creo un usuaria y osíg-no le uno cuota de ton solo 1 MB. ¿Puedes arrancar una nuevo sesión con este usuario? Justifico lo res­puesto.

Si por el contrario queremos limitar el espacio del sistema de ficheros a los usuarios, debemos definir lo capacidad de disco de lo que van a disponer cada uno de ellas, así como del nivel de advertencia y activar la opción de Denegar espacia de disco a usuarios que excedan el límite de cuota.

Propiedades de Disco IDeal (e:) L1l~

• Estada: lM ewtas de mctl edán deshabitada:

o Habitar la admristración de cuota

o Denegar espacio de lisctl a lmlare: que excedan ellrmie de cuot.,

SeIecc:ions ellrttie de cuolapedetenmaoo par., lIJeVOS usuarios enWe vobnen:

O No 5rMet UUI de disco

0l.ri<>.,...;ode_. l' 11 GB vi Est"¡¡¡ecet el rive! de ~tencia en 1~900;;;==~1 ~t M~B=='~~I

Seleccionar las opciones de r~tro de cuota para este volumen:

O Aegi$trar suceso cuando Ir!lmlaño exceda su I(mite de CI..IOla

O Aes;wet suceso cuando Ir! ~ ~ tu rivel de .advertencia

Vm e: de cuala. ..

Fig. 5.27. Limitación de espacios .

Si se marcan los dos opciones que aparecen al final de la Figura 5.27, el sistema ope­rativo registraría los eventos, haber superado el nivel de advertencia o haber superado el límite de cuota, en el visor de sucesos.

El usuario puede ver mediante el visor de sucesos dicha información (Figs. 5.28 y 5.29).

11 Visor de sucesos -- - -- - [)@]l:8} ------ - -----r:1l-~ Propfedades de Suceso

Suceso I Fecha: n :ti l"'~I I IS Qligen: Nlfs ---.!J Hora: 17:56:36 Calegorfe: Disco

~ Tipo: Información Id. suceso: 36 InfDrmadYI 16/0712009 17.56:36 rtfs Disco

16/07/2009 17:55:59 SeM:e Cottrol Manaoer ....... '6/07/2009 17:55:52 Setvi::e eooool M.wger .......

Usuario: ANA3\Pedro ~ Equipo: ANA3

16/07/2009 17:5:52 SeM:e (<<tro! Manager ....... Desc,~

'6/07/2009 17:55:4i _""'01",,- ....... 16/07/2009 17:55:44 -""'"""- ....... Un uwario ha alcanzado su umbJaI de cuota en el volumen C:.

Para obtener más información. vea el Centso de ayuda}' soporte téMCO en http://oo.microsolt.com/lwlinkJevents.asp.

Datos: 0 Bytes O YJord 0000 : 06 00 44 00 az 00 9Z DO __ D ... O. §I 000 8: az 00 00 00 Z4 00 04 40 •••• f; •• [J

I~ 0010: 00 00 0 0 00 00 00 00 00 . ... .. .. :Yl

~ A~eplaJ i [ Cancela¡ I [ Ap~car I Fig. 5.28. Visor de sucesos.

Fig . 5.29. Propiedodes de suceso.

118

I

~ .

Seguridad activa en el sistema 5

o Cuotos de usuorio en UBUNTU Para gestionar las cuotas de discos en Linux vamos a utilizar la herramienta de confi­guración del sistema conocida como Webmin. Esta herramienta no viene instalada por defecto con el sistema operativo, así que tendremos que instalarla utilizando el gestor de paquetes Synaptic o utilizando el comando apt-get.

En este caso, vamos a realizarlo utilizando la orden apt-get. Debemos seguir los po· sos que se detallan a continuación.

Para que el comando apt-get funcione e instale correctamente esta herramienta, debe­mos añadir el repositorio http://download.webmin.com/download/repository sarge con· trib al final del fichero sources.list mediante la orden gedit, como vemos en la Figura 5.30.

root@ana root@ana-desktop:-# gedit letc/apt/sources.list root@ana-desktop:-# cd Iroot root@ana-desktop:/root# wget http.llwww.webmin.com/jcameron-key .asc ··2999-07-20 13:97:59-- http://http.//www.webmin.com/jcameron-key.asc Resolviendo http .... falló: Nombre ó servicio desconocido. wget: no se puede resolver la dirección del equipo ahttp.n root@ana-desktop:/root# wget http://www.webmin.com/jcameron-key.asc ·-2909-07-20 13:98:39-- http://\~.webmin.com/jcameron-key.asc Resolviendo www.webmin.com ... 216.34.181.97 Conectando a www.webmin . com I216.34.1S1.971:S0 ... conectado. Petición HTTP enviada, esperando respuesta ... 2000K Longitud : 1329 (l,3K) [text/plain] Guardando: ajcameron-key.ascn

la8%[ >] 1.329 --.-K/s en 9s

2889-a7-28 13,88,43 114,a Ha/51 'jcameron-key.asc' guardado [1329/1329)

root@ana-desktop:/root#

Fig. 5.30. Comondos.

A continuación, debemos ejecutar los siguientes tres comandos que aparecen en la Fi­gura 5.30 para añadir la clave pública, pareja de la privada, con la que se ha firmado el repositorio.

Por último, actualizamos e instalamos la herramienta webmin, mediante la ejecución de los siguientes comandos (Figs. 5.31 y 5.32).

1111

~. '. " ff En caso de no tener instalado el paquete quota ¡permite definir las cuotas de disco en Linux) usa· remos la orden apt-get ins­tall guota.

iJlliij ••

Archivo .Editar yer !ermlnal AY.IIda root@Jupiter:/hor::e/adr.linistradorl apt-get update Obj http://es.archive.ubuntu.com jaunty Re\ease.gpg

6J'Chlvo .l;ditar yer ~rmlnal AyJ,ida ,-___ ~ ______ ; adl':linistrado~Jupiter:·S apt-get instan weomin El

Obj http://security.ubuntu.coCl jaunty·security Release.gpg Ign http://securi ty. ubuntu. coc! j aunty· security/m~in Translation·es Ign http://securi ty. ubuntu. COel j aunty· security/restricted Translation-es Ign http://securi ty. ubuntu. coc! j aunty· security/universe Translation·es 19n http://securi ty. ubuntu. COel j aunty· securi ty/llml tiverse Translation-es Des: 1 http://es.archive.ubuntu.co!:! j aunty/main Translation·es [606k61 Obj http://security.ubuntu.coC! jaunty·security Release OOj http://securi ty. ubuntu. cor.! j aunty· security/main Packages Obj http://download .... ebmin.coCl sarge Release.gpg 19n http://down\oad .... eor.lin.col1 s~rge/contrib Translation·es Obj http://security . ubuntu. cor.! j aunty· security/restricted Packages OOj http://security.ubuntu.coCl jaunty·security/mdn Sources OOj http://security . ubuntu. COI1 j aunty· security/restricted Sources Obj http://securi ty. uOuntu. COCl j aunty· security/universe Packages Obj http://security.ubuntu.col':l jaunty·security/universe Sources ~ Obj http://security . ubuntu. COI':I j aunty· security/mul tivef5e packa!f!s Obj http://securi ty. ubuntu. coc! j aunty· security/~ul tivene Sources Obj http://download .... ebr.lin.colll sarge Relea5e 19n http://download.webmin.col':l sarge/contrib Packages Obj http://download .... eblllin.cor.l sarge/contrib Packages r;-1 16\ 11 Translation-es 114035/60SkB 16\1 12.3kB/s 405 ~

.

Fig. 5.31. Orden apt-get update. Fig . 5.32. Instalación webmin.

120

Seguridad activa en el sistema

Si no tienes una partición inde­pendiente para /home, puedes crear una nueva partición y rea­lizar el caso práctico sobre esa partición.

Para ejecutar la aplicación tendremos que abrir un navegador web, en nuestro caso Firefox, e ir a la siguiente dirección https://localhost:10000. Es muy probable que al acceder a dicha dirección el sistema nos devuelva un error como el que se muestra en la Figura 5.33.

localhost:l0000 usa un certificado de seguridad no válido.

No se confía en el certificado porque está firmado por sí mismo.

(Código de error: sec_error_untrustedjssuer)

Fig. 5.33. Error del certificado.

Para solucionar dicho error debemos crear una excepción.

A continuación aparecerá una página como la que se muestra en la Figura 5.34.

archivo f-ditar ~er Hiz.torial Marcadores Herramien¡as AY.I.I.da {

~ " re O ti§ I!§] https:fl10calhost:lOOOO/ 1" I ~v lGoogl e "'l.

f;jj Más visitadosv . Getting Started ~l.atest Headlinesv

Terminado

Login ti) WehOiIn - I

You must enter a usemame and pas5word to login to the Webmin server

on localhost. Username lroot

Password I~.~.~.=:.=:.=:.:¡:I ===~ O Remember login permanently7

~I clearl

localhost:l0000 ~

Fig. 5.34. Formulario de conexión a lo aplicación Webmin.

Introducimos como usuario al administrador root y la contraseña del mismo. A continua­ción veremos una nueva ventana como la que se muestra en la Figura 5.35.

,."" .. "" " .... !<ro> ".,..."" "o ....... u", .... u,..,_ ... ",~ u " ", ..

tJ. " .... ,.~ . - . L. " (' <,' ''"' ... ~"'' .... :: ' .~.,h ... ~'.,

o"" ...

I A

, . lo •. "'"

• .. "m .... '"..". """ .... g ... '.m '_.n ... ' .... CPU ,"O<l_,.., • • .... ""'.....,. "", .. , ........ ,. '-", .... "'.p ...

Fig. 5.35. Pantalla inicial webmin.

~webmin _. "').J" ""~ ,,,.='" ...... ,··"·"'I"""' ... ~ .. 'n'U"""'.""""'.".",,"'"',, "',"""' ..... 1" ~' ... "'.j " •. ,. . .. " .. 1. " ..... "'.,

, ••• ....,. ... ..",.., ... ''''' .... .. '' ...... 001. ...... ' _ ""'". p.e> ~ ' ....... j ro UW. "'" <" ~ ""...".,.,. ...... 01

1-01,-""",- 1

_.- --

".1

l ' 1,' l '

1,'

li ... ...,.",""""u

Como podemos ver, este programa es una aplicación web que se puede utilizar para configurar multitud de opciones del sistema.

Seguridad activa en el sistema

Como vemos en la Figuro 5.35, la página de entroda tiene un marco a la izquierda con un menú. Escogemos la opción Sys/em (sistema) y dentro de esta la opción Disk and Ne/work Filesys/ems (Disco y Sistemas de archivos en red). Una vez realizada la selec­ción, el marco de la derecha se actualiza visualizando todos los sistemas de archivos de nuestro equipo (Fig. 5.36).

- e o ~ [§l hllp. ~floco~oll,¡O OOOI

Ii! MIiI ... . iu do. - OoG.ttin~ 5tart.d Q u tl'! H .. :'"C'='_-___ _ lO')"" rool M,dul. Co"¡ig Disk and Network Fllesystems

I Add moun!. I T)"pl' 1~"."~"~'~""~,,'~.m;;;Ji,"~.~1 =====::::¡,!j: I D llllbmin

e S)"ll m

1- ) IICH "

5" ,,01, Does ..

o 4\1

"' E100IU~ .nd Shutclo·"" Ch.ng o p."wo,d. O"'OuOI~' 'o".andr~"wo'" fJ.'Y.!t.m~

MaUllllld.-. typa lD~.tlall Und In Ulft' S ..... d'

FoI .. y".m Boc'u~ logf"" Rot.t,on r·!:ME T)'p l P"'g,am, PAAt"uth .nt"~llon

IluM",gP,., . " .. Sch.dulod Comm.nd. sch"dul , d (,on lob. sch .... ,. P"'~.g .. 5)":om OoCum Onl"li," sysl om leg' U •• " .nd Group.

[) Slrw ..

o oth . ..

.m, I (Roc! ,*,,~t.ml ,horno \Ilrtu~M. 'T>0'Y

¡m. d.a¡,d,cmO

¡ml d.:o¡fIoFPYO

Idov¡,hm

/d"'/pt. ... . 2l.gon.",/VOI.I<I . ",)'IJi<.m.~ •• ,unty !homl/omilio/.q.fo

Komo¡ f~ .. ystom Iprod Unu.<N.tive f .... Y'I.m l .. tl )

Unu. l i " ;"'" f'",y" . m I b 'JI VlrtullMomol)'l , WlIp) UD f.1 50~660

UnmownT)"p . S"l5fS RAM Di. \: II mpl.1 fW.l Oi, k II mpl. , RAM o;,\: IImplol fW.l o .. k II mpl.) PT5 fd"Y'I. m 1<I~I1¡ fW.l Di,\: IImpl.1 SECUMYf5 FU5 E.GVFS·fU5E ·OA.EM OtJ

o Nl tworlring O ~_

I ,o.dd mollnt I T)"p .: I ""pi. fd .. yollm (ti.)

e u " ·v,od .h d ,!" hllp.~~aCa~o":¡ DOOO/IYIQuntJ. r!.1_mQ"n\.< !ti'ind._2

Fig. 5.36. Disk and Nelwork Fi/esys/ems.

." Pl n nian w:th 10 ~g~ ctsb l· ¡ dgf •• 5<7·9817· 16. 99c ¡ . ¡¡51 p~n~io n wrth ID 5:¡dl l c47·caa7·4772·b l ¡¡·¡coced .. lI.o Pan nion -...th 10 50 lc 7 C2 0·71b~ ·4B7r. 6 ¡4 1·od l47b90 dc 7f

/doWICdO floppy d-.\: o

" ~ v.rio ck

"'~ '~>m devpls

"" ncutll)"h '1.f •• fuII.d • • m on

: l

,,, ,,, .~ '" .. , ,~ ,,' .. ,

'" '" ,., '" '" ,,,

,,, ,., ~ '" " ., ,,, ," ., .. , '" ., ,,,

'" '" ,~ .. , ,.,

,,, ,,, .. , '; '

Ioc llha.! :ICOCO U

De todos ellos nos vamos a centrar en el directorio /home, que está montado en una partición independiente y es la idónea paro activar las cuotas de usuario, por ser en ella donde se guardarán todos los archivos de los mismos. En el marco de la derecha de la página, seleccionamos con el rotón la opcián /home, que nos llevará a una nueva pantalla (Fig. 5.37).

~t-IlO • ..,;.hdo.- . G, Ung SI.,"d DI..al •• I HU.r.no.­~

lO;"""", [J w.bm" O Sy>lom B"I"" ."dSh~1d""",, Ch. n"P,,,.r.;d.

5 .... Mounl l

Mounl no .. '

Edlt Mount

l!homo IQ 51nU3GlI/ fr uU31lB

¡¡¡ ~ ...... rul mounl at boct O s ...... 0 00(\' ...... ID ,",01Oll O Unmount

c,,~ Quo'~'

D"'.n~II.I,,",¡k F' ''Y'um, F.r"y>"ma"h~ 'og • .r, Rou "on '""ME Ty.>, .. """m. P~ " ~ e>1h".I,:>'''"

""""n, P'o <o" .. S,h,dul, d Ccmm.n~.

Sd"dul,dC"n),b. soh" o Pa<";" S,.""" D.,"m,"'."'" ~Y"'""·9·

eh lCl< nt .. ylI, m al bool1 O r ~ ,

Un"" II.U ... fU .. .,...I, m

Un " .nd~,..,"",

0 5 ...... " 0 01" . .. O U.,,,,,run9 U H. nI"oro O C .... I ..

UV"""" "" ü . Somh: 1

A •• _ . ...... , _ , __ TOrmino do

Fig. 5.37. Edil Mounl.

• O oth •• drlli,.

A110 .... &,u\lon 01 ~tn~rlc.,

Mo .. " .. r. 'o \\lounl 11<1.

o y" ® I~o Aut on Dn 8fTO'

O n. (i "o 11IIIIIIII ~ Q R, .. rvo 'P O< . lo. Uro up

O h. (!I I "

~I

En esta nueva página, tendremos que poner la opción Use Qua/as? (¿usar cuotas?) con el valor User only (sólo usuario), pues vamos a aplicar las cuotas de disco por usuario y no por grupos.

El siguiente paso consistirá en establecer las cuotas que queramos a cada uno de los usuarios del sistema. Para ello elegiremos en el marco de la derecha la opción Sys/em (Sistema) y en ella la opción disk qua/as (cuotas de disco), como podemos ver en la Figura 5.38.

5

121

122

Seguridad activa en el sistema ----------- ----------------------

. e o Tii'i\' & ] http'J¡localho.t :IOOOO/

~M" lIÍ.ilado.- Oo Gltting slanld SllLlt .. t H .. d~nn"

tos,n,r".t el Wl bmin o Sysum

Help .• r.lodul o Co,.(,g Disk Quotas

Fl!lIlvslem l\IPII MOUl1ll1d Fram statu. AclJan

"<.1

eootup ~nd S¡'utdo",n (h~ng ~ I'ao<w""" D"~Ouotaª

Panition with ID 52 d( lc4 7·0aa7 ·4772·b.l l·lcec6daa lfu u n r ouotas Active e¡. ~bl . Quet.. !

e i.k and ttot"'",. F~"Y'tem , ',I~.y.tem 83Ckup L<lg fi lt IIct~ti.n r·I!ME Type Program. PAMAuthonll<at<cn Running Prcc . .. u

I Edil Uu rQu.lu : 1 [1 ====JI Q Ent., or 011"1 I unr. Ind c~(k Ihi, bUlton lo lIÍ"whi. quol .. on aH fd.'Y'tom • .

htlp'1¡1ocl!hc.t:IOOOO/quctoJ

Fig. 5.38. Cuotas de disco.

En esta nueva pantalla aparecen los sistemas de ficheros poro los que se hayan estable· cido cuotas de disco, que como se ve, solo se ha realizado en la partición /home. Si morcamos con el ratón la opción /home, iremos a una nueva pantalla que contiene una línea por cada usuario del sistema (Fig. 5.39).

e.rchivo ¡¡d~ .r ~. Hiltorill /:I1" l do,", Hlmomiontls ~da

~M"lIÍlhdo . · (JIo GltI1ngSlanod IDLIIluIHud!in .. -

'" LC\j1n:rcct Cl Wlbmin

/·\o¿ul. l"de< Help .. Fllesystem Quotas

El Syst l m OoclUp ~nd Shutde,.", change Pauwo,d, C". Ou~l3< C". "nO tt.tv.'crx Fd lSjf>tem. Fd uy.tem 8.'.up Log F~. Retotr~n ~I;I~E Typ . P,o~ .. m. PAM Al.<\h.r.t,calron n"nmn~ p'Oto ....

Sch.d"l.d Ccmma~d, Schod"lod C,onJob. SO~WOfe Pa:kao.,

Ttrmin l do

Al User Quotas on I hol:le Un, 11.1 C 113u~t quelo, Em~ 1 n~ti(OC.llon,

o rocl 34.65 MB

O pope ~;lr-1!3

O ~n a 1 6 ~a

I

Un~m~ l d

, "' un!:miUd

Unlimit.d . "' Unf.m~.d

so lee' ~l . l lnvo 't •• loct ron. 1 ed;t gfa, . trmo. I eh". qu~la. I updat, S, I"I.d UII ... I

no ,

Fig. 5.39. Cuotas de los usuarios.

Unt:m~.d

ur.!mdt d

u<>lm:t.d

unJ;mt.d

unlan:tld ul'!!:mit.d

locllho.I,IOOOO Ü

Por último, sólo nos quedo seleccionar los usuarios o los que queremos asignarles cuotas de disco y establecer las mismas. Para ello se seleccionará el usuario elegido, apare· ciendo uno nueva pantalla como la que se muestra en la Figura 5.40.

e.rchivo ¡¡dilo, ~r H!.1lorial t:!1" adc,.. HI""miln¡81 "rIIoa

- e (3 S' (§l ht¡p.~~ocathost:IOOOOI

!l:JMá.lIÍ.nado.· CJo o IUi1l; Stand EilLltnl H .. dl:n .. •

Login, .oel !I w.bmin [l Sysl lm

"' ~Iodulllnd •• Hl lp ..

QUDln fa n r"p. on Jh ...

Edlt User Quota

Boclup ond Shutd,,,,, ehan;. Pa"wor~. Ci'\:Ouetn.

50ft kltobyt .. llmll O Ur.!,rTÚt.d \i) ~~ Ha,d Idlobyto IImlt O Un!,m,'ud lIiI ~

Di . \: ,"drlotw",\: F.I"y,r. m. Filo'y,r em nat!:up lag Fd . llotaloon t.I:M~ Type Pro~"m' PAM ;"l.<\he"toc.toon Runn:n~ P'm ..... s,h. du rod eemm.nd. s , h.dul . d (renJob, Scftw3r. P"b~ • • Sl"'tom Cecumenr.t.:n

llInrin~do

Kllobytos used 5.7] M8 Av .. lI .. ble spa, . O" dllk 1.85 GB 1011111.65 G8 Jr ..

5011 m . llmll @ Ur.!'m~.d O r==::J Ha,d 111 . Ilmll @I untm;l l d O r==::J FU .. u lld 171 A\l3113blo ni .. on dis k 122400Iolll/ 121947fr ..

I Updlto I

I U,t All o".t .. 1 (1".lhi. b"lIen lo d"pl.y a ti.1 cI.nJ,lu)'1t.m. on...t.thlhi. " .. r hll d .. k quet ... ..,th ~.nk. \0 .d~ Ihom.

.. Ro¡urnteu,.rL<t

lo,"tho.I:IOOOO U

Fig. 5.40. Asignación de cuota a usuario.

Uno vez definidas las cuotas, hacemos dic sobre el botón Update (actualizar). Si quisié· sernas poner cuotas a otro usuario, repetiríamos el proceso anterior.

Seguridad activa en el sistema 5

3. Autenticación de los usuarios

Según la Real Academia Española, autenticar se define cama "dar seguridad de que alguien a alga es la que representa a parece».

Los métodos de autenticación, en nuestro caso, son los mecanismos que una máquina tiene para comprobar que el usuario que intenta acceder es quien dice ser.

Estos métodos se pueden clasificar en tres grupos, en función de los medios que se va­yan a utilizar para identificarse:

• Algo que el usuario sobe y que el resto de las personas desconocen: es lo más utilizado. Lo usamos poro acceder a nuestra cuenta de correo electrónico, para conectarnos a T uenti. .. (utilizamos un nombre de usuario y una contraseña que solo conocemos nosotros).

• Algo que el usuario posee, por ejemplo, una tarjeta de identidad.

• Alguna característica propia del usuario, rasgos físicos o comportamientos. Ejem­plos: la huella dactilar, característica utilizada en el DNI para identificarnos; la reti­na, la manera de teclear ... A este tipo de medidas se le conoce como mecanismos biométricos.

Hay sistemas de autenticación que combinan distintos métodos para alcanzar un mayar grado de seguridad; pensemos cuando vamos a sacar dinero de un cajero automático, que primero debemos insertar nuestra tarjeta de crédito (algo que poseo) y luego solicita el número de identificación, PIN (algo que conozco).

3.1. Políticas de contraseñas

En la mayaría de los equipos infarmáticos, la autenticación de los usuarios se realiza introduciendo un nombre y una contraseña. Cada usuario tiene asignado un' identifica­dor y una clave, que permitirán comprobar la identidad del mismo en el momento de la autenticación.

Como es lógico pensar, la seguridad del sistema va a estar fuertemente relacionada con la buena elección de la contraseña y la confidencialidad de la misma. Par este motivo, las empresas suelen tener definidas políticas de contraseñas donde se establece la lon­gitud mínima de la misma, su formato, el tiempo que será válida, etc.

A continuación, vamos a estudiar las características que debe cumplir una buena con­traseña:

• No deben estar formadas por palabras que encontremos en diccionarios, ni en español ni en ningún otro idioma, ya que cualquier programa de fuerza bruta lo descubriría con facilidad.

• No deben usarse sólo letras mayúsculas o minúsculas, porque se reducirían las com­binaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef.

• No deben estar formadas exclusivamente por números, por el mismo motivo que en el caso anterior. Ejemplos: 273456, 373009.

• No debemos utilizar información personal: nombre de nuestros familiares, fecha de nacimiento, número de teléfono ... ya que cualquier persona cercana a nosotros podría descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en las preguntas que te realizan determinadas páginas (correos electrónicos) cuando no recuerdas la contraseña.

• No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier pro­grama creado para este fin lo descubriria en un corto espacio de tiempo.

• No debemos repetir los mismos caracteres en la misma contraseña.

Actividades 9J 7. Define una política de

contraseñas para la red del aula. Dicha política deberá incluir los siguien­tes apartados:

• Objetivo del documento.

• Ámbito de la aplicación (a qué usuarios influye).

• Formato de las contrase­ñas.

• Longitud de las contrase­ñas.

• Tiempo de vida de la contraseña.

• Forzar el historial de contraseñas.

• Indica tras cuántos in­tentos se bloqueará la cuenta.

,.

~/ 5

24

Seguridad activa en el sistema

o No debemos escribir lo contraseño en ningún sitio, ni en papel ni en documentos electrónicos que no hayan sido encriptodos.

o No debemos enviarlo en ningún correo electrónico que nos la solicite.

o No debemos comunicarla a nadie por teléfono.

o Debemos limitar el número de intentos fallidos. Si excede el número máximo de inten­tos permitidos, el usuario debe quedar bloqueado, par lo que tendrá que ponerse en contacto con el técnico de seguridad. Es lo que ocurre en los cajeros automáticos, si te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se descubra el número secreto.

o Debemos cambiar las contraseñas de acceso, dadas por defecto por los fabricantes de routers y otros periféricos, que nos permiten el acceso a la red.

o No debemos utilizar la misma contraseña en las distintas máquinas o sistemas, ya que si nos la descubren, haríamos vulnerables el resto de equipos a los que tenemos acceso.

o Las contraseñas deben caducar y exigir que se cambien cada cierto tiempo, al me-nos una vez al año.

o No debemos permitir que las aplicaciones recuerden las contraseñas.

Por lo tanto, las contraseñas deben ser cadenas de caracteres que incluyan tanto le­tras mayúsculas, minúsculas, números y caracteres especiales sin ningún tipo de lógica aparente. La longitud de la misma debe ser superior a ocho caracteres, aunque lo más recomendable es que supere los quince.

Algunos consejos para poder recordar la contraseña, ya que como hemos comentado anteriormente no podremos escribirla en ningún sitio, sería elegir palabras sin sentido pero que sean pronunciables, o bien elegir la primera letra de una frose que recordemos por ser parte de una canción que nos gusta, o de algún recuerdo, por ejemplo: «Nací el 6 de junio del 65 en Madrid cerca de las 6 de la madrugada», Ne6dJd6eMcdl6dlm; para complicarla, se puede poner algún símbolo especial en una posición que podamos recordar.

Si cumplimos con todas las recomendaciones expuestas anteriormente, haremos que cualquier intruso que intente descubrir la clave de acceso mediante programas de fuer­za bruta, como John the Ripper o similares, tenga que perder mucho tiempo y desista del proceso.

Recordad, una controseña mal elegida o mal protegida puede suponer un importante agujero en la seguridad del sistema.

Para aquellos de vosotros que no tengáis mucha imaginación para crear claves, hay multitud de programas que os permiten generar contraseñas con las características que vosotros queráis. Ejemplos de esos programas son Max Password y Password Generator.

~ Actividades

8. Descargaos la aplicación John the Ripper (www.openwall.com) y comprobad los tiempos que tarda en descubrir contraseñas:

o Formadas por una palabra que podéis encontrar en el diccionario, por ejem-plo patata.

o Formadas solo por números 373009.

o Formadas por palabras invertidas, por ejemplo patata al revés, atatap.

o Formadas por palabras en otros idiomas, computer.

o Formada por un conjunto de caracteres sin sentido: $lAh%4Unb89{3.

Seguridad activa en el sistema 5

3.2. Sistemas biométricos

Los sistemas biométricos, se utilizan para autenticar a los usuarios a través de sus rasgos físicos o conductas.

Estos sistemas se están popularizando en la actualidad; podemos encontrar portátiles que nos obligan a autenticarnos para acceder a su sistema operativo a través de la detección de la huella digital.

Otro caso similar nos lo encontramos en Disney World, la identificación de los usuarios que paseen entrada válida para varios días, se realiza mediante sistemas biométricos; de esta manera, se evita que un grupo de amigos saquen entradas para varios días aprove­chando el descuento y que posteriormente accedan al parque en distintas días repartidos en pequeños grupos.

o ¿Cómo funciona un sistema biométrico?

El funcionamiento del sistema biométrico se compone de dos módulos, el de inscripción y el de identificación (Fig. 5.41 l. El primero de ellos, mediante sensores, lee y extrae la característica que identifica al usuario, almacenando el patrón en una base de datos.

El módulo de identificación lee y extrae la característica que reconoce al usuario. Ese patrón es comparado con los que se tienen almacenados en la base de datos y se de­vuelve la decisión sobre la identidad del usuario.

, - - - - - - - - - - - -- - -. - - - - - - - - - - - - - - - - - - - -- - -- - - - - - - -- - - - - - - _. - - - - - - - - - - - - . . . Extracción I Rasgos I -H.~ Lectura --n patrón sensores

'-- ----- ---- ---- -----1 Módulo de inscripción , _. - -- - --- -- -- -- -- -~~ I~I~

j - - - - - - --- - - - -- - - - - - - - . - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ---U I ~ Lectura ~ Extrac~lón ~ Comparación :

: sensores patron patron : [ Rasgos

: . u - u - . .. -- - -- - u u I Módulo de identificación 1-- ----- --- --- . --- . -~

Fig. 5.41. Funcionamiento de un sis/ema biométrico .

Los tipos de sistemas biométricos más populares son:

o Verificaciones anatómicas:

- Mano: huellas dactilares, geometría, venas. - Rostro: geometría. - Patrones oculares: retina, iris.

o Verificación del comportamiento:

- Timbre de la voz. - Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario. - Longitud y cadencia del paso.

Fig. 5.42. Sistemas biométricos.

y 5 Seguridad activa en el sistema ----~----------------------------------

3.3. listas de control de acceso

Las listas de control de acceso, también conocidas por su sigla en inglés ACL, mejoran la seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios que tiene un usuorio de forma individual sobre un determinado fichero, es decir, permi­ten o limitan el acceso a los archivos de manera individual sin tener en cuento el grupo al que pertenece el usuario.

Q Caso práctico 8

Definir listas de control de acceso en Ubuntu 9.04 para res' tringir el acceso a los archivos

la palabro elave «ael» en las opciones de montaje de dicho fichero.

1. Para poder hacer uso de las listas de control de acceso debemos comunicarle al sistema en qué particiones vamos a querer usarlas. Para ello, necesitamos configu­rar el fichera /etc/fstab.

2. En nuestro caso, además de las particiones de root y swap, tenemos una tercera dedicada al almacena­miento de datos; en esta última, vamos a configurar la lista de control de acceso; para ello modificamos el fichero fstab (Fig. 5.43), añadiendo la línea corres­pondiente a dicha partición (Fig. 5.44.) Los sistemas de ficheros montados con ACL, tendrán

Para comprobar que la distribu­ción de LINUX sobre la que vas a trabajar soporta ACL, debes utilizar el comando grep, como se muestra en la imagen.

_ ... ~ ",,--1E¡r~rm'~l:'~t· ,",,, .,, '''''''"''''-~- ., g::::;':.;:,,,::-;:,"".' " .. ",,,,,,,,,,,., "",,, .m,,,, " ."". ""_, ¡:::: - !,;,:,_!e.¡:,~~., "",,,,,,,,,,,,,,,,,,,,'1

Fig. 5.46. Comprobación ACL.

Para configurar las listas de con­trol de acceso (ACl) debemos realizarlo bajo el perfil de admi­nistrador.

,archivo ¡;:ditar Yer Jl!rm .... I"C"';:.I..:A"' ,,üd"" ______________ r:11 aiiiiliifst rador@Jupiter:: 5 su Contraseña: root@Jupiter:/hor.:etadr.linistradorll gedi t /etc/fstab

Fig. 5.43. Edición de fichero fstab.

r.~ 00 ...• - . " .i\i)j!3)o¡¡¡3IT1l = @i Archivo ,Editar yo< fluscar Qocumentos Aluda

[() El Gua~ar I ~ . I Ret:acer I

M ~ I@ I v "" Nuevo Abrir Imprimir ... Deshacer Cortar Copiar Pegar

Gl fstab 01 11 letc/fstab: static file systern information.

• 11 Use ' vol id --uuid' to print the universally unique identifier tor a 11 device; this rnay be used with UUID= as a more robust way to name devices 11 that works even if disks are added and removed . See fstab(5).

• 11 <file system;:. <tnount poinb <type;:. <options;:. <dur.lp;:, <pass;:. proc Iproc proc defaults , , 11 / was on ¡dev/sdal during installation UUID=3d399d92 -e635 -43eb -9f4d -a1787971 ffle / ext3 relatime,errors=remount-ro 9 1 # /home was on Idev/sda5 during installation UUID=97f379ae-93aS-4668 -b949 -ded3a139cce7 /home exO relatime , 2 11 swap was on ¡dev/sda6 during installation UUID=2e99a71 f -5dfa -491 f -897b-d74d9161a35d none swap

'" , ,

¡dev/scd9 /media/cdrom9 udf,iso9669 user,noauto,exec , utf8 9 , Idev/fd9 Ir.ledia/floppye auto rw,user,noauto,exec,utf86 , /dev/sda5 Ir.:edia/datos auto rw,user,auto,exec,ac19 ,

I Texto plano" 11 Ancho de la tabulación: B" 1 I..n 17, eol1 INS

Fig. 5.44. Fichero fstab.

3. A continuación, procederemos a montar la partición nuevamente (Fig. 5.45).

~ Actividades

9. ¿Qué diferencias hay entre el uso de las ACL y el de la orden chmod?

•• 1, ~j • J • _ • • - • • t

.Brehivo .Editar yer Terminal Ayyda

root@Uupiter:/home/administrador# mount -o remount,acl /dev/sdaS root@Jupiter:/home/administrador#

Fig. 5.45 . Remon/or unidad.

v [1,

(Continúa)

= . archivo Editar yer Iermlnal Ayuda

root@Jupiter:¡hot.le¡adminlstrador# ls -1 G total 348 1

1 drwxr-xr·x 2 administrador administrador 4896 2099-87-31 22 35 DocUr.Jcnto 5 drwxr·xr·x 2 administrador administrador 4096 2009-09-82 23 41 Escritorio ·rw-r··r·· 1 administrador administrador 3572089-07-312233 examples.desktop ·rwx····-· 1 administrador administrador 94677 2089-87-22 18 41 gedit . png -I"W)("'--- 1 administrador administrador 3B868 2889-87-22 18 52 getfacl.pn[l drwxr-xr-x 2 administrador administrador 4896 2089-87-31 22 35 Ir.Ja[lenes -rwx"'--- 1 administrador administrador 72664 2089-87-22 10 50 listado de fiche ros . png -rwx- - - - - - 1 adr.'linistrador administ rador lB157 2889· 87 -22 Hl: 47 r.Jontaj c _ png drwxr-xr-x 2 administrador administrador 4896 2889·87-31 22:35 r-hisica ·rwx----·· 1 administrador administrador 19165 2889·67·22 18:32 pantallazol.png .rwJ(-- •••• 1 administrador administrador 18383 2069·67·22 18:38 pilntaltazo . png drwxr·xr·x 2 administrador administrador 4096 2809-07·31 22:35 Plantillas -!"\J·r··r·· 1 root root 332809-09·02 23:53 prueba dl"l/xr·xr·x 2 administrador administrador 4896 2089-87·31 22:35 Público -rwx······ 1 administrador administrador 33834 2889-07-22 10:56 sctfacl.png drwxr-xr-x 2 administrador administrador 48962889-87-3122:35 Videos root@Jupiter:¡heme/administrador#

Fig. 5.47. Ficheros de un directorio.

11:1

I ~

An:hivo "ditar yer TermInal Ayuda r oot@Jupiter:/hor.le¡adr:1inistrador# getfacl p·~,"",;¡;b,;;--------------r.l l # file: prueba # owner: root # group: roet user:: ru-group:: ro. other:: r--

reot@Jupiter:/heme/administrador# getfacl # file: . # owner: administrador # group: administrador user:: rwx group:: r-x other: : r-x

roo t@Jupiter:/home¡administrador#

Fig. 5.48. Resullada comando getfacl.

an:hivo Editar yer Terminal AYlJ.da root@Jupiter:/home/administrador# setfacl -m user: fernando: rw- prueba root@Jupiter:/home/administrador# getfacl prueba # file: prueba # owner: root # 9 roup: root user:: N-user: fernando: n.o­group::r-· r:msk:: 1"1/'

other:: r-'

.

root@Jupiter: ¡heme/administrador# ~ '~ '------------------~~~~~~~II

L Fig. 5.49. Resullado comando setfacl.

Seguridad activa en el sistema 5

Casa práctico 8 9 (Continuación)

Para realizar el ejemplo, root ha creado un fichero lla­mado prueba.

4. A continuación, mediante el comando getfacl, vamos a ver la información que almacena la lista de control de acceso del fichero prueba y del directorio actual.

Nos informa del nombre del fichero, del propieta· rio, del grupo y lo que más nos interesa, los permi· sos del propietario (user::rw·), del grupo (group::r .. ) y del mundo (other::r .. ). Lo mismo para el directorio actual (Fig. 5.48).

5. A continuación, vamos a darle permisos a Fer­nando, para que pueda leer y modificar el fichero prueba. Paro ello, debemos utilizar el comando setfacl con la opción «·m», que nos permite modificar la ACL, y por último, comprobamos que se ha realizado la modificación solicitada (Fig. 5. 49).

Seguridad activa en el sislema

q Casa ~ráctico 9

Definir listas de control de acceso en Windows utilizando el comando cacls para evitar el acceso a los ficheros a usuarios no autorizados

l . . Para la realización de esta actividad debemos tener creados al menos dos usua­rios: Usuario 1 y Usuari02.

2. En la carpeta Mis Documentos del Usuariol, crearemos otros dos directorios: Confidencial y Datos compartidos.

3. El Usuario 1 quiere permitir que Usuari02 pueda leer documentos que hay alma­cenados en Datos compartidos. En estos momentos eso es imposible, el Usua­ri02 no tiene permisos para acceder a Datos compartidos. ¿Qué podemos hacer? Modificar la lista de control de acceso para permitirle entror a la carpeta Datos compartidos. Además, debemos permitir el acceso a la carpeta Usuario 1 de Documents and Settings y al directorio Mis Documentos. Paro ello debemos ejecutar la instrucción cacls, cuya sintaxis es:

Cacls fichero /parámetros

Los parámetros son:

11.- Cambia las ACLS de los archivos especificados en el directorio actual yen todos sus subdirectorios. le.- Modifica la ACL en vez de reemplazarla. Este parámetro es muy importante, supongamos que queremos darle permisos al Usuari02 y no utilizamos este modificador; entonces se reemplaza la ACL antigua por la nueva, no permi­tiendo al Usuario 1 acceder a su información. Ic.- Fuerza la modificación aunque encuentre errores. Ig usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total).­Concede derechos de acceso al usuario. IR usuario.- Suspende los derechos al usuario. Ip usuario:perm.- Sustituye los derechos del usuario especificado. Id usuario.- Deniega el acceso al usuario especificado.

La instrucción cacls permite modificar las listas de control de acceso a los ficheros.

Según la sintaxis anterior, debemos ejecutar el comando que aparece en la Figura 5.50.

Fig. 5.50. Modificación ACL del directorio actual y subdirectorios.

El resultado es que el Usuari02 puede entror a todos los directorios y ficheros que cuelguen del directorio Usuariol, o lo que es lo mismo, puede visualizar cualquier documento de dicho usuario.

Como toda la información del Usuario 1 está almacenada en dos carpetas, Con­fidencial y Datos Compartidos, para que no tenga acceso el Usuari02 al direc­torio Confidencial del Usuariol, debemos ejecutar la orden de la Figura 5.51.

" _ [J x

C: ' D'U. llm·nl . "mi ~;,'lllll'l ' " :: ll,'¡'!ul )" " l . "Mi :.. ,lu¡;"rU'nlw.'( oIlJ ¡!Iclle!.,I" / c / 11 11:"1111:1 , 1\' In í! : N

Fig. 5.51. Denegación de acceso a carpeta confidencial.

Seguridad acliva en el sislema 5 '-...C ----------------------------------- I

• 4. Vulnerabilidades del sistema Los sistemas operalivos son pragramados y sometidos a numerosas pruebas anles de ser lanzados al mercado, pero no se descubren sus verdaderas vulnerabilidades hasta que los «expertas en seguridad" (hackers, crackers, virus .. . ), lo someten a sus duras pruebas. Entonces, esos agujeros son corregidos con la mayor celeridad posible por los programadores del sistema.

Por el lo, siempre debemos mantener el sistema aclual izado.

4.1. Evitar vulnerabilidades en Windows

Poro evitar los vulnerabilidades en Windows, debemos mantener el sistema aclualizado con los últimos parches. Esto lo podemos realizar de distintas maneras:

Windows praporciona un servicio de aclualizaciones automáticas a lravés de la Web, denominado Windows Update, ubicado en windowsupdate.microsolt.com. Si nos co­neclamos a esta página, el servicio analiza el sistema operativo y determina las acluali­zaciones que es necesario descargar.

Olra manera es configurar el sistema operalivo paro que realice las descargas de las aclualizaciones automáticamente. Para ello debemos pulsar el balón Inicio de Wir,dows Vista, hacer clic sobre el Panel de Control y seleccionar la opcián de Windows Update (Fig . 5.52).

l!!f:J i]J ,~ ... ~ "'-_ SoL ~

~ ~ 1_ . -=t v.-........

..,~

Fig. 5.52. Panel de control.

---........-

[i) 'i> <& ~ ~. o,ac.... ... ~ ... 0,-. ..

..., ... ... ~ -- -

.~ ~ I~ , ...... ~,~ ,q ...... ........... , _,:Mf p~ ""'~

l-~ • ~ _. - - ,-_.~

~ ~ w_ ".- w_ -." ,,- ~

A continuación, se abre una nueva ventana similar a la que se mueslra en la Figura 5 .53.

\'linrlaw> Upd.te

[@ 0esa '9M~ ¡l\st.lI.lI.1OU.)l ju¿o""'p.lJ'3dequipo

:.::!.=::::u:.::.!!·~:~n:" l[i~!!>,-~~";¡;;;;;JI ~ .. ,,"""' . ....-. ... ~ .......

I -_ ... --..... _~

....¡.. ... __ ,.-..w_ ~ __ ... _ Joto, . InlG!

s.~w_ 1ioy . I<> Ul.~ .... :ten.ld.", ... ",,, ,,~,, ~; _ _ .... ...,,-.,....oie" __ .. oa-_~._,

...... , .... UO! .. ~)

Fig. 5.53. Windows Updote en Windows Visto.

Windows publica las actua liza­ciones los segundos martes de coda mes, conocido como Patch Tuesday (martes de correccio· nes), a no ser que sea una adua· ]¡zación crítica, en ese caso se publica seg ún se termine.

~/ 5 Seguridad activa en el sistema ----~----------------------------------

En esa ventana podemos buscar actualizaciones, cambiar la configuración, consultar el historial de actualizaciones, restaurar actualizaciones ocultas y ver las preguntas fre­cuentes sobre el proceso de actualizar el sistema.

Como estamos intentando configurar las actualizaciones automóticamente, debemos hacer dic en la opción Cambiar configuración, que se muestra en el marco izquierdo de la Figura 5.53.

00 ~ .. Wi!ldaws Upd.!!! • úmbiar configuf.ciOn

Elija la forma en que Windows puede instalar las actualizaciones (ulndo ti equipo HU cantct.do, Windaws puede comprobar lutom'tic.mente In adu.liucicnH e imt.llIlu I/undo uu ccnfigu,',ión. Cuando utén dilponiblu nuevll .dll. liucienes, plltde instabtlu .ntH de ap'g,r ti equipo. Informacién soln!! ActuJIi::Jdont5 lutomalicJs de Window!

ri:ll, @ InsUlar.ICt!WIDdonesluwm!t1umente(recomendado)

V [mUlu nuevu .ctulli:.tciones.:

1101l051011llU .I,ln ~

CI Busca! . du.liuciones, pero ptrmítirme elegir si desto descargarlu t instllllln

rL'JII e No bUSC4r 'du,linciona (1\0 recomendadD)

W El equipo str' misvulntllblt •• menua¡ dt seguridad y problunas de rendimiento sin Ju IctualÍIadcnes más redmtes.

Actuali",cicnes recomendadas

O lnduir lu actuaJi::adonu recomendadu cad. ve..: que se descar!luen o instalen actualizadones, g clda vu que recib. un. nclifi"ción ,obre tJln.

Nota; u posible que Windcws Update se actulli,e lulom'liclmenle antu de que busque ctras actualÍIldones. Lea la d~c!",.ci6n de nnv3cid .d ~n I'nu .

0 Aceptu II C.ncetn I

Fig. 5.54 . Configuración Actualizaciones.

En la nueva ventana (Fig. 5.54), seleccionamos la primera opción, Instalar actualizacio­nes automáticamente (recomendado), definiendo cuándo queremos que se instalen las nuevas actualizaciones. Como sabemos que Windows suele publicar las actualizaciones los martes, lo podemos configurar para que se instalen los viernes a las 20:00 horas, de esta manera, nos aseguramos que no han dado problemas los parches publicados.

Otra opción que podemos seleccionar en la misma ventana es Descargar actualizacio­nes, pero permitirme elegir si deseo instalarlas; como su nombre indica se descargan las actualizaciones, pero no son instaladas hasta que no demos la oportuna orden.

Otra selección posible es Buscar las actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas; de esta manera, no se descargan las actualizaciones, ocu­pando espacio en el disco duro hasta el momento en que las instalamos.

Por último, podemos optar por no buscar las actualizaciones; en ese caso somos los responsables de acceder a la página de Windows Update y determinar las actualiza­ciones que necesitamos para mantener nuestro equipo sin vulnerabilidades.

De la misma manera que mantenemos actualizado el sistema operativo, debemos mantener actualizado los programas que tenemos instalados y, por supuesto, el fir­mware de los distintos periféricos que conectamos al equipo: router, switch, etc.

Como perderíamos mucho tiempo consultando la página de cada fabricante para ver si han publicado nuevas actualizaciones de las aplicaciones instaladas, podemos utilizar algunos de los numerosos programas gratuitos que existen. Estos se conectan a Internet y nos informan de si hay nuevas actualizaciones publicadas que aún no tengamos ins­taladas.

Algunos ejemplos de dichos programas son APPGET, SUMO, LOGICIEIMAC.COM, APPFRESH, UPDATE NOTIFIER (http://cleansofts_org), etc.

Seguridad activa en el sistema

• 5. Monitorización del sistema

Con lo monitorización del sistema vamos a poder auditar los eventos que se han produ­cido en nuestro equipo.

5.1. Monitorización en Windows

Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr. msc. En la Figura 5.55, podemos ver que guarda información de los sucesos de aplica­ción, seguridad y sistema.

------ - ~ ~ - - - - - --

IJ Visor de sucesos Irl~~

""""" AaJ6n Vo< Ayud. I .. .. [il111!@ I @ I fl¡JI " . <0. . I V= de """'" (loc"l

r ,1 """"'60 Nombre I 1100 I I TarMio \1 Seguridad Iill Apl<odón Regl ... Registros de error de aplicac ... ~

L !¡ S"tstemo!l Iill Seguridod Regi ... Registro de audiroria de seg ... ~

Iill"'''''''' Regl ... Registros de error del sistema ~ " ~

Fig. 5.55. Visor de sucesos Windows.

Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config.

Es muy impartante configurar correctamente el tamaño y el acceso a los mismos. El tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,?ncargados de la seguridad del sistema.

5.2. Monitorización en Linux

Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Siste­ma > Administración> Visor de archivos de sucesos.

~ -.... ~ . " ' ~ Q~I ' - (-j · 15~·N-.,t!Ml~ ~'ª .Archivo fditar ~jsta Ayyda

Xorg.O.log . - - 3 oo ;;;;¡i Jupiter SU[18114]: +·;~;/i';dmi~i~~~ad~;; r~lll Sep Xorg.20.log Sep 300:22 :11 Jupiter su[18114]: pam unix( su:session): se

V" auth.log Sep 300,22 ,11 Jupiter dbus -daemon, Rejected send message' l Sep 300: 27:11 Jupi ter su[18114]: pam_unix(su :session) : se ~

miércoles, 2 sep - Sep 300:27:17 Jupi ter gdm[2759]: pam unix(gdm :session): s jueves. 3sep Sep 300: 27: 28 Jupiter gdm[2759]: pam-unix(gdm:session): s

~ auth.log.O Sep 300:27: 28 Jupiter gdm{2759]: pam-ck connecto r(gdm:ses Sep 3 00 :27: 2B Jupiter gnome -keyring -daemon[ 18441 ] : adding

boot Sep 3 00 :27 :35 Jupiter dbus -daemon: Rejected send message, bootstrap.log =Sep 3 00 :27 :35 Jupiter dbus -daemon: Rejected send message,

~ daemon.log -Sep 3 00: 27 :35 Jupiter dbus-daemon: Rejected send message, Sep 3 00: 27: 35 Jupiter dbus -daemon: Rejected send message ,

~ daemon.log.O Sep 3 00 :27 :36 Jupi ter dbus-daemon : Rejected send message , ~ debug Sep 3 00:27 :36 Jupiter dbus -daemon: Rejected send message,

Sep 3 00:27:36 Jupiter dbus-daemon: Rejected send message, I

~ debug.O Sep 3 00:27:36 Jupi ter dbus-daemon: Rejected send message, dmesg Sep 3 00:27:36 Jupiter dbus -daemon: Rejected send message, dmesg.O Sep 3 00 :27:36 Jupi ter dbus -daemon : Rejected send message,

dpkg.log Sep 3 00 :27:36 Jupi te r dbus -daemon: Rejected send message. El

v ( '" ~ IIL 303 lineas (78,4 KiB) - última actualización: lllu Sep 301: :022009

Fig. 5.56_ Visor de sucesos Linux.

5

~/ 5 Seguridad activa en el sistema ------~----------------------------------------

Vocabulario ~ Lag. Es el registro de un evento que se produce en el sistema.

viene de weB lOG.

132

Para simplificar lo auditoría, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Poro auditor los entrados 01 sistema utilizaremos el comando last (Fig. 5.581, poro auditor los accesos fallidos usaremos el comando lastb (Fig. 5.591 Y poro los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601.

Los ficheras donde se guarda la información se encuentran ubicados en el directorio /var/log (Fig. 5.571.

administradon@Uupiter:/var/log$ 15 apparmo r di5t~upgrade kern .log . 2. gz i1pt dmesg lastlog auth.log dmesg.e lpr.log auth . log.e dmesg.1.gz mail.err auth . log . l.gz dmesg.2.gz ma11.1nfo auth .tog .2.gz dmesg.3 .gz mai1.109 boot dmesg. 4. gz llIail.warn bootstrap.log dpkg.log messages btmp dpkg .10g.1 messages.9 btmp.l exim4 messages.l .gz ConsoleKit fa11109 messages .2 .gz cups fontconfig.log ne liS daemon.log fsck pycent ralo log daeman. tog .a gdm samba daemon . log . l . gz insttltter syslog daeman. lag. 2 .gz jockey.log syslog .e debug jockey.log.l syslog . l .gz debug .e kern.tog systog .2 .gz debug . l .gz kern.tog .a syslog.3.gz debug.2.gz kern.tog.l .gz syslog.4 .gz administ rado r@Jupiter:/var/10g$

Fig. 5.57. Ubicación /ogs de Linux.

syslog .5. gz udev unattcndcd-upgrades user .log user.log.o user .10g.1. gz user.log .2.gz wpa supp11cant . log \</pa: supplictlnt . lag . l .gz wpa_supplicant.log.2.gz wpa_supplicant.log. 3.gz wpa_supplicant.log .4 .gz wtmp wtmp.l Xorg.9.1og Xorg.9 .1og.o1d Xorg.29.1og

A continuación, vamos a ver unos ejemplos de los comandos vistos anteriormente.

Archivo bfitar ')[er Jenninal Ayyda root@Jupiter:-# last fernando pts/2 fernando ptS/ 2 root ptS!l administ pt5/9 administ ptS/5 administ pt5/4 administ ptS/3 administ pt5/2 administ pt5/1 administ pts/o

192.168.1.35 192.168.1.35 jupiter :9.9 jupiter.locat jupiter.locat :0.0 jupiter jupiter :0.0

Fig. 5.58. Resu/lado comando lasto

Archívo .;:ditar Ver Jermínal Ayyda

ana@ana-desktop:-$ lastb fernando

lhu Sep Thu Sep Thu Sep Thu Sep Thu Sep Thu Sep Thu Sep Thu Sep Thu sep Thu sep

~ .

3 00:52 5titl togged in 3 00:46 00:47 (00:00) 3 00:45 stitt togged in 3 00:43 5t1tt togged in 3 00:38 . 09:38 (00:00) 3 00:37 . 09:38 (00:91) 3 00:31 . eO:38 (00:07) 3 90:30 . 00:38 (00:97) 3 00:30 - 00:38 (00:08) 3 00:29 . 00:38 (00:08)

.' . ... (;;;,¡

El

I

fernando tty7 :0 Thu Ju\ 23 13:49 . 13 :49 (66:66)

btmp begins Thu Jul 23 13:49:28 2989 ana@ana-desktop :-$ lastb

Fig. 5.59. So/ido comando lastb.

Archivo .Editar ')[er Jenninal Ay.uda root@Jupiter:-# lastlog · u fernando Nombre Puerto De fernando pts/2 192.168.1.35 root@Jupiter:-#

Fig. 5.60. Resu/lado comando lastlog.

Último jue sep 3 09:46:59 +9290 2099

Seguridad activa en el sistema 5

6. Software que vulnera la seguridad del sistema

En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... ) como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del sistema.

6.1. Clasificación de los atacantes

Los atacantes se pueden clasificar según el tipo de ataque:

• Hackers: son personas con grandes conocimientos informáticos y telemáticos (exper­tos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulne­rabilidades. La principal motivacián de los hackers es seguir aprendiendo y mostrar las vulnerabilidades de los sistemas al mundo. En ningún caso buscan un beneficio econámico o dañar la estructura del sistema. Podríamos hacer un símil con una persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado allí, para informar de la vulnerabilidad de la misma. También son conocidos como hackers de sombrero blanco.

• Crackers o hackers de sombrero negro: el término hacker fue utilizado por los me­dios de comunicación de forma genérica, para referirse a cualquier intruso en un sis­tema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers inventaron una nueva palabra para designar a aquellas personas que rompían las barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban un beneficio económico o bien porque por venganza dañaban las estruc.turas de los sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers criminales, hackers cuyas intenciones son maliciosas.

• Phreakers: son expertos en telefonía. Son conocidos como los phone crackers, los crackers de la telefonía, buscan un beneficio económico saboteando las redes tele­fónicas para realizar llamadas gratuitas.

• Ciberterroristas: san expertos en informática y en intrusismo en la red, que ponen sus conocimientos al servicio de países y organizaciones para el espionaje o sabotaje informático.

• Programadores de virus: son expertos en programación, en sistemas y en redes, que crean pequeños programas dañinos, que por uno u otro motivo llegan a la red y se distribuyen con rapidez ocasionando daños en los sistemas o en la información almacenada en los mismos.

• Carders: atacan los sistemas de tarjetas, especialmente los cajeros automáticos.

• Sniffers: lo podríamos traducir como colilla, son las personas que se dedican a es­cuchar el tráfico de la red, para intentar recomponer y descifrar los mensajes que circulan por la misma.

• lammers: también conocidos como wannabes o script-kiddies o c1ick-kiddies, son chicos jóvenes que sin grandes conocimientos informáticos, se creen verdaderos hac­kers y se lo hacen creer a los miembros de sus pandillas. Estos sólo se han descar­gado herramientas o programas de Internet para realizar ataques informáticos y los han puesto en marcha sin saber cómo funcionan. Los verdaderos hackers muestran una gran repulsa hacia los lammers.

• Newbie: son los hackers novatos, empiezan a aprender y van superando los prime­ros retos para llegar a ser verdaderos hackers.

Luser es el término que utilizan Jos atacantes para referirse al usuario que va a ser atacado. Es la abreviatura de Local USER.

La palabra hacker ha sido i­zada erróneamente por la pren­sa para referirse a aquellas per­sonas involucradas en cualquier acto que ataque la seguridad informática, sin tener en cuenta el fin del misma.

Seguridad activa en el sistema

6.2. Tipos de ataques

Podemos hacer una primera clasificación de los tipos de ataques según los objetivos de seguridad que vulneran.

• Interrupción, este tipo de ataque vulnera la disponibilidad de un recurso del sistema o de la red. El recurso no podrá ser utilizado. Ejemplos, denegación del servicio, el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de un disco duro, cortar una línea de comunicación, deshabilitación de un sistema de ficheras (umount).

r Interrupción

Fig. 5.61. Interrupción.

• Intercepción, ataca la confidencialidad. Un intruso accede a información almacena­da en nuestro sistema o al que hemos trasmitido por la red, es decir, la información ha caído en manos de personal no autorizado. Ejemplos, captura de información en la red o copia de archivos no autorizada.

Intercepción Fig. 5.62. Intercepción.

• Modificación, ataca el objetivo de integridad. Los datos han sido manipulados por personal no autorizado en algún momento entre su creación y su llegada al destina­tario. La información que se dispone después de un ataque de estas características no es vólida ni consistente. Ejemplos, las modificaciones de programas para que realicen acciones diferentes a las prapuestas originalmente, modificar un mensaje transmitido por la red, DNS spoofing, ...

Modificación Fig. 5.63. Modificación .

• Fabricación, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones destinadas a conseguir que el praducto final sea similar al atacado de forma que sea difícil distinguirlo del original. Por ejemplo, el phising.

ot:.JI'J-----l O =F=abrica=ción=

\ Fig. 5.64. Fabricación.

Seguridad activa en el sistema 5

Otro tipo de clasificación se puede realizar en función de la forma de actuar de los ataques:

• Spoofing o suplantación de la identidad: la técnica de spoofing (engaño o falsea­miento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de switch como elemento de interconexión entre los diferentes Pe.

Este ataque consiste en falsear algún dato de un PC atacado. Existen distintos tipos de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en en­gañar a la tabla arp que los equipos guardan en memoria, tabla que simplemente asocia una dirección física o mac de una tarieta de red con su IP (Fig. 5.65).

Fig. 5.65. Tabla ARP de PC atacado antes de realizar ARP Spoofing.

Con esta técnica de engaño podemos hacer creer a un PC atacada que la dirección física de otro PC, también atacado de la red, es la del PC del atacante, consiguiendo con ello que todo el trófico de red entre los dos PC atacados pase por el PC del atacante (Fig. 5.65); es lo que se conoce como man in the middle (hombre en medio):

En la Figura 5.66 podemos ver como la MAC de la dirección del PC atacado (192.168.0.134) ha sido modificada con la dirección física (00-Of-ea-16-8e-59) que es la dirección física del atacante.

Fig. 5.66. Toblo ARP del PC otocodo tros el ARP Spoofing.

Otra versión de este tipo de ataques es el DNS spoofing o engaño de DNS, que consis­te en falsear la respuesta del servidor DNS sobre una petición y darle una dirección IP diferente a la real. Es decir, que cuando un PC atacado pide por eiemplo la IP de www. mibanco.es a su servidor DNS, el equipo atacante falseará el paquete de datos de los DNS con la respuesta y le puede engañar dándole la IP de otra equipo cualquiera. Así en vez de conectarse a su banco se conectaría a otra PC diferente pudiendo falsear la pagina de entrada de su banca electrónica y capturando sus claves de acceso a la misma.

Veamos estas dos técnicas mediante una próctica realizada con el programa CAIN que te puedes descargar de la página http://www_oxld.it/cain_html.

El comando ARP permite ver o modificar lo s entradas de la tabla de IP-MAC.

Seguridad activo en el sistema

~ Caso práctico 10

ARP spoofing y DNS spoofing

En esta práctica, vamos a hocer que cuando un usuorio desde un PC atacodo resuelvo lo IP asociada al nombre www.google.com. en vez de contestarle con la dirección real, obtendrá como repuesta la IP de un equipo de nuestra red.

Antes de hacer el DNS spoofing tendremos que realizar un envenenamiento de la tabla ARP, para osi cambiar las tablas Ip·MAC del PC atacado y del router y redirigir todo el tráfico que va desde el PC atacado hacia el router a través del PC del atacante.

Como vemos en la Figura 5.67 antes del ataque, el DNS resuelve la dirección de Google can su direccián IP real (209.85.229.147) .

Fig. 5.67. Ping a la dirección www.google.com.

Después del atoque, el atacante modifica la dirección devuelta par el DNS por una dirección que el atacante configura a través de la aplicación CAIN. Para realizar esta práctica debemos seguir dos sencillos pasos:

1. El primero, crear una entrada de envenenamiento ARP (Fig . 5.68). Con esto con· seguiremos que todo el tráfico entre PC atacada y el router sea redireccionado al PC del atacante.

Fig. 5.68. Entrada de envenenamiento.

2. El segundo paso, consiste en introducir una entrada de DNS spoofing (Fig. 5.69) consiguiendo que cuando el atacado se quiera conectar a Google realmente se conectará al equipo con la IP 192.168.0.134. (Continúa) I

Seguridad activa en el sistema 5~

_________________ ,¡:c:::;o.:;;so::..práctico 109 (Continuación)

l'J'R-tMAPS(O) APR-ltW'5(O) j\ffi-SIPS(O)

, 192.1l1li.0.134 ~6

Fig. 5.69. Entrada de DNS spaafing.

Como se puede ver en la siguiente imagen, cuando hacemos un ping a Google desde el equipo atacado devuelve la dirección que ha configurada el atacante (192.268.0.134).

Fig. 5.70. Resultada de la entrada de DNS spooting.

Como es lógico pensar, esta técnica se puede utilizar para cometer fraudes en intranets o redes corporativas reenviando al atacado a una pógina muy similar a la original, pero falsa, por lo que el intruso podrá ver sus claves.

Contra este tipo de ataques podemos luchar creando las tablas ARP de los equipos expuestos de forma estática mediante el comando ARP.

Sniffing o análisis de tráfico: como hemos comentado en el epígrafe de tipos de atacan· tes, este tipo de ataques consiste en escuchar el tráfico de la red.

En las redes de área local que utilizan el HUB como medio de interconexión entre los equipos, esta técnica se convierte en un juego de niños; como sabemos, los hubs o concentradores repiten toda la infarmación recibida por cada uno de sus puertos. Para dificultar el uso de esta técnica, debemos sustituir los concentradores por switchs o conmutadores, ya que estos últimos al tener definidas las tablas de direccionamiento (CA M Control Addressable Memory) sólo mandan la información recibida por el puerto adecuado. Pero es tan fácil como utilizar una técnica de MAC flooding, que consiste en saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento y terminen funcionando como concentradores, es decir, que reenvían la información recibida por todos los puertos por no saber por cuál de ellos debe enviarla.

MAC. Media Access Control, es un número de 48 bits que generalmente se expresa como 12 digitas hexadecimales, y que identifica de forma única a cada tarieta de red ethernet.

i /5 Seguridad activa en el sistema ~--~----------------------------------

q Caso práct.::ic:::o:.,.l:..l=---________ _

Comprometer uno sesión telnet entre dos equipos atacados

Para la realización de esta práctica hemos utilizado tres equipos conectados a la misma red mediante un switch. Volveremos a utilizar la misma aplicación que en el caso próctico anterior, CAIN, con la que envenenaremos me­diante la técnica del ARP spoofing el trófico generado en­tre los dos PC atacados consiguiendo visualizar el conteni­do de la sesión telnet entre los mismos.

Fig. 5.71. Envenenamiento del tráFico entre dos PC

Fig. 5.72. Inicio sesión fe/neto

1. Como puedes ver en la siguiente imagen (Fig. 5.71), se está envenenando el trófico entre dos PC; uno con la dirección IP 192.168.0.134, que será el que inicie la sesión telnet, y otro con dirección IP 192.168.0.136 que es quien tiene en ejecución un servidor telnet.

2. En el siguiente paso, vamos a ver como el sniffer escu· cha el tráfico generado entre los dos PC atacados durante una sesión de acceso remoto.

En primer lugar Emilio inicia una sesión telnet autenticándo· se mediante su nombre y usando como contraseña patata (Fig. 5.72).

En la siguiente imagen, vemos como el sniffer mediante la aplicación CAIN ha sido capaz de comprometer nuestra sesión telnet (Fig. 5.73). El intruso ve el nombre de usuario y la contraseña utilizados para la conexión y posterior­mente la ejecución del comando dir realizada durante la sesión por el atacado.

: [7: lota [7: lefa [10: ah (10: afu o [10: 9fama [10: 101'11 D [10:Ufll a [la: 12fl1l1 a [lo: l11'oa [lO: 14 f

0 (3:31'

[7: 3. fdlda [7: ] 5fri a (7; 36fr D [7: ] 7f

Fig. 5.73. Te/ne! comprometido.

Seguridad activa en el sistema 5

• Conexión no autorizada a equipos y servidores: este tipo de ataque consiste en des­cubrir distintos agujeros en la seguridad de un sistema informático y establecer con el mismo una conexión no autorizada. Ya sea porque hemos descubierto las con­troseñas de algunos usuarios, como en el caso práctico anterior, o bien utilizando aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir el acceso al equipo desde el exterior.

• Intraducción en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos o gusanos son conocidos como malware, programas malintencionados, que infectan nuestro equipo dañando de múltiples formas nuestro sistema.

- Los virus son programas que se propagan entre los equipas. Su código se adjun­ta al de otro programa existente en el sistema para facilitar la propagación del mismo y causar los daños para los que han sido diseñados por el creador. La característica principal es que su código ha sido escrito con la intención de que se vaya replicando para así infectar el mayor número de equipos posibles. Ejemplos famosos de virus son Barrotes, Viernes 13 ...

- Las gusanos son diseñadas con el mismo fin que los virus, que se propaguen por la red. Se diferencian en que éstos no necesitan la intervención del usuario, ya que no se adjuntan a ningún otro programa, sino que son distribuidos de manera completa par la red consumiendo en la gran mayoría de los casos un gran ancha de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos ejemplos famosos de este tipo de programas son Sasser y Blaster.

- Las troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayo­ría de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.

Estas daños varían desde aquellas que no realizan ningún perjuicio al equipo infectado hasta otros que realizan verdaderos destrozos irreversibles en nuestro sistema.

Para evitar el ataque de este tipo de programas se han comercializado aplicaciones de­nominadas antivirus que mantienen actualizadas sus ficheros de firmas parci detectar y eliminar los programas con código malicioso. Ejemplos de antivirus son Panda, Norton, AVG, etc. Todos ellos tienen antivirus on-fine (en línea) que en la mayoría de los casos sólo permiten detectar si nuestra máquina está infectada.

Es aconsejable tener instalado un antivirus, teniendo en cuenta que todos ellos ralentizan tonto el arranque como el normal funcionamiento del equipo por consumir recursos del equipo.

actlvescan 2-0 ""' ,"""""' ''' ...... , ,,, ...

.... " ... .., ...... ..,.. ... '-w""' •• , ,,, __ ... . _ • ., .... '."n"" •• ..-. ""'~ ............. .. . ",'"" .. """"""'_ .. ..,."' ''' .... ....

.. ',,,, .. , .... """" ""' ...... =-c"""'..,.~..""

''''''''''0:.'''. '',,,,,,,,,,

Fig. 5.74. Anfivirus online de Panda.

Puedes descargarte una versión demo de 30 días del antivirus ESET en http://demos.eset.es/. En el sitio podrás elegir entre ESET NOD32 Antivirus o ESET Smart Security. Puedes solicitar más información a tu profesor.

.. . 'J' Debes cambiar las contraseñas que ponen por defecto los fabri­cantes a los distintos periféricos que nos permiten la conexión a Internet paro evitar conexiones no autorizadas a los mismos.

Algunos virus famosos:

• El virus FORM hace sonar los días 18 de cada mes un pitido por cada tecla pulsada. Esto simplemente se puede consi­derar una broma más o menos incómoda.

• El virus VIERNES 13 borra los programas utilizados en dicho día afectando exclusivamente a los archivos ejecutables.

• Generic Backdoor, permi­te a los intrusos acceder de manero remoto al ordenador afectado, por lo que compro­mete la confidencialidad de la información almacenada en el equipo .

• Sasser, es un gusano qu e aprovechando una vulnerabi­lidad de Windows, apagaba el equipo .

• Elk Cloner, programado por Rich Skrenta a los quin ce años de edad, es considera­do el primer virus desarrolla­do y expandido por la red . Afectaba a los equipos con sistemas MAC instalado.

~/ 5 Seguridad activa en el sistema ~--~----------------------------------

Q Caso próctico::...,:1.::2 __

Configurar el análisis en busca de virus y otras amenazas del Antivirus Panda

Como hemos comentada anteriormente, los antivirus ralen­tizan el arranque de los equipos debido al análisis en bus­ca de malware que realizan en cada uno de los arranques.

l.eJ.ID.!.JLJ' ~

Internet SecurltYJ 0'-

Amillsrs en busca de virus y otras amenazas

...... n ... 10lla mlPC

@ ~r • ., ..... r 1, o¡'cuDd" d • • fl.lIi,,,

~ ANlbu r t l to", o

~ AIIaliu t otro •• I_ o.

Detectilr vulnerabllldedes

Fig. 5.75. Anólisis Panda.

2. En el marco derecho de la Figura 5.76 hacemos e1ie en Programar la eiecución de anólisis. Aparece una nuevo ventana (Fig 5.77) en la que se nos muestran dos balo­nes; el primero de ellos permite generar un nuevo análi­sis y el segundo permile modificar la configuración del análisis programado. En nuestro coso queremos modifi­car la periodicidad del análisis, por lo debemos hacer e1ic en el botón Configurar anólisis .. .

:3' Configurar análisis

Editar elementos a analizar

Pulsa en Editar para seleccionar los ~ementos que serán aM~ZZldo5.

Editar ...

Conflguradón del análisis

..cJ Pulsa on eontigtnción para modificar las prcpiedodos del anOtisls, si ~ no se aplicará la configuración por defl!:do.

I ConfiQuractón... 1

Configuración de la programadón

tf!jJ Pulsa en planificación para moáficar la programaOón d~ análisis.

I Plantftcact6n .. .

8Ceptar 1 1 ~ancetar 1

Fig. 5.77. Configuror análisis.

Por ello vamos a cambiar lo configuración del análisis paro que no se realice en todos los arranques sino sólo los vier­nes.

1. Una vez arrancado el antivirus debemos hacer e1ic sobre la pestaña Analizar (Fig 5.75) .

C3 Programar la ejecución de análisis I=),@]~l

Anánsls programados

I O Actualmente estID definidos los slgulentes anatisis programados.

<0 ~ I Nuevo enálsls, .. Aná!r!:is al nao de WJI'Ido.'1S

ConfIourar análisis .. ,

_.Ilor. 1 1

Aceptor 1I Cancel" 1

Fig. 5.76. Progromar análisis.

3. En la siguiente pantalla (Fig . 5.77) hacemos e1ic sobre el botón Planificación.

4. Aparece una nueva ventana en la que podemos definir cuándo queremos que se haga el análisis. Como quere­mos que se realice todos los viernes debemos hacer e1ic sobre lo último opción, seleccionando en el desplega­ble el día (en nuestro caso Viernes), en el que queremos que se haga la comprobación (Fig . 5.78).

o ConfigunI::ión del W fosit .¡ Inicio de Wirul oWJ uu ~ An'hIs I AccIone5 ! Alertas PrO\ll"lIII'IIIdot '-_____ _____ _ ,

AnA!;si~al lnido---__ _

fJ> IrdtII Cll!1 que perioOOdad qo,RrH (¡\Ir; se ef«b:ie el an.fuis 61 iOOa .

O ......

O Ctd& ~.,.enc¡ue:¡;

OCtd& ~ 6es

0 "" l v~ H

Fig. 5.78 . Configuración de la periodicidad del análisis.

Seguridad activa en el sistema 5

• Keyloggers: la traducción literal de esta palabra, registrador (Iogger) de teclas (keys), nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta maliciosa para conocer todo lo que un usuario escribe a través del teclado, incluso a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos exis­ten herramientas hardware y software. Los periféricos diseñados para tal fin pueden ir desde un teclado en apariencia idéntico a uno normal pera que contiene una me­moria no volátil donde almacena la información escrita o bien mediante un pequeño dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado.

• Denegación del servicio: este tipa de ataque también es conocido par sus siglas: DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con el propósito de interrumpir el servicio que están ofreciendo. Es conocido el ataque DoS que realizaron piratas informáticos de la antigua Unián Soviética y que paralizá el acceso a Internet de los estonios, tras la decisián del gobierno del país báltico de retirar una estatua que conmemoraba a los muertos soviéticos durante la Segunda Guerra Mundial. También son conocidos los ataques de este tipo lanzados contra los servidores raíz del sistema de nombres distribuido DNS, con el fin de dejar Internet paralizada al no poder disponer los usuarios del servicio de resolucián de nombres. Entre los múltiples tipos de ataque DoS se pueden destacar los siguientes:

- La mayoría de los ataques de denegación de servicios son realizados al unísono desde múltiples máquinas que han sido convertidas en zombies por crackers de la red, llamándose en este caso DDoS, ataque de Denegacián de Servicio Distri­buido.

- Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un tamaño de bytes muy grande, lo que bloqueaba las conexiones en los antiguos sistemas operativos; en los actuales este tipo de ataque está subsanado y por tanto se puede considerar como historia.

• Inundación de peticiones SYN: más conocido por SYN Flood, consiste en hacer una peticián de establecimiento de conexián a un servidor y no responder a su acep­tación de conexián, bien sea porque se falseó el paquete de petición con una IP falsa o por alguna otra causa. Este tipo de ataque provoca una saturación en las conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden llegar a producir un colapso del servicio ofrecido con la consiguiente denegación de servicio. Mediante el simple uso del comando netstat (comando que nos per­mite ver el estado de las conexiones) se puede ver si estamos siendo víctimas de un ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers que paren el tráfico de IP que puedan ser falseadas.

• Dialers: también conocidos como marcadores telefónicos, se hicieron muy famosos a principios de los años noventa cuando la mayoría de la gente se conectaba a Internet mediante módem.

Son programas de conexión a Internet mediante módem, que realizan una llamada a un teléfono con tarificación especial, como aquellos que empezaban por 905. Estos pragramas actuaban sin la intervención y sin el consentimiento del usuario pro­vocando una factura telefánica desorbitada. Hoy en día con las conexiones ADSL los dialers casi han desaparecido en la mayoría de los hogares.

• Ingeniería social: es un ataque que afecta al objetivo de confidencialidad de la seguridad informática. Esta técnica consiste en obtener información secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos. Habitual­mente los ingenieros sociales utilizan el correo electrónico, páginas Webs falsas, el correo ordinario o el teléfono para llevar a cabo sus planes. Los ejemplos más llamativos de estos ataques son el phising y el uso de una máquina atacada para la envío de spam.

.' Vocabulario 9 Zombie. Ordenador en el que un hacker de sombrero negro ha conseguido instalar software malicioso para hacerse con el control del mismo. Spam. También conocido como correo basura. Correo habitual­mente de publicidad que no ha sido solicitada.

141

Seguridad activa en el sistema

~ Actividades

10. El navegador Internet Ex­plorer a partir de la ver­sión 7 incluye la funcio­nalidad Filtro de suplanta­ción de identidad. Paro configurarlo debe­mos acceder a las Opcio­nes avanzadas del menú de Herramientas (Opcio­nes de Internet). En la ficha de Opciones avanzadas podremos acti­var la comprobacián auto­mática de sitios web en el apartado de seguridad. De esta manera siempre que accedamos a una página comprobará su autenticidad inmediata­mente.

• Phishing: es una técnica de engaño al usuario, que intenta adquirir información confidencial del mismo suplantando la identidad de otros personas, organismos o páginas WEB de Internet. Uno de los métodos de Phishing más utilizados hoy en día consiste en colgar en Internet una página que es copia idéntica de alguna otro, como puede ser la de alguna entidad financiero o banco.

El engaño consiste en que si alguien confunde esta página falsa con la original e introduce en ella sus datos personales como puedan ser el número de tarjeta o el PIN de la misma, estos números se les manda directamente a los creadores de la estafa, que consiguen así tener en su poder información que puede com­prometernos.

La manero de no caer en estas estafas es tener en cuenta que nunca los bancos ni organismos oficiales piden a través de correos electrónicos datos confidenciales. También debemos mirar con cautela las direcciones URL de las páginas visitadas, pues sucede a menudo que si la dirección real es por ejemplo www.mibanca.es. la dirección que utilizan este tipo de delincuentes para diseccionar la página será algo así como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una pequeña diferencia que a primero vista no se notará pero que obligatoriamente ha de tener.

Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros, pero actualmente estos ataques han afectado a otros organismos, como el INEM, Cámaras de Comercios de diferentes ciudades y últimamente a la Agencia Tributaria (Fig. 5.78).

En este último caso, el ataque consiste en la remisión de un correo electrónico que informa que el receptor del mensaje tiene derecho a un reembolso de impuestos inexistentes. Pero para poder disponer del dinero, el receptor debe enviar los núme­ros de cuentas bancarias y tarjetas de crédito.

,., GOII[ UIO tWJ O[UI».I.II I ;& Agencia Tributaria Pc!lil;ll I:ngii~lica

D RSS I Mapa Web I Accesib i!il:llld I Ayuda

la Agencia Trlbutarla

Inldo :. La Agenda Tributaria ) Sala de prensa Notas de prensa

o El Ministerio de Economia y Hacienda a.dyierte de un intento de fraude a través de Internet que utiliza su nombre y su imagen

15.jullo.2009. Gabinete de Prensa

Agencia Tnbutaria

El engaño hace referencia a un reembolso de impuestos inexistente.

14 de julio de 2009. El Ministerio de Economia y Hacienda ha detectado hoy un importante envio de comunicaciones por correo electrónico en el que se utiliza fraudulentamente su nombre y su imagen.

En el envio se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale supuestamente beneficiado . Para poder disponer del dinero hay que aportar datos de cuentas bancarias y ta~etas de credito.

El Ministerio de Economia y Hacienda, a Iraves de la Agencia Tributaria. ha tomado las medidas necesarias para perseguir este intento de fraude y recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios . Ni el Ministerio de Economía y Hacienda ni la Agencia Tributaria solicitan información confidencial, ni mimeros de cuenta, ni numeras de ta~eta de los contribuyentes. por correo electrónico.

Fig. 5.79. Configuración momento análisis.

142

-seleccione portal- ... I Ir al portal I

(1 q~ On,Io' Virtual )

~AUnCJiC I Calend~rio del ccntnbuyente

CaM de Servicies

CertirJC8dcs Eledr6niCcs

Descargll de prcgrllffi3s de ayuda

Modelos y IcrmuillrloS

Acceda directamente

UCrm.:!wn y cri!eri:ls intcl1lrellltivcs

Preguntas Tli:ulllrUs (.¡FORMA) la

I~ Enlaces relllcionDdos

I,Iinislelio de Eccnorr6 y H~ciendft [8

Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático

1. En multitud de noticias podemos leer que el despecho de los empleados dispara el robo de información en los empresas. El 28% de lo sustracción de información se produce o través de los memorias externas USB. Paro evitar dichos robos podemos deshabilitar estos o través de la BIOS.

Accede a la BIOS y desactiva los dispositivos USB. Otra forma de protegernos contra dichos robos es des­activando dichos dispositivos USB a través del sistema operativo. Enumera los pasos que has realizado para desactivar dichos dispositivos a través del Sistema Ope­rativo.

2. Spoof Guard es una herramienta que nos ayuda a dis­cernir si estamos siendo víctimas de un ataque malin­tencionado de spoofing o de phising. Esta aplica­ción añade un semáforo en la barra de herramientas del navegador que nos indica la peligrosidad de la página .

Descarga el programa de la página http://crypto. stanford.edu/SpoofGuard/, instálalo y comprueba que dependiendo de la luz del semáfaro lo página que visi­tas no ha sido atacada o por el contrario es una posi­ble página web fraudulenta.

3. Modifica el fichero de configuración del gestor de arranque (GRUB), rnenu_lst, para que bloquee el arranque del test de memoria .

Indica los pasos que has realizado para alcanzar el objetivo.

4. Descarga la demo de la aplicación Biopassword de http://smortadvisors.net/biapassword/demo.php, ins­tálala, configúrala y comprueba que si escribe otra per­sona diferente o la que ha realizado el mádulo de ins­cripción lo reconoce y produce un error diciendo que tu forma de escribir no se corresponde con el patrón registrado.

5. Descarga el antivirus AVG de http://free.avg.com/, ins­tálalo y haz una comprobación del estado de tus dispo­sitivos de almacenamiento.

Aseguror la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e insta­lando software específico

Seguridad activo en el sistema 5

Comprueba tu aprendizaje "

6. En un pequeño colegio es necesa rio que los alumnos compartan los equipos de un aula de informática. Los perfiles de los alumnos que comparten el aula son:

• Alumnos de gestión administrativa. Estos utilizan los equipos para aprender mecanografía y el paquete ofimática de Microsoft.

• Alumnos de construcción que utilizan Autocad paro la realización de planos y PRESTO para el cálculo de presupuestos.

• Alumnos de un curso de JAVA, los cuales utilizan un compilador de dicho programa.

Se ha observado que los alumnos del curso de JAVA se dedican a instalar juegos en los equipos de manera indiscriminada, por lo que se están viendo perjudica­dos sus compañeros.

¿Cómo podemos solventar la situación? ¿Qué medidas tomarías?

7. Esta actividad se deberá realizar en grupo. Descarga de la página web http://www.effetech.cam/download/ el programa MSN sniffer e instálalo en uno de los equi­pos de la red.

Otros dos compañeros deben hacer uso del Messenger manteniendo una conversación entre ellos.

¿Puedes ver la conversación mantenida desde tu equipo?

En caso de que la respuesta sea negativa ¿Por qué no puedes visualizarla? ¿Cómo podrías llegar a visualizar la conversación?

8. Descarga EffeTech HTTP Sniffer de la página Web http://www.effetech.com/download/ e instálalo en uno de los equipos de la red .

Otro compañero debe visitar distintas páginas Web.

¿Puedes ver las póginas que visita tu compañero? En caso de que la respuesta sea negativa , ¿por qué no puedes visualizarlas? ¿Cómo podrías llega r a visualizar las páginas que visita tu compañero?

9. Captura las contraseñas de inicio de sesión de otros usuarios de tu red y envíalas al crackeador de contrase­ñas para más tarde intentar averiguarlas.

¿Qué método utilizas para averiguarlas? ¿Fuerza bruta, diccionario o Rainbow tables?

144

Seguridad activa en el sistema --------------------------

Seguridad en el acceso -( al ordenador ---

Cifrado de las particiones

Cuotas de disco

Evitar acceso a BIOS

Proteger el gestor de arranque GRUB

-(

Políticas de contraseñas

Autenticación de los usuarios

Sistemas biométricos

Monitorización del sistema

Tipos de atacantes

Tipos de ataques

Software para evitar ataques

lLD ri1 U ~ (9] cdJ

Seguridad activa en redes

y estudiaremos:

• Seguridad en la conexión a Internet.

• Protocolas seguros.

• Seguridad en accesos en red.

• Seguridad perimetral.

• Monitorización en redes cableadas.

• Seguridad en redes inalámbricas.

En esta unidad aprenderemos a:

• Minimizar el valumen de tráfico na deseada utilizando sistemas de seguridad.

• Aplicar medidas para evitar la monitorización de redes cableadas.

• Clasificar y valorar las propiedades de seguridad de las protocolas usadas en redes inalámbricas.

• Identificar la necesidad de inventariar y controlar las servicias de red.

I , :utb~ ;~tl.4!/,

r

~/ 7 6 Seguridad activa en redes

l. Seguridad en la conexión a redes no fiables

Cada vez que nos conectamos a Internet se produce un intercambia de información entre nuestro equipa y la red. Este intercambia es necesaria paro que podamos acceder a la información y servicias de Internet, pera si na tenemos garantías de seguridad es necesario limitar la información que es enviada, ya que en otro caso podría ser utilizada sin nuestro consentimiento.

Pensemos en la infarmación que se transmite cuando navegamos por la Web -estamos enviando la dirección IP de nuestra máquina y la página Web desde donde hemos lle­gada- a cuando participamos en servicias de noticias y foros, donde enviamos nuestra dirección de correo electrónica, par e¡empla. Si alguien se hace can esta información podríamos vernos afectadas par grandes volúmenes de tráfico no deseado y ser victi­mas de un ataque de denegación de servicia.

Ningún dispositiva, par sencilla que sea, está libre de sufrir un ataque, par la que es muy importante minimizar las pasibilidades de que esta ocurra. Existen diversas herramientas que nas permitirán proteger los equipos de la red, como los cortafuegos y los proxys, que veremos en las Unidades 7 y 8, Y las técnicas y herramientas que abordaremos en las siguientes apartadas de esta unidad.

TwiHer se cae víctima de un 'ataque malicioso'

Facebook también ha sufrido problemas similares, aunque más limitados

El popular sitio de 'microblogging' Twitter ha anunciado que ha sido víctima de un «ataque malicioso», concretamente un ataque de denegación de servicio (DoS), algo que ha dejado sin acceso al servicio a millones de usuarios durante un espa­cio de tiempo de al menos dos horas a lo largo de la tarde.

En un breve comunicado en http://status. twitter.com, la compañía ha anunciado que se están "defendiendo de un ataque de denegación de servicim>, y anuncian que el sitio ya funciona, aunque advierten que siguen defendiéndose del ataque y tratar de recuperar la normalidad.

La otra gran red social, Facebook, tam­bién ha sufrido problemas similares, aunque más limitados. Los usuarios de la página vieron retrasos al registrarse y al actualizar sus perfiles. Un portavoz de

Facebaok ha indicada que la Web había sufrido al comienza del día "problemas de red vinculadas a un aparente ataque de denegación de servicim>.

Desde aproximadamente las 15.00, hora española, Twitter ha estada inaccesible o can serias dificultades para el acceso de sus millones de usuarios en toda el mundo durante varias haras. La noticia de la caída de Twitter ha dado ensegui­da la vuelta por la blagosfera en toda el mundo.

[ ... ] Se llama ataque de denegación de servicio a la manera de sobrecargar de peticiones a un servidor, de manera que el alud de solicitudes llega a un punto en el que el servidor na puede atenderlos y deja de dar servicio a los usuarios.

MADRID, 7 DE AGOSTO DE 2009 (elmundo.es)

Seguridad activa en redes 6

1.1. Spyware en tu ordenador

Navegar por Internet, recibir correas can archivos adjuntas a inclusa instalar algún pro­grama con licencia Freeware sin leer sus condiciones de uso pueden traer un invitada inesperado a nuestro equipa, un spyware.

Pera, ¿qué es un spyware? Su nombre, formada por lo conjunción de las palabras spy y software, viene del de las clósicos espías, cuya misión era la de recopilar información y enviarla a sus contactas para que estos pudiesen beneficiarse de ella.

Un spyware es, en definitiva, un pequeña programa que se instala ' en nuestro equipa can el objetivo de espiar nuestros movimientos par la red y robar nuestras datas, de moda que a través de él puede obtenerse información como nuestro correo electrónico y contraseña, la dirección IP de nuestro equipo, nuestro teléfono, páginas buscadas y visitadas, así coma cuánto tiempo se pasa en ellas, u otros datos igualmente importan­tes como las descargas realizadas, las compras que hacemos por Internet e incluso el número de tu tarjeta. A medida que recopilan esta información la envian a empresas de publicidad de Internet para comercializar con nuestros datos.

Este tipa de software se instala sin que tengamos conocimiento de ella y trabaja en se­gundo plano, de moda que no nos damos cuenta de su presencia, aunque existen una serie de indicios que pueden alertarnos de que están ahí:

• Cambian las póginas de inicio o búsqueda del navegador.

• Se abren pop-ups por todos lados, incluso aunque no estemos conectados ni tengamos abierto nuestra navegador, llenando la pantalla, como puedes ver en la Figura 6.1 .

• , . .... 't ..

Fig. 6.1. Pop·ups.

• Aparecen barras de búsquedas de sitias como Hatbar, etc., que na podemos eliminar.

• Falsos mensajes de alerta en la barra de Windows (al lado del reloj) de supuestas infecciones que no podemos eliminar. Este tipo concreto de malware se denomina rogueware o fakeav (de «FAKEAntiVirus»), y se aprovecha de la falta de formacián de los usuarios para tratar de instalar un programa de dudosa finalidad.

• Cuando navegamos por Internet hay veces que no se llega a mostrar la pagina Web que queremos abrir, ya que el tráfico de red va cada vez más lento.

Actividades 9' 1. Busca información sobre

diferentes herramientas que permitan bloquear spyware u otro código malicioso en nuestro equipo.

2. Instala y estudia el fun­cionamiento de la herra­mienta SpywareBlaster, que puedes descargar desde: www.infospyware. como

Otra herramienta alterna­tiva que puedes analizar SuperAntiSpyware, que puedes descargar desde http://www.superantispy ware.com.

Malware. Es la abreviatura de Mal;cius Software. Es el término que engloba todo tipo de pro­grama cuya finalidad es dañar o causar un mal funcionamiento de un sistema informático.

,

~/6 Seguridad activa en redes ----~----------------------------------

q Caso prácti."'co"-'l __________ ~ _________ _

Detección de Spyware/Malware y Virus con HijackThis Para hacernos con una primera idea de qué nos indica cada

duna podemos seleccionarla y pulsar Info on selected Item ... 1 •

HijackThis es una herramienta gratuita para Win ows que nos permite detectar y eliminar intrusos de nuestro equipo. HijackThis no distingue entre las entradas seguras e inse· guros en sus resultados, pero nos permitirá seleccionar y quitar manualmente las entradas indeseadas del sistema.

Cuenta con un foro de ayuda para usuarios inexpertos don· de, si subimos el log proporcionado por la herramienta, se nos informará de cuales son las referencias de los elementos causantes de los problemas de nuestra equipo y cámo eli· minarlas, en ocasiones utilizando herramientas adicionales.

1. Descarga HijackThis desde su página oficial, www. infosyware.com, e instálalo en tu equipo. En esta misma página puedes encontrar el manual de la herramienta y el foro de ayuda.

2. La instalación apenas dura unos segundos y aparecerá el menú de inicio de la aplicación, que puedes ver en la Figura 6.2. Selecciona la primera opcián Do a sys­tem scan on/y, para analizar tu equipo.

1= ![3.'RE3

I! Da l'PI.m Kln ,lid AVI llogfiIe

I Da, ~tRm Kan only

Opm 0","1 HijldlThls Qulck5tart

Fig. 6.2. Menú de HijackThis.

3. En unos instantes se habrá generado un registro en la siguiente pantalla de la herramienta (Fig . 6.3).

4. Cuando empezamos a trabajar con esta herramienta el problema resid~ en detectar qué entradas son las que hay que corregir.

, . , , , .. , ~ ! : : ,

, ,~;.;;;;:~" 2j~;= "

, "

tI.

:i.,fu ~ -"'=-.J - - I

~.~I ~~==~~~-._~I Fig. 6.3. Resultado del análisis de Hijack This.

Nos mostrará una ventana similar a la de la Figura 6.4, donde se indica que la entrada Rl corresponde a las pá­ginas de inicio y el asistente de búsqueda del lE. Como vemos, la información aparece en inglés, pero si tienes al­guna duda puedes consultar el manual, donde encontrarás la información en castellano.

011liltd ¡nlolmlticn cm itlm 111,

A RC9iJlryy. luf thU huI/un I;l"1.Ud Ind 11 nal plllllnl in. dtflult Windll'W' ¡nshll no/ lIudcd, pOllibly rU\l~¡ng in. eh,ng,dtE Sil/eh PI;" 5tlrt Pli" 5urc:h BI. Plg. cr5nrc:h AniJllnt.

(Adicn tlk,,,, Rfg;Jlry y. lul j, o;I.I".d)

Fig. 6.4. Información de la entrada R 1.

5. Una alternativa más aconsejable si somos usuarios inexpertos es consultar el foro de ayuda, como hemos hecho en este caso. Las entradas que nos indican que debemos corregir son las que aparecen ya selecciona­das en la Figura 6.3. Pulsamos FixChecked (marcado con un 2 en la misma figura) para limpiar el equipo y aceptamos que los registros se borren permanente­mente. Así nuestro equipo quedará libre de malware.

~ Actividades

I~. Analiza el significado de los registros eliminados en el Caso práctico 1, que l puedes ver ella Figura 6.3.

Seguridad activo en redes 6

• 2. Protocolos seguros

En ocasiones, cuando nos conectamos a determinados servidores, podemos ver que la dirección Web que aparece en nuestro navegador comienza con https, en lugar de con el habitual http. Esto se debe a que nos acabamos de conectar a un servidor seguro, que encriptará los mensajes que nos envíe por la red para que salo nuestro equipo pueda interpretarlos.

2.1. Protocolo HTTPS

El protocolo HITPS es la alternativa segura al uso de HITP. Sus siglas corresponden a Hyper/ex/ TronsFer Pr%ca/ Secure, es decir, protocolo seguro de transferencia de hiper. texto y se emplea para conexiones a páginas Web en las que hay que proteger los datos que se intercambian con los servidores.

El objetivo de HTTPS es proporcionar una conexión segura sobre un canal inseguro. Se basa en el intercambio de claves y el uso de certificados válidos, verificados por una autoridad de certificación que garantiza que el titular del mismo es quien dice ser, de modo que un atacante no pueda hacerse pasar por, por ejemplo, nuestro banco.

Podemos verlo de manera habitual cuando accedemos a las páginas Web de tiendas en línea, servicios donde sea necesario enviar datos personales o contraseñas o entidades bancarias, como se muestra en la Figura 6.5.

•

:::':"ff. : -::~:':- =::== __ -_ o '-' _~-.-l

es> =-_=,:;-­p ""-;::"="''''.,,. Q =::-.:.,..-._._.

'-~-_.'--'.-"".'­... _ .. _ .. - .... - --­._._~--.... _­"_ .. _M __ , _

l ·

... _--_._._ ... _._------_.­-_.-_.-... . -.-._-~--­..... ---- -_.

Fig. 6.5. Accesos mediante hltps.

l

Actividades "

4. El protocolo https es también utilizado por los servidores de correo electrónico, como gmail, pero no siempre está activado. Investiga cómo configurar una cuenta de correo de gmail para activar https, protegiendo así nuestros datos.

5. Un navegador no siempre identifica un certificado como. válido para acceder a un servidor usando https, en general debemos rechazar dicho certificado pero hay veces que estamos seguros de la confianza del sitio Web. Conéctate a moa· dle.dit.upm.es utilizando firefox y realiza los pasos necesarios para agregar una excepción para este certificado.

HTTP trabaja por defecto el puerto TeP 80 Y HTTPS lo hace en el puerto TeP 443.

Seguridad activa en redes

2.2. Protocolo SSH

I otros protocolos seguros como SSL (Secure Socket Layer), que se usa principalmente para trasferencia de hipertexto pero ofrece la posibilidad de usarlo como alternativa segura en otros protocolos.

El protacolo Secure Shell (intérprete de órdenes seguro, SSHI nos permite acceder a equipos rematas o través de una red y copiar dotas que residen en ellos de formo segu· ra, utilizándose cama alternativo al uso de Telnet. Cualquier equipo puede configurarse como servidar ssh, incluso nuestro PC doméstico, tanto si utilizamos coma sistema apeo rativa Windaws cama si usamos Linux, instalando una pequeña aplicación y configurán· dolo adecuadamente.

Su formo de trobaiar es similar a la de Telnet, pera incorpora técnicas de cifrada que protegen la información que viaia par la red, de moda que un snifler na pueda hacerse con el usuaria y la contraseña usados en la conexión, ni otras datas que se intercambian.

~ Caso práctico 2

Instalación de un servidor SSH en Windows XP

En este coso próctico veremos cómo realizar uno instala· ción básico de un servidor ssh sobre un sistema Windaws, de moda que podamos conectarnos con él de forma rema· ta y seguro.

1. Descargamos OpenSSH poro Windows desde http:// sshwindows.sourceforge.net/. El archiva descargada tiene formato .zip, así que extraemos el eiecutable que contiene y hocemos doble clic sobre él poro comenzar lo instalación.

2. El asistente de instalación nos guiará en los posos que hemos de realizar paro llevar o coba lo instaloción. Aceptamos la licencio e instalamos todos los campo· nentes del paquete en C:\OpenSSH.

3. Durante el proceso de instalación nos aparecerá uno advertencia como lo que ves en lo Figura 6.6, que nos indica que debemos modificar el archivo passwd poro poder conectarnos posteriormente 01 servidor y donde encontrar lo información necesaria paro realizar dichos cambios, en el paso 6 veremos como hacerlo. Acepto· mas y finolizará lo instalación.

4. A continuación es necesario añadir los grupos de usua· rios de la máquina y crear los usuarios que van o tener acceso o lo información contenido en el servidor, poro lo que debemos trabaiar desde lo línea de comandos de Windows. Vete 01 botón de inicio, y en eiecutar escribe cmd y utilizo el comando cd paro situarte en el directorio C:\OpenSSH\ bin.

@ OpenSSH for Windows 3.8.1pl-l Setup

."."""'" Please wait wh!e 0penSSH for WndcrNS 3.8. 411-1 Is being instaeed.

@ OpenSSH for Windows 3.a,lpl-l Setup

A Before starting the OpenSSH service you MUST edit the V C:\OpenSSH\etc\passwd file. Ifyou don't do this. you will not be able

to log in through the SSH server. Please rud the readme,txt or quickstart.txt file for information regarding proper setup of the. pa5swd file.

Aceptll r

Fig. 6.6. Advertencia de /a insta/ación de SSH.

5. Podemos añadir grupos locales (con lo opción -11 o de dominio (con lo opción - dI, según lo instalación de nuestra red, de modo que se adecue el uso de esta herramienta (típicamente de Unixl o sistemas de Micro­solt. En nuestro coso utilizamos los grupos locales, que añadimos 01 fichero de configuración utilizando lo pri· mera orden que ves en lo Figuro 6.7.

6. A continuación añadimos 01 fichero C:\OpenSSH\etc\ posswd los usuarios que vayan a tener acceso 01 ser· vidor, como nos indicaba el aviso de instalación (Fig. 6.61. los usuarios pueden ser locales (-11 o de dominio (-dI, como los grupos.

" C:\WINDOWS\system32\cmd.exe :. l~ .. ~_.

C: ,OllcnSS Il ,hin)~)<~fl'OltP - 1 » __ 'c tc ' !P'()U)) El e: ' OIle n S SII ' h in > FIJ<lJd~ ~ \Id -1 ) > • • ' e t e ' 11<\ :;:. \Id

Fig. 6.7. Advertencia de /a instalación de SSH. (Continúa) )

___ ~ _____________ ......:C:::!,aso Práctica 2 9 (Continuación)

7. Como último paso modificamos la carpeta a la que nuestro usuaria acce· derá por defeda. Para ella abrimos utilizando el bloc de notas el archivo C:\ OpenSSH\etc\passwd, donde vemos la siguiente línea: Admini strador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Admi nistrador, S-1-5-21-322932897 0-1540965953-2558274665-50O :/home/ Administrador:/bin/switch

/home/Administrator señala a la carpeta por defedo de Windows para el usuario administrador (C:\Dacuments and Sellings\administradar). En nuestro casa, queremos que se acceda a la carpeta C:\DatasServidor. Para acceder al disco C: hemos de usar una notación un tanto especial, propia de OpenSSH /cygdrive/c/, de moda que modificando la línea quedaría :

Administrador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Ad ministrador,S -1-5-21-322932 8970 -15409659 53-255827466 5-50 0:/ cygdrive/c/DatosServidor :/bin/switch

8. Sólo queda arrancar el servicio. Podemos arrancarlo desde la opción Servicios de Herramientas Administrativas (panel de control) o utilizando la orden net start opensshd desde la línea de comandos y el servidor SSH comenzará funcionar (Fig . 6.8).

Fig. 6.8. Arranque del servidor SSH.

9. Podemos comprobar que el acceso es correcta testeando desde el mismo servi· dor, recuerda que en la instalación uno de los componentes era el cliente ssh. Para ello abre otra consola de línea de comandos y escribe ssh adminis­trador@jupiter, que corresponden al usuario y al nombre del equipo, tras lo que te mostrará la advertencia de uso del servicio. A continuación te pedirá la contraseña del usuario (Fig. 6.9). Escríbela y accederás a la carpeta del servidor SSH que definimos en el punto 7. Para salir basta con que escribas exit.

Seguridad activa en redes 6

Actividades "

6. Realiza el proceso de instalación de un servi· dor SSH sobre un equipo con un sistema operativo Linux. Puedes utilizar el mismo paquete que para Windows en su versión correspondiente. Encan· trarás los archivos y la documentación necesaria en hllp://www.openssh. com/

151

Seguridad activa en redes

Es el acrónimo de Virtual Private Network, red privada virtual.

Muchas grandes empresas estón apastando por el te letra bajo. Sus empleados realizan las mismas funciones que harían en la ofici· na pera desde sus propios domi­cilios, conectándose a los servi· dores de la empresa mediante redes privada virtuales.

3. Seguridad en redes cableadas Tradicionalmente los redes cableadas se han considerado más seguros que las redes inalámbricos, de las que hablaremos en el Apartado 4.

Pensemos simplemente en la red local de uno oficina, una red aislado y confinado en un edificio, cerrar la puerto y denegar el acceso 01 recinto bastaría paro protegerla de intrusiones.

Desgrociodomente esto no es ton sencillo: el uso de Internet y la evolución de las comu­nicaciones han hecho que los emplazamientos de los equipos de uno mismo red no sean únicos, sino que puedan situarse o miles de kilómetros de distancio, pero sigue siendo necesario mantener la conectividad entre ellos.

Lo necesidad de proteger los redes, tanto cableados como inalámbricos, es indudable, pero, ¿cámo lograrlo? En esto unidad abordaremos cámo protegernos de las intrusiones externos o nuestro red mediante el uno de redes privados virtuales (VPNI y como detec­tor y contrarrestar los intrusiones internos.

3.1. Red privada virtual (VPN)

Comunicar equipos remotos de modo directo es imprescindible en muchos organizacio­nes, independientemente de donde se encuentren físicamente, y esto necesidad crece cada día más.

Los redes privados virtuales permiten, mediante el uso de Internet, establecer esto co­nexión realizando una inversión econámico bastante moderada . Además, como utilizan protocolos de seguridad, el acceso o los recursos tiene carácter privado, por lo que uno persono podría acceder o los datos de la empresa en la que trabajo con la misma tranquilidad que si se encontrase en su oficina.

o ¿Qué es una VPN?

Uno VPN o red privado virtual es, básicamente, uno red virtual que se creo dentro de otro red, habitualmente Internet.

Paro un cliente VPN se trato de uno conexión que se establece entre su equipo y el servi­dor de su organizacián, pero lo manera en que se realizo esta conexión es transparente paro él, simplemente los datos le son enviados de lo mismo manera que si llegaran o través de lo LAN o la que se conecto.

o ¿Cómo funciono una VPN?

Los VPN se basan en establecer un túnel entre los dos extremos de lo conexián y usar sistemas de encriptoción y autenticación para asegurar la confidencialidad e integridad de los datos que se transmiten.

Lo autenticación en redes virtuales es parecido 01 sistema de inicio de sesián (utilizo un usuario y su contraseño" pero es necesario tener especial cuidado con lo seguridad de estos datos, por lo que lo mayoría de los VPN usan sistemas de autenticación basados en el uso de claves compartidos.

Uno vez establecido lo conexión, los paquetes de datos se envían encriptados o través del túnel virtual (que se establece sobre Internetl. Poro encriptor los datos se suelen utili­zar claves secretos que son solo válidos mientras dure para lo sesión.

o Instalación y configuración de una VPN

Cuando implementemos una VPN, será necesario realizar lo instalación y configuración de dos portes bien diferenciados, el servidor y el cliente.

Seguridad activo en redes

los sistemas operativos Windows, por ejemplo, incorporan una utilidad para establecer redes privadas virtuales de un modo sencillo y guiado, mediante la configuración de una conexión de red avanzada.

Existen muchas aplicaciones software que nos permiten crear VPN, que ofrecen dife­rentes niveles de seguridad y posibilidades distintas para lo configuración. Es el caso de Hamachi logMeln, que puede utilizarse aunque tu equipo esté detrás de un proxy o utilices un router NAT para conectarte a Internet.

Creación de una red privada virtual

Caso p'ráctico 3 9 Como ya hemos visto, el uso de redes privadas virtuales permite estoblecer canales de comunicación seguras entre equipos remotos. logMeln Hamachi es una herra­mienta que nos permitirá configurar nuestra propia VPN, tanto en el lado del servi­dor como del cliente, y establecer una lAN virtual con hasta 16 equipos de modo gratuito. En este caso práctico realizaremos la instalación del servidar y crearemos una nueva red a la que posteriormente se conectarán los clientes.

Configuracián del Servidor Windows

1. Entra en la página Web de logMeln, http://secureJogmein.com/US/home_ospx, y en Products selecciona logMelnHamachi.

2_ Descarga la herramienta para empezar a trabajar. Es conveniente que te registres antes; es gratuito y podrás centralizar lo gestión de tu red utilizando tu cuenta, que se asociará a la aplicación. la aplicación que debes descargar se denomina Hamachi.msi, la encontrarás siguiendo las instrucciones de uso alternativas.

3_ Haz doble clie sobre Hamochi.msi y ejecútala para comenzar la instalacián. Selecciona el lenguaje correspondiente en la primera pantalla (Fig. 6.10) Y pulsa siguiente hasta que aparezcan los términos de la licencia. léela 'y acepta, si estás de acuerdo.

4_ En la siguiente pantalla te indica que para facilitar la gestión, se asocia la insta­lación a la cuenta con la que te has registrado (Fig. 6.11).

Lengullge Selection

.... ICt.t> I I c..aI I

Fig. 6.10. Insfalación de LogMeln Hamachi.

Asocillr el diente 11 una cuenta de logMeln

' •• I .... Io~ ....... blliorCHdol..OO"lo"'I\ImId'II .. PIIOdcn_ .""'.....udol..OO"lo/n.

5I .. tnudo""'I'IslaIoá:!n ...... ~do""'~do"'<ierte"" ....cLIdI:>, .. ~_'nt ....... Io~_.dolo\t"e!n'

Fig. 6.11. Cuenta asociada.

5. Con posterioridad veremos que es posible modificar los datos asociados a la insta­lacián, y asociar, si no se había hecho ya, una cuenta de carreo electránico, así que pulsamos en Siguiente. Aparecerá uno pantalla donde seleccionar la carpeta en que se realizará la instalación. Dejamos la carpeta por defecto C\Archivos de Programa\ logMeln Hamachi\ o C\Program Files\logMeln Hamachi. También seleccionamos Crear un acceso directo en el escritorio y procedemos a instalar. Una vez que con­cluya la instalación, seleccionamos en la última pantalla Ejecutar Homochiy pulsamos Terminar.

(Con finúo)

6

153

~/ 6 Seguridad activa en redes ----------------------------------------

q Caso práctico 3

(Continuación)

6. La aplicación se ha instalado correctamente. Para que se le asigne una IP virtual, es necesario pulsar el botón de encendido. En este caso la dirección asignada es 5.125.76.223 (Fig. 6.12). El resto de equipos que formen parte de la red virtual se conectará a esta dirección IP.

Z Si ahora pulsamos en el menú Sistema en Preferencias se abrirá una pantalla como la que muestra la Figura 6.13, correspondiente a la opción Estado. El menú de la derecha nos permite realizar modificaciones en la configuración que se ha establecido por defecto, como el nombre del equipo (Jupiter).

ff) loqMrTn Ht1Il1C1ChP - )(

_, 1'110' ~~ J ~,,, ll

n IS.125.76.223 !1P V~llJd I g lupHer

Fig. 6.12. Pantalla de conexión.

StalU. and Conflnuratlon - ~

Softw~

Clerte VPN de ~ HetMchI, versión 2.0,1.62

DIente

ID de dente: 09Z.Q97-759

Ncicnb'1I: ~ cambiar ...

Cuenta de ~fJIseouidad.ccm '-1m

~: protocolo MlIvo do li5lI8di Di"ea:I6n: 77.212.193.229:12975

Fig. 6.13'. Pantalla de Estado.

8. Pulsamos ahora en Seguridad. En esta pantalla se localiza la clave pública RSA del servidor, que servirá para realizar la autenticación (Fig. 6.14). En esta lista se irán añadiendo las claves públicas de los equipos con los que conectemos.

9. Si no deseamos utilizar una clave pública en la configuración avanzada de Configuración podemos cambiar la opción de autenticación y utilizar una con­traseña (Fig. 6.15), aunque no es recomendable. Para ello basta con hacer clic sobre Autenticación y seleccionar como valor contraseña, tras ello hacemos doble clic sobre Contraseña y escribimos la clave elegida. En la pestaña de con­figuración podemos configurar otras opciones como ocultar a los miembros de la red que no estén conectados.

Fig . 6.1 4. Pantalla de Seguridad. Fig . 6 .15. Pantalla de Configuración.

(Continúa)

Casa flráctico 3 9 (Continuación)

10. El siguiente pasa es crear la red a la que se unirán las clientes, para ella pulsa· mos en Red, Crear una nueva red de malla, como se muestra en la Figura 6 .16.

11. Se abrirá una pantalla (Fig . 6 .17), donde daremos nombre a la red (que no puede estar ya siendo usado), y la protegeremos con una contraseña, que debe­remos proparcianar a aquellos clientes que queramos formen parte de nuestra VLAN.

Fig. 6.16. Crear una nuevo red.

(reate a n~ cUent-owned (llnetwork

Network name II S:::I.=bcl:::, _ _ -,-_-,--,--=c-_.,..--,--,=--,--J IntroduzaJ un nombre p&.! ~ red,oEste nombre lo utiiz.ván

0' ------ --------------l og in to (reate a new managed (llnetwork

Fig. 6.17. Datos de la nueva red.

12. La red se mostrará ahara en la pantalla principal de LogMelN Hamachi (Fig . 6.18). En estos momentos el equipa jupiter, el servidar, es el único equipo que está conectado a la VPN.

A medida que se unan nuevos miembros a nuestra red, irán apareciendo sus nombres debajo de Sl.bcle, hasta un máximo de 16, que es el máxima de miembras en la versión gratuita de esta aplicación. La versión de pago permite ampliar el número de usuarios conectados, haciendo que su uso para empresas sea viable.

fJI LogMeln H~ma(hi' - X

S,:\o-rn, I\~ ¡:. ,uu~

1m! 5.125.76.223 a lupiter

IleQ] 5IJIdO ;;;:== _~~==. liJI

Fig. 6.18. Red SI.bele.

- ,

Seguridad activa e n redes 6

~/ 6 Seguridad activa en redes ----~----------------------------------

156

Como ya hemos visto antes, en toda VPN la conexión tiene dos extremos, uno que pode­mos denominar servidor, donde hemos creado la red virtual y al que han de conectarse el resto de equipos, situados en el extremo del cliente.

la configuración de un cliente es más sencilla que la de un servidor, ya que únicamente ha de crear la conexión y especificar la red con la que esta se realiza. logMeln Hama­chi puede ser utilizado tanto en equipos Windows como en equipos Linux, aunque en este sistema operativo aún se está en versión beta y se trabaja desde el terminal.

~ Casa práctica 4

Instalación y configuración de un cliente para una red VPN

En las organizaciones se trobaja con distintos sistemas operativos, por lo que es habitual que haya necesidad de interconectar equipos funcionando con Windows y Linux. Aprovechando la red que hemos creado en el caso práctico anterior, nos conectaremos a ella desde un equipo con Ubuntu, a través de una VPN creada con logMeln Hamachi.

1. Descarga el paquete de instalación desde http://files.hamachi.cc/ linux! En este caso práctico vamos a realizar la instalación del paquete hamachi-0.9.9.9-20-Inx.tar.gz. Guárdalo en la carpeta donde vayas a realizar la instalación, en este caso /root. Recuerda que debes de ser el administrador del equipo.

2. Descomprímelo utilizando la orden de la Figura 6.19, se generarán las carpetas y archivos de instalación en el directorio hamachi-0.9.9.9-20-lnx, donde debe­mos situarnos con cd.

namacnl·a .9.9.9-20-tnxl hamachi-O. 9.9.9 -20-tnx/Hakefile hamachi -O. 9.9 .9-20-tnx/lICENSE hamachi-e.9.9 .9-26-1nx/REAOME hamachi-B .9.9.9- 2o-tnx/LICENSE. tunctg hamachi -0.9.9.9' 20 -1nx/ LICErlSE. openssh hamachi-e.9.9 .9- 20-tnx/LICENSE.opensst hamachi-O.9.9 .9-29-1nx/hamachi hamachi-e .9.9.9 -20-tnx/tuncfg¡ hamachi-e. 9.9 .9-20-1nx/tuncfg/Hakefile hamachi-e.9.9.9-20-tnx/tuncfg/tuncfg.c hamachi-6.9.9.9-20-1nx/tuncfg/tuncfg hamachi-e .9.9 .9 -2o-tnx/CHANGES root@jupiter:-# cd hamachi-B.9.9.9-29-lnx

Fig_ 6.19. Descomprimimos Hamachi.

r.gz

3. Instalamos el cliente con la orden make install, tal y como puedes ve en la Figuro 6.20. Hamachi para Linux está listo paro funcionar.

copying hamachi into l usr/bin .. creating hamachi-init symlink .. Compiling tuncfg . . Copying tuncfg into Isbin ..

Hamachi is installed. See REAOME tor what to do next .

root@jupiter:-/hamachi-9.9.9.9-29-lnx#

Fig. 6 .20. Inslalamas Hamaehi.

(Conlinúa)

'--­

(Continuación)

Casa práctico 4 9 4. El cliente empieza a funcionar cuando ejecutamos el comando tuncfg (que

está en el directorio del mismo nombre); para ellos debemos escribir las árdenes de la Figura 6.21.

ArthIvo Editar ~ ~rmlnal AVüda root@júpl ter : -/h~~chl·0. 9.9. 9·20-lnxI cd tuncfg/ root@juplur: -/ha~chl-0. 9. 9. 9-20-lnx/tuncfgl ./tund!! tuncfg : a1.relldy running root@Jup1ter:- /haltach1-0.9.9.9-10-lnx/tunc fo'

Fig. 6.21. Arrancamos el cliente. ---

5. Las siguientes árdenes que veremos nos permitirán crear el perfil de un nuevo usuario y unirnos a la red Sl.bcle, que creamos en el servidor Windows en el Caso práctico 3. En la Figura 6.22 vemos la orden que hemos de ejecutar para informacián de la cuenta .

• •• m !l' • • Gi [i'j • tID{JilJ'ji!1iEI! lClf

AlUlivo ~djtllr ~ ~rmlnal A)'llda root@jupite r: -/ha~achi -0.9.9. 9- 20-ln~/tuncfg' har.Jachl· lnl t Inlt1I1Uzlng H8t:1l1chl conflgufatlon (froot/.hllmachil. Please wait __

generatl ng 2048·bit RSA keypair .. ok aaking ¡ rootl.ha:aachl directory .. ok saving Hoot! .hal=.ach1tcUent .pub .. ok saving ¡ root/.haDilchi/cUent.pri .. ok s~ving /root/.h~mach1/snte .. ok

Authentication infornaUon hils been created . Hamachi can now be started with 'ha~achl surt ' cor::nand IInd then brought onUne with 'haruchi login'.

root@juplter:-/hamachl-0.9. 9 .9·10-1ml! tuncfg' I

Fig. 6.22. Creación de Información de la cuenta.

6. En la Figura 6.23 ves como debemos arrancar el demonio (servicio) Hamachi con el comando start. Para detenerlo bastará con sustituir slart por slop.

Afd¡ivo EdItar Y.er ]l!rmlnal Ay¡.¡da

root@Jupiter:- /ha3ilchi -O.9. 9 .9 -28-1nx/tuncfgl hcmachi stllrt Starting HMachi hacachi-lnx -O_9.9 .9·20 . . ok root@jupiter:-/haDilchi·O.9 . 9.9-20-1nx¡tuncfgl I

Fig. 6.23. Arrancamos el servicio.

7. Como es la primera vez que nos conectamos, nuestro máquina no tiene ningún nombre. Podemos dejar que tome uno por defecto pera es conveniente asignár­selo mediante la orden de la Figura 6.24.

root@Jup1ter:-/haraachi-0.9. 9. 9-20-1n~ttuncfg' ha~chi set · nick jupi terLinux Setting nicknar.e .. ok root@jupiter:-/ha1lilchi-O.9.9.9-20-1nx/tuncfg' I

Fig. 6.24. Asignamos un nombre 01 equipo.

8. Ejecutamos la arden hamachi login antes de realizar la conexión con la red de destino, para poder ser identificados y nos unimos a la red, mediante el comando join seguido del ID que tiene asignado dicha red, en nuestro coso Sl.bcle (Fig. 6.25).

,,--ro - ~ I

ArchiYO fditar Y.eJ :rmnlnal Ayuda rootOjupi ter:-/!la;::achi -O. 9. 9. 9-20- tnx/tuncfgl haoachi joln SI.bcle Password: Join1ng SI.bcle .. ok root@jup1ter:-/haroachi-O.9.9.9-20-1nx/tuncfgl I

Fig. 6.25. Nos unimos a lo red. (Continúa)

Seguridad activa en redes 6

~/ 6 Seguridad activa en redes ----~----------------------------------

~ Hamachi es usado en muchos servidores de juegos para conectar a diferentes jugadores.

q Casa práctica 4 _____________ ~ ___ ~ ____ _I

¡Conlinuación}

9. Por defecto, codo vez que nos conectemos o este servicio lo haremos en el mismo estado en que lo abandonamos la última vez, es decir, si cuando ejecuta­mos la orden stop estábamos en línea, la siguiente vez que ejecutemos la orden start directamente estaremos en línea. Como es la primera vez que vamos a unirnos a la red, por defecto aparecemos como no conectados, así que debe­mos utilizar el comando go-online (Fig. 6.26) . Cuando queramos desconec­tarnos, sin cerrar lo aplicación, usaremos go-off line.

Going ontine in SI .bcle , _ ok root@jupiter :- / hamachi ·e .9.9 .9-29-1nx/ tuncfg#

Fig. 6.26. Clienle en línea.

10. Por último, vemos si en la red hay más miembros conectados. En este caso jupi­ter (el servidor) está en línea, como ves con la orden list (Fig . 6.27).

[SLbelet '" 5 . 125.76.223 jupiter 192.16B.l.33 :1e36

5 . 126 . 2e6.176 jupiter2 root@jupiter:- ¡ hamachi-e.9.9 .9-29-1nx/tuncfg#

Fig. 6.27. LisIo de usuarios de lo red.

11. En la Figura 6.28 del equipo jupiter vemos que hay un nuevo usuario conectado en la red . .

~ lonMpIn H"rn"t(hi' - x

: .~~., ,., _ ,1>

m 5.126.76.223 1upiler

I o SLbde -1 o j;.Jp.(erZ

lO' jo..pter\.hDI:-5.2.15.132.-¡

Fig. 6.28. Equipos coneelodas o lo red SI.bele.

~ Actividades

7. En la Figura 6.28 puedes ver que se ha unido a la red otro equipo llamado jupiter2. Configura un cliente Windows con este nombre y realiza los pasos necesarios para que se una a Sl.bcle.

8. Busca información sobre otros paquetes software que permitan crear redes pri­vadas virtuales y compara sus características con LogMeln Hamachi.

Seguridad activa en redes 6

3.2. Detección de intrusos

Como hemos visto, podemos evitar los intrusiones externas utilizando redes privada virtuales, pera ¿qué hacer cuando las intrusas ya están en nuestra red?

Detectar intrusiones es una tarea muy compleja para la que se ha ido desarrollando un software específico denominado sistema de detección de intrusiones, IDS.

Estas aplicaciones suelen ser propietarias y muy complejas de utilizar, por lo que su uso suele limitarse a grandes redes que requieren una seguridad muy concreta.

Aunque existen sistemas que utilizan conceptos tan avanzados como la inteligencia artificial, la mayoría se basan en el uso de bibliotecas de normas, que describen las condiciones del tráfico para técnicas de ataque o intrusiones ya conocidas.

Los IDS son un paso adelante en las funciones que implementan los cartafuegos, a los que dedicaremos la unidad siguiente, y algunas de sus funcionalidades suelen integrarse en ellos, aunque a un nivel mucho más bajo.

Existen varias herramientas interesantes de detección de intrusos pera su uso es bastante complejo, algunos ejemplos más representativos son Tripwire Enterprise y Snort:

• Tripwire Enterprise, que permite detectar los acciones en la red que no se ajustan a la política de seguridad de la empresa, e informar de aquellos que necesitan espe­cial atención.

Ofrece soporte para Windows y Linux, además de para entornos virtuales, como las creados con VMWare, pero es una aplicación propietaria, pensada para grandes redes con un tráfico y un número de usuarios muy elevado.

• Snort, que es una aplicación de código abierto que permite tanto la detección de intrusión como su prevención.

Existen versiones para sistemas Windows, aunque el grueso del proyecto se desarro­lla para entornos Linux. En cualquier caso, será necesario instalar algunos paquetes adicionales que garanticen el funcionamiento de la aplicación, en el caso de las distribuciones Linux, par ejemplo, se instalarán Libpcap, PCRE, Libnet y Barnyar, que también son de código abierto.

Este IDS escucha el tráfico de la red en tiempo real y lo relaciona con una serie de normas ya predefinidas, que pueden descargarse desde Internet. Cuando encuentra alguna coincidencia alerta sobre ella, hace un lag de dicho tráfico o lo ignora, se­gún se haya indicado en la norma.

3.3. Arranque de servicios

Un servicio de un sistema operativo es una pequeña aplicación que corre en segundo plano y da soporte a este, para permitirnos tener funcionalidades como, por ejemplo, el uso del protocolo SSH, que ya conoces.

El número de servicios que se pueden instalar y utilizar en un equipo es innumerable, pero debemos de tener en cuenta que, cuantas más acciones queramos que haga auto­máticamente nuestro sistema operativo, peor será el rendimiento del equipo. Y no solo eso, sino que es posible que también estemas poniendo en peligro su seguridad .

o Servicios en Windows Vista

En su búsqueda por evitar que se ejecuten automáticamente servicios no deseados, Win­dows Vista incarpora el UAC, control de cuentas de usuario. Si bien es una herramienta útil para usuarios inexpertos, ya que refuerza la seguridad del sistema evitando que se ejecuten programas innecesarios o dañinos, como pueden ser los virus, resulta bastante molesta en ocasiones, especialmente cuando se van añadir nuevos programas al sistema. Con la utilidad UAC activada será necesario autorizar específicamente cada acción o cambio de configuracián que realicemos, como activar el firewall de Windows (Fig. 6.29).

lOS. Es el acrónimo de "IIIU51(m

Detection Systems, sistemas de detección de intrusiones

Puedes conseguir una versión evaluación de Tripwire a través de su Web:

http://www.tripwire.com

Toda la información del proyec· to Snort puedes encontrarla en:

http://www.snort.org

Actividades ~

9. Busca otros paquetes IDS en Internet y realiza una tabla con su nombre, su fabricante (o grupo de trabajo) y sus característi· cas básicas.

Se guridad activa en redes

~ Actividades

10. Busca información sobre las servicios que arranca automáticamente Windows Vista y decide si conviene deshabilitarlos para me¡o­rar el rendimiento de tu equipo.

Cc:iirttOl de cucntu de usu,rio

~ Windows necesita su permiso para continuar

Si usted inide en, uc.ióo. puede c.ontinuar.

Configuración de Flrew,U de Windows Microsoft Windows

I 'ontinu.f 1I Cancelar I El Control de cuentas dI! usuario le a)'\lda a impedir cualquier cambio no autorizado en el equipo.

Fig. 6.29. Con/rol de cuen ta de W indows Vis/a.

En el caso de que tengamos ciertos conocimientos y herramientas adicionales para proteger tu equipo, o mientras estemas realizando instalaciones programadas de pro­gramas, como reconfigurar los servicios de Windows, podemos desactivarlo desde el Panel de control > Centro de Seguridad. La opcián correspondiente se localiza dentro de las Opciones de Configuración Adicional.

Para acceder a los servicios instalados en el sistema operativo debemos abrir, en el panel de control, las herramientas administrativas. El ob¡etivo que debemos tener en mente es uno que ya hemos tratado a lo largo del libro, no tener nada instalado o en funcionamiento, que no vayamos a necesitar.

La lista de servicios de Windows Vista es mayor que la que ofrecía Windows XP y se prevé muy similar a la de Windows 7, ya que varios de ellas se han divida para dotarnos de mayor control (Fig. 6.30) . Si hacemos clic con el ratón sobre el nombre del servicia vemos también una pequeña descripción del mismo.

-_.,,-4o .. !0 r:¡ 1IY!! a ~l ' . n "

'''''''- ¡I''---=---11=.-_::::. ';: ... _. __ .. _ ... - .......... -.. ---.. _ ..... '­.:.--- ........ _, ....... - "-t:. __ .. ~_( .. ~ ~_ ...

I ~=:;: ':- 1 -~_5=~ .. --~-- :::::: -~....::~"!".. . Q_ .. -...... .. ,,_ row ___ __

1 __ .. _ ....... <l _ .. _..... o ............ ....... .. . _ .. - ClO _ ... _ .. " .... . _ _ o ... <l _ ....... _ _ _

ClO _ .. _ CNO ~_ .... _ o __ ~ _ _

::_ ..... .. ...."-",,, - ­::_ ...... . '- ­::_ .. _ c::u. t:. _ .. _ .. _ .. _ . .. ....... t:. _ .. ,, _ :: ~ .. -:: ~ .. ~.,. '-" ..... 0- _ _

';: ~_ .... - --t:, . _ .... _ _ _ -_ .... _ .. _ .. _ .. _ ,- .--Q ........ .. .. '- ' - -<:O <-. ~.... , ___ .:: c .... .. .. .-... .......... . _ _ _ a- .. _ .. _

:¡ ........ .-- .. -­:;:a-.-.

Fig. 6.30. Servicios de Windows Vis/o .

.

l'

Dentro de estos servicios encontramos algunos que pueden suponer un riesgo paro la seguridad de nuestro equipo si no se inician en un entorno controlado, u otros servicios peligrosos, por lo que puede ser conveniente desactivarlos. La dificultad suele encon­trarse en determinar qué servicios son peligrosos, y distinguirlos de aquellos que hemos instalado nosotros. Buscaremos:

• Servicios que no llevan descripción (los del sistema operativo la incluyen), aunque los que hayamos añadido al sistema no tienen por qué incluirla.

• Servicios cuya descripción está en un idioma distinto al de instalación de nuestro sistema operativo.

• Servicios que se arrancan con cuentas no utilizadas para propósitos de administración.

• Servicios cuya ruta de acceso al e¡ecutable sea Windows.

• Servicios con un nombre extraño.

Desactivar un servicio en Windows Vista

Caso p'ráctico 5 9 En ocasiones debemos desinstalar alguno de los servicios de Windows, bien par­que queramos mejarar el rendimiento de nuestro equipo o porque seo un servicio potencialmente peligroso. En este coso vamos o desinstalar el servicio Telnet, para evitar que puedan conectarse o este equipo de formo remoto no segura.

1. Abre la lista de servicios de Windows y localizo el servicio Telnet. En este coso el servicio ya está iniciado, ya que se lanzo automáticamente can el inicio de sistema operativo (Fig. 6.31) .

.......... ....... v .. ..,.. .c-q !@l El n ~ l fl r,n I • • u It

C. 5a>U:1 (IoaIuJ .:,j -.-. C\IdoIO

Fig. 6.31. Seleccionamos el servicio Te/n et.

,...,.. do .. ~ :==0 -~ . J ,

2. Hocemos doble clic sobre el servicio y se obre su ventano de propiedades. Desple­gamos los opciones de tipo de inicio y seleccionamos Deshabilitado.

Telnct p,.,,¡:iedadosr ...... ¡¡o baIJ .,.".

3. El servicio seleccionado yo estaba ini­ciado, por lo que es conveniente que lo detengamos de inmediato. Paro ello pul­samos sobre Detener, que aparece en el menú de lo izquierdo que correspon­diente al servicio (Fig . 6.30).

4. En coso de que desees volver o activar el servicio, o habilitarlo paro que se active de modo automático, tienes que realizar este mismo proceso pero seleccionando el tipo de inicio que desees y pulsando

"""" -...., ~ O"" .. dII! Ibltnd! .......,.,: """ IbIin~~ T'" --, r-~"'_-"noe"""""'oI ~

r:->J.¡.,:..u~., .... ~ _ FU.o~~oI qcU:Ie: c;W"rd:rn~lZ'~.-

TlPQden::i:l : 1

Eu:!oc!tl""""":-~ I 1 ~ 11 "'- I I p- I I "'"'''''' I Puedo ege:lcz-b ~m...-.. c!o_o;....~....c, ... nc. "~des:Io-=1J;.

F~.dr""" L- .-J

1-- 1 I '"""" I C-J

Iniciar. Fig. 6.32. Deshabilitamos.

o Servicios en Ubunlu

El manejo de servicios en Linux, denominados habi­tualmente demonios, es parte esencial de la adminis­tración de este tipo de sistemas. Ubuntu 9.04 ha mini­mizado,el tiempo de arranque del sistema operativo, en parte cargando un menor númera de servicios al inicio, lo que, además, facilita la administración.

Podemos acceder a los servicios instalados desde el entorno gráfico del sistema operativo, pulsando sobre Sistema y seleccionado Administración, don­de está la opción servicios que ves en la Figura 6.33. Desde aquí podemos activar y desactivar servicios con un solo clic.

~ ... __ ............ . r~·-~-=·~"·~··'-' ·1 o 0 GnUolft .... -pad6n' .... -r 101 CnUoIn ... dIo"" ........ __ I~

! 101 'lt GnU6n'" - ... jaqold)

1 101 ~ GcsU6n ......... ¡."",1It

le @GcIl:"' ..... """ ....... ¡1wttfJt

1

;l ~ GcIUoln ele U~ .. "pIGol 1""!u7""nl"t(p]

_ ¡;iL!a ~"'.:~~:'!.:.~!."-;ri:IICD I~I

~ ~J

Fig. 6.33. Servicios en Ubuntu.

Seguridad activo en redes 6

El servicio de Administración conexión de acceso remoto es necesario si en tu equipo vos a establecer una red privada virtual. En otro caso es conve· niente deshabilitarlo para evi· tar accesos no autorizados que pudiesen hacerse con el control del equipo.

1 /6 Seguridad acliva en redes ----~----------------------------------

I á Ejemplos

En el Caso práctico 4 hicimos uso de alguno de los comandos anteriores para manejar el servi­cio hamachi. En la Figura 6.34 podemos ver cual es la orden que hemos de escribir parar esle mismo servicio.

_ uooovoo _ ... .. ..... 1 .. ""'·"_ ... ·····1·"' ... , ........ _ .. , ,, .. ::::::::J:;;.i~, .. , .... ·\ ... " ... ' .. 1

Fig. 6.34. Parada de un proceso.

Según el Inslilulo Nacional de Esladíslica, desde el año 2006 se observa un estancamiento en el uso de los ordenadores de sobremesa, mientras que los porlátiles han crecido un 4% de 2006 a 2007 y un 6% de 2007 a 2008, siendo en este último año de un 40 %. El uso de banda ancha en los hogares en el año 2006 ero de un 30 %, en el año 2007 de un 40 y en el año 2008 de un 45 %.

Fig. 6.35. Wi·Fi con antena.

Los verdaderos posibilidades paro controlar los servicios estón en el uso de lo línea de comandos. Los servicios instalados en el sistema se encuentran en lo carpeta /etc/ init.d pueden arrancarse, pararse, etc., con el uso de cuatro modificadores:

• sta rt : arranCamOs el servicio.

• stop: paramos el servicio.

• resta rt: reiniciamos el servicio.

• status: nos informo del estado del servicio.

4. Seguridad en redes inalámbricas En los últimos años, los necesidades de comunicación en los empresas y en los hogares han cambiado mucho, y no solo en la velocidad de los conexiones o Internet. El uso de ordenadores portótiles y otros dispositivos móviles como por ejemplo teléfonos móviles, consolas portables o PDA se ha disparado en los últimos tiempos . Este tipo de equipa­miento exige conexiones inalómbricas que permitan la movilidad. Los ventajas y las inconvenientes que proporcionan los redes inalómbricas son:

Movilidad: nos permite conectarnos desde cualquier punlo ¡dentro del alcance de la red inalámbrico).

Escalabilidad: podemos añadir equipos fácil· mente y con un coste reducido.

Flexibilidad: permile colocar un equipo en c ualquier punto Ino es necesaria una toma de red). .

o

Menor rendimiento: el ancho de banda es mucho menor.

Seguridad: cualquiera que esté en el alcance de lo red puede aprovechar una vulnerabilidad pora colarse en la red o descifrar los mensajes.

Interferencias: la red es mucho más sensible a interferencias.

Tabla 6.1. Ventajas e inconvenientes de los redes inalámbricas .

Existen varios tipos de conexiones inalómbricas: Bluetooth, Wi-Fi (puedes ver uno adaptador Wi-Fi en la Fig. 6.35), 3G (puedes ver un adaptador 3G en lo Fig . 6 .36). Nos vamos a centrar en las redes Wi-Fi, por ser las que proporcionan el acceso o una red de órea local.

Fig. 6.36. Módem 3G USB.

'~""d"d "";~"" "do" 6 '-C-' ------------------------~-------------

4.1. Tecnologías Wi-Fi

El estándar IEEE 802.11 define los dos primeros niveles de la capa OSI para las redes de área local inalámbricas (WLAN). Los protocolos estándar que permiten la comunicación inalámbrica son:

802.11a 5GHz 50 metros 54 Mbit!s Sufre menos interferencias porque no es la banda de los teléfonos móviles y otros electrodomésticos, sin embargo es mucho más sensible a los obstáculos.

802.11 b 2,4GHz 100 metros 11 Mbit/s La frecuencia de 2,4 es menos sensible a los obstáculos, pero en esta frecuen­cia trabajan muchos electrodomésticos que provocan interferencias.

802.119 2,4GHz 100 metros 54Mbit!s Las interferencias sufridas son las mismas que en 802.11 b.

802.11 n 2,4GHz y5GHz

100 metros 600 Mbps

Aunque el estándar se publicá de forma definitiva en septiembre de 2009, ya existían anteriormente dispositivos que cumplían un borrador del estándar llamado 802.11 draft n.

Los dispositivos de este tipo son compatibles con todos 105 protocolos anteriores.

Tabla 6.2. Protocolos inalámbricos estándar.

Es importante tener en cuenta que los dispositivas electrónicos Wi-Fi que interactúan entre sí pueden seguir diferentes estándares, y tendrán que ser compatibles entre ellos para poder comunicarse.

Algunos dispositivos Wi-Fi son compatibles con varios de estas estándares. Cuando un punto de acceso permite por ejemplo los protocolos 802.11b y 802.11g, si lo configura­mos correctamente podemos conseguir que se conecten a él estaciones con dispositivos 802.11b y 802.11g.

Existen otros protocolos na estándar como por ejemplo 802.11 g+ que aumentan la velo­cidad de comunicación con las estaciones que soportan estos protocolos.

Actividades 9t 11. Una pequeña empresa como SiTour comienza con 2 empleados. Tiene la espe­

ranza de triplicar el personal en el próximo año. Han alquilado un local en el que no hay instalación de red. Analiza las ventajas y desventajas de la red ina­lámbrica para este caso.

12. Analiza el uso que haces tú en tu vida diaria de algún tipo de comunicación ina­lámbrica. Intenta identificar que tipo de comunicación inalámbrica se está produ­ciendo.

13. Consulta en alguna tienda online cual sería el coste de un router inalámbrico y tres adaptadores Wi-Fi, dos para portátil y uno para el ardenador del aula.

14. Revisa la solución que propusiste para la actividad anterior y averigua si todos los elementos que seleccionaste son compatibles. Si no lo son, escribe por qué.

15. ¿Qué protocolos estándar permiten los dispositivos <dntel Wi-Fi Link 5100" y «Linksys WUSB600N,,?

16. ¿Qué protocolos permiten las puntos de acceso SMCWEB-N y WRT54GX4?

17. Son compatibles los interfaces de la Actividad 15 con los puntos de acceso de la actividad 16?

18. ¿Qué diferencia en coste hay entre montar una red con tres equipos 802.11 g y 802.11 n?

,

, ,-·,!,t1JA:L

163

~ 6 Seguridad oclivo en redes ------~----------------------------------------

~ •• , ' - ~. -'o Voc<lb.ulono ". ':.

~hOC. Es uno lopologio de red Wi~Fi en [a que la comunicación se produce directamente entre dos equipos, sin un punto de acceso.

Es recomendable no utilizar una conexión Wi-fi para configurar el rouler, debido a que cuan­do cambiemos la configuración podremos perder la conexión.

4.2. Conceptos de redes Wi-Fi

Aunque, como ya estudiaste en el módulo «Redes locales» también existe la topología ad-hoc, lo más habitual es la topología infraestructura (Fig. 6.37) en la que existe un punto de acceso que es el encargado de gestionar el proceso de comunicación entre todas las estaciones Wi-Fi.

En primer lugar para que un cliente pueda comunicarse can la red tiene que estar asociado al punto de acceso y para poderse asociar tiene que pasar un proceso de autenticación. Una vez pasada este proceso, la estación quedará asociada al punto de acceso y podrá comunicarse con este y a través de él con otros equipos.

Estación 1

Fig. 6.37. Estructura de una red Wi-Fi.

~ Caso práctica 6

Red Wi-Fi obierta

w , AP

Estación 2

PDA

Montar una red inalámbrica abierta para dar salida a Internet a todos los equipos que quieran conectarse a ella .

1. Accedemos a la configuración del punto de acceso (o router ADSL Wi-Fi) a través del navegador, poniendo su dirección IP. En el caso de la Figura 6.38 la dirección del punto de acceso es 192.168.1.2.

También puedes acceder a un simulador de algún router. Te proponemos el router linksys WRT54GX4 (http://uiJinksys.com/files/WRT54GX4/1.00.09/Wi­reless.htm) o puedes buscar otro de linkSys en http://uiJinksys.com/_

- . -- o "" " ". "~' ........ - ,"'." .. , ......

Fig. 6.38. ConFiguración básica Comtrend.

Wrele-'..s tktwOI'k Mode : ~I ';"';;::," ::1 v~I ____ ~ Wrele:¡:¡ NdwOI'k N.lme (SSD) : ~1J...mER~==;;-__ ..J

..... eless Chllmd: I Aula J v I

..... eless SS[) Broadc;¡sI: :

(Auto !vi tl- ® Enable O

Dlsable

Fig. 6.39. Configuración básico LinkSYS.

(Continúo)

(Continuación)

Casa ¡:>ráctica 6 9 2. Accedemos a la sección de configuración Wi-Fi básica. Aquí hay que tener en

cuenta que cada fabricante utiliza una aplicación de configuración diferente (Figs. 6.38 y 6.39), por lo que tendremos que buscar las opciones e incluso dis­poner del manual del punto de acceso. Dentro de la configuración básica pone­mos el SSID (Service Set Identifier), que es el nombre que tendrá la red Wi-Fi.

3. Por último accedemos a la sección de Seguridad Wi-Fi y ponemos autenticación abierta y seguridad deshabilitada (Figs. 6.40 y 6.41) para los routers inalámbri­cos Comtrend y linkSys .

Do . leo w.

\\1 , .. ...

o ....

\\Ir ..... IIo .~ • .... . _ 'd ~ .. .., w.

ti ..... "" . --

. - . - , "',",,, h ,. ,. """ . . ..... ,.",,,.,,, ,. , . .. ,,, ,j ,,, I, .."" ... " ... ",,.,,.,, ,, .............. ,, , .. ,, ... . ,,, .. " """'"',, .. , .... ~ '" . ,." ,., .... "~"" . " ,, .. "," c" .. ·~"' ,.." .. '"1" . .. . '''" , ... .. .. ",.",,"'

II . ..... . . , ... , .. ,¡"

Fig. 6.40. Seguridad Camtrend deshabilitada.

Sectdy r.tod~ :

Fig. 6.41. Seguridad LinkSYS deshabilitada.

4. Conectamos uno de los conectores RJ45 del punto de acceso a la red cableada habitual de clase y ya podemos conectar un ordenador por Wi-Fi al punto de acceso.

Ten en cuenta que el estándar 802.11 no modifica el nivellP, así que usaremos la misma configuración IP de siempre.

Como puedes comprobar nos podemos conectar a la red que hemos creado sin utilizar contraseña.

4.3. Seguridad Wi-Fi

En el caso práctico anterior hemos configurado un punto de acceso para permitir el acce­so sin seguridad a la red. Como has podido comprobar cualquier cliente que tenga una tarjeta de red inalámbrica compatible con el punto de acceso, podrá conectarse a la red.

Esta no es la situación deseada. Lo que habitualmente queremos es contra lar quien se conecta a nuestra red. Para ello podemos aplicar varias medidas de seguridad, que se pueden agrupar según el nivel en el que aplican:

• Nivel físico: en este nivel podemos intentar controlar la señal producida por los puntos de acceso y las interferencias recibidas. A través de la utilización de diferentes antenas podemos intentar conseguir que la señal salga lo menos posible de los límites deseados.

• Nivel de enlace: en el nivel de enlace hay mucha variedad de medidas que pode-mos tomar para conseguir este objetivo:

Controlar el acceso a través de una contraseña común para todos los clientes.

Controlar el acceso a través de una caracteristica del cliente, como par ejemplo la dirección MAC o un nombre de usuario y contraseña.

Actividades ~

19. ¿Hay alguna forma de obligar a un punto de acceso a que utilice un estándar 802.11 determinado si es compatible con varios? Describe el procedimiento a seguir en el de clase.

Seguridad activa en redes 6

Aunque pueda parecer sorpren­dente/ inicialmente los provee­dores de servicios de Internet/ cuando instalaban un router ina­lámbrico, dejaban la red Wi-Fi abierta.

165

~/ 6 Seguridad activa en redes ------~----------------------------------------

5. Seguridad WEP

CRC es un código de comproba­ción que se calcula a partir de las datas y se añade al paquete para que en el destina se pueda comprobar que na ha habido variación de los datos durante la transmisión.

WEP (Wired Equivalen! Privocy) es el sistema de cifrado estóndar que se utilizó inicial­mente para el cifrada del protocola 802.11. Intenta dar a los redes inolómbricos la seguridad que se tiene en los redes cableadas. La principal diferencio entre las redes cableadas e inolómbricos es que en los redes inalámbricos puede intentar entrar en lo red cualquier persono dentro del alcance, aunque seo fuero de lo empresa, mientras que en uno red cableada hoy que tener acceso físico a dicha red, es decir, hoy que estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones de trabaja tienen que compartir una clave (clave WEP). Esta clave puede ser según el estándar, de longitud 104 bits (13 caracteres) a 40 bits (5 caracteres).

Se suele hablar de WEP 128 o WEP 64, pero realmente estos 128 o 64 bits son el tamaño de la contraseña WEP y el vector de inicialización juntos.

Por ejemplo se habla de WEP 128 porque es uno clave de 104 bits más los 24 bits del vector de inicialización.

Clave WEP

Vec. lnj (IV)

Fig. 6.42. Funcionamiento WEP.

~8

I Cabecera Datos I GRC I ¡

~8 ~8 ¡ í

Cabecera IV Datos CRG

W EP util iza un algoritmo llamada RC4 para a partir de lo clave WEP y de un vector de inicialización de 24 bits (también llamada IV), generar una secuencio aleatorio, llamada semilla, lo cual utilizaró para cifrar lo comunicación can el punta de acceso. Puedes ver un esquema del algoritmo en la figuro 6.42.

El resultada es una trama en la que la cabecera y el vector de inicialización van sin cifrar y tonta las datas cama el CRC van cifradas.

q Caso p'ráctico 7

Seguridad WEP en el punto de acceso

Configurar el punta de acceso para utilizar una clave WEP de 128 bits y proteger así el punta de acceso.

l. Abre en el navegador la página de configuración del rauter.

2. Configura tal y cama se describió en el cosa práctica anterior el nombre de lo red.

3. Accede a la sección de seguridad inalámbrico. La encontraras tal y cama la dejamos en el cosa práctica anterior, es decir, cama la ves en las figuras 6.40 y 6.41.

Es recomendable que hagas estas casas prácticas can varias puntas de acceso (par ejemplo, el del au la y el de tu casa) parque las herramientas de configuración san diferentes. Si realizas esta tarea en tu casa, haz primera una copia de seguridad de la configuración

del rauter para poder restaurarla pasteriarmente y de­jar toda cama estaba.

4. Selecciona WEP cama moda de seguridad (figs. 6.43 Y 6.44).

_ ..... . _., ~,:~ • .:;;':::.:'''::: .. ::::~7:::...''':::;'.:: ..... _ ..... M' ........ , ••• ~ .... .............. .. _. :;:,~~'':: '::.~:::.:; .. :.~~" .... _" ..... _. o., , ... ·• •• v .. .. -. .~ __ ,_ ' •• _ . , ....

-~-.-

"" .... ~ .... ~ . ·." ... ... ·, .. ~l ; ..... ~ .. .-;g

Fig. 6.43. WEP en Rou/er Com/rend.

(Con/inúal

Seguridad activa en redes 6

(Continuación)

Caso "rádico 7 9 !O<oa.al,,-, I\\I!P , ... 1 -'-: ~

Oot""'''''''''': <J , O l o , Q 4

ve~: I Ubh!QI>o.~ . ... 1

K .. ' :

" .. 3 :

KI,.'

Fig. 6.44. WEP en Router linksys.

VIlr t! tss Sttll nDS' Encr)p1lcn Utl""

5. Seleccionamos como encriptación WEP, 128 bits, e introducimos la clave WEP que queremos poner (por e¡emplo, ,,$1 Nab74c$b!@l») en alguna de las casillas llamadas clave (Figs. 6.45 y 6.46). Si la controseña la ponemos en la casilla llamada clave 1 (key 1) es impor­tante poner que la contraseña que tiene que usar por defecto es la clave 1.

Enl., 13 A:'C I! o h ~I.~ttn. Ol::!(l h •• ¡d.clm.! digil1101 l::!O·b ll t ncrypllon h.l'1.

5ecaKy trlode:

Anoclllllon Mode :

1- !vi IA~O Iv I

DeflNll Trllllsml Key: ®1 O 2 O l O ..

I 128 bh26 hex digls I v I ve> EnctypUon :

IJ.l:¡ojook I\.y3:

K.y:

I [±J

I :'.vtfApply I

I Generllle I I<cy 1 :

I(cy 2:

Kcy 3:

Key":

Fig . 6.45. Clave WEP en Comtrend. Fig. 6.46. Clave WEP en linbys.

En algunos router dependiendo de la longitud de la cade­na que pongas como contraseña puede entenderse que lo estás escribiendo en hexadecimal o en ASCII. Por e¡emplo la contraseña que hemos puesto es de 104 bits, que son 13 carocteres ASCII, pero que en hexadecimal son 26 dígitos.

Ten cuidado de escribir correctamente la controseña.

6. Guardamos los cambios y ya podemos conectar un cliente al punto de acceso JUPITER utilizando seguridad WEP de 128 bits.

____________________ ~J

Existen dos métodos a trovés de los cuales un usuario puede autenticarse con un punto de acceso WEP:

• Abierta (open): la estación puede autenticarse sin necesidad de utilizar la clave WEP, simplemente con solicitar la asociación, el punto de acceso dará por asociada a la estación. Después de este proceso de autenticación la estación solo podró co­municarse con el punto de acceso si conoce la clave WEP utilizada para encriptar la comunicación.

• Clave compartida (shared key): cuando una estación envía una solicitud de asocia­ción al punto de acceso, este envía un texto sin cifrar a la estación, llamado "desa­fío». El punto de acceso solo asociará a las estaciones que devuelvan correctamente cifrodo con la clave WEP dicho texto.

Aunque pueda porecer más seguro shared key, no lo es, porque cualquier estación inalámbrica podría atrapar tanto el paquete de desafío como el mismo paquete cifrado y con esta informacián asociarse correctamente con el punto de acceso e iniciar un ataque a nuestro punto de acceso. Se recomienda el método de autenticación abierto.

Actividades ~

20. Configura el punto de acceso para que utilice seguridad WEP 64 y la contra­seña que tú el;¡as.

Modo monitor en un di I

de red; es el que nos permite coger todos los paquetes que circulan por la red a la que estamos conectados aunque no vayan dirigidos a nosotros.

En este modo ponemos la tarjeta cuando utilizamos Wireshark.

167

~ __ ~ _____ s_e~g_Ur_id_a_d_a_c_ti_v_a_e_n_r_ed_e_S ________________________________ __

Este proceso basado en Linux para sacar las contraseñas Wi-Fi se ha hecho muy famo­so en los últimos años y se han creado distribuciones espe­cíficamente desarrolladas para auditorio de redes inalámbricas como WifiSlax o WifiWay.

q Caso flráctico 8

Comprobación de seguridod Wi-Fi

Utilizando una distribución Ubuntu sacar la contraseña de una red inalámbrica con seguridad WEP 64.

1. Instalar sobre Ubuntu el paquete aircrack-ng ejecutando el comando aptitude install aircrack-ng (para el desarrollo de este caso práctico se ha utili­zado Ubuntu 8.10, the Intrepid Ibex).

2_ Ponemos el interfaz inalámbrico en modo monitor utilizando el comando air­mon: airmon-ng start wlanO. Start indica que se quiere arrancar el modo monitor (stop para parar) y wlanO es el nombre del interfaz inalámbrico. Si esto no funciona, es probable que tu interfaz no sea capaz de trabajar en modo monitor. Puedes investigar en hl1p://www.aircrack-ng.org/doku.php?id=compotibilily_drivers sobre la compatibilidad de la tarjeta Wi-Fi.

Archivo Editar Ver Terminal Solapas Aluda root@jupiter:/# airmon-ng start wlan0

Interface Chipset Driver

wlan0 Realtek 8I87L rU8I87 - [phy0] (monitor mode enabled on mon0)

root@jupiter:/# I .--~--~-----===~====-=-==~~ Fíg. 6.47. E;ecución de airmon-ng.

Si todo funcionó correctamente, ahora tendrás un nuevo interfaz con el nombre que te ha indicado el resultada de airmon-ng (Fig. 6.47). Puedes comprobar que tienes ese nuevo interfaz ejecutando el comanda ifconfig.

3. Utilizamos ahora el comando airodump-ng para detectar los puntos de acceso que tenemos a nuestro alcance (Fig. 6.48):

Airodump-ng monO

BS:IA:2B:19:8B:EA 188 99:93:C9:E6:9A:2B 211

BSSID STATION

3 11

#/5 eH ~lB ENe CIPHER AUTH ESSID

e a 11 54 \'/EP ~/EP 1 a 8 54 \'/EP \1JEP

PWR Rate Lost Packets Probes

JAZZTEL JUPITER-

Fig. 6.48. Resultado de lo ejecución de airodump.

4. En el resultado de la ejecución anterior ya tenemos toda la información necesa­ria para poder escuchar todos las paquetes que genera la red Jupiter. Para ello utilizamos el comando airodump, pero indicándole:

• BSSID: dirección MAC del punto de acceso, según la Figura 6.48 el punto de acceso JUPITER tiene la MAC OO:03:C9:E6:9A:2B.

• El fichero en el que queremos que salve los datas capturadas. Lo llamare-mos jupiter. (Continúa)

6 Seguridad activa en redes ------------------------~

Caso práctico 8 "

(Continuación)

• También le indicaremos el canal en el que tiene que escuchar. En nuestro caso y según la Figura 6.48 es el canal 8 (está indicado en la columna CH).

• Además indicaremos que guarde solo los vectores de inicialización, que son los que nos permitirán descifrar la contraseña. Eso lo haremos con el parámetro --ivs.

• y el interfaz por el que queremos que escuche los paquetes: monO

El comando a ejecutar será: airodump-ng - -channel 8 --ivs --bssid 00:03:C9:E6:9A:2B --w jupiter monO.

arc.hivo ¡¡ditar ~er Ierminal ~olap Els Atyda

eH 8 1 ( Elapsed: 19 mins 1 ( 2009-99-28 09:04

aSSIO PWR. 1\)(0 aeacons l/Data, #/s eH Ha ENC eIPHER AUTH ESSIO

OO:Ol:C9:E6:9A:28 219 100 6269 83744 155 a 54 WEP WEP OPlI JUPITER

8SSIO STATION PWR. Rate lost Packets Probes

00:03:C9:E6:9A:2a 00:OE:ls:68:95:99 209 54-54 o 81397

Fig. 6.49. Resultado oirodump-ng poro JUPITER.

Para acelerar este proceso puedes conectar otros equipos a la red JUPITER y des­cargarte en cada uno algún fichero grande de Internet.

En la Figura 6.49 puedes ver el resultado después de 10 minutos ejecutando ai­rodump-ng. Ha capturado 83744 paquetes válidos para descubrir la clave (155 paquetes válidos por segundo). También puedes ver en esta figura que la autenti­cación (columna AUTH) es abierta (OPN, open) . .

5. Cuando hayamos capturado unos 10000 paquetes de tipo IVS, intentamos sacar la clave con el comando aircrack-ng al que le pasaremos:

• BSSID: dirección MAC del punto de acceso.

• El tamaño de la contraseña WEP, en nuestro caso 64.

• Y el fichero en el que están almacenados los datos. Los ficheros almacena­dos son jupiter-Ol.ivs, jupiter02.ivs ...

El comando a ejecutar será: a ircrack-ng -b 00:03:C9:E6:9A:2B -n 64 ju­piter*.ivs

archivo ¡;,ditar ~er Terminal ~olapas Atyda Airerack-ng 1.0 rel

(OO:OO:OOJ Tested 595773 keys (got 8729 IVs)

KB depth byte(vote) 9 9/ 33 4A(11529) 76(11520) C8(11520) 01(11520) EF(11520) F2(11520) 1 2/ 7 55 (13856) 9A( 11056) 08(12288) 69(12288) 90 (12032) SC (11776) 2 01 6 59(14336) es(12800) AO(12544) 05(11776) OE(11776) 1E(11776) 3 10/ 13 98 (11264) 24 (11808) 18 (11088) 70 (11008) AA (11008) F7 (11008) 4 1/ 15 54(12544) 6C(12288) Fl(12032) 05(11776) 51(11776) 58(11776)

KEY FOUNOI ( 4A:55 :50:49:54 1 (ASCII : JUPIT I Oecrypted correctly: 100%

Fig. 6.50. Resultado oircrack-ng para JUPITER.

Como se puede observar en la Figura 6.50 después de 10 minutos capturando paquetes hemos sido capaces de encontrar la contraseña (JUPIT). En el caso de haber utilizado una contraseña de 128 bits, hubiéramos necesitado un poco mós de tiempo, pero el proceso es el mismo.

" '/./ . 4 q.

l

Puedes encontrar muy buenos vídeo-tutoriales sobre esfe pro­ceso en lo página de Wi-FiSlax Ihttp://www.wi-Fislax.com/ manuales/videos.phpl

Actividades "

21. Aprovechando los vídeo­tutoriales de la página de Wi-Fislax, investiga que otro tipo de ataques se pueden realizar sobre WEP.

22. Elige un tipo de ataque de los anteriores y haz tu mismo un tutorial de cómo utilizando el ataque que has elegido se puede averiguar la contraseña.

23. Repite el proceso utili­zando seguridad WEP 128 y mientras tanto prueba el ataque que seleccionaste en la activi­dad 22.

169

Seguridad activa en redes

K",LJIIJ~. Es una tecnología están~ dar que permite basar el acceso a la red en la autenticación a través de usuario y contraseña.

~ Actividades

24. Comprueba en la docu­mentación técnica del dispositivo Intel Wi-Fi Link 5100 que es compati­ble con WPA2 y con el método de encriptación AES.

6. Seguridad WPA Debido a los problemas de seguridad descubiertos en el estóndar WEP, el comité de estandarización 802.11 i comienza a investigar una nueva solución. Después de una publicación no definitiva del trabajo de este comité, y dado que se retrasaba la defini­tiva, el grupo The Wi-Fi Alliance creó WPA como una solución intermedia entre WEP y el definitivo 802.11 i. Basándose en el 802.11 i definitivo Wi-Fi Alliance publicó WPA2.

Los estándares WPA y WPA2 se centro n en asegurar el proceso de autenticación y el cifrado de las comunicaciones. En ambos estándares se proponen dos soluciones para la autenticación, una empresarial y otra para pequeñas empresas y hogares.

• WPA Empresarial: requiere de la utilización de un servidor RADIUS independiente para gestionar la autenticación de los usuarios a través de un nombre de usuario y contraseña.

• WPA Personal: utiliza un método de autenticación que requiere compartir una clave entre todas las estaciones de la red. Es más apropiado para pequeñas empresas y hogares porque no requiere de la utilización de un servidor RADIUS.

• 6.1. Seguridad WPA personal

WPA Personal utiliza PSK (Pre-Shared Key) o clave precompartida para el proceso de autenticación. Con este sistema, el administrador asigna una contraseña de entre 8 y 63 caracteres en el punto de acceso. Esta contraseña también tiene que introducirse en la configuroción de las estaciones inalámbricas que quiero n utilizar la red.

Durante el proceso de autenticación se negocia entre las estaciones y el punto de ac­ceso la sucesión de claves que se van a utilizar para cifrar la comunicación posterior. Cada estación negocia su propia clave, por lo que las claves utilizadas por cada esta­ción son diferentes, y además cambian cada cierto tiempo.

De esta forma solo durante el proceso de asociación se utiliza la clave compartida. Posteriormente, duronte el intercambio de información, no se utiliza para cifrar la co­municación, sino que se utiliza la clave que han negociado entre el punto de acceso y cada estación, y además la contraseña utilizada para ello cambia cada cierto tiempo de forma automática.

Existen dos tipos de encriptación en WPA:

• TKIP (Protocolo de integridad de clave temporal): es un protocolo que partiendo de una clave (que no es la pre-compartida) compartida entre el punto de acceso y todas las estaciones, genera nuevas claves diferentes por cada cliente y renovables cada cierto tiempo. Para ello mezcla la clave original con la dirección MAC y con un vector de inicialización. De esta forma cada estación utiliza una clave independiente para encriptar la comunicación.

• AES (cifrado avanzada estándar): es un algoritmo más robusto y complejo que TKIP. Es preferible utilizar AES que TKIP, por ser este mas avanzado y seguro. Como in­conveniente requiere hardware más potente.

No todos los dispositivos Wi-Fi son compatibles con todos los estándares. Antes de configurar el punto de acceso para trabajar, por ejemplo, con WPA2-personal, hay que comprobar que las estaciones que se van a conectar son compatibles con dichos estándares.

El tipo de ataque que de momento se sabe que se puede llevar a cabo contra un punto de acceso que implemente este tipo de seguridad es el de fuerza bruta, utilizando un diccionario contra los paquetes que se intercambian durante la autenticación. Son espe­cialmente sensibles los puntos de acceso que incluyen contraseñas cortas y contraseñas formadas por palabras o combinaciones de estas.

________________ .:.C~aso práctico 9 9 Seguridad WPA Personal

Configuración del punto de acceso de SiTour para utilizar la seguridad WPA-Per­sonal teniendo en cuenta que hay dos portátiles en la empresa: uno tiene la tarjeta Intel Wi-Fi Link 5100 y el otra la Intel Pro/Wireless 2200BG.

1. Revisar en la documentación de ambas tarjetas inalámbricas con qué estánda­res son compatibles.

La tarjeta que menos compatible es la 2200BG, que solo es compatible con WPA y con el algoritmo de encriptación TKIP (no admite AES). Por este motivo la configuración que tendremos que utilizar el el punto de acceso, si queremos que ambas tarjetas accedan a la red, es WPA-TKIP.

2. Abre en el navegador la página de configuración del router.

3. Configura tal y como se describió en el Caso práctico 6 el nombre de la red.

4. Accede a la sección de seguridad inalámbrica.

5. Para activar la seguridad WPA personal en puntos de acceso diferentes, hay que seguir pracedimientos muy diferentes. En general en todos ellos y depen­diendo de las versiones de los firmware, habrá que activar una opción que pon­drá una de las siguientes frases: WPA personal, WPA2 personal o WPA-PSK. El procedimiento en los router Wi-Fi Comtrend y LinkSys es como se indica en las Figuras 6.51 y 6.52.

"'1Ir.1 .. ~ ·· S 'OUlIt~

Thl. pago . 1I ...... y" " 1. , ."fi~u , . .. ,u,it(I .. lu, .. . r'h • .,.;" r ... L.A" Inl.~ • •• H u c an ' Ulhonli . , li,n molh.d ... lo.Un ; dI!' . n'l'Jpll,n • • poolly nh.lIl1 " n,vo."' k.yl. rtq" 1r "';111,,, n. t.-., '" .nd.p.,If( lh •• n' 'Ypli on .lrtn ; th CII ,k "Appl!" lo ,onU;" ,. lh. n i .. I ... '"u' it¡ .pllo",.

\'/ PA P"·~h". d li .y;

WPA Cro U? R,I.ty In,,, ... I'

WPA En,rf pli.n:

lIiEP En' lyp U. n

IwpA.PSK !vI 1 .... • ........... .. Il~oo

I "'''+AES!vI I Oisabled j .... 1

Fig. 6.51. WPA en Comtrend.

Seartv rAode:

Enay¡tIan AJgorlhns : I ntP 1 .... 1

Per~Kev :

Grcql KeV Renewlll: 13600 l aeconds

Fig. 6.52. WPA en LinkSys.

Teniendo en cuenta que nuestra tarjeta 2200BG solo es compatible con WPA, tendremos que deshabilitar la opción WPA2 Personal (poner disable en el des­plegable) y activar la opción WPA Personal.

6. Escribimos la contraseña pre.compartida en la casilla contraseña tal y como se ve en las Figuras 6.51 y 6.52. Par ejemplo, «$1 Nab74c$b!@1», aunque en un entorno real es muy recomendable utilizar una contraseña mucho más larga.

7. Activamos como método de encriptación TKIP (Figs. 6.51 y 6.52); si activamos TKIP+AES, estarán ambos disponibles y será también compatible con ambas tarjetas.

8. Por último, podemos modificar cada cuanto tiempo se renovará la contraseña que utilizará cada estación para encriptar la información transmitida al punto de acceso. Esta opción aparece como WPA Graup Rekey interval en Comtrend y Graup key Renewal en LinkSys. Con el valor por defecto de una hora será suficiente.

Seguridad activa en redes 6

Seguridad activa en redes

Si para generar una contraseña utilizamos 65 caracteres ASCII (255 caracteres) habrá 65255 pasibilidades diferentes. Tu red inalámbrica WPA-PSK será segura siempre que utilices una contraseño muy largo y esto no incluya palabras de diccio­nario.

6.2. Seguridad WPA empresarial

E[ principal inconveniente para todos [os sistemas de seguridad inalámbricos anteriores es que es necesario que todas [as estaciones de trabajo conozcan [a contraseña. Esto es un problema porque cuanta más gente conozca [a contraseña más riesgo hay de que esta contraseña acabe [legando a manos no deseadas. A[gunos de [os riesgos son [os siguientes:

• Pérdida de equipos: si uno de [as estaciones de trabajo que habitualmente se conec­ta a [a red inalámbrica (por ejemplo un portátil o una PDA) se perdiera sería muy sencillo que otra persona pudiera descubrir [a contraseña que tiene configurado e[ sistema operativo con programas como por ejemplo Wire[essKeyView.

• Ingeniería social: [os propios usuarios podrían facilitar esa informacián siendo vícti­mas de ingeniería social, por ejemplo a través de una [[amada te[efánica. También es posible que [a faciliten a un conocido (conscientes de [o que están haciendo).

• Dificu[tad de cambio de contraseña: puesto que [a contraseña es utilizada por mu­chos equipos, no se puede cambiar con cierta frecuencia ya que habría también que reconfigurar estos equipos.

Estos inconvenientes son derivados del hecho de que en [as anteriores configuraciones todas [as estaciones comparten [a contraseña Wi-Fi (ya sea WEP o WPA).

La estructura necesaria para poder utilizar [a arquitectura WPA empresarial es [a que se muestra en [a Figura 6.53.

Servidor Aadius (Servidor de autenticación)

LAN

Estación (Peticionario)

Fig. 6.53. Esquema WPA empresarial.

Aouter Wi~Fi (Autentificador)

Internet

E[ estándar B02.1x es un estándar que se diseñá para proporcionar autentificación en e[ nivel de enlace. Por tanto no es algo específico de seguridad Wi-Fi, también puede utilizarse en redes cableadas. Según especifica e[ estándar B02.1x se definen tres e[e­mentos:

• E[ peticionario: es [a estación de trabajo, que está intentando acceder a [a red (en nuestro caso Wi-Fi).

• E[ autenticador: es e[ elemento encargado de permitir e[ acceso o no a un peticiona­rio. En nuestro caso es e[ punto de acceso.

• E[ servidor de autenticación: es e[ encargado de comprobar [a identidad del peticio­nario y permitir o negar e[ acceso, informando a[ autenticador.

.. Actividades

25. Descárgate e[ programa Wire[essKeyView y ejecúta[a en [a estación de trabajo que has conectado a[ punto de acceso, para conseguir [a contraseña.

__________ ,..:,C~aso ¡:»ráctico 10 pi Seguridad WPA empresarial

Instalar un servidor Radius, configurar el punto de acceso para que utilice WPA empresarial y configurar un cliente para utilizar la red Wi-Fi.

Como ya hemos visto en la Figura 6.53, tenemos que tener los siguientes elementos:

• Un servidor Radius que estará conectado a la red cableada, que en nuestro caso será un Ubuntu sobre el que instalaremos la aplicación freeradius.

• Un punto de acceso que configuraremos para utilizar WPA empresarial.

• y una estación inalámbrica, para lo que utilizaremos un equipo con Windows 7 instalado (también puedes utilizar Windows XP o Windows Vista).

Comenzoremos instalando el servidor Radius

1. Conexiones físicas necesarias. Lo más habitual es tener conectado el servidar Radius a la red cableada en la que está conectado el punto de acceso. Si esta­mos utilizando un router inalámbrico (Fig. 6.54) conectamos el equipo que uti­lizaremos como servidor Radius directamente al router. También conectamos la red de clase en el router para que podamos tener salida a Internet a través de la red del instituto.

Radius 192.168.1.10

Router inalámbrico 192.168.1.100

Router instituto 192.168.1.1

Fig. 6.54. Esquema WPA empresarial y Radius en el aula.

Internet

Estación 192.168.1.101

2. Configuraciones IP. Todos los equipos tendrán que estar en la misma red IP. Es recomendable que para seguir este caso práctico repitas el esquema de la Figura 6.54 en tu cuaderno poniendo las direcciones IP de tu Aula.

3. Instalacián de Freeradius. Freeradius es un software que incluye un servidor Radius gratuito. Instalamos Freeradius en nuestra servidor Radius de clase (debe tener ins­talado Ubuntu) dando doble c1ic sobre el paquete software de Debian que nos praporcionará el profesor.

4. Configuración de los usuarios de Radius: Los usuarios que utilizando una esta­ción inalámbrica quieran conectarse a la red, tendrán que tener un usuario con­figurado en el servidar Radius, y si no, no podrán acceder.

Los usuarios en el servidor Radius se configuran en el fichera /etc/freeradius/ users. Es un fichero de texto plano que podemos editar por ejemplo con gedit (sudo gedit /etc/freeradius/users). Dentra observaras que hay cuatro usuarios ya definidos, que son macarena, virginia, fernando y gustavo. Para definir nuevos usuarios tendrás que seguir el siguiente formato:

NombreUsuario Cleartext-Password := «ContraseñaUsuario».

(Cantinúa)

Seguridad activa en redes 6

Seguridad activa en redes -------------------------------

q Casa p.t::r.::á:::;ct:::ic:::a:..l.:.:0::.... _____________ ~ _____ ____j

(Continuación)

5. Configuración de los clientes del servidor Radius. Los clientes del servidor Radius son los elementos de la red que solicitan a los usuarios que se autentiquen. Es decir en nuestro caso un cliente del servidor Radius es nuestro punto de acceso. Cada cliente tendrá que conocer una clave que también tiene que conocer el ser­vidor Radius para poder comunicarse con este.

Los clientes del servidor Radius se configuran en el fichero /etc/freeradius/ clients.conf. También es un fichero de texto así que podemos abrirlo con gedit (sudo gedit /etc/freeradius/clients.conf). En este fichero ya hay definido un cliente que es de la IP 192.168.1.100 (siguiendo el esquema de la Fig. 6.54). Modifica la IP 192.168.1.1 00 par la que tenga el punto de acceso en tu esque­ma. Como ves la contraseña es «SiTouD>.

6. Cuando hayamos terminado la configuración de Radius, iniciamos el servicio con el comando /etc/init.d/freeradius start.

Configuración del punto de acceso:

7. Accedemos a través del navegador a la configuración de seguridad inalám­brica del punto de acceso.

V"" ,,, ,, SoW"'t

1hi, •• ; .... "", • • ," <lnfi l "" .. ' "noy h""" • • '"" ... .. '.u LA."'n" d . .. Y.""n ",, ~" n . ...... ,.Ih. nti, '~ ' n "' ...... " ,,,,,. , ' ot, .n""'. n. ".<of, ...,.Ut" • no ...... " l. ,, ~ ., .. . " .u'" . nti .. " .... , . .. "" .. n ....... n"'."ly lh • • """'; ...... n.1h c ,;' .·~ P f' ... ' . .. n~;""th ... " ' ... .. ' "nly . Flj . "'

1I . ......... Ih. "" • • U • • •

\·"P" G,, "p~ '''y'n' ...... ' AAO,u. ~.I:?, ,p .. .. " ..

I , u l ~

j ......

WPAEn , ,.,..U . n [n::1P 1 ... 1

1 Dil abled l .... 1

Fig. 6.55 . Comtrend WPA empresarial.

Sea.l y r.1ode:

WPA Enlerprise

1 WPAMflA2 Enlerprl::1I ¡" 1

l""""' lvl WPA2 Enlerprlsll 1 Oisllble 1" 1

fncrypUon AlgorlM\$ : 1 TKI' 1'" 1

RAOIUS 5erver Atklfess :11 92 l. ~. ~ . §:::] RADIl/SPOft : 11 812 1

Enlerpfi:e Iley : @lslT~.~~~j:::? Key Renewlll li'neoul : l!oo 1 ceconds

Fig. 6.56. UnkSys WPA empresarial.

8. Seleccionamos la seguridad WPA empresarial.

9. Ponemos la dirección IP de nuestro servidar Radius (según la Fig. 6.54 es 192.168.1.10), el puerta (1812) y la clave que hemos puesto para el punto de acceso en el servidor RADIUS (SiTour) para los router inalámbricos Comtrend y linkSYS (Figs. 6.55 y 6.56).

Configuración del cliente:

-_ ...... ~ ... ,-~-...... __ .. l~ )( Q <:::: .. ~.'''- '' .. -,-.. , ..... -.. -

_ ._--~;;;-.;.."'-=._=-~-

~. __ .. _---- - - --~ .. (_.~-,,_ ..... .,., - :::;::-..:::=::::::,:"'_ .. _ - - . ...... ..... ....

Fig. 6.57. Redes y recursos en Windows 7.

0 '5 ¡¡¡ me': :! . W.QI.!J lQo 1Iíií · '--,, ·~·_n. .. .. mj----.,-~ ~

l __ .rid ___ _ _ (~ ... -1~)

~ ..... ~ ...... oode>on ol _ "" __ .~

_ I'ndododoodolodctocb 1"I>o<<Ior-II C ...... do_.................... f)

Fig. 6 .58. Administrar redes inalámbricas W7.

(Continúo) J

Caso práctico 10 9 IContinuación)

10. Dentro del Centro de redes y recursos compartidos seleccionamos en el menú de la izquierda la opción Administrar redes inalámbricas (Fig. 6.57) yen la ven­tana Administrar redes inalámbricas pulsamos sobre Agregar para añadir una nueva red inalámbrica (Fig. 6.58).

11. Seleccionamos la opción Crear un perfil de red manualmente (Fig. 6.59) para poder elegir la configuración de la red inalámbrica a la que nos conectaremos. En la siguiente pantalla (Fig. 6.60) introduciremos los datos de la red Wi-Fi a la que queremos conectarnos:

• Nombre de la red: JUPITER.

• Tipo de seguridad: WPA empresarial.

• Tipo de cifrado: TKIP (como puedes ver en las Figs. 6.55 y 6.56).

Después pulsamos Siguiente y en la ventana que aparece seleccionamos la opción Cambiar la configuración de la conexión para poder personalizar el resto de los parámetros de la conexión.

tfI <-_·_ .... -~--_ ... _ .. -.... ........ _---,

• c..._ ...... ... ... .. r.. __ ... ... _,... __ ..... _._

r (....-.. __ 10I00I ... _ ... _

Fig. 6.59. Asistente nueva red inalómbrico W7.

""'""- . 11> ~ r"*"",,, ,o rIo.,.lo";"di""'I.Me, , '----- -

Fig. 6.60. Conectar manuolmente.

12. En la ventana Propiedades de la red inalómbrica (Fig. 6.61) seleccionamos la pestaña Seguridad. Los datos de configuración que aparecen en esta ventana son los que introdujimos antes, por lo que deberían estar todos correctos. Una vez comprabado esto pulsamos sobre el botón Configuración.

--1 "' .. ..- 1_ O!J

1JoI""'''' 1"" O!J

", .. ,,_ .. ....-.. -!_" ..... _ !J"I.'I) 0!J 1IE5C:] g----_ ... _--"' .. _-

Fig. .61. Propieda es de Red W7.

.. )--, r ....... "'_ .. __

.. r _ •• >'.0"' ......

1 ·~~OO .. -~c a _ _ ",

J a mQlo!INI __ a .. __ a_ .......... a _ _ _ _ C_c.t __ ........

,f' r ~_, ••

-' " :.;" _._ .. -1 ..... _ ..... _1'11 a u;¡¡:¡¡;:::¡ fJ~_,_

r __ .. _ ._ r-.. __ .. _II. __ ........

( ...... _ .. -l~.-I

Flg. 6 .62. Propledodes EAP W7.

M@!ffi§!f§J,ji4Li· ltj'r.ii

Fig . 6 .63. Prop EAP MSCHAPv2 W7.

(Continúa)

'-------------------------------~

Seguridad activa en redes 6

76

Seguridad activa en redes

Si tuviéramos un dominio en el que estuvieran incluidos todos los equipos de la red, tendríamos la autenticación centralizada (todos los usuarios y contraseñas estarían en el directorio activo). De este modo podríamos con­figurar el servidor Radius para que utilizara estos usuarios y así los usuarios no tendrían que utilizar un nombre de usuario y contraseña¡ sino que el siste­ma operativo lo gestionaría de forma transparente con las cre­denciales del inicio de sesión.

~ Caso "ráctico 1 O

{Continuación}

13. En la ventana Propiedades de EAP protegido (Fig. 6.62) deseleccianamos la opción Validar un certificado de servidor. Esta opción es la que permite al cliente validar un certificado del servidor antes de conectarse con él para com­prabar la identidad del servidor. Para poder utilizar esta opción habría que ins­talar en esta estación inalámbrica el certificado del servidor, que se encuentra en /etc/freeradius/certs del disco del servidor.

14. En la misma ventana (Fig. 6.62) pulsamos sobre el batán Configurar que apa­rece ollado del protocolo EAP-MSCHAP-v2, que es el método de autenticacián que se usará entre el servidor Radius y este equipo.

15. En la ventana propiedades EAP Mschapv2 (Fig. 6 .63) deseleccionamos la opción para que no utilice los usuarios de Windows, sino que solicite un usuario y contraseño al conectarse.

Como en la ventano Propiedades de la red ina{ómbrica teníamos configurado que recuerde las credenciales, una vez que introduzcamos unas credenciales válidas, na nos las solicitará más.

16. Aceptamos todas las ventanas, y en breve el sistema nos solicitará una creden­cial, es decir, un nombre de usuario y contraseña vá lidos en el servidor (Fig. 6.64). Introduciremos uno de los usuarios que están configurados en el fichera <<users» del servidor Radius y ya tenemos conexián a la red inalámbrica.

Seguridad de WlndDWS • x

Autentlcacl6n dI! red Escriba sus aedendales dI!! usuMio

B .. Fig. 6.64. Aulenlicación de Red.

Utilizando la seguridad WPA empresarial se aumenta la seguridad y la flexibilidad, ya que podemos modificar la contraseña de un usuario o cancelarlo sin que esto afecte al resto. Esto supone una notable mejora con respecto a WPA-PSK en redes con muchos usuarios, como por ejemplo podría ser tu instituto (si compartiera una red inalámbrica para todos) o en una universidad.

~ Actividades

26. Configura el servidor RADIUS paro que utilice además de los usuarios vi rginia, macarena, Fernando y gustavo otros dos usuarios que tú elijas. Comprueba que lo has hecho correctamente conectando a la red inalámbrica con esos usuarios.

27. Conecta un equipo con Linux a la red inalámbrica.

28. ¿Podría una PDA con Windows Mobile 6 Profesional conectarse a una red WPA empresarial?

29. ¿Qué tipo de seguridad pondrías en una red inalámbrica para una empresa como SiTour, descrita en la Actividad 11, en la que hay Ires trabajadores?

Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e insta­lando software específico

1. Busca información sobre otros protocolos seguros y rea­liza una tabla donde incluyas el nombre del protocolo, su uso y el puerto en el que trabaja, incluye también los protocolos HTTPS y SSH.

2. Para conectarnos a un servidar SSH necesitamos utili­zar un cliente ssh. Existen numerosos programas que nos permiten realizar esta conexión, muchos de los cua­les tienen versiones portables. Busca información sobre diferentes clientes para conectarte con un servidor ssh y sus características.

3. SiCon está a punto de firmar un contrato que le repor­tará importantes beneficios económicos con una cono­cida multinacional de la Construcción; se celebra una reunión en un hotel del centro, a cierta distancia de las oficinas de ambas empresas. A última hora y como con­dición previa a la firma, la multinacional solicita ver las cuentas de SiCon del último año. Estas cuentas están almacenadas en un servidor ssh en la sede de SiCon y eres una de las pocas personas que tiene acceso a él. Indica qué procedimiento seguirías para acceder al servidor si únicamente dispones de un portátil y la conexión Wi-Fi del hotel.

4. SiCon ha decidido ofrecer a uno de sus empleados la opción de trabajar desde casa (teletrabajo). Para rea­lizar las primeras pruebas hasta que establezcan un sistema de conexión remota definitiva van a estable­cer una VPN utilizando el sistema operativo Windows. Indica los pasos para configurar la VPN en tu equipo para conectarte con el servidor de SiCon, cuya direc­ción IP es 72.123.0.l.

5. Hamachi nos permite, como sabes, crear VPN entre equipos Windows y Linux. Utilizando un equipo Linux crea una nueva red, que llamarás SiCon, cuya contra­seña es redSiCon.

6. Conecta un equipo Windows a la nueva red SiCon creada y comprueba que hay conectividad entre ambos equipos.

7. Trabajando por parejas, realiza una lista con las venta­jas y desventajas que tendría para SiCon crear su VPN con el servicio de Windows o utilizar software espe­cífico, si lo que desea es promover el teletrabajo, de modo que el número de empleados que trabaja desde sus domicilios aumente progresivamente.

Seguridad activa en redes 6~ Comllrueba tu a¡:>rendizaje "

Aplicar mecanismos de seguridad activa describiendo sus característicos y relacionándolas con los necesidades de uso del sistema informático

8. Entre los servicios de Windows existe uno que ofrece almacenamiento protegido para información confidencial. Para aumentar la seguridad de tu equipo configúralo para que se inicie automáticamente al arrancar el equipo.

9. Configura una red inalámbrica para tu clase con segu­ridad WPA-PSK. Elige una contraseña segura tú mismo. Analiza los riesgos que corre tu red al comunicar a los usuarios (tus compañeros) la contraseña que has elegido.

10. ¿Qué tipo de red Wi-Fi recomendarías al hotel de la Actividad 3 del Comprueba tu aprendizaje, si el hotel te dice que muchas empresas tienen reuniones impor­tantes en sus salas?

11. La empresa SiCon quiere desplegar una red 802.llg con seguridad WPA-personal en sus oficinas, que tie­nen una dimensión de 200 m'. Se ha comprobado que con un solo punto de acceso no es suficiente, así que colocarán dos puntos de acceso. ¿Qué configuración tendrán que tener los puntos de acceso para que las estaciones inalámbricas puedan cambiar de un punto de acceso a otro de forma transparente?

12. Poneros de acuerdo dos grupos (con dos puntos de acceso entre los dos grupos) en la configuración del apartado anterior y llevarla a cabo en vuestros puntos de acceso. Comprobad el resultado.

13. La empresa SiMotor se ha trasladado a una nave indus­trial que no dispone de instalación de red. Para des­empeñar su trabajo tienen portátiles repartidos a lo largo de la nave, que tienen que estar conectados en red para que pueda funcionar la aplicación que uti­lizan. Necesitan que cada usuario tenga una cuenta de conexión Wi-Fi diferente porque tienen una ratación de personal alta. Construye una red inalámbrica de demostración con dos usuarios y configura dos equipos que utilicen la red con dichos usuarios.

14. En la nave de SiMotor parece que la señal no llega a todos los equipos. Prapones utilizar dos puntos de acceso estratégicamente colocados pero que ambos sean la misma red inalámbrica y por supuesto utilicen el mismo servidor Radius. El gerente de SiMotor no acaba de creer que todo vaya a funcionar, así que pide una nueva demostración. Junto a otro grupo de la clase (jun­tando dos puntos de acceso) haced la demostración de que todo funciona correctamente.

15. Investiga sobre los hotspot. ¿Crees que sería útil poro el hotel de las Actividades 3 y 8? Haz un gráfico de cómo quedaría la red.

,

~ Segun ~~""º~~~.d~ad~a~cI~iva~e~n~red~e~s ____________ =========

.--,--. . ------:-.. . -.. -,-{-~ SSH

HTIPS

r-! Red privada virtual J

...~ -' Sistemas de defección

J r~ - ... .. .... ~ de intrusos

... . ..

-Arranque de servicios

802.11 0

802.11b

802.11 g

802.11 n

WEP

Personal

;-[ ...

WPA Empresarial

.

lUl ~ fid(¡)J(d

Seguridad de alto nivel en redes: cortafuegos

y estudiaremos:

o Las funciones principales de los cortafuegos.

o Los tipos de cortafuegos que .existen.

o Las arquitecturas de cortafuegos.

o El filtrado de paquetes y reglas de filtrado.

o La instalación y utilización de cortafuegos.

o Los lag s y registros de actividad.

En esta unidad aprenderemas a:

o Instalar un cortafuegos en un equipa a servidor.

o Configurar las reglas de seguridad a aplicar en un cortafuegos.

o Identificar la necesidad de inventariar y controlar los servicios de red.

7 Seguridad de alto nivel en redes: cortafuegos

Zona desmilitarizada (DMZI. Red aislada que posee aplicaciones disponibles desde el exterior. Actúa como zona de seguridad intermedia entre la red local y la red externa.

1. Seguridad de alto nivel Durante este curso hemos hablado en varias ocasiones sobre los objetivos principales que se buscan con la seguridad informática, especialmente de la integridad, la confiden­cialidad, la disponibilidad y el no repudio de la información.

Hasta ahora, nos hemos centrado en cómo podemos proteger nuestros equipos y mejo­rar la seguridad de la información que contienen. En las dos próximas unidades iremos un poco más lejos, y habláremos de dos mecanismos de seguridad de alto nivel: los proxys, a los que dedicaremos la siguiente unidad, y los cortafuegos, que trataremos en esta.

La seguridad de alto nivel persigue reducir al mínimo posible los elementos que pueden amenazar la confidencialidad, integridad y disponibilidad de la información. Para ello, se centra en actuar en un menor número de elementos sobre los que se mantiene un control más estricto, es decir, manteniendo un equipo intermedio que gestione ciertos parámetros de seguridad, nos será posible establecer unas medidas algo más suaves en los equipos que constituyen la red de una empresa, entre los cuales se desarrolla el trabajo. La seguridad de alto nivel está orientada al trabajo con servidores y redes de comunicaciones, especialmente Internet, que es, en definitiva, la red más insegura de cuantas podamos utilizar.

Es fundamental tomar las decisiones técnicas que más convengan a las necesidades de la red con la que estemos trabajando, tanto a nivel de hardware como de software, así como establecer distintos niveles de seguridad, principalmente centrados en quién y cuándo podrá acceder a un servicio concreto, pero hay dos elementos imprescindibles que han combinarse, que son, como ya se ha mencionado, los cortafuegos y los proxys. Una estructura típica que mantienen un gran número de empresas es la que ves en la Figura 7.1, donde se reflejan estos dos mecanismos, que sirven como barrera ante posi­bles intrusos. La configuración de una red doméstica, como la que habitualmente tienes en casa, es mucho más simple, como puedes ver en la Figura 7.2, donde el router ejerce como cortafuegos.

Modem-router

Internet

Fig. 7.1. Estructura de red empresarial.

Internet

,----,=,----d ~ I Rcuter Servidor Web

Modem-Router Firewal1

Red doméstica

Fig. 7.2. Estructura básica de una red con cortafuegos.

Seguridad de alto nivel en redes: cortafuegos 7

2. Cortafuegos: qué son y para qué sirven

Los cortafuegos, también conocidos por su nombre en inglés Firewafl (literalmente «mura de fuego»), son uno de los principales mecanismos empleados para mantener la segu­ridad de alto nivel. El término original hace referencia a los muras a prueba de fuego, utilizados para evitar que se extienda un incendio. En el mundo de la seguridad infor­mática, el fuego será cualquier amenaza que pueda provenir del exterior de nuestra red o trate de salir del interior de ella.

Como recordarás, en la primera unidad del libro definíamos un cortafuegos como un sistema que audita y evita los intentos de conexián no deseados tanto desde los equipos hacia la red como desde la red hacia los equipos. Concretando un poco más, conviene aclarar que un cortafuegos puede ser tanto un dispositivo hardware como software, es decir, podemos tener una máquina diseñada específicamente paro esta funcián o utilizar una aplicación que se instala en uno de los equipos conectados a la red. En la Figura 7.3 puedes ver la estructura de una red básica donde se ha instalado un equipo que actúa como cortafuegos, ocupándose de filtrar todo aquello que sale y entra a la red de área local.

Equipos de la Red Local

Servidores de la organización accesibles desde el exterior

Fig. 7.3. Arquitectura Screened Roufer.

Internet

El cortafuego se ocupa de filtrar los paquetes a partir de unas reglas, generalmente definidas por el administrador de la red, teniendo en cuenta las direcciones IP origen o destino y el servicio de red con el que tienen relacián. A lo largo del tema veremos cómo se realiza este filtrado de paquetes y el procedimiento para establecer las reglas para realizarlo.

La función primaria de un cortafuegos es delimitar zonas con distintos niveles de segu­ridad. En su implementación más sencilla (screened router) se pueden identificar dos zonas, una zona segura, situada tras el cortafuegos, y una zona no segura, que corres­ponden a Internet, tal como vemos en la Figura 7.2, donde el módem actúa como deli­mitador entre zonas. Los módems que los ISP proporcionan a los usuarios que controtan con ellos la conexión a Internet incluyen actualmente los elementos necesarios para blo­quear, por ejemplo, las conexiones entrantes a través de determinados puertos, aunque es posible establecer niveles mós detallados, como el que se muestra en la Figura 7.3. En esta figura vemos que los servidores de la organización que son accesibles desde el exterior no pertenecen a ninguna de estas dos zonas, sino que se sitúan en una zona propia, denominada zona desmilitarizada, que se gestiona con unas reglas diferentes a las que se aplican para los equipos de la LAN.

Actividades ~

1. Estudia la instalación de la red local disponible en tu clase e identifica los di~ rentes equipos (PC, routers, etc.). Realiza un esquema detallado de la misma utilizando una herramienta de diseño como Packet Tracer.

2. Realiza una tabla con las principales diferencias entre los cortafuegos hardware y software.

Bastión. Máquina dotada sistemas de seguridad pero vul­nerable a ataques ya que está abierta a Internet, actúa como punto de contacto de la red interna con el exterior.

~/ 7 Seguridad de a lto nivel en redes: cortafuegos ----~----------------~----------------

~ Caso práctico 1

Activoción del Cortafuegos integrado en Windaws Vista

Siempre que usamos un equipo debemos dotarlo de todas las medidas de seguridad posibles, como un cortafuegos, bien sea el que integra el sistema operativo u otro que deseemos utiliza r.

82

~.~'" d.~.

1. Accede al panel de control pulsando sobre la tecla de Inicio de Windows y selecc iona el centro de seguri­dad, que aparece señalado con un círculo en rojo en la Figura 7.4.

..!;\l bl 19 fi ...... 8.,. . .... .,....y e_DJo C....".d . h. td.o". ....... loIicio ".~.d ...........

~ ~ ~~~®~~~ q¡ <_o cm"1"" ut.. ~.f_ d.hl:ko; PC

~ ~ ~ O ~.,

<- ( ....u.de ~. ~d. .....;.

~- "''1°

il """" (Ji! I1É!J 1A ~ ¡ .... "" .. ... h"n .... y f ...... 1 ..... • , .. _&lid. fu"" .. 11m • .....". ..

• 1It<l<d", .;,..., .. "~- . dtnOniw . ..... .

Fig. 7.4. Panel de control: centro de seguridad.

2. En el centro de seguridad dispones de una serie de mecanismos que te facilita rán proteger tu equ ipo, entre ellos el cortafuegos integrado en el sistema operativo. Accede 01 Firewall de W indows a través del menú que verás en el lateral izquierdo, se mostrará una pantalla similar a la que puedes ver en la Figura 7.5.

Nota: También puedes acceder directamente al corta­fuegos desde el panel de control (Fig. 7.4) .

Firewall de Windows

r;,...,..1I de WindllW:l putdc OYU'¡1l • prevenir que p;" ln inlcrmllic gi o ,Qftwl fC m.Jinttfl cionldo cbtrng.n 1« .. 0 1I .quipo . I' ... ~ de Inlfmo1 O l. rrd.

El tquipo no Ini protegido: aC1Jn firl l'llll d, Wmdowl

I F"onw.ll d. Wind"""nc~ l.wldn. ~

~ Ub iu ciCn d. 1m RItd pUlI' ,.

3. Procede a activar el cortafuegos pulsando sobre cam­biar la configuracián, te aparecerá una panta lla como la que muestra en la Figura 7.6, donde debes activarlo. Después pulsa Aplicar y Aceptar y comprueba que el cortafuegos aparece como activado.

íI Conf.gunlci6n de Firew::,;;"" "';;:;¡Wi¡;.""""':=:------

Fi'ewal de \'f~ aVlda .. ¡rDIrgor .... ~ aI~ lJlt UIUlIflcs sin aulnfU..oon o SOftwllf t maIn~ Dbl2n¡¡llf'l aazso al ~ a través de IntnnetDdeln'l ,ed .

$ (') Adhr.Ido (~m~dol Esta anfr"uadlin no permi~ lJlt ~ crigI:n tlItc:rnD se CDrIHU: al eq.ipo, t:m:p1U1Iq.II!b ~en I.1Iidu ~

& 'RWIU de vr .. .d ....... no es1iu\.I",:lo ' , c.llfogu" ci¿n ,« cmmdl.d, pi" pctcgtl ti "'1,,1,,0. ,("" .. , l. ' r.nfmy •• ciCn 'Prcm . nrlo ;!_Z

;C.fI".l .... ' l. <cnfin" ,,,¡Ón th~rg

Sdta:JDnt .,.1a -*In WIInb lO! mnec:~.l 1n'I red ni IbiraOOnts_M'(¡O&'&S. Se crril:r .. tad.lrslMu~ y "'~¡'~.I..s;rawrdo"ew,.dt\"""""~b

Fig. 7.5. Firewafl de Windaws.

~ @ OH;o~do (no ~cnda601 E\'i~U$i'If e ta (Dl~1I<IÓf\. SI~.l Fí'twlll de \'fnlclws, e~ ~_álMs \'-"'erllble lIac:t.tsoS l'DautIlriLxIDs D a SOftwllft !Nlro~.

Fig. 7.6. Activación de Cortafuegos. (Continúa)

_ _ ___ 7~ Seguridad de alta nivel en redes: cortafuegos _ ~

Casa práctico 1 9 (Continuación)

4. Para personalizar tu cortafuegos puedes acceder a su configuración como hemos visto en el punto 3 o otro· vés del firewall de Windows con configuración avan-

zada que encontrarás en Panel de control> Herramien­tas administrativas, que puedes ver en la Figura 7.7. Allí podrás configurar más opciones .

. Ii Fi rewaU de

Firewan de Window. con .egu .. . ~da WndcnCOl'1 ~5d av~teda~l.nam8'¡'Ol'",~d ""' Wnd:lI'rI. ~J Imp tlrtar directiva ...

II-;====================E ~ E:xportardirectiva". Inlradut ciún

Poñl\ do domInio

'?J ~!IJ di! WnóoWlI a5lii l!ctiV~o .

6) '" """"'"" .... ,"'~ m· _;dM= ,"" ,,;. ~,., """"odM.1 @ ~~es <lJl!noccncidanconln1rerjaer.inpfllml.idal.

Perfil privado

g FrewaJ de Wnóo .. \"U:I~ ohI:sadiVado.

El porfil público IISt,; activo.

@ FreYraJ di! Wndoll"1 a'llá d~ado.

~ Propie:!ad~ de Fire'NaU de \·/indo-.... li

'"

RCll i urar predderminado!

v" @ Actual i,ar

I;:J PIIJpiedade¡

~ Ayuda

Fig . 7.7. Firewall de Window5 con seguridad avanzada.

Además del filtrado de paquetes, el uso del cortafuegos nos ofrece una serie de servi­cios adicionales muy útiles par prateger el buen uso de nuestra red y nuestras servidores, que tienes en la Tabla 7.l.

Bloqueo de tráfico no autorizado

Ocultación de equipos de lo lAN

Registro del tráfico

Redirección de tráfico entrante

Limitación de ancho de banda

Seguimiento de tráfico y monitorización de ataques

Restringe servicios de Internet, bloqueando páginas Web o el trá­fico proveniente de un rango de direcciones IP.

Oculta equipos para que no sean detectados por posibles ata~ cantes.

Dado que el cortafuegos se instala en la frontera entre la red interna y la externa, detecta todo el tráfico que entra y sale de la red, por lo que se puede almacenar su actividad.

Redirige el tráfico entrante a la organización a la zona DMZ, evi~ tondo que llegue a los equipos locales.

Limita el ancho de banda utilizado por un protocolo o un tipo de tráfico

Genera estadísticas con datos sobre el ancho de banda consu~ mido, permitiendo detectar, por ejemplo, si desde un determinado equipo se está descargando un alto volumen de datos proceden~ tes de Internet.

Monitoriza los ataques desde el exterior para tomar medidas como el bloqueo del análisis de puertos para evitar los ataques más habituales.

Tabla 7.1 . Otras funciones de un cortafuegos.

~/L _ _ ___ _ J Seguridad de alfo nivel en redes: cortafuegos

' '9it ,~ __ ~.. . 111

1 " ll~~~- ~ ~ -~

Fig. 7.8. Cortafuegos persono/.

Los sistemas Windows Server también incorporan un corta­fuegos con una estética y fun­cionalidades similares a los de Windows XP o Vista. Poro que sea eficaz debes mantener siem­pre tanto el sistema operativo como el propio cortafuegos actualizados.

3. Tipos de cortafuegos Existen dos criterios de clasificación principales de los cortafuegos, uno basado en la tecnología implementada y otro en su ubicación dentro del sistema.

e 3.1. Según su ubicación

La ubicación de los cortafuegos va intrínsecamente relacionada con el sistema que se quiere proteger. Podemos distinguir entre dos tipos de cortafuegos en función de donde se localicen:

• Cortafuegos de sistema o personales.

• Cortafuegos de subredes.

Rodlazo dI! I¡Mico no autorizado

Trafico aulorilac/o

Fig. 7.9. Cortafuegos de Subred.

Los cortafuegos de sistema o personales restringen la comunicación no autorizada can un equipo, actuando como un sistema de defensa perimetral, mientras que los cortafue· gas de subredes protegen toda una subred en conjunto (actuando como único punto de entrada).

o Cortafuegos personales

Actualmente se han extendido mucho las conexiones de banda ancha en los hogares y quienes las utilizan también necesitan proteger sus equipos y datos.

Los cortafuegos personales surgen como respuesta a la necesidad de proteger los equi· pos pertenecientes a redes privadas porticulares, por ejemplo, las que se instalan en nuestros domicilios para permitirnos conectarnos a Internet.

Este tipo de cortafuegos se instala en el equipo del usuario y proporciona cinco funcio· nes principales:

• Permite supervisar todas las conexiones con el exterior, incluyendo los accesos a servicios de Internet.

• Permiten monitorizar los programas locales que tratan de acceder a Internet para que el usuario pueda decidir si permite que lo hagan o no, como vamos a hacer en el Caso práctico 2.

• Proporciona mecanismos para bloquear los posibles intentos de intrusión al equipo u otros ataques (como el ataque de denegación de servicio) .realizados desde Internet.

• Realiza un registro de todas las conexiones realizadas desde el equipo.

• Algunos de ellos incorporan filtros anti·spam, así como detección de virus u otros códigos que pueden ser perjudiciales para el equipo.

Este tipo de cortafuegos podían adquirirse como programas individuales cuando comen· zaron su andadura, como ZoneAlarm, aunque en la actualidad lo más habitual es que se integren en un paquete de seguridad, que incluya funcionalidades de antivirus, como los proporcionados por Panda o McAfee, o integrados en los propios sistemas operati· vos, como es el caso del cortafuegos que incorpora Windows XP o Windows Vista, con el que hemos realizado el Caso práctico l.

Seguridad de alto nivel en redes: cortafuegos 7

Permitir el acceso a Internet de una aplicación a través del cortafuegos de Windows Vista

Casa práctico 2 9 En ocasiones instalamos aplicaciones o través de los cua­les vamos o proceder o recibir paquetes de datos, como los clientes FTP, y poro su correcto funcionamiento es nece­sario autorizar el intercambio. En este caso vamos a pro­ceder a autorizar al cliente FTP FileZilla, que es de libre distribución.

2. Accede al panel cortafuegos de Windows, tal y como hiciste en el Caso próctico 1. El cortafuegos debe estar activado paro poder configurar las excepciones de seguridad, como, en el caso que nos ocupa, permitir el acceso de una aplicación a Internet.

1. Instala FileZilla en tu equipo, puedes descargarlo desde http://filezilla-project.org/.

3. Pulsa en la opción Permitir un programa a través del firewall de Windows 1 que aparece en el menú de la

izquierda o directamente en Cambiar lo configuración 2 , (Fig. 7.10).

I c::rl l!l li!iQ!l '

Firewall de Windows F"~ ..... ,II deWindaw> pu~. oyud.u i ptevenil que pi,.!~, info,.","ico, o ,oltw.,. m. lintcncion.ldo obtrng l n . tcaO II lI"<¡uipo. ''''''6 d.lntcmeto ~ r~.

¡ t emo me ~,b un lit,wlll .. P"tc9f' , I . ,l\'~

<1 FilhOaD de \'(lIIdows es t~ ~d.w:lo ol proteger el equipo

L. , con";""es d. cntr.d. que no 1ie"I ... nirogun. =cp<:ión ",Lin bl"'lu ... dn.

Mo,I,., unl notifi c. ción <UlndO un P,09" ml ",t~ bloquc.do: SI

Red publk.

Fig. 7.10. ConFiguración del Firewoll de Windows Vis/a.

4. Se obre una nueva ventana con tres pestañas. En la pestaña Excepciones, que se muestra en la Figura 7.11, podemos abrir los puertos concretos de una aplicación o autorizar las conexiones de un progroma, como hare­mos en este caso, pulsando en Agregar programa ...

5. Selecciona el programa poro el cual queremos autori­zar el poso de paquetes, y pulso Aceptar.

'1

Pn>o7 ...... l1JOI"to

o .......... .,.m".....t.I 0""*" .,....;.,,....,\.1 "" "" ..... dt\llncl..,. O .......... .,....,.;"r"""\.1 dt~~. do.....­o_ .. ...;.,...,..,\.1dt_ O_.,....,.;" ...... \.1dot.r ... _ .....

O~a:DI=»\.1do\\'»doM

g:::::::=~:=fohor 1 :1~-Oku,¡, _lJDdo \\........ ~~;;;;;;;;:;¡¡;;;;;;;;;;:;;;:;;;:;=¡¡;:~:=: 0 ..... ....,. ...... \.1 ~ I_~. I Oc..ctw;doI..-..md<kvm; O~!.J",

1I~ ... t7.-... I ' ~_Il>.·· 1I Prapcd.odo:s ~ I r..oo.-"IO ... 1

Fig. 7. 11 . Agregor programa al Firewol/ de Windows.

I

~7 Seguridad de alto nivel en redes : cortafuegos

Interfaz. Conexión física y fun· cional entre dos aparatos o sis­temas independientes.

Si un atacante consigue robar tu sesión puede realizar opera­ciones en tu nombre como, por ejemplo, cambiar tu contraseña de correo.

Nivel de aplicación

o Cortafuegos de subredes

los cortafuegos de subredes tienen como objetivo aplicar uno política de seguridad a un grupo de sistemas desde un único punto. Para ello lo primero que debe hacerse es agrupar los sistemas en zonas de seguridad, de modo que se aplique las mismas reglas a los equipos que forman parte de cada zona, y puedan aplicarse distintas reglas a distintas zonas.

los cortafuegos se ubican en los interfaces entre zonas, de modo que siempre debe de haber un cortafuegos entre una zona y otro, ya que son los que aplican las reglas de seguridad.

En el caso de los cortafuegos de subredes sus principales funciones son:

o Autarización de servicios (entrantes y salientes).

o Control de acceso o los servicios basándose en lo identidad del usuario o equipo.

o Registro y monitorización de accesos o lo red .

El uso de los carta fuegos de subred permite establecer uno protección global, lo que nos permite relajarnos en la protección individual de codo equipo, estableciendo un único punto de implantación de lo política de seguridad. Esto facilita su adminislración y, dado que los ataques se producen sobre un único sitio, hoce más sencilla su vigilancia.

3.2. Según su tecnología

Según lo tecnología que utilizan se distinguen cuatro tipos de cortafuegos: cortafuegos a nivel de paquete de dotas, cortafuegos o nivel de circuito, cortafuegos a nivel de apli. cación y cortafuegos transparentes:

o Cortafuegos que actúan a nivel de paquetes de dotas. Este tipo de cortafuegos trabajo a nivel de red de lo pilo de protocolos OSI (Fig . 7.12) y para determinar que paquetes IP debe dejar posar mira tonto las di recciones origen y destino de

los mismo como los puertos que se utilizan. Este tipo de cortafuegos es el más sencillo y utilizado, ya que ofrece muy buenos prestaciones y un boja consumo de recursos y ancho de banda.

Servicios de red a aplicaciones

Nivel de presentación Representación de datos

Nivel de sesión Comunicación entre dispositivos de la red

NIvel de transporte Conexión extremo-extremo y

fi abilidad de datos

Nivel de red Determinación de ru ta e 1 P (Direccionamiento lógico)

Nivel de enlace de datos Direccionamiento ffsico

(MAC y LLC)

Nivel tísico Señal y transmisión binaria

1,

1:

')

, ,

o Cortafuegos que actúan o nivel de circuitos. Actúa en el nivel de sesión, además de tener en cuento los direcciones IP y los puertos, también miro lo información relativo o lo sesión y los números de secuencio de los paquetes enviados. Se sobe, por tonto, qué paquete se espera recibir en coda instante, por lo que se pueden prevenir ataques como el robo de la sesión.

o Cortafuegos que actúan como pasarelas de aplicación, en el nivel de aplicación de la pilo de protocolos. Estos cortafuegos analizan todos los paquetes de datos de un determinado servicio en su conjunto, no como paquetes independientes, por lo que son exc lusivos para un servicio. Es necesario uno pasarela de aplicación o gateway por cada servicio, así que consumen más recursos y suelen necesitar un software específico en los equipos de los usuarios.

o Cortafuegos transparentes. Actúan a nivel de enloce, determinando qué paquetes posan o no en función del resultado de evaluar una serie de reglas. Son indetectables para los atacantes yo que no tienen uno dirección IP.

Fig. 7.12. Modelo 051.

Seguridad de 0110 nivel en redes: cortafuegos 7

4. Filtrado de paquetes

No todos los paquetes de dotas que se envían de un equipo a otro son una amenaza, pera tampoco es necesario que todos ellos lleguen 01 sistema de destino. Esto implica que hay que decidir qué paquetes deben alcanzar su destino y cuáles han de ser descartados.

El filtrado de paquetes es la técnica más usada para establecer un cortafuegos y es por ello por lo que le vamos a dedicar una especial atención.

4.1. Parámetros utilizados para filtrar paquetes

Cada paquete IP proporciona en su cabecera informacián que puede utilizarse para determinar qué paquetes pasaran y cuáles serán descartados, como las direcciones origen y destina, a los puertos origen y destino, al protocolo, al tipo de mensaje ICMP y al tamaño del paquete.

Un router, por ejemplo, puede comprobar no solo estos campos sino parte del contenido de los datas del paquete, de modo que puede saber la página Web desde la que pro­cede o si el paquete tiene realmente el tamaño que se indica en su cabecera. Un router que permita el filtrado de paquetes podrá ser configurado de uno de las tres siguientes maneras para manejar los paquetes que salen y entran a través de sus interfaces:

• Bloquear todas las conexiones externas, excepto las conexiones SMTP para permitir que el equipo reciba correo electrónico.

• Bloquear las conexiones de sistemas considerados no seguros.

• Permitir conexiones de correo electrónico, FTP, etc. Pero bloquear otros servicios ¡como TFTP) que se consideren peligrosos.

Para poder llevar a cabo cualquiera de estas tres acciones es necesario tener confi­guradas una serie de reglas, que se irán consultando, en orden, paro determinar qué paquetes pasan o no.

Impoi;\ónt.e ~ Es usual que usar un cortaFue-gos ofrezca mayor sensación de seguridad en una red, pero nunca debe sustituir a otras medidas sino complementarlas. Usar un cortafuegos no implica que no sea necesario ocuparse de mantener la integridad y seguridad en las máquinas de la red interna, ya que si un ata­cante lograse llegar a acceder a la red automáticamente tendría el control de dichas máquinas sin necesidad de realizar más acciones.

------ ~ ____________ ...::C=as:.:o::.J:;.Rráctico 3 9 Configurar el cortofuegos de Windows Vista paro que per-mita hacer un ping al equipo

El uso del comando ping para determinar si se tiene co­nectividad con otro equipo es bastante usual, y para que funcione correctamente es necesario permitir las mensajes ICMP ¡¡nternet Control Message Protoco/) de echo. Para ello debemos configurar las políticas de seguridad en la configuración avanzada del firewall de Windows Vista en el equipo a cuya dirección IP vamos a hacer pingo

L Realizamos un ping a la dirección IP del equipo de nuestro compañero de la izquierda, y observamos en la Figura 7.13 que el tiempo de espera para la recepción de paquetes se agota. Esto se produce ya que la confi­guración por defecto del cortafuegos de Windows no responde a las peticiones de los mensajes de control.

Fig. 7.13. Ping con petición echo no habilitado.

2. El receptor del ping debe modificar la configuración de su cortafuegos. Accedemos a la configuración avan­zada del cortafuegos; si no recuerdas cómo, vuelve

al Caso práctico 1, para definir la regla de entrada correspondiente o la recepción de echo ICMP.

IContinúa)

Seguridad de alto nivel en redes: cortafuegos

Q Caso práctico 3

(Continuación)

3. En el menú de la izquierda hacemos doble dic sobre reglas de entrada. Se abrirá un listado donde busca­mos Archivos e impresoras compartidas (petición de echo: ICMPv4 de entroda).

4. Hacemos dic sobre ella con el botón derecho del ratón y habilitamos la regla, como puedes ver en la Figura 7.14. El icono de la derecha de la regla cambiaró y aparecerá en verde .

. ~ . , , .

. cy-:¡

. ~ .c-__ - .-

du"Ua;!, )

d.tfIlt.~,l

"' ....... ,

Fig. 7. 14. Habilitación de lo petición ICMP echo.

5. Realizamos un nueva ping al equipo de nuestro compa­ñero de la izquierda (la misma dirección IP del paso 1), en esta ocasión veremos que los paquetes si son

recibidos correctamente, tal y como se muestra en la Figura 7.15.

Fig. 7.15. Ping correcto.

~ Actividades

3. Al instalar en un pe una aplicación P2P no siem­pre funciona correcta­mente, no permitiendo la descarga de paque­tes al equipo. ¿A qué se debe? ¿Qué debes hacer y cómo para permitir la recepción de los paque­tes a tu equipo?

4.2. Reglas de filtrado

Los parámetros de los que hemos hablado han de organizarse para que el cortafuegos pueda consultarlos, en la que se denominan reglas de filtrado. Las reglas de filtrado nos permitirán establecer políticas de seguridad para nuestro sistema, evitando los accesos no autorizados sin crear inconvenientes a los accesos que sí queramos permitir. Estas reglas se suelen expresar como una tabla de condiciones y acciones que se consulta hasta que se encuentra con la regla que permita tomar una decisión, lo cual hace espe­cialmente importante que las reglas se establezcan en orden de prioridad de actuación y que los administradores las revisen periódicamente.

La estructura real de estas tablas dependerá siempre del sistema con el que estemos traba jando, pero si comprendes su funcionamiento general podrás aplicarlas a la es­tructura de tu sistema consultando la documentación del mismo sin mayor complicación.

Un ejemplo de una tabla teórica es el que puedes ver en la Tabla 7.2, donde tienes una serie de reglas definidas en función de las direcciones IP origen y destino y de los puertos origen y destino, donde se indica si se permitirán los paquetes provenientes de esas direcciones.

2

3

192.168.1.2 1533

192.168.10.3 1400

192.168.128.2

192.168.128.2

21

21

Permitir

Permitir

Seguridad de alto nivel en redes: cortafuegos 7

••

Tabla 7.2. Eiemplo de reglas de filtrado.

En el ejemplo se han establecido dos reglas correspondientes a los paquetes que llegan desde las direcciones IP 192.168.1.2 Y 192.168.10.3, desde las puertas origen 1533 y 1400 respectivamente, para permitir el paso de los paquetes que van al equipo con dirección IP 192.168.128.2 Y puerto 21, que es el puerto reservado para el control del protocolo FTP.

Actividades 9' 4. Fijándote en las reglas de

la Tabla 7.3, determina qué efecto tendría que el orden de las reglas 4 y 5 se intercambiase.

Las reglas pueden agruparse en tres tipos:

• Autopratección del cortafuegos: no se permitirá ningún datagrama dirigido directa­mente al firewall.

• Reglas de salida, que pueden ser permisivas o restrictivas. Si son permisivas, se prohíben las excepciones y el resto se autoriza; si son restrictivas, se prohíbe todo excepto las excepciones permitidas.

• Reglas de entrada: está todo prohibido excepto aquellas excepciones que específi­camente hayan sido autorizadas.

S_ Analiza si existe algún problema si al cortafuegos llega un paquete desde la dirección IP 154.44.0.1 con destino a la dirección IP 194.22.10.2. ¿Llegaría el paquete a su destino? Justifica tu respuesta.

J-_____________________ ~ ________ ~ ___ ..::C:::a:::sa~práctico 4 9 Análisis de las reglas de filtrado de una tabla teórica

En el siguiente caso práctico vamos a analizar con un poco más de detalle el efecto de las reglas establecidas en la Tabla 73, donde se definen una serie de acciones de res­puesta ante los paquetes recibidos desde determinadas direcciones.

1. Cuando en la tabla aparece un asterisco u otro sím­bolo similar debes interpretar siempre que puede ser cualquier valor. Además, en el momento en que se encuentra una coincidencia, se ejecuta la acción corres­pondiente y termina, es decir, no evalúa las siguientes reglas.

2. Si al cortafuegos donde se implementan estas reglas llega un paquete desde la red 154.44.0.0 se permitiría su pasa hacia cualquier red de destino.

154.44.0.0 • •

2 154.44.10.2 • 192.168.128.0

3 • • 193.55.0.2

4 • • 194.22.10.1

5 • • 194.22.10.0

Toblo 7.3. Reglas de filtrado.

3. Si llega un paquete con dirección origen 154.44.10.2 y dirección destino a la red 192.168.128.0, se permitirá que pase, independientemente de los puertos utiliza­dos.

4. Si llega un paquete con dirección destino 193.55.0.2 y puerto destino 21 (FTP), se denegará el paso, es decir, el equipa destino no está autorizado para utilizar el protocolo FTP.

S. Todos los paquetes que llegan con dirección IP destino 194.22.10.1 tienen permitido el transito, en función de la regla número 4.

6. Pero el resto de equipos de la misma red (194.22.10.0) no recibirán tráfico, ya que la regla 5 deniega el tran­sita de paquetes.

o • .

• Permitir

• Permitir

21 Denegar

• Permitir

• Denegar

, /, . " I} ~. - " .~"".4t . ..,

189

~/ 7 Seguridad de alta nivel en redes: cortafuegos ----~----------------~----------------

. .. . . NAT (Network Address Trans/a­lian). Protocola que modifica la dirección IP de un paquete que pasa par un dispositiva de red. Permite enmascarar las direccio­nes IP privadas de una subred detrás de la dirección IP pública en un router, de modo que todas las peticiones vayan dirigidas a una fuente en vez de a muchas.

El eiemplo más claro de reglas de filtrado podemos verla en el sistema de redes Netfilter de Linux, que se gestiona a través de una utilidad que se denomina iptables, la cual se maneia desde el terminal. La estructura básica de este comanda es la siguiente:

# iptables -table [COMMAND] chain rule-specification [aptions]

Donde:

o table permite filtrar paquetes (filter), implementar NAT (nat) a enmascarar direccio­nes IP (mangle), lo que recordarás son funciones básicas de los cortafuegos, entre otras opciones.

o COMMAND indica que acción se va a realizar (-A para añadir una orden, -D para borrar, etc.)

o chain indica una regla ya definida en alguna de las tablas.

Las opciones del serVICIO ipta­bies se detallan en la ayuda de linux, a la que puedes acceder utilizando la orden: man ipta­bles.

o rule-specification hace referencia a la regla de filtrado que vayamos a defi­nir, si permitimos o denegamos el trafico, entre otros.

o options permite depurar la regla indicando aspectos como el protocolo, el puerto, etc. Usaremos alguna de estas opciones en el Caso práctico 5.

Es importonte gumck! ,. las configuraciones de cortafuegos que definamos con esta orden ya que solo son válidas mientras el equipo está encendido y se perderian al apagarlo. Si queremos que las reglas se apliquen cuando se inicie el equipo, debemos almacenarlas en el archivo /etc/iptables.rules.

q Caso p'ráctico 5

Herramienta iptables de Linux

Vamos a utilizar los comandos que nos permitirán configu­rar la herramienta iptables, integrada en las distribuciones linux para la configuración de cortafuegos, estableciendo varias reglas de filtrado que nos permitirán proteger nues­tro equipo. En cada una de las imágenes siguientes irás viendo los comandos que debes eiecutar para conseguir la configuración que se indica en cada punto del caso práctico.

Archivo Editar Ver Terminal

root@jupiter:-# iptables -L Chain INPUT (policy ACCEPT¡ target prot opt source

Chain FORI1ARD (policy ACCEPT) target prot opt source

Chain OUTPUT (policy ACCEPTJ target prot opt source root@jupiter:-#

Fig. 7.16. Reglas ya deFinidas.

3. El comando básico para trabaiar (iptables) tiene numerosas opciones. En la Figura 7.17 puedes ver el comando utilizado para denegar cua:quier intento de conexión a la red externa (asociado a OUTPUT). Una

1. Abrimosla consola de GNU/Linux. Recuerda que nece­sitarás tener permisos de administrador para configurar las reglas del cortafuegos.

2. Comprobamos las reglas que ya puedan existir usando la orden iptables y la opción -L o --listo Como es la primera vez que vamos a eiecutarlo no debería haber ninguna, como aparece en la Figura 7.16.

destination

destination

destination

vez que eiecutes el comando utiliza el navegador para conectarte a cualquier página de Internet, como www. google.com, verás que no es posible.

(Continúa)

----"

(Continuación)

Utilizamos lo opcián -P para asociar la arden a la entrada o salida ya que estamos definiendo una opción que afecta­rá a todo el trafico en uno u otro sentido, dependiendo de las reglas concretas que definamos.

4. En la Figura 7.19 puedes ver el comando utilizado para aceptar trafico entrante (asociado a INPUT) y tráfico saliente (asociado a OUTPUT).

5_ Habitualmente lo que queremos no es bloquear todo el tráfico, sino permitir algunos servicios, como por ejemplo

ID archive ¡¡dilar ~er Terminal ,Solapas AlUda

raat@jllpiter:-,\Iiptables - p OUTP¡;;U:¡:T "'DR';D~P ~:::'------'-------- -~ root@jupiter:-,\I 8

Fig. 7 .17. Deniega trófica saliente.

• ',. ';;t jJ¡ u! ¡fj) - .. erth~ ftlrta~ Hi¡tanal I::!;rtadarn Herramienta, "",d. ~ 9 -e o ~ I J. ¡ hIW¡""""" gaagluom/ 1:::1 !ICHo ".. '\1 IJMh ...,.itada"" QoGettin~ Started g U test Hndl,nes .... .

! Servidor no encontrado

I Fire fox no puede encontrar e l servidor en \"I\'Iw .google .com.

• Comp11Jebe que la dlre~cUm no tiene errores de escritura del tipo ww.ejemp!o.com en tugllr de www.ejemplo.com ,

• SI no puede cllrgllf nlngunll p&ginll, comp11Jebe 18 cone¡(lón de red de su ordenador.

· l~ su oro.ena,oor o r.~o _eS.l~~ pro egl 05 por un COrt~ ueg~~.o a 1 proxy, asegúrese de que Flre fo¡( tiene permiso p8r8 Ilcceder a laweb.

I f\e,ntentar I ~ Ttrrnlnodo

Fig. 7.18. Conexión denegada.

S' ' !g¡Ij T· Ll¡}r._

archIVO Editar ver Te rminal ,Sl1lap¡u A~da

root@jupite r :-# i ptables -P IUPUT ACCEPT root@jupiter:-II iptilbles -P DUTPUT ACCEPT root@juplte r :-II

---'8

11 El

Fig. 7.19. Acepta trófico entrante y saliente (seg ún futuras reglas) .

6. Escribe las árdenes mediante iptables para:

• Permitir todo el tráfico web de entrada en el equ ipo.

L . En el punto 5 del Caso práctico 5 permitimos eltró­

fico correspondiente al protocolo ssh (puerto 22). pero ahora deseamos bloquearlo ¿cómo podemos hacerlo?

Seguridad de alto nivel en redes: cortafuegos 7

Caso práctico 5 9 el tráfico desde el puerto 22, que corresponde al proto­colo ssh . En la Figura 7.20 puedes ver lo orden necesaria para añadir (usando la opcián -A) esta regla .

6. La dirección IP 192.168.1.33/24 estará autorizada para enviar y recibir todo el tráfico de la red, paro ello debes definir las árdenes que ves en la Figura 7.21.

7. Una vez que hemos definido las reglas, es muy proba­ble que deseemos guardarlas para utilizarlas en futuras sesiones, tal y como puedes ver en la Figura 7.22.

". !J Brchrvo ¡¡dltar ~er Ierminal ia l~pns AlUda '--'-"~C-___ _

raat@jupite r:-II iptables -A IIlPUT ' p tcp -- dport ssh - j ACCEPT roat@jupite r:-#

Fig. 7.20. Trafico del puerto 22 permitido.

w;!! ' 1m: arth;.,o Edila. ~ Jerman .. 1 Sol¡¡pn ~tI.. -------¡~I ~lter : -' l ptobles--:¡-WPuT "sourte 1'12.1I1B.1.]] - j ACCÉPT- El roat(ljupit~r:-' lptobles -A OUTPUT " desUnatian 192.168.1.33 .J ACCEPT I.l raotOj upiter:-' . ~

Fig. 7.21 . Tráfico desde y hacio uno dirección IP autorizado.

mnr: l!!Tr. e.,¡hivo Ed,ta r ~r Terminal Sgl~p;s AlUd¡¡

rootOJuplter :-' ipt~bles - save .. l e t c/iptables .rules roo tOJupiter :-/t I

Fig. 7.22. Reglas guardadas en el fichero iptables.rules.

=

Actividades "

• Guarda los cambios en el fichero iptables.rules y visualizalo poro comprobar que las reglas se han añadido correctamente.

/

J/2----=--~~~~-Seguridad de alto nivel en redes: cortafuegos

Uf)erl~~U es un sistema operati­vo de código abierto basado en UNIX que centra su desarrollo en la seguridad prooctivo y la integración de lo criptografía. Puedes encontrar loda la infor­mación sobre este proyecto en: www.openbsd.org.

5. Uso de cortafuegos

En todo sistema es conveniente tener instalado y funcionando un cortafuegos, ya sea en un ordenador personal donde utilicemos el cortafuegos integrado en el sistema ope· rativo, o en una red de una empresa, donde necesitaremos herramientas algo mós sofisticadas. En este apartado daremos unas pautas a seguir para elegir correctamente el cortafuegos que cubra tus necesidades y veremos un cortafuegos comercial, Kerio WinRoute Firewall, que se utiliza en servidores Windows pero que dispone de clientes para Windows, Mac y las últimas versiones de linux Ubuntu y Debian, por lo que puede trabajarse en remoto desde diversos equipos.

5.1. Criterios para elegir un cortafuegos

Antes de instalar un cortafuegos es necesario tener en cuenta una serie de factores que nos permitirón elegir o configurarlo del modo mós acertado para nuestro sistemas, y que se recogen en la Tabla 7.4.

Política de seguridad del sistema o la empresa

Nivel de monitorización y control

Económico

Localización

Elementos Físicos

Sistema operativo

La configuración según ellrófico o servicios a bloquear.

Hay que decidir cómo se va implementar (que se permitirá y que se denegará).

En función del valor de lo que vamos a proteger será necesa­rio un desembolso mayor o menor.

Existen diversas arquitecturas de red que podemos elegir o utilizar cortafuegos personales en los equipos.

Equipos necesarios, uso de bastión, routers, etc.

Sistema operativo del bastión o del equipo sobre el que se instala el cortafuegos.

Tabla 7.4. Criterios de elección de cortafuegos.

• 5.2. Instalación y configuración de un cortafuegos comercial

Existen numerosos cortafuegos que podemos elegir para instalar en nuestros sistemas. En este apartado hablaremos de Kerio Winroute Firewall, trabajaremos con la versión 6 del mismo en un servidor Windows, y veremos cómo es posible el acceso a este servidor desde Internet en un equipo Linux que tiene instalado Kerio VNP Client.

~ Actividades

7. SiTour va a instalar un cortafuegos en su red de ordenadores para que su per­sonal no pueda acceder a servicios de Internet, como la descarga de películas, y debe decidir si desea definir reglas de salida o reglas de entrada. Indico cuól de las opciones sería la mós conveniente para este fin y por qué.

8. Antes de instalar nuevo software en tu ordenador es imprescindible comproblar que el equipo cumple con los requisitos para realizar la instalación. Busca infor· moción sobre cuóles son los requisitos recomendados si deseamos instalar Kerio WinRoute Firewall.

Seguridad de 0110 nivel en redes: corla fuegos 7

Instalación de Kerio WinRaute Firewall en un servidor Windaws

Caso práctico 6 9 En el siguiente caso próctico vamos a insta lar el cortafue­gos Kerio W inroute. Uti lizoremos el asistente de configu­ración para ponerlo en funcionam iento y dotar a nuestro equipo de una mayor seguridad.

1. Descarga Kerio Winroute Fi rewal l Server desde la página Web de su fa bricante: www.keria.com.

2. Antes de comenzar con la insta lación, desactiva el praxy para evitar futuros problemas. Ejecuta el archivo y acepta los términos de la licencia, después de leerlas. Sigue las instrucciones del asistente de insta lación para insta lar la versión completa del firewall en la carpeta por defecto C:\Program Files\Kerio o C:\Arch ivos de Programa\Kerio. Si el programa deteela algún confl ielo con otro servicio del sistema, deshabilítalo como se muestra en la Figura 723.

3. A continuación nos pide que definamos los datos de la cuenta de administración del cortafuegos, tal y como ves en la Figura 724.

ft) Kerio WinRou~ ñl'CW.lII·In.L>US~d Wi!.lrd ... ~

5Yltem Servke Confbct D~l®l SeIu<le~..,CIltIbClO~dS2r-::u.

i':en:I~t:lfirevl.ll~tl<!llcml\a¡)a:01V~_d.-:I~lleII\.I. Se~

""""""'-o...!I Co, .. ,,,lón comp3 .tld~" Inlemet (ICS)

8 ~'UI \~ =--Ú '::rlU!ll :"':1> a rl~ ~M~~~').J.' .

j:, D!!leccldn SSDP

0Ddubo1LlrlllStlllt!l"ViOGdd.tl~

j:, Dhpollllvo h.utd~ UPnJI

@ Ddub:1t..-~ ~dt:I!bt=s

~;oo5nd=" mt.lL>cWoc •• ,:b.v'¡ QlrI~;oo5nd<!_~y de!N!>lt.d a¡~. Do!~1as ap:lOrIe ~tublud.l" no Io.Ibo!b q..ets.::e".

~,,~,~

1 <"' ... 11 ~be:O 1 1 '"""'" 1

Fig. 7.23. Deshabilitar seuicios en conflicto.

..;:s Kerio Admin;¡tr,, ¡M,n Can~L~ p @ I " Ar<hvo EóLr 'kr w.n-~t.u A~ Iv ,...., "'1 NI.ocva Q)n~dn "'º'" !l.~4QlO

. t.4l-~ ~~ """"", [ .,u; ~~'/ftIQu~fmoI.Il G ... , I~ B rbttnd=l$1JIia: l~iT;o:b 1

Crlnl:".uer\t, 1 ...... 1 1

I """'" II ..... ~·· I I '"""" I

i2I ~nQc~Ú'l¡rote<)(l3$

Fig. 7.25. Acceso Consola de Administración .

4. Kerio b loquea todo eltró fico de Internet antes de rea­lizar la configuración inicial. Dado que se va a insta­lar en local, esto no seró un problema, así que pulsa Siguiente y, a continuación, Instalar.

5. Una vez que hemos instalado la aplicación es necesario configurarla. Abre un navegador de Internet, verás que ahora no te es posible visualizar ninguna Web ya que el cortafuegos está rechazando todas las conexiones.

6. Para comenzar a configurar el cortafuegos accedemos a la consola de administración que incorpora dando doble dic en el icono lPl que aparece a la derecha de la barra de tareas, donde se pedirá el usuario y con­traseña administrador que defin imos en la instalación, como puedes ver en la Figura 7.25.

7. La primera vez que nos conectamos aparece un asis­tente de configuración. En primer lugar identificamos el ti po de conexión. Nuestro servidor se conecta directa­mente a Internet, así que elegimos la opción Un único enlace de Internet· Persistente.

tJ leMa WinRouL! Fi""".1l1·lluuttS";~d W,t,lId ¡",¡;¡,,¡

LI Qlellt. de ildmlnh tr3ddn ""!3!r@i) Coo~~uCll1.scr:esoor.d~t:la~.ao&I.

~~~IO.WIOYCDlIr~$et~p.v~"a:ent.l~~J~~c~iI~ ~.Iodjn.

Al ~~tv Ls mt.\LsQj¡n, este 1AI<Ioi~ pveda utllw LI CMS:b d~ a.mns:r.sa31 ¡W~ CDleaJr a Llwontll YCDl~p" ... e~.

{t<I'r.!n4~~: Jlr!;,m:r~

!;<In1T.l$eiIJ : 1 ......

~fnn.!CDl::-~' I ... ~. , .."., N.1u::.c::eQlrlIr.tRñtva<Íl.~ClI1Ir.no\ld="_~CH~es.

1r1:~,~

1 <Alroh 11 ~te> 1 1 '"""'" 1

Fig. 7.24. Cuenta de Administración.

~ A~;ltent.o de ~l>¡ de.e:l c;¡"

P<*b.:I wisIte • pJ.;N i di! 1

~drrvd"'_d=.J~d_.1In"'""'tdebs~de Ls I.Nl:

O """"=-doOC:l!s:l~ t:W,obs~(..,Int~) i(l P=IIilrd~,d¡.bs19=lteJHNId~,: _.

""""" Puetb d. W\q!rl Pufr"md.4 ... = "'""' = """' .. .. .,~= """' .. ~,

"'''' = """' .. U Ea !:.'fTl' ro> ,,",-o II " .. =1<" ........ " el POPl 1"0' """", ,. """' = ....... .. , la Td1t:: ro> ""'-, n

I ..... ltJI I l ~be:O 1 1 """" 1

Fig. 7.26. Servicios a los que se do permiso. IContinúol

-Y7 Seguridad de alto nivel en redes: cortafuegos

Q Caso p'ráctico 6

(Continuación)

I.!d Asistente de reglits de red ~

Po!illca entrante ~ ~gina 6 de 7

8. Tras elegir la conexión can Internet, podremos permi­tir el acceso a todas los servicias (ilimitada) a a una lista de servicias. Seleccionamos la lista de servicios por seguridad, como puedes ver en la Figura 7.26, ya que con la primera opción no tendremos constancia de a que servicios daríamos acceso, un gran error desde el punto de vista de la seguridad.

SI hay servidores ejeaJtár'tdose en su LAN que: ~a qu.! estén disponbles desde: Int.eme:t,

9. En el siguiente paso seleccionamos las opciones para crear reglas usando los servicios de Kerio.

10. En el Caso próctico 8 instalaremos un cliente VPN en Linux para acceder desde Internet a nuestro firewall, de modo que permitimos que este sea accesible, como muestra la Figura 7.27.

Este es el último paso del asistente, el cual generará las reglas básicas correspondientes a esta información cuando pulsemos finalizar.

espedñque!os a continuación. Si no, o no~, salte esta pág,na.

I "".-IP s",,~o

~ '"'"'

1 Agregar .. , 11 ErliIM,,, 11 <1<''''' 1

1 <Atrás 1 I - le> 11. Abre un navegador y comprueba que puedes acceder

a Internet desde tu servidor, dado que la regla corres-pondiente se ha generado. Fig. 7.27. Firewall con acceso desde Internet.

Q Caso p'ráctico 7

Configuroción de Kerio WinRoute Firewall en un servidor Windows

1 1, Ca,,,,,", 1

,

Configuramos ahora alguna de las funcionalidades del 1. En la opción Política de TráFico del menú de la consola cortafuegos, lo que nos permitirá tener una visión de cómo te aparece un resumen de las reglas que hay defini-se trabaja con este tipo de software y de las normas bási- das en este momento en el cortafuegos, que deben ser cas para proteger el equipo. como las que ves en la Figura 7.28 .

.. - ~ .. :;-,c_ ~tu~,,='~=a=d'="~fi~'ro==;;:==;;:=;;:;;;;;::=====:;-¡¡¡:-§'§:",=-= ::j ~F~~~~:~-~=~"~~~=~"~~~'t7:¡,-~,;' ===1 • ;J,............ , .. ~ ..... """ lB __ . '_ 1.1 _ 1" - '" ~ I ~:::."" 1111_._ ..... :'1-- "... .,

t2 ........ ""' . I .-~~ ,~

~ :J"'~~H 1Ii _ 1lI" __ '"""'" :;, .,.,

Ú._"," . -!!I _ .. _ 'lo "''' !!l ""~

.!l. '._ .. _" ~ ~--. ~ ,,"gH _ _

"d_._ '¡L~ ..

't "" .. ~ ~,­

~~-

El ...... ...

e )$...... . _ :;, _ ., .-.-,= ~ ::. 10" __ • :< I I

1:' I

,

;

Fig. 7.28. Políticas de TróFico.

lo esperado), en cuyo ca~o no habilitamos el Servidor DHCP. En la pestaña Ambito agregaremos nuestra red: 192.168.1.0, como se muestra en la Figura 7.29. La dirección IP asignada al servidor es la primera:

'!

l'

2. Agregaremos nuestra LAN al cortafuegos, para así determinar qué queremos permitir o prohibir en los equipos. En el menú de la izquierda seleccionamos la opción Servidor DHCP. La configuración depen­derá de si nuestros equipos tienen IP estática (que es 192.168.1.1.

(Continúo) /

¡-

Seguridad de alto nive l e n redes: cortafuegos 7 -------------------

Caso práctico 7 9 (Continuación)

3. Habilitamos el reenvío DNS hacia nuestros servido· res DNS, que dependerán del proveedor de Internet, para lo que en la opcián DNS seleccionamos el reenvío

personalizado y los agregamos como ves en la Figura 730, donde se utilizan las direcciones 80.58.61.250 y 80.58.61.254.

~ Ámbito de dire«i6" - ¡,Q DNS - ,1 .....

Dem:c;;;, de árrbito lo'Gl Pmlcrll dreaión: 1192.168. 1.3 I tJtina cfreajón; 1192. 168. 1.254 I ru;...,,;, Mascara de red: 1255.255.255,0 I 1-···1 o H&iililr ~ de rowmo [1'15 1C3 Ag"!l" "~", ",",~I~d, -EJ ToeJIllOde~: EJI ",r,) @.3 , EJiJ

ResoU:ión [1'15 = TtlO de cmsUla [M

""""" O Habittar Ci!CfIe para ~tanw rápida dec:cnsu @ Uorra".. Cl:lfn.ita D'4!;

1192.158. 1. 1 SI el norrbre c:nsUtado ctIi""ocide:

~ Puerta de erke predeterninada: I ~ Ulllizar reemi:J ~ I Den ... I

l'

l· I I !1l Ser.idor de l'1CII1"b"e de dorrénio: 1192. 158. 1, 1 I ~ Pern¡n~Iiz.Jr DNS de leerMe ~ pemite'1 CB~esa>moÓi'1 (",n d'!

I 1 [] 5e!vidI:r de l1CfI'b-e WlNS; I I O ~lItamUtarf.lS

O Nootte de domno: I I rlotrbre 1l'IS,1ted ~idor(e:!) ONS

Si IJ drero:in lP d~ l5 =Jtil o:::n::ide 0Jn 13 red/rr.""=~

I IM'-··· I I 1/ 1 I I _. I O Noemw

I _'" i 1 """"'" 1 @ odan¡.,

~ em'Íll" anoUla alfa bs 2I"oidor(e!lJ D'lS:

i~ ,!"-:!ffí-.o, ·k81IFf'# I Fig. 7.29. Agregación de /AN. ' , UIúzN IUlm y ctm1I (; 1 p.ya ~Ilt 1:11IT!!da!I ~es.

1-··· 11 Edti::f ... 1 Q,J!t;¡r

1 _ ...

11 ""'"" I

Fig. 7.30. Agregación de DNS.

Caso práctico 8

Instalación de Kerio VPN Client en Ubuntu 9

En las organizaciones no es habitual trabajar directamente detalladamente los pasos que se han de realizar para es· sobre los servidores, sino conectarse a ellos en remoto. tablecer la conexión. Kerio permite que lo hagamos incluso desde fuera de la

1. Descarga el cliente de Kerio para Ubuntu desde su web red y desde distintos sistemas operativos, como Windows, Mac o Ubuntu, siempre que tengamos privilegios de admi· www.kerio.com, que se compone de dos paquetes:

nistrador. o kerio.kvc

El cliente para Linux aún está en fase beta pero su insta· o kerio.kvc.source

loción resulta muy interesante para darnos una idea de la Guárdalos en /root. facilidad para utilizar este servicio que se busca conseguir. 2. Antes de comenzar la instalación es necesario tener ins· Para realizar una configuración completa se recomienda talados varios paquetes, e jecuta la orden de la apl·gel utilizar el cliente VPN de Windows, cuyo manual explica como se muestra en la Figura 7.3l.

~ ~>:i ~1i@lI~ 8rchivo gditar Y'er Terminal ~olapas Ayuda

A

root@jupiter:-# apt·get install bzip2 module·assistant debhelper openssl. --Fig. 7.31. Instalación de paquetes necesarios. (Continúa)

,

195

Seguridad de allo nivel en redes: cortafuegos

q Casa práctico 8

(Continuación)

3. En primer lugar es necesaria construir el modula para el kernel e instalarla, can las órdenes que te aparecen marcadas en raia en la Figura 7.32.

5. Par última, instalamos el paquete correspondiente al demonio, cama ves en la Figura 7.35, tras la cual se iniciará automáticamente.

4. Durante la instalación del modula nas apareceró un asistente de configuración donde debemos indicar el nombre del servidor, indicamos que detecte automáti­camente su huella, el usuaria y su contraseña, cama ves en las Figuras 7.33 y 7.34.

6_ También puedes iniciar, parar a reiniciar el cliente manualmente can la arden # /etc/init.d/kerio­kvc {start I stop I restart}, respectivamente.

!r.I!1 n

BcIwo Edh. ~. Jerminal s.olapa. "r"~a

aa 11 1 H'~. -1 enll- "o;-~lIIIrc c " . e d ~~~;~~:~~d:a~~ ::q~::~k~ ~~ " .k",c.sIIUr(c pmlilCefl le 110 se ettillnada.

1029B f1t.herlls y directorios inSllllldos actua lctntc. 1 lIeu-..pa:¡ue tandll Iu! ri,,·hc-satl'(C Ide kcrlll ·kvC-$ource 6.1.0-6161·1 atLdeb) . Conflgu rand" kl! rlll-kvc-source 16.7.0· 6161 -11 ... - ~ ro"ttlll!pl ter:~. ~du¡e-asusfanl aUlo-lnH¡u ¡ ke rlo-kvc. sllurcc !

Actualizad. ¡ "S ficheras infos de l u paquetes 1 Ilbtcnl.mdo las fuentes de la ve rsion de l núcleo: 2.6.27·7·generlc EncabuadDs del núclfo disponibles en lusrlsrc/llnux-hnders·2.6.27 ·7 ·gener i c Crcando enlace sir::bólicD ... apt·get ins tall bulld -e5sentlill Leyenda list" de paquetn ... Hecha Creanda á.bol de dcpcndcncJas l eyendo la Jnforr.acJÓn de estada . .. Hecho buHd·essentlal ya está en su versió n c.is reeJenlo. I! actualizados. 11 se instalarán. 11 para eUr.llnar y 3 ~O no ac t ualizados.

IH echol unpack Extrattlng the package tarball. IUH/srC/ k ~ rio - kYC.U r .bz2. please wait ... · lusrlsh~ re/ ... odass/packages/delault. JII · bui \d KVEflS: 2. e.27-1 · gene r lc KSRC_/usrls

,1

rC/Unux KDRE ... ·2.6.27·7.14 kdlst_i~aoe B

Fig. 7.32. Instalación del cliente.

Kerio VPN client Kerio VPN client Enter a user name. Please enter host name of your Kerio VPN server.

Kerio VPN server: User name:

Juplter tmin!"'iu;t;r.rm <Aceptar> <Cancelar> <Aceptar> <Cancelar>

Fig. 7.34. Configuración del cliente VPN de Kerio. Fig. 7.35. Configuración del cliente VPN de Kerio.

Fig. 7.33. Instolación del demonio .

~ Actividades

9. Desde la consola de odministración del servidor con­figurar las transferencias FTP para que los usuarias no puedan descargar archivas avi a mpg.

6

11. Ejecuta el cliente VPN en Windows y realiza un pequeña manual en las posiblilidades que te ofrece.

12. Busca cortafuegos para servidores Linux y realiza un cuadra con sus características principales. 10. Instala en cliente VPN para Windows y realiza un

manual que describa su procesa de instalación.

--------------~-----------~

Seguridad de alto nivel en redes: cortafuegos 7

6. Arquitecturas de red con cortafuegos

La arquitectura más sencilla consiste en utilizar un firewall de fillrado de paquetes que permita o bloquee el paso de los paquetes mediante las listas de control de acceso, como es el caso de la arquitectura screened router (Fig. 7.3). Pero para una organiza· ción con muchos equipos es muy difícil establecer las reglas de filtrado correctamente para satisfacer las necesidades de la red. Por este motivo hay arquitecturas de red que combinando hardware y software ofrecen mejores niveles de seguridad.

6.1. Dual-Homed Host

La arquitectura dual·homed host se basa en el uso de equipos con dos o más tarjetas de red. Una de estas tarjetas se conecta a la red interna que se quiere proteger y la otra a una red exter· na, normalmente a Internet, como puedes ver en la Figura 7.36.

Los equipos de la red interna verán al bastión a través de una de las tarjetas de red y los equipos externos a través de la otra, pero el tráfico entre ambas redes estará aislado. Todo el tráfico debe pasar a través del firewall instalado en el bastión y si queremos permitir algún servicio (como ver páginas web) habrá que usar un proxy en el baso tión, lo que es un inconveniente, ya que no todos los protocolos admiten su uso. Además, si un ata· cante se hace con el bastión, tendrá acceso a la red interna de la organización.

6.2. Screened Host

Red interna

I .!!!!!!!!!!!!!!!!~

Fig. 7.36. Arquitectura dual·hamed has/.

La arquitectura screened-host combina el uso de un router con un bastión, de modo que el fillrado de paquetes se produce en primer lugar en el router. El bastión es el único sistema al que se puede acceder desde el exterior, como puedes ver en la Figura 7.37.

Cuando un equipo de la red interna quiera acceder a Internet habrá dos opciones de configuración:

• El router permitirá la salida de algunos servicios, como la navegación Web, a las máquinas de la red interna filtrando los paquetes por lo que sus regios de fillrado pueden ser complejas.

• El router prohíbe todo el tráfico de la red interna con Internet y si se desea acceder a algún servicio hay que hacerlo a través de la máquina bastión, igual que en la arquitectura dual-homed hos!.

Se pueden combinar ambas opciones, de modo que haya servicios controlados por el router y otras a los que se acceda a través del bastión.

En cualquier firewall es recomen­dable bloquear lodos los ser­vicios que no se util icen desde el exlerior, especialmente NIS, NFS, X-Windows y TFTP.

• Un equipo con dos

puede actuar como un router, enrutando los paquetes que recibe a Iravés de una de ellas hacia la otra.

• Algunos routers incluyen fun­ciones básicas de filtrado de paquetes, lo que añade segu­ridad a la red ya que pueden eliminar parle del tráfico no deseado antes de que actúe el cor tafuegos. A estos routers se les lIoma screening rou/ers.

Actividades"

13. Los rauters Cisca son muy utilizados en las empresas por su fiabilidad . Busca información sobre los proble­mas de seguridad que puede presentar lOS (sistema operativa propio de estos rauters) y comparálos con los habituales en un sistema operativo.

14. ¿Cuál crees que es el principal inconveniente de usar la segunda opción de configuración de la arquitectura screened·host?

Seguridad de alto nivel en redes: cortafuegos

Recuerda mantener siempre actualizado el sistema operativo del equipo bastión y no instales nada que no sea necesario en él. Es también conveniente que tenga instalado un cortafuegos personal, como ZoneAlarm.

Internet

Bastión

Fig. 7.37. Arquitectura screened-host.

Esta arquitectura es cada vez menas utilizada ya que si un atacante consiguiese hacerse con el contral del bastión o del rauter, de cualquiera de los dos, tendría acceso a la red interna.

6.3. Screened subnet

El bastión se aísla en una red perimétrica, la zona DMZ (De-Militarize Zone), que se sitúa entre la red externa y la red interna, limitada par dos routers, como ves en la Figura 7.38 que muestra un esquema típico de una arquitectura con zona desmilitarizada. El router externo filtra la entrada de trafico desde la red externa y la salida hacia la misma, mientras que el router interno se ocupa de filtrar el tráfico generado y dirigido por y hacia los equipos de la red interna.

~\\i""--------~;¡';~ Router externo

Internet

Zona desmilitarizada (DMZ) I Red interna

Fig. 7.38 . Arquitectura screened-subnet.

Es una arquitectura más compleja pero también mucho más segura que las anteriares. Utilizándola hemos eliminado el principal problema que presentaban las dos anteriores, ya que, como recordarás, cuando un atacante conseguía controlar el bastián, tenía ac­ceso a los equipos de la red interna. Ahora, para llegar al bastión, tiene que superar primero las medidas de seguridad del carta fuegos externo, y aunque lo consiga y se haga con el control de esta máquina, la red interna seguirá protegida.

~ Actividades

15. Razona qué tráfico estará permitido o no en cada zona de la arquitectura scree­ned-subnet (por ejemplo, especifica si el trófico desde la red externa a la zona DMZ estará permitido o prohibido).

16. Otra implementacián de la arquitectura screened-subnet consiste en usar un solo router con tres o más interfaces de red. Dibuja su esquema y analiza si ofrece el mismo nivel de seguridad que el esquema de la Figura 7.38. Identifica que tráfico está permitido y cuál restringido según esta estructura.

Seguridad de alto nivel en redes: cortafuegos 7

Z Monitorización y 1095 Los registros de actividad de un sistema, que habitualmente se conocen como logs, per­miten detectar incidentes y comportamientos no habituales. Esta información, especial­mente cuando los logs corresponden a un servidor o un equipo de red, resulta sumamen­te útil para localizar fallos en las configuraciones de los programas o cambios que se hayan hecho sobre dicha configuración. Permite también detectar si se ha desconectado al dispositivo del sistema y controlar el uso de recursos par parte de los usuarios. Ade­más de proporcionan información sobre el rendimiento del sistema, que puede resultar útil para detectar cuándo un equipo está empezando a fallar.

Z 1. Registro de actividad de los sistemas operativos

Los sistemas operativos incorporan lag s donde registran información sobre qué usuarios y en qué momento abren o cierran una sesión, qué procesos están en ejecución dentro del sistema, las aplicaciones que son ejecutadas por los usuarios, el uso de los recursos que hacen (impresoras, escaners, etc.) así como los posibles problemas de seguridad.

En los sistemas operativos Windows se utiliza el visor de eventos para analizar los lag s del sistema, como ves en las Figuras 7.39 y 7.40, donde tienes el visor correspondiente a Windows Vista y Ubuntu 9.04 respectivamente.

t.! YIP:< ... .,......"

;:¡ ~B OÍill~~-.". 10/C'il/C'il

Cuando se monitorice la red es necesario informar a los usua­rios de que se está haciendo, ya que de no ser así podríamos incumplir la ley de protección de datos, al registrarse información confidencial, tal y como ya estu­diamos en la Unidad l.

Puedes acceder al visor de even· tos de Windows en las herra­mientas administrativas incluidas en el Panel de Control y al visor de Sucesos desde un terminal con el comando:

$ gnome-system-lag &

G I~ 1 .. " .. . _ ......

~", .. . '; .... ..... -,.. ..... . ~,-tL ¡:- Te,,,,,,,,,,..,..,.., ... _ ""., (~. ...,..,..~"., ......... ".j ..

duman.lo; Sop ID 05:53:311 ¡up, ur.y. loga 1.5. ~2Ubuntull : ruurt. ¡

S. p 1005:53:311 ¡Upl u r anac , pn(411<1 2): .Job · cron. a .. l y·

_ . T'",~,,1"'''''''''' ' Sop 1005:53:38 ¡uplter anac,on(4842): tJo, ,,,,,l ! " t (¡ jet

-~ Q""""'''''' IJ ""' ..... "' ..... " .. 1,,'. , .

I".,..,.~.' ..... ,,,', ... -e ...... ,. ' .. """ll,-,l'_

m .... ; ..

sy. lo ~

u .. ,.I09

~o r9 · 0.l 0 9

Sop 1005:01:515 ¡upltor kern. l: ( :2005.0502421 p. ll<lu' .' í

Sop 1005:01: 57 jup, t . r ke rn ol: ( ¡>()05 .S5D1COl P'II<Iu". ~

Sep 10 OC5:0;¡ :42 ¡"P' to' n",.syn ''''-U ltlng. : so>l uU S

S. p 1000:03 :42 ¡ Up ' U "J. I...., r1<,...n . g. r: <¡n f o~ 501u nq ,\

s.,p 10 '00: 03: 42 ¡UP'!!' n",· dupa tchor •• cucn: n",_dlSpnd!

Sl p 1000:03: 42 jupl u rn",. d • • pa t che , •• cucn : S<:n pl ' , . r

( ... u. m". > (~~QI > Sep 10 OIl : ml : ll ¡ up.tor . ..... : cn.man.g . r (SO<'iD) : IIm JIIG1 lo" mor ",1, .. , "" db ",m ~p 10 0Il :OS: 1I¡up.tor •· .... l on .""'n.q.' (SOOO) : 1I.tRI[ tG ~

1 , ] 4 5' Se p 100ll :OS: 13jup.u , bonobo . act! vancn • • o,ve r [g.J'UV'1 ,o ,0

5 ,', r~~l : ~ :::~ s. ~ 10 0!l :0tl :14 ¡ up. u r . cp, d: ch . nt connlc t ed ,,"" (¡JO: ,

: ~ :: : : lO 15 n l' U :;;-'!....¡n M :M :I,; "..,'t_.r. I'~_··_ t · ~!"~ l "l . ntl."""""'"".!ff=i

IL~~_~~...J &.\ .. ,11 llLimPiar l SSH lin.OI [SSl .2 Kla)· u~ im . a<lu.li, .'¡6n: Thu 5. p 10 07 ,OB :S7 ¡OOg

Fig. 7.39. Visor de eventos de Vista. Fig. 7.40. Visor de eventos de Ubuntu.

En el menú de la izquierda de la Figura 739 puedes ver los registros sobre los que esta herramienta proporciona información:

• Registros de Windows: muestra información de errores, advertencias o información del sistema operativo y sus aplicaciones, así como información de seguridad, donde muestra los registros de éxito y de fracaso de los servicios auditados, por ejemplo, si un usuario ha podido iniciar la sesión.

• Registros de aplicaciones y servicios, cuyo contenido puede variar ya que incluyen registros independientes para los programas que se ejecutan en el equipo, así como registros más detallados relacionados con servicios específicos de Windows.

Haciendo doble clic sobre un suceso o evento se abrirá una ventana con información detallada que permite interpretar el tipo de error producido.

Actividades ~

17. En el visor de eventos de Windows selecciona un error, como el 5002, y averi­gua por qué se ha producido.

Todos los ficheros logs de linux pueden ser editados manual­mente para su consulta. En el caso de Ubuntu se guardan en los directorias que cuelgan de /var/log.

19

Seguridad de 0110 nivel en redes: cortafuegos

Puedes encontrar más informa­ción sobre el proyecto syslog en www.syslog.org.

De igual modo, los sistemas linux incluyen aplicaciones para poder visualizar los logs, como es la herramienta System Lag (sucesos del sistema) en Ubuntu, al que puedes acceder a través del menú Sistema, dentro del grupo Administración. Este visor gráfico incluye, entre otras funcionalidades, un calendario y utilidades de filtrado, como puedes ver en la Figura 7.40.

Además de los registros de sucesos del sistema operativo, existen programas indepen­dientes que permiten gestionarlos, como la herramienta syslog, pensada para centrali­zar todos los registros en un servidor y analizarlos ¡untos.

Z2. Registros de actividad del cortafuegos

Los cortafuegos incorporan sus propios registros de actividad, especialmente útiles para analizar los bloqueos de accesos no autorizados que se hayan detectado y las activida­des anormales que puedan haberse producido en el sistema.

Q Caso práctico 9

lO

Registros de Kerio Winroute Firewoll

En este caso práctico vamos a localizar y analizar el re­gistro de actividad del cortafuegos Kerio en el servidor, lo que nos permitirá tener una información más precisa de lo que ha ocurrido en el sistema y ha sido detectado por este.

1. Accedemos a la consola de configuración del cortafue­gos siguiendo los mismos pasos que vimos en el punto 6 del Caso práctico 7, solicitará el usuario y contra­seña.

2. En el menú de la izquierda del cortafuegos aparece una opción denominada registros que contiene los informes de actividad guardados por el cortafuegos.

[pi Registros

0 Iml ~ D &J "'" ~" - - ... ~ ¡g¡

"'aI1"Ii-9 ....

Existen distintos tipos, como puedes ver en la Figura 7.41.

3. Seleccionamos el registro denominado Web, que nos permitirá analizar las páginas Web visitadas desde los equipos de la red, mostrando información como la que aparece en la Figura 7.42.

4. Al analizar este registro, el administrador descubre que desde la dirección IP 192.168.1.34 se ha estado acce­diendo a wsinos online, y que el usuario de la máquina 192.168.1.5 ha estado buscando casas rurales para sus vacaciones.

@) [tJ l2J ~ [ij - "" h'. ,~.

""'"

Fig. 7.41. Tipos de Registros de Kerio Winroute Firewoll .

, i i . 'P'"' , ." .... "'''' .....

~ W I!;; Esbdo ' . . e c9~bbv1: ¡:: , , ,

!~!~:c",,,-+,'';~ . )- lJ) e!ert , ! ,

e¡ conlio¡! , , . , . ··E

I

l:j Olt'f'lr:tion , , 1:1 - ellI'ogarnaru!~!f·~ ¡:¡ ... ellI'ogarnal'Ud.!f·~

Q e<T1I' . . · ~ Rter :~~.

[S htl;! ::: ,. ,. ~ .. , 1!) rca.nty ~~ ,

."~ :i) ","" ::: . , i'í ..... 00"

, , .. , I¡ ,

" "'" , .. .!l! ' a ............. 111"'''' ~.

Fig. 7.42. Registro Web.

Aplicar mecanismos de seguridad activo describiendo sus característicos y relacionándolos con los necesidades de uso del sistema informático

1. Los cortafuegos nos ofrecen muchos ventajas pero tam­bién presentan limitociones_ Realizo uno pequeño tabla con los ventajas del uso de los cortafuegos y sus limita­ciones, puedes servirte de Internet para buscar informa­ción sobre estos temas.

2_ Existen uno gran cantidad de cortafuegos comerciales en lo actualidad. Busco información de vorios de ellos en Internet y realizo uno tabla comparando sus princi­pales característicos, incluyendo dotas como su fabri­cante, precio, etc.

3. Usando el esquema que realizaste en lo Actividad 1 de lo unidad, analizo si en lo red local de tu clase hoy establecidos distintos áreas de seguridad e identifíco­los. En coso de que lo red no tuviese cortafuegos en tu esquema, ¿en qué equipol s sería más adecuado ins­talarlo? ¿es necesario que se dispongo de uno zona desmilitarizado o DMZ?

Asegurar lo privacidad de lo información transmitido en redes informáticos describiendo vulnerabilidades e insta­lando software específico

4_ Abre el puerto TCP 7225 en el cortafuegos de Win­dows.

5_ Repite lo operación con el puerto UDP 4661.

6_ El registro de seguridad del firewall de Windows, tanto XP como Vista, está desactivado por defecto. Actívala poro que puedan registrarse los intentos de conexión (paquetes recibidos y enviados) e interpreto el conte­nido que aparece tras recibir un ping desde el equipo de un compañero.

7. Realizo la instalación del cortafuegos personal ZoneA­lorm en tu equipo (no olvides desactivar cualquier otro cortafuegos). Tras la instalación aparecerán globos de información poro que permitas o deniegues la conexión de los programas instaladas en tu equipo, toma la deci­sión que consideres adecuada y justifícalo.

8_ Autoriza un programo de los instalados en tu equipo, como Office, para que pueda acceder a Internet.

9_ Realiza un Telnet al equipo de tu compañero de 01 lado. ¿Puedes comunicarte con su ordenador? En caso negativa añade su dirección IP o la zona de con­fianza de ZoneAlarm, ¿qué ocurre 01 ejecutor Telnet?

Seguridad de alto nivel en redes: cortafuegos 7

Comprueba tu a~rendizaie~

10. Realizo una tabla teórica de filtrado, como la vista en la unidad, para la red 192.168.0.0, que cumpla las siguientes condiciones:

• Todos los equipos de la red podrán ver páginas Web por el puerto 80.

• Los equipos 192.168.0.3 y 192.168.0.4 podrán enviar paquetes al puerto de FTP de la máquina 193.55.0.2.

• La dirección IP 192.168.0.25 se utiliza para equipos visitantes, de modo que no se le permite enviar tráfico de ningún tipo.

• Desde lo red 194.2.10.0 se han sufrido varios inten­tos de intrusión, por lo que todo el tráfico tanto de entrada como de salida hacia esto red no se permite.

Recuerdo que debes ordenar las reglas de modo que no se produzcan incongruencias con el enunciado (empiezo con lo más restrictiva hasta la más general).

11. Utilizando iptables genera las reglas del ejercicio ante­rior con las opciones que sean necesarias. Recuerda que en lo ayuda de Linux tienes todos los posibilidades (man iptables).

12_ En función de las reglas de filtrado generadas en la Actividad 10, ¿crees que llegará a tu equipo un paquete' proveniente de la dirección IP 194.2.1O.13? ¿Se podrán enviar paquetes a la dirección IP 194.12.10.13 desde la dirección IP 192.168.0.3?

13_ Configura Kerio Winroute Firewoll para que el equipo 192.168.1.5 de tu red esté restringido. En caso de que esta dirección na corresponda con ninguno de los equi­pos de la red local de tu clase utiliza la de un equipo de la red.

14. Prohíbe el acceso a la pagina Web www_iuegos. com, u otra similar, en Kerio Winroute Firewall, poro cualquier usuario. Nota: si estas usando la versión de evaluación, que no incluye el filtro Web, no podrás comprobarlo en el navegador pero si verás la regla configurada.

Identificar lo necesidad de inventariar y controlar los ser­vicios de red

15_ Kerio Winroute Firewoll permite limitor el ancho de banda para la redes P2P. Configura el límite de des­carga en 100 Kb/s (download) y el de carga en 25 Kb/ s (upload).

16_ Analiza e interpreta la información del registro http generado por Kerio Winroute Firewall en el servidor.

Seguridad de 0110 nivel en redes: cortaFuegos

¡ ~~_ ~. ;!.~.~.~. ~_ ~.~. ~~J--c ______ c_o_rtofUegOS ___ ~~ '" Proxy

..... _....;;S.;:;e2g;;;ún....;;su:;,,;;im;,]p~l.;:;e;;.m:.:e::;n:.:ta:.:c::;jó;;.n:.-~.,,--(

Según su ubicación ....... _ ....;:;.;

Según su tecnología

De autoprotección del cortafuegos

Salida

Entrado

router

Dual-Homed Host

Screened Hosl --......;; Screened Subnet -.-..._-"

--(

Cortafuegos software

Cortafuegos hordware

Cortafuegos personales

Cortafuegos de subredes

Actúan a nivel de paquetes de datos

Actúan a nivel de circuitos

Actúan como pasarelas de aplicación

Transparentes

Qj H'il ndCOlCd

Seguridad de alto nivel en redes: proxy

y estudiaremos:

o Características y funcionamiento de las Proxy.

o Instalación y configuración de un proxy.

o Filtrar acceso y tráfico en el proxy.

o Métodos de autenticación en un proxy.

o Monitorización del proxy.

En esta unidad aprenderemos a:

o Identificar la necesidad de inventariar y controlar los servicios de red.

o Instalar un proxy.

o Configurar un proxy aiustándose o unas necesidades dadas.

=

Seguridad de a llo nivel en redes: proxy

Internet

Red interna

Fig. 8.1 . Esquema de red con Proxy.

\ , • ... ... , \ yl !5t bet,

Add lo: I blinklisl I del

@ CUAL es mi ip?

193.200.150.82 "'-"<l Mi tlircccjoll jp :

IP País: ~ Seychelles IP estado: Beau V all an IP ciudad: IP latitud: IP longitud : Proveedor: Organización: Netspeed:

Vict oria -4 .6167 55.4500 Anonymous SA Anonymous SA C,bl./DSL

Fig. 8.2. Mylp con Proxy.

1. Introducción

En la unidad anterior hemos estudiada que la función principal de un cortafuegos es añadir seguridad a la empresa cuando esta hace de proveedora de servicios, es decir, controla y regula los accesos a la red interna desde el exterior.

El uso principal del proxy, en cambio, es controlar el acceso que desde la red interna se hace de Internet: añade seguridad a la empresa cuando esta hace de consumidora de servicios, como por eiemplo, cuando desde dentra de la red de la empresa se lee el correo electrónico de Gmail o se consultan páginas Web.

~J Un proxy desde un punto de vista general es un equipo que hace de intermediario, es decir; se encarga de realizar acciones en repre­sentación de otros. Dicho 'en términos informáticos, es un equipo de la red que se encarga de recibir peticiones de recursos de red de los equipos clientes y gestionarlas por ellas, respondiéndoles a sus peticiones cuando hayan terminado dicha gestión.

Aunque como ya hemos dicho un proxy es un concepto más gene-ral, habitualmente y sobre todo desde el punto de vista de la seguri­dad hace de elemento de la red por el que pasa todo el tráfico entre

la red interna y la externa (Internet), encargándose de realizar las peticiones externas en nombre de los equipos de la red interna y descartando aquellas peticiones que na cumplen las reglas establecidas por el administrador.

~ Actividades

l. ¿Qué es la navegación anónima par Internet? ¿Qué ventaias tiene?

q Caso práctico 1

Funcionalidad del Praxy

\.

En este caso práctica vamos a comprobar la funcionalidad de un Praxy como he­rramienta de seguridad, pera también cama herramienta que utilizan los hackers.

Existen numerosos servicios de praxys gratuitos en Internet que te permiten navegar sin deiar tu dirección IP registrada.

1. Para comprobarlo vamos a acceder a www.myip.es. que nos dirá cual es nues­tra dirección IP.

Cama puedes comprobar, todos los que estamos en la misma clase navegamos desde la misma dirección IP pública, e incluso nos dice cuál es nuestra localiza­ción aproximada.

2. Ahara vamos a acceder a esta página, pera a través de un praxy web gratuito.

Entra en www.anonymouse.org, selecciona el idioma inglés y escribe en esta página la dirección www.myip.es. Verás que la dirección IP que nos está poniendo es diferente (ahora parece que nos indica que pertenece a las Islas Seychelles) . Esto es porque la petición a myip.es no la estamos realizando noso­tros directamente, sino que la está realizando anonymouse.org y después nos está mandando el resultado.

Hay expertas que tratarán de localizar un praxy como el tuyo, que por despiste esté abierto y les permita acceder a otros lugares de Internet con tu dirección IP (en lugar de la suya).

Seguridad de 0110 nivel en redes: proxy

• 2. Características del proxy

Sus características más importantes san:

• Permite definir los permisos que tienen los usuarios de la red interna sobre los servi­cias, dominios y direcciones IP externas. Por ejemplo, permite definir que el usuario Fernando tiene acceso a Gmail, pera Macarena no.

• Todas los usuarios de la red interna comparten una única dirección IP (a un conjunta de direcciones), de forma que desde el exterior (Internet) na se puede diferenciar a unas de otros.

• Puesta que toda el tráfico que circula de la red interna hacia Internet y viceversa pasa por el proxy, se puede auditar el usa que se hace de Internel. Podemos por ejemplo ver qué páginas se consultan can mayar frecuencia, qué usuarias hacen mayar consumo de ancha de banda, etc.

• Permite almacenar las páginas recientemente consultadas en una caché para au­mentar el rendimiento de la red. Es decir, cuando se consulta una página se almace­na en la caché del praxy para que si posteriormente se vuelve a consultar se pueda servir más rápidamente.

Utilizar el complemento SwitchProxy

Caso p'ráctico 2 9 Configurar el navegador Firefox para que, utilizando el complementa SwitchPraxy, modifique el proxy a través del que navegamos cada cierto tiempo.

Can esta conseguiremos ser un paca más invisibles en Internet y comprobaremos cama la segunda característica de las praxys (todas las usuarias de la red interna comparten una única direccián IP) puede ser utilizada para aumentar la seguridad a cama herra­mienta hacker.

1. Descarga el complemento SwitchProxy de la página de complementos para Firefox (hHps://oddons.mozillo.org/es-ES/firefox/) e instálalo.

2. Busca en Internet una lista de proxys gratuitos. Puedes encontrar una en http:// www.proxys.com.or/ a en hHp://www.webproxy.com.es.

3. Copia en un fichero de texto diez proxys con su dirección IP (o nombre de domi­nio) y su puerto. Tienes que poner un proxy (dirección a dominio:puerto y sin espacios) por línea.

4. En la nueva barra de herramientas (Switch Proxy Toolbar) pulsa sobre el botón Add. Selecciona la opción Anónjma (Ananimous) y pulsa sobre el botón Continuar (Next).

5. Ponemos una etiqueta al proxy (Proxy label), por ejemplo invisible 1, e indicamos la ruta del fichera de texto (en File) que acabamos de crear; después pulsamos sobre el botón Cargar (Load).

6. También podemos especificar cada cuánta tiempo queremos que cambie el praxy que se está utilizando (Change Proxy Every) indicando un valor en segun­dos. Pondremos 60 segundos.

7. Salvamos los cambios. De nuevo en el navegador, seleccionamos la lista de proxys que acabamos de crear (invisible 1) Y pulsamos sobre el botón Aplicar (Apply).

Comprueba de nuevo accediendo a www.myip.es que la localización que está detectando es diferente a la real y además está cambiando cada 60 segundas, lo que hace que sean más difíciles de seguir tus pasos en Internel.

I Esto tiene como principales inconvenientes que puede ser bastante lento (por ser un servicio gratuito y tener muchas clientes) y que puede que veas las páginas que visites tal cual son (par ejemplo, las verás sin imágenes).

Si utilizas un praxy y i una página que ya tiene almace­nada en su caché, te devolverá esa que él conserva, por lo que puede que no sea la última ver­sión de dicha página. Esto se puede solucionar actualizando la página en el navegador (pul­sando F5).

Ya ;~","od d •• ,. "'."" cod ••• m., ----------------------~------------------------

3. Funcionamiento del proxy

Los equipos que pertenecen a una red que tiene instalada un proxy, cuando se comu­nican con el exterior a través de uno de los protocolos activos en el proxy, en realidad están intercambiando paquetes con el proxy, y es el proxy el que intercambia paquetes con los equipos del exterior, de forma que cuando este recibe respuesta, a su vez con­testa a los equipos internos.

It:JlI pe Fernando Servidor www.eacnur.org

~~====d---@-I==== ProXy <Jb======~ ~====~; =I@=I=====--

Red interna

Fig. 8.3. Esquema IP can Praxy Sitour.

~ Actividades

2. ¿A qué direccián IP res­pondería el servidor web www.eACNUR.com. a la

l direccián de PCFernando o a la direccián del proxy?

Red local

Siguiendo los pasos de la Figura 8.3 que representa el esquema IP de SiTour, el equipo PCFernando solicita la página www.eACNUR.com. Esta solicitud llega al proxy, y este tras comprobar que cumple las reglas establecidas, envía la petición a www.eACNUR. com en su nombre, es decir, como si fuera él mismo el que estuviera interesado en esta informacián. Además anota qué equipo le solicitá la página para después poderle contestar. Cuando la información es· enviada por www.eACNUR.com al proxy, este contesta al PCFernando con la información solicitada. Hay que tener en cuenta que www.eACNUR.com en ningún momento llega a «conversar» con PCFernando, sino que siempre lo hará a través del proxy.

Para comprender un poco más en detalle el funcionamiento de una red cuando utili­zamos un proxy vamos a centrarnos en una petición sencilla de un equipo de la red a google.com.

Cuando un usuario solicita una página Web, como por ejemplo en la Figura 8.4 www. google.com, construye un paquete en el que el origen es su dirección IP y el puerto es uno aleatorio y libre asignado por el sistema operativo (por ejemplo, IP 192.168.1.72 Y puerto 5230). Como destino puesto que está utilizando un proxy pone la dirección y el puerto del proxy 182.168.1.1 y puerto 80.

Internet 192.168.1.1 80.38.1 .106

192.168.1.72

Solicitud

Origen 192.168.1.72 Puerto: 5230 Origen

80.38.1.106 Puerto: 3000

Destino 192.168.1.1 Puerto: 80

Destino 209.85.229.105 Puerto: 80 www.google.com

Fig. 8.4. Esquema proxy solicitud.

Seguridad de alta nivel en redes: proxy

Cuando la solicitud llega al proxy, este genero un paquete como si fuero él mismo el que realiza la consulta, es decir, genera su propio puerto cliente aleatorio y pone su propia IP como origen (IP 80.38.1.106 Y puerto 3000). Con respecto al destino, pone la IP que corresponde con la petición del cliente, es decir, wwwogoogleocom, 209.85.224.105, y el puerto correspondiente al servicio Web 80.

De esta manera cuando la solicitud llega a Gaogle, en el paquete sala hay referencias al proxy, es decir, a la dirección IP 80.38.1.106.

Cuando Gaogle responde a la solicitud (Fig. 8.5), responde a la dirección y el puerto que recibió como origen en la solicitud: la IP 80.38.1.106 y puerto 3000. Cuando llega la respuesta al proxy, este tiene que modificar de nuevo la cabecera con el destino que le corresponda y se pone él mismo como origen.

Internet

192.168.1.1 80.38.1.106

92.168.1.72 ! j 209.85p9.105 ~~~~~~ ------~~~~~~~~~~ .es Respuesta

~I Origen

Destino

Fig. 8.5. Esquema proxy respuesta.

192.168.1.1 Puerto: 80

192.168.1.72 Puerto: 5230

Pero, ¿cómo sabe qué destino le corresponde?

192.168.1.72:5230

192.168.1.50:6350

Origen

Destino

. • • 1 •

209.85.229.105 Puerto:BO

80.38.1.106 Puerto: 3000

80.38.1.106:3000

80.38.1.106:3001

Tabla 8. l. Tabla de estado del proxy.

www.google.com

La Tabla 8.1 es una tabla de estado que crea el proxy para saber a qué equipo de la red interna le corresponde cada paquete que le llega de la red externa. Por ejemplo el paquete de respuesta que llega de Google al puerto 3000 del interfaz 80.38.1.106 del proxy, tendrá que enviárselo al equipo 192.168.1.72, porque así está anotado en la primera fila de la tabla de estado del proxy. Esta tabla la va construyendo el proxy según va recibiendo solicitudes (es decir, cuando los equipos de la red interna acceden a servicios de la red externa.)

Actividades ~

30 Teniendo en cuenta la configuración física de tu aula de prácticas, si tuvieras que colocar un proxy para controlar el acceso a internet desde tu aula, ¿dónde lo harías? ¿Necesitarías algún material adicional?

40 ¿Tiene la compañía Microsoft algún proxy? ¿Cómo se llama? ¿Cuáles son los requisitos del sistema para poder instalarlo?

50 Haz dos gráficos similares a los de las Figuras 8.4 y 8.5 representando la forma de acceder a Internet en el instituto desde el ordenador de clase. Supón que en el instituto tenéis un proxy.

60 Continuando con la actividad anterior desarrolla la tabla de estado del proxy que le correspondería.

Seguridad de alto nivel en redes: proxy -------------------------------

4. WinGate WinGate es un software de la compañía QBIK bastante conocido que hace las fun· ciones de proxy en una red sobre un sistema operativo Windows. La versión utilizada durante el desarrollo de este libro ha sido la 6.6.

4.1. Instalación

Un aspecto importante de la instalación de un nuevo proxy en la red es su localización físico. Lo ideal es que el proxy esté situado físicamente en el único punto de unión de la red interna y la externa (Fig. 8.3), de esta forma los equipos conectados a la red interna no podrán salir al exterior sin pasar por el proxy.

Para comenzar con la instalación primero descárgote el programa de la página http:// www.wingate.com/(después lo activaremos para tener 30 días de evaluación). Descár· gate también la documentación del programa y la documentación de instalación.

Q Caso práctico 3

Preparación de la red de close para la instalación de un proxy

Vamos a reproducir esta situación en el aula utilizando un equipo con dos tarjetas de red (o una máquina virtual con dos interfaces de red), un cable cruzado y otro equipo (Fig. 8.6).

1. El equipo que tiene dos tarjetas de red lo vamos a utilizar como servidor proxy y el otro equipo como cliente. Una de las tarjetas de red del proxy la conectamos a la red de clase.

2. La otra tarjeta de red la conectamos utilizando el cable de red cruzado al cliente.

3. El interfaz del proxy que está conec· todo a la red de clase lo montendre· mas con la configuración IP habitual de clase. Ponemos el nombre «Red2 -Solida Interne!» para identificarlo más fácilmente.

Equipo que hace de Praxy

Configuración habitual

IP: 1 92.168.50.1 Máscara: 255.255.255.0

O 4. Para la otra red, que estará formada

por un interfaz del proxy y el inter· Fig. 8.6. Esquema clase con proxy.

faz del cliente, elegiremos la red 192.168.50.0/24, por lo que pondre· mas al proxy la IP 192.168.50.1 Y la máscara 255.255.255.0 (sin puerta de enlace y sin DNS). Al igual que antes cambiamos el nombre de este interfaz, lo llamaremos «Red1 - Red Local". La figura 8.7 muestra el resul· todo de ejecutar el comando ipeon· fig después de la configuración del proxy.

5. Para la interfaz del cliente pondremos que se configure por DHCP. Fig. 8.7. Configuración IP proxy.

Internet

Equipo que hace de cliente

Seguridad de alto nivel en redes: proxy

Iniciamos lo instalación de WinGate en el equipo que hará de proxy (debes tener con­figurados los interfaces antes como se ha visto en el Caso práctico 3), y lo primero que nos preguntará es si queremos instalar el servidor o el cliente; seleccionamos instalar WinGote Server.

Nos informará del lugar del disco donde se instalará (si es necesario modificarlo en tu sistema, indica en este paso una carpeta alternativa para la instalación). También nos informa de la posibilidad de manejar los usuarios ya creados en la arquitectura NT. No seleccionamos esta opción porque crearemos nuestros propios usuarios.

Más adelante nos preguntará si queremos instalar ENS (Fig. 8.8). Lo instalaremos, por­que este complemento nos permitirá utilizar NAT. Seleccionaremos también la opción que aparece más abajo como Protect Server on bootup ... , porque hará el arranque de WinGate más seguro.

Activaremos también la auto-actualización para mantener el proxy actualizado con los últimos parches de seguridad.

En la siguiente pantalla nos pide que activemos el programa (Fig. 8.9). Es muy impor­tante que no pases de esta pantalla sin activarlo, así que pulsa sobre el botón Activole y sigue los pasos.

4.2. Configuración inicial

ENS InstaJlaJion

Fig. 8.8. Instalación ENS.

Actil'aJirrn Requircd ..... ............. _ ....... " ............... ..... . ,.. .... __ ..... _-,g_ ..... - ..... ~ ... ~ ...... .-'"-

;!) ---....... . _. __ . .... ,,_ .. ... _ "' _ ... . ... JII ... "'" ::w-t ..... ,--~ ...... ....... _..-. 101._ ,.-' ... _ .. __ ... ... ... ,_-.. ,.. .............. '. '''''''''d .... _ ... ~.-

Lo primero que tenemos que hacer después de la instalación (después de reiniciar) es F· 89 A t· . . Ig. .. c ¡vac/on, comprobar que la instalación se ha hecha carrectamente. WinGate genera un nuevo servicia llamada QBIK WinGate Engine que llevará a cabo toda la funcionalidad de WinGate. Habrá que comprobar que el servicia está activa y que se inicia de forma automática.

Para controlar este servicia podemos utilizar la consola de servicios de Windows servi­ces.msc (en esta consola la encontraremos cama QBIK WinGate Engine) a un icono que nos aparece en el área de notificación llamada WinGate engine ~ , que nos permite si pulsamos el botón derecha iniciar el servicio (slorl engine) o parar el servicio (slop engine).

Después iniciaremos GateKeeper, que es el centro de gestión de nuestro servidor proxy (Inicio> Todos los programas> WinGale > GoleKeeper). El usuario que nos crea por defecto para poder conectarnos al servidor recién instalado es «administrado,,>, sin con­traseño. Por tonto, dejamos los datos que nos aparecen por defecto (tal y como ves en la Fig. 8.10) Y pulsamos sobre el botón OK. Nos pedirá que modifiquemos lo contraseña por seguridad.

" "í(JQIBJ '"

,.. """" ....

IGo~ ~~¡~ ¡;¡ ~ ~ é

~.JVe Control "'" I':J ~ I)S"

' . :..J AcaIunl deld3: U:emame ]Acmni:ttalor

PII;:woId I r U:e ClIlenl \ll1I1dow11ogll

Wr-.Gale~ion

5 .. '<1" 1"""" ,.. roo-p I lag ro lo LO!2lnucl'li1e

r U;e lhele del!il; nelllline lo Iogil d.i~1y

~ c.... I

1 FotHe!p, pr~sF I Al

Fig. 8. 10. Conectar GateKeeper con nuestra instalación de WinGate,

Para evitar problemas a la hora de conectarse los clientes a los servicios de nuestro proxy, vamos a desactivar el cortafue­gos de Windows del equipo que hoce de servidor proxy, aunque uno vez probado y funcionando deberíamos activarlo de nuevo e incluir excepciones para los ser­vicios y puertos que finalmente dejemos activos.

GateKeeper permite lo admi­nistración remota del proxy, de forma que teniendo GateKeeper en un equipo de lo red podemos administrar de forma remota varios proxy WinGote diferen­tes.

Seguridad de alto nivel en redes: proxy

Por defecto y según lo instala­ción que hemos realizado de WinGate, el proxy está ges­tionando las peticiones a tra­vés de NAT (Network Address Translation o traducción de direcciones de red) y no del ser­vicio de proxy. Veremos esto con más detalle en el Apartado 4.4.

Para terminar can la configuración de nuestro proxy, debemos indicar a WinGate qué interfaz tenemos conectada o la red local y qué interfaz tenemos conectada al exterior.

Para ello vamos a la pestaña redes (networks), Figura 8.11, pulsamos con botón derecho sobre el interfaz conectado 01 cliente (interfaz de red local) y seleccionamos Propieda­des.

JD GeteKeeper - connected lo WlnGate on localhost '1.

GOP Setvice

mis Se/vice

s ...

Remole Control SeMce 80B

POP3 Serve. 110

SMTP Setver 25 143

Fig. 8.11. Configuración de Interfaces en WinGate.

lAN or tiQh-Speed Internet: Enab!~d

lAN or HiQh-Speed lnternet Enabl~d

lAN or Hioh-Speed Internet EnabJed r AN nr KiI1h_<;n",.ri Intl\rnl'.t N,.tw ..... k r.v.1ooi I

Dentro de las propiedades seleccionamos la opción Red interna protegida (internal pro­tected network), que le indica o W inGate que ésta es la red interna (Fig. 8.12). Paro el otro interfaz seleccionamos la opción Red externo no seguro (external untrusted net­work), coma vemos en la Figura 8.13.

-1- Redl - Red Locel Status

W'hallype 01 nelwork does lhi, adapter comecl lo?

r Auto delect

r. AA intema! prolecled network

r AA exlelnel oolrwted network (e.!jI. !he Internet]

r A secu:ed eKlernal network {OM2]

,-. 1.0Gbp:

Pocket::

Sen! - ~ - Received

2107 1071

Ii oK 1I c..oc.l

Fig. 8.12. Propiedades Interfaz local.

x ..L Red2 - SaMa Internet Status _.

WMllype of nelwolk doe: this adaptel CO!VloeCl to?

r Auto detect

r AA intelnel prolected nelwork

r. AA eKlelnal U"IlMled network (e.!jI. the Internet)

r A :ecured eKletnal nelwork IDMZl

Enllbled

1.0Gbps

Packel:;

Sen!. - ~ - Received

1831 I 1631

OK c..oc.l

Fig. 8.13. Propiedades Interfaz externo.

x

Para comprobar que todo lo que hemos hecho funciona correctamente, arrancamos el cliente que teníamos configurado con DHCP y comprobamos que recibe uno dirección IP de forma automática y correcta.

Ya podemos comenzar a navegar con el cliente y comprobar con GateKeeper en la pestaña Actividad que el equipo cliente aparece (Fig. 8.14).

Seguridad de alto nivel en redes: proxy

P GateKeeper - connected to WinGate 00 localhost ,~

~ Winsock Redirector S ...

~ GDP Service

~ DNS Service

~ Remole Conlrol Service

~ POP3 Server

~ SMTP Server

~ IMAP4 SelVe,

f9J Email

la Caching

/iIiI Schedule,

@lDiale,

~ Extended NetwOIking

For Help, press Fl

® Pluglns

- (Administrator - Authenticated WinGate login: Register for everything

t-JAT: TCP Connectlon to 209.85.227.113:80

NAT: TCP Connection to 74.125.43.101 :80

NAT: TCP Connection to 74.125.43.101 :60 NAT: TCP Connection to 74.125.43.102:80 NAT: TCP Connection to 74.125.43.102:80

NAT: TCP Connection to 74.125.43.102:80 NAT: TCP Connection to 74.125.43.102:60

Fig. 8.14. Comprobación actividad WinGale.

4.3. Servicios de WinGate

Cuando instalamos WinGate, no solo estamos instalando un proxy, estamos instalando un conjunto de servicios que habitualmente son utilizados en el equipo que hace de proxy.

WinGate divide los servicios en dos tipos: de usuario y de sistema.

Los servicios de los usuarios son los servicios propios de proxy que WinGate ofrece a los usuarios. Los más importantes son Proxy Web y Proxy FTP IFig. 8.14).

Los servicios del sistema son los servicios que utiliza el sistema para funcionar IFig. 8.15). Los más importantes son:

• Servicio DHCP: permite que los equipos que están en la misma red IP reciban una configuración IP apropiada para la red de forma automática.

• Servicio DNS: el proxy hace de servidor DNS para los equipos de la red, es decir, cuando los clientes de la red soliciten una resolución de nombre de dominio, la con­sultarán a este servicio.

• Extended Networking: este es el servicio que durante la instalación nos consultó si la instalaba ENS IFig. 8.8). Este servicio incluye NAT y cortafuegos.

• Caching: es un servicio de WinGate que permite almacenar algunas de los conteni­das solicitados al proxy ltípicamente páginas Web) en una caché Icaché de disco), de forma que si posteriormente otro usuario lo solicitara tardaría menos en servirla.

o Parada y arranque de los servicios

7.

l

Actividades t' ¿Qué características de las que hemos expuesto en el Apartado 1 cum­ple el praxy tal y como lo tenemos ahora?

Extended Nelworking

368

53

808

110

25

143

Fig. 8.15. Servicios del sistema.

FTPP/oxyse/ver

<@ logfile SeNer

<i!> POP3 Proxy server

<t!> RTSP Slreaming Media Proxy

<@ SOCKS Proxy server

21

8010

8110

554

1080

<@ T elnet Proxy server 23

7000 .;....--

Start Stop

New service Clone Service Delete

~opertles

8000

Para parar un servicio de WinGate, tan solo tenemos que pulsar botón derecho sobre el servicio que queremos parar y seleccionar la opción Stop IFig. 8.16). Para arrancar un servicio igual pero seleccionando la opción Staft. Fig. 8.16. Servicios de usuario.

212

Seguridad de 0110 nivel en redes: proxy

de los servIcIos que instalado por defecto nos

simplificado la configura­clan de los clientes, como son DHCP y DNS.

o Configuración de los servicios

Cuando seleccionamos lo opción propiedades o hocemos doble clic sobre el nombre de un servicio, se nos obre lo ventano de configuración de dicho servicio. Algunos propie­dades que se pueden configurar paro lo mayor parte de los servicios son:

• General: incluye los opciones para el arranque de dicho servicia. Los opciones mós utilizados son Manual start / stop para arrancar y parar manualmente cuando sea necesaria y Service will start automatically para que el servicio arranque de forma automática siempre.

• Enlaces (Bindings): indica a WinGate en qué interfaces debe ofrecer el servicia. Por ejemplo, es lógico que el servicio DHCP sólo se ofrezca en el interfaz que conecta a la red interna. Se configura una de las siguientes opciones: Any internal adapter para que salo se enlace con interfaces internas, Any external adapter para enlazar con interfaces externos, a Any adapter para enlazar con cualquier interfaz. Si re­cuerdas, ya indicamos a WinGate qué interfaces son internos y cuáles externos en la instalación Ifigs. 8.12 y 8.13).

• Políticas (policies): indico o WinGate qué usuarios pueden acceder, parar, arrancar o modificar dicho servicia. Si seleccionamos el permiso de acceso en el desplegable permiso (right), veremos en el cuadro inferior los usuarios o grupas que tienen dicho permiso. Cuando na hay especificados permisos, aplicarán las políticos por defecto que se hayan especificada en la pestaña de usuarios (en system policies).

• Registro (Iogging): Indica los eventos de este servicio que se registrarán en las fiche­ras de registro (lag) de WinGate.

4.4. Tipos de proxy

Un praxy puede manejar las peticiones a través de diferentes servicios y diferentes mé­todos. Según estos combinaciones se forman los diferentes tipos de proxy:

• Proxy: es la idea más tradicional de un proxy. Los usuarios tienen configurados sus programas (por ejemplo, el navegador para que hagan sus peticiones a un puerto determinado del proxy). Para poder navegar los usuarios tendrán que configurar su navegador con lo dirección IP del praxy y su puerta. En lo Figura 8.17, el usuaria vir-Iaptop está configurado para trabajar can proxy.

~ Actividades

~ . ' l."" ¡¡ http://www.frikipedia.es/friki/ASDF

@fernando C~ NAT: TCP Connection to 208.43.202.7:80

:--C~ NAT: TCP Connection to 174.36.30.66:'143 ;·" " C~ NAT: TCP Connection to 174.36.30.66:443

Fig. 8.17. Clienles NAT y proxy.

8. ¿San las servicios DHCP y DNS necesarios para el funcionamiento del proxy? Desactívalas y hoz que el cliente sigo navegando par Internet.

9. ¿Can qué interfaces están enlazados los servicios ENS (el que incluye NAT) y WWWproxy?

JO. ¿Qué eventos se están incorporando al servicio de lag de EN S?

11. ¿Qué usuarios pueden acceder 01 servicio ENS? ¿Cuáles pueden acceder al WWWproxy?

Seguridad de alto nivel en redes : proxy

Caso "ráctico 4 9 Utilizar un proxy en el cliente

Configurar el navegador Firefox para utilizar un proxy en el cliente y comprobar en la ficha de actividad de Ga­teKeeper que WinGate lo gestiona a través del servicio proxy y no a través de NAT.

• ¡:¡

lO] Ci "'iJ ro @' a ,l~J Prnq,1.oI Pes!~ Ccnl."" PrCQrotM< Privl>tid~ Se9""id~ "v"""~

Gene ... ,1 ~I A,!UllkzIl< ! CJ,1tOO

r '~'" ~on'q..1I< tórno F.efc~ . e cone<t~ ~ Inte",<t I ",,~ .... _·I I Ardw odc de medo.., cene. a.

UsMIl..:.a 1 501: 1 Mlda"'l'aoo pat .IH.m; I l~ ... h ... · 1 o A ........ ""'<l un '1\.1:>.""",. gu"'Mr d.to. pato"", ,n , ...... a. 1 E~,epó:lne<_ 1 Los si¡¡uo:nte. Pol:l' .. eb llenen dOltos ~d.w. pat. el uso en moda.., c ..... ..sn,

I IL=-! l'

I Ac~Of l lc"",.w I~

Fig. 8.18. Configuroción Red en Firefox.

2. Pulsamos en el menú superiar sobre Avanzado y selec­cionamos la pestaña Red (Fig. 8.18).

3. Dentro del apartado de conexión pulsamos sobre el botón Configuración (Fig 8.18) .

4. Seleccionamos la opción Configuración manual del proxy y escribimos la dirección IP del proxy (192.168.50.1) y el puerto del proxy (por defecto en WinGate 80). Además seleccionamos la opcián Usar el misma proxy para toda (Fig. 8.19).

1. Si Firefox está instalado sobre Windows XP pulsamos en Herramientas> Opciones, sobre Linux Edición> Pre­ferencias. Ambos caminos nos llevan a la misma ven­tana.

con' ........... crie'pat.eI acc= a lrtemet - ------,

o Sin ... cx:¡:

o AWld~\""tM con' ..... ación d.! "'''''Y p.n ... ta ,O<!

o úriiopación monuol del ... oxy

Pro.yt!HP: I ]92,169. 50.1 ~~,! o: 1 eo l$~ o u .... el rrismopro!y par. lodo

Pro. ii-: ~ Pu:tt~; ~ rr,",, ~¡ I' : 1'7:\ 50,] I Puettll: ~

;=y~, Ili.l' ~I I Punto. ~ ~5OQ! 111 l' 501 I f\Jt1 t~· ~

5OQ.5"" • ~.sr.;

/:!O"",,. ... ory p .... , ~1b:~ ... §.~.~m~.".~" .• ~~==:J E)emc*l' .~.OIg, .~,ru

o LRL w.L!a cooh:pación ~OIJI6tic. delPlOXY'

Fig. 8.19. ConFiguración proxy FireFox.

5. Reiniciamos el navegador para que asuma la configu­ración y accedemos a alguna página para poder com­probar su actividad.

6. Acced~mos a GateKeeper en el servidor proxy y com­probamos que la actividad del cliente ahora se refleja con otro icono. Ahara el proxy está gestionando las peticiones a través del servicio de proxy y no de NAT (Fig 8.17, equipo vir-Laptop).

o Proxy NAT: es una combinación de NAT y proxy. Es un programa que recibe peti­ciones en cualquier puerto y utilizando la traducción de direcciones NAT las envía a Internet. Este es el método que en nuestra instalación por defecto utiliza WinGate. Son muy utilizados cuando no se quiere controlar el acceso a los contenidos, sino solo registrar la actividad. El usuario no tiene que tener configurado el navegador. En la Figura 8.18 el usuario Fernando está haciendo peticiones a través de NAT.

o Proxy transparente: Es un proxy en el que todas las peticiones que se envían con un puerto destino son interceptadas por el proxy (aunque no fueran dirigidas a él) y tramitadas como si el cliente le hubiera hecho la petición al propio proxy. No es ne­cesario que el usuario configure su navegador y además tiene toda la funcionalidad de un proxy (utilizaremos este tipo de configuración más adelante).

Actividades ~

12. Configura el navegador Internet Explorer para navegar a través de nuestro proxy (si no tienes Internet Explorer utiliza cualquiera que no sea Firefox). l ___ _

13. Configura el navegador Firefox para no utilizar proxy. Comprueba en el servidor que estás manteniendo conexiones a través de NAT y a través de WWW proxy.

213

Seguridad de 0110 nivel en redes: praxy

Gllle Ilper · cannecle lo n ale on DCi! o

File V_ OptIons Hdp

Ei USers n Adrnl'listrator n Fernando n Guest

n VirQ'nlll m ID Groups

" Databllse opUons 'r D: A5sumcd Users 6 Systcm Po\ic.ies GJ MuItI'U5cr M"ch:nes

-iji"Hi Ncl'l Group

C) CEent ~ef ~ JUPITER(

L ¿¡:J WinGlI

Import Uscrs

Expor l Users

Fig. 8.20. Nuevo usuario.

~ Actividades

14. Creo dos grupos, Aula 1 y Au102, y añade 01 grupo Aula 1 el usuario que aca­bos de crear.

15. Creo otro usuorio y oñá­del o 01 grupo Au102.

16. Analizo qué ocurre en el proxy si el diente modi­Fico lo dirección IP de su equipo en codo coso.

17. Discute con tu compañero cuál es el tipo de usuoria menos útil en tu instituto orgumentando tu posi­ción.

4.5. Creación de usuarios

WinGate reconoce tres niveles de usuario diFerente:

• Unknawn (desconocidos): son usuarios sobre los que WinGate no tiene ningún co­nocimiento.

• Assumed (asumidos) : WinGate ha asumido lo identidad del usuorio o portir de su dirección IP o el nombre del equipo. Como sobes, estos son dotas que Fácilmente se pueden Falsear, por lo que WinGate no garantizo que lo identidad de este usuario sea correcta.

• Authenticoted (autenticados): WinGate puede asegurar lo identidad del usuorio por­que ha posado un proceso de autenticación.

En los Figuras 8.21 , 8.22 Y 8.23 podemos ver como muestro gráFicamente WinGate o los usuarios de codo uno de estos niveles.

~ Vir-laptop I ~.~~_~","-_________ -, Fig. 8.21. Usuario Unknown .

~ Vir-Laptop - (virginia - Assumed [Assumed] ) ~A Fig . 8.22. Usuario Assumed.

~ Vir-Laptop - (virginia - Authenticated [WinGate] ) --'--"'"' Fig. 8.23. Usuario Au/hen/ica/ed.

Como podemos ver, WinGote pone en primer lugar el nombre de red del equipo desde el que se está conectando, separado por guión y entre paréntesis pone el usuorio Win­Gote que se ha reconocido y en que nivel (ossumed o Authenticated).

q Caso práctico 5

Nuevo usuorio «Asumido» en WinGote

Creor un usuario y hacer que WinGate relacione una máquina con dicho usuorio.

1. Abrimos en el panel de control lo pestaña usuorios (si no te aparece el panel de control: Menu > View> Control Panel o Ctrl+shiFt+C), pulsamos con el botón derecho sobre el Fondo del panel y seleccionamos la opción Nuevo usuario (como se ve en la Figura 8.24).

2. En la pestaña inFormación del usuorio User Info rellenamos los datos que nos solicita y pulsamos Aceptar.

3. Poro vincular un equipo de lo red al usuorio que hemos creado, lo vamos a hacer o través de lo opción Usuarios asumidos (Assumed users) que nos aparece en esa misma pestaña. Hocemos doble dic sobre esta opción y en la ventana que nos aparece, dentro de lo pestaña por nombre By Name seleccionamos añadir y ponemos en primer lugor el nombre de red del equipo; en el desplega­ble seleccionamos el usuario que acabamos de crear.

Podemos comprobar que reconoce el usuoria (en el nivel asumido) cuando la má­quina que hemos asignado se conecte al proxy.

Existen vorios métodos de autenticación en WinGate, es decir, diversas Formas de hacer que los usuorios, poro conseguir acceso a Internet, tengan que poner su nombre de usuario y contraseño. De esta Forma WinGate los reconoceró como usuorios autentica­das y así podremos estar seguros de que realmente se troto de ellos. Algunos de estos métodos de autenticación son:

Seguridad de alto nivel en redes: proxy

• Autenticación Windows: WinGate puede utilizar los usuarios ya definidos en el equipo local o bien utilizar los usuarios definidos en el dominio (en caso de existir). El principal problema de este sistema es que todos los equipos tienen que utilizar Windows, pero se tiene mucho control sobre los usuarios, porque podemos conse­guir de una forma cómoda y transparente para el usuario que todos sean de nivel autenticado.

• WinGate Internet Client: consiste en instalar una aplicación de WinGate llamada WGIC.msi en el cliente, de forma que cuando el usuario accede por primera vez a un servicio del proxy le sale una ventana para que ponga su nombre de usuario y su contraseña. Esta aplicación sólo existe para Windows, así que todos los clientes tendrán que ser Windows.

• WinGate Java logon applet: con este método, cuando el usuario quiere acceder a través del proxy a un servicio que requiere autenticación, le muestra una ventana en el propio navegador para que ponga su nombre de usuario y contraseña. Es nece­sario que tenga instalado java en el navegador (es muy probable que lo tenga). Esta solución es multiplataforma, así que el proxy podrá tener clientes Windows, Linux y Mac sin ningún problema.

Actividades "

18. Discute con tu compa­ñero argumentando tu res­puesta que tipo de autenti­cación es más útil para tu instituto.

Nuevo usuario «autenticado» en Wingate

Configurar un cliente para que se pueda autenticar con WinGate Internet Client.

1. Copiamos el fichero WGIC.msi del directorio de instala­ción del proxy (en concreto está en C:\Archivos de programa\WinGate\Client\WGIC.msi) y lo instala­mos en el cliente.

Caso práctico 6 9 2. Normalmente WGIC detecta automáticamente la direc­

ción del servidor, pero en algunos casos es necesario ponerlo de forma manual. Después de la instalación, en el cliente, abrimos el panel de control y vemos que hay un nuevo incono para la aplicación que acabamos de instalar. Entramos en el panel de control de WGIC y en la pestaña servidores WinGate (Wingate Servers) miramos si ha detectado el nuestro automáticamente; si no, lo añadimos (Fig. 8.24).

Use/ Appficalions I S,lIslem Appfications I Advanced Gene/al WinGale Se/ve/s

r. Automalical[v ~elect which selVe/ lo use

r Use se/ve/ IJUPI TE R

Se/ver AddreS"$ POlI 192.168.50.1 2080

Add Remove I Ed,1 Relresh I

Help App!!' 11 OK Cancel

Fig. 8.21. Configuroción WGIC.

General Blndings

Sessions Central Conflg

PoIides

loggng

Recipienl Ilocalion] Time ] Ban h l] Advanced]

r- fver,llOne

r ~ped1,l1 user 01 glOup IEveryane

User J Gr~ Descrmlion I!! AdministIalor BUlll en accnunl for adminislerin. .. m AdministIalor: Member: can adrninider Ihis se .. . n Guesl Buill in accounl for guesl acce~ .. . m U:er: DrdinarJl me/: f} Vgoinia

r u ser maJl be ynknown

r UsermaJlbe-ª$surned r- jü ser musl be aul~enlicaled

Fig. 8.22. Forzar autenticación. (Continúo)

Seguridad de a lto nivel en redes: proxy

~casa~~r~á~ct~iC=O~6~ ____ ~ ______________________________________ ~ ______________________ ~

(Continuación)

3. De nuevo en el servidor, dentro de la pestaña Sys­tem del panel de control nas encontramos un servicio llamada Winsack Redirectar Service, que es el que se encarga de comunicarse con WGIC en el cliente. Vamos a modificar el servicia para que sala puedan acceder usuarias autenticadas. Hacemos dable clic sobre el nombre del servicia, y dentro de la configu­ración seleccionamos Políticas (po/icíes) (Fig. 8.26). Añadimos una nueva política seleccionando la opción Los usuarios tienen que estar autenticados (users must be authenticated) (Fig. 8.25). Después seleccionamos

, 1"

S IlttnSefVice. ~ DflCPSeI"",e

~ GDPS.,vic.

~ DUS s.,,,,,. ~ Remole C""'rol ~ FOPJSer"", ~ SM1P S.,ver ~ IMAP~ S.,ver

aEm~

li3 Ca:hng 8!lSchedtk! ,f¡jDlalel

1J~

I.:!!J

Ca>'igualJcn O G.n'fol~­@. ~m.n;¡s QSmions ~ CenlfolCorio;l Il_, 1!1,_

en Permisos por defecto (Default Rights) que estas sean ignaradas (are ignored), para que solo tenga en cuenta los permisos que acabamos de darle y no los permisos par defecto (Fig. 8.26). Ya podemos comprobar que cuando el usuario se conecta a Internet a través, por ejemplo, de Internet Explorer le sale una ventana de WinGate para solicitarle nombre de usuaria y contra­seña (Fig. 8.27).

También puedes comprobar en la pestaña actividad de Wingate que el usuario es reconocida como usuario auten­ticado (Fig 8.28).

R. . R· t:

.I!..rau!:,i;#:ISY:'.mpckie:1 ~lfji4¡:· .!ji! j. iiii33

-~sYllttn l~S ~ ________ ~ ______ ~~==~==~==~

Fig. 8.23 . Políticos poro Winsock.

e~ Cr:en! attiv~y

~ ~ ·WinGate requiles you to authenticate yourself before alJowing access to this selvice.

~ lUPITER[Adminlstrador] - (Adm:nistrator . Authenticated [ /i!J WinG~te log:n: Mod,Fy user Virg;nill ª Vif-laptop[virg!nill] • (virg:nla • Authenticated [WinGate])

I ~ WRP Control Se~5jon' Fir.fox.exe !!J http://www.google.es/irnages

Please enter your WinGate username and password (these are case·sensitive).

U sername: 1 virginia

~====~I Passward:

OK I I Cancel

Fig. 8.24. Acceso WGIC.

~ Actividades

19. ¿Puede un usuario navegar sin tener instalado WGIC en su equipo?

20. El servicio Logfile server en el puerto 8010 es un servicia que permite acceder desde un navega­dor en cualquier equipa de la red a los lag de Win­Gate. Puedes probarlo poniendo en tu navegador

~ http://l'lWW·gooo!. · . 5fim~ges/icons/5ettillnized_ui/play_c . ~ http:/{dentsL.gooQ!e.es/completelsearch

~ httP :/{I'IWW.goo~¡e. e sfimages ~ http://I'lWl'l.goo~! •• es{jmages rr-

gj! Sy:lem lntern~1 aetivily

C) Aclivity ~ Netwolk ~ Ma.~ Queue C9 Hi~loty !.ID Sy~le

Fig. 8.25. Virginia autenticada.

192.168.50.1:8010, es decir, la IP del servidor Win­Gate y el puerto de este servicia. Configura el servi­cia para que solo puedan acceder los usuarios de tipo authenticated.

21. Crea un nuevo usuaria adminJag y configura el servi­cia Lagfile Server para que sola él pueda acceder.

Seguridad de alto nivel en redes: proxy

5. PureSight PureSight es un plugin de la misma empresa que WinGate que proporciona una clasi­ficación de sitias Web y un software que apoyado en WinGate permite o deniega el acceso a sitios clasificados según unas categarías.

Caso práctico 7 9 Instalar PureSight

Instalar PureSight para utilizarla iunto con WinGate.

1. Descórgate el programa de la pógina de WinGate (hHp://www.wingate.com/). La versión utilizada durante el desarrollo de este libro ha sido PureSight 3.0.

2. Eiecútalo y acepta la licencia. Se detendró WinGate para poder realizar la instalación (hay que tener en cuenta que PureSight es un plugin de WinGate).

3. Nos muestra la ventana de activación. De nuevo, al igual que en WinGate, es muy importante que no pasemos esta pantalla sin activar el programa. Para activar el programa seleccionamos la opción activar prueba gratuita (activate free trial) (Fig. 8.29).

Activiltilln required

Thh Pl:ooucl requJ~ i1clivation

In otdel lo fundon, PureSighllrx lÑlI'lGate mu:l be aclivaled You ma}J ac liv~le ~ {lee trial, 01 a }JOU have a putcha:ed liceme, }JIlU can activale lhal hete now.

0~clivale flea llial

O Act ivale a purcha:ed liceme

o Latel, You may aclivate a ~ial ol liceme u:ing Eceme managemenl in WinGate

( ga~J. J 11 tle~l ) I L~~

Fig. 8.26. Activación PureSight.

4. Pulsamos siguiente, se descarga la licencia de prueba y termina la instalación, iniciando de nuevo de farma automática Wingate con el plugin de PureSight ya cargado.

I 5. Comprobamos que se ha instalado correctamente abriendo GateKeeper y L viendo que aparece en el menú Opciones, Plug-ins.

Al instalar PureSight, automáticamente se nos activa el plug-in en el servicio WWW proxy, por lo que cualquier usuario que acceda a Internet a través del proxy estará utilizando dicha clasificación.

Actividades ~

22. Activa el plug-in PureSight y comprueba que el cliente cuando está configurado para salir a Internet a través del servicio de proxy no puede acceder a Gmail. com, y cuando está configurado para salir a través de NAT sí.

PureSight realiza la rlllm;t;i,-nc';nn de los sitios Web por dos méto­dos:

• Una base de datos de los sitios ya clasificados previamente .

• Un sistema de reconocimiento automático de contenidos que permite la clasificación de si­tios de nueva aparición.

Para activar o desactivar el plugin de PureSight hay que acceder a la configuración de plug-ins de las propiedades del servicio www proxy y seleccio­nar (para activar) o deseleccio­nar (para desactivar) el plugin PureSight for WinGate.

Los usuarios que están ,nl;pnrln a Internet a través del serVICIO NAT no se verán afectados por esta clasificación. En la Figura 8.29, el equipo vir-Iaptop está saliendo a Internet a través de proxy y no de NAT.

:18

Seguridad de alto nivel en redes: proxy

Tendrás que planificarte como una tarea periódica de tu tra­bajo la revisión de los ficheros de lag, porque esta informa­ción crece muy rápido y pronto se convertirá en un problema demasiado grande para abor­darlo.

Podemos evitar que los clientes puedan salir o Internet o través de NAT soltándose así el servicio proxy, convirtiendo nuestro servidor proxy-NAT (actualmente implemento ambos servicios) en un servidor proxy transparente. De esto manero todos los peticiones que los clientes hagan 01 servicio 80, aunque no vayan dirigidos 01 proxy, serán interceptados par esto y posadas por el servicio WWW proxy. Paro hacer esto, hocemos doble clic sobre el servicio WWW proxy y en la sección Sesiones (sessions) seleccionamos lo op­ción Interceptar las conexiones hechas a través de ENS (intercept connections made vio ENS) y añadimos el puerto 80.

Para configurar exactamente qué sitios queremos que PureSight bloquee, tenemos que acceder a Option > plug-ins > Puresight for WinGate, y dentro del panel izquierdo se­leccionar la opción Cotegorías filtradas (Filtered categories). En esto ventana, PureSight nos muestro todas las categorías disponibles, simplemente seleccionándolos a trovés del cuadro de selección todos los sitios de esta categoría quedarán bloqueados en el cliente.

~ Actividades

23. Configura el proxy para prohibir el acceso o todas las categorías excepto Noti­cias, Mail y Deportes. Comprueba que el cliente no puede acceder o estos cate­gorías de contenidos.

24. Despues de un tiempo funcionando WinGate con PureSight en SiTour detectas (analizando los lag) que los usuarios pasan bastante tiempo en lo página www. minijuegas.com. Debería estar bloqueado, pero no es así. Utilizando la opción Manual Clasification de PureSight prohíbe el acceso a esta página clasificán· dolo como de juego.

25. Personaliza el mensaje de prohibición que se muestra a los usuarios cuando acceden a un contenido de tipo juega en la opción Custom Response de Pureo Sight. Deberá mostrar algo como "Por política de empresa está prohibida esta página».

6. Control de 109 en WinGate

Para poder controlar el carrecto funcionamiento de los servicios y la utilización de los mismos, es necesario comprobar con cierta frecuencia los lag. WinGate genera dos tipos de lag:

• Lag de usuario: son ficheros en los que WinGate almacena información sobre los usuarios y su actividad. Estos ficheros se almacenan dentro del directario de insta­lación de WinGate, dentro de la carpeta audit, en un directorio con el nombre del usuario. Para activar la auditoría para un usuario, pulsamos botón derecho con el ratón sobre el usuario, seleccionamos la opción Propiedades, y seleccionamos la pestaña de Auditoría (auditing). Una vez ahí tenemos que marcar la opción Auditar 105 siguientes eventos (audit these events) y seleccionar los eventos que nos interesa registrar en el fichero de lag.

• Lag de servicios: son ficheros en los que se almacena información sobre el fun· cionamiento de los servicios de WinGate. Se almacenan dentro del directorio de instalación de WinGate en un directorio llamado Logs y dentro de un directorio con el nombre del servicio.

~ Actividades

26. Configura WinGate para que registre en los ficheros de lag cuándo se conecta el usuario administrador, cuóndo se desconecta y su actividad.

Seguridad de alto nivel en redes: proxy

7. Squid Squid (Fig. 8.30) es uno de los proxy mós utilizados debido sobre todo a su potencia y estabilidad. Ha sido muy utilizado por los praveedores de acceso a Internet como proxy caché transparente para disminuir el tráfico de Internet hacia sus clientes.

7.1. Instalación de Squid

Para poner en marcha Squid en el aula, vamos a seguir la misma configuración física que seguimos con WinGate, es decir, la que se explicó en el apartado 4.1 y se repre-senta en la Figura 8.6. Fig. 8.27. Logotipo Squid.

Para instalar Squid podemos hacerlo a través de los tres caminos habituales:

• Compilando el pragrama a partir de los fuentes.

• Instalándolo directamente a partir de los binarios que podemos descargar de hltp:// wiki.squid-cache.org/SquidFaq/BinaryPackages para nuestra distribución.

• A partir de los repositorios oficiales de nuestra distribución.

Nosotras lo vamos a hacer a través de los repositorios oficiales ejecutando el comando aplilude inslall squid3.

Una vez instalado Squid en el equipo servi­dor y configurados los interfaces de ambos equipos, podemos probar el funcionamiento configurando el navegador del equipo clien­te (como se explicó en el Caso práctico 4) para utilizar el praxy que acabamos de insta­lar. Comprobaremos que está accediendo al praxy porque nos genera un error en el que al final hace referencia a Squid (Fig. 8.31).

@D- e y. ur Ll.i l!!!> I~ '~-:¡¡ .... ....-.c-. .. _ ,, ~ _ ... co-_

ERROR

The ... equested URL could not be retrieved

\','h j l~ t ryl n] to r~t rl e '", the ~L b,m " .,,,,,,, ., = '

• /I ce" .. Denled.

Acre •• conlrol c::>r.f I Q'--'"~ti"" "e,enl, ~~ req...oE~t I,om bewq ~lIo .... ~d ~t thl& t¡me . P l e~~~ con t""t you .e,,'I(~ pro.lóer tr yeu I~el thi, Is w=re<:t.

Para poder config urarlo, tenemos que cono- Ge<"I(:,<'!W1Hon. ?J ~"7?OO9 09 3-1 .:-0 G'1T by Ix~lro<! ¡!qud/J o ST,l,Bl.fn

cer donde se encuentran los ficheros de con-figuración y log. Las principales ubicaciones son: Fig. 8.28. Error Acceso Internet con Squid.

/elc/init.d/squid3

/elc/squid3/squid.conf

/var/spool/squid3/

/vor/log/squid3/

/usr/lib/squid3/

Script paro iniciar parar o reiniciar e[ servicio Squid

Fichero de configuración de Squid

Directorio que tiene [os ficheros de [a cache del proxy

Directorio en e[ que se encuentran los lag del programa: access.log, cache. lag y store.log

Directorio en el que se almacenan los complementos de Squid

Tabla 8.2. Localización de los ficheros y directorios de Squid3.

Actividades "

27. Imagina el beneficio que tiene en el tráfico de un proveedor de servicios de Internet (ISP) si todo el tráfico de sus clientes pasara por una enorme caché. Anota en tu cuaderno cuáles serían las ventajas.

28. Examina los directorios que se describen en la Tabla 8.2 y observa qué tipo de información contienen.

Para la realización de esta ins­talación y el siguiente proceso de configuración se ha utilizado la distribución Ubuntu 8.10 (Ihe Inlrepid Ibex) y la versión 3.0 de squid.

Squid por defecto se instala como proxy (ni proxy NAT ni proxy Transparente).

21

20

Seguridad de allo nivel en redes : proxy

fichero es propiedad del superusuario y para el resto solo tiene permisos de lectura, así que tendremos que acceder como usuario root o utilizar el comando sudo.

7.2. Configuración inicial

La configuración del Proxy Squid la te nemas que realizar a través de un fichero de con­figuración, como es habitual en sistemas GNU/ Linux, llamado /elc/squid3/squid.conf (Tabla 8.2). Como vamos a estar modificándolo, y por seguridad, haremos una copia de la versión original:

sudo cp /etc/sguid3/sguid.conf /etc/sguid3/sguid.conf.bak

Este fichera de configuración tiene explicación sobre algunos parámetras, por lo que incluye muchas líneas comentadas (las que comienzan por #). Los parámetros para los que no se ha dado valar tienen un valor por defecto, que aplica y que se suele indicar (como por ejemplo es el caso de cache_dir). Las líneas que no están comentadas no deben tener espacios al comienzo. Todos los parámetros de configuración del fichero tienen el mismo formato, en primer lugar aparece el nombre del parámetro y después los valores separados por espacios.

A continuación vamos a ver algunos de los parámetros más importantes del fichero de configuración de Squid:

Es el puerto del servidor en el que el servicia Squid estará escuchando peticiones de los clientes. Habitualmente suelen ser el 3128, 8080 o en algunos casos el propio 80 (del servicio Web). Nosotros dejaremos el valor por defecto:

http_ port 3128

Es el directorio en el que Squid almacenará las páginas que decida mantener en la cache. El valor por defecto de este parámetro es:

cache _ d ir ufs /var/ spool / sguid3 100 16 256

ufs es el sistema que va a utilizar paro almacenar la información. /var/spool/squid3/ es el directoria a partir del cual se almacenará la caché. El siguiente parámetro especi­fico la cantidad de espacia en MB que se ocupará para la caché (100MB par defecto). Los dos siguientes indican el número de directorios que se crearán dentro del directoria caché (16 por defecto) y los que se crearán dentro de cada uno de estas (256 por de­fecto).

Cuanto más aumentemos el espacio de disco disponible para la caché, más páginas almacenará y menas tendrá que consultar Squid las páginas reales, por lo que menos tiempo y menas ancho de banda ocupará. Sin embargo, Squid necesita una cantidad de memoria proporcional para hacer la búsqueda en el disco. No es más rápido más espacio en disco si no se dispone de más espacio en memoria.

~ Actividades

29. Abre el fichero de configuración con tu editor favorito. Para abrir el fichero como superusuario con gedit:

sudo gedit/ e tc/sguid3/sguid.conf

Busca en tu fichero los parámetras descritos y sus valores por defecto.

30. Abre tu explorador de archivos (Nautilus, por ejemplo) y navega por la carpeta en la que se almacena la caché, comprobarás que la estructura que se ha des­crito está realmente creada en dicho directorio.

Seguridad de alto nivel en redes: proxy

o cache_mem

Indica [a cantidad de memoria caché que se utilizará para Squid. Por defecto son 8MB. Esta memoria se utiliza fundamentalmente para almacenar objetos en tránsito, que son [os que en ese momento se están sirviendo a [os clientes y para almacenar [os objetos más utilizados. Par tanto, este espacio habría que aumentarlo cuando aumenta e[ núme­ro de clientes o aumenta e[ espacio dedicado a [a caché. Para nuestro caso nos sirve e[ valor por defecto.

Indica a Squid e[ correo del administrador, de forma que si dejara de funcionar, este recibiría un correo alertando de esta situacián.

o accessJog, cacheJog y cache_storeJog

Indica e[ lugar en e[ que se almacenarán [os ficheros de [og de Squid. En e[ caso del accessJog, [o define en [a siguiente línea:

access _lag /var/log/squid3/access .log squid

Esta línea indica que e[ fichero será /var/[og/squid3/access.[og y que e[ formato del fi­chero será squid (este formato [o puedes consultar en e[ propio fichero de configuración en [o línea donde pone logforrnat squid ... ).

o cache_effective_user y cache_effective_group

Indican, respectivamente, e[ nombre del usuario y grupo que ejecutará e[ proxy.

Poro [os conexiones anonlmas FTP es una costumbre muy habitual utilizar e[ correo electrónico como nombre de usuario, así e[ administrador del FTP podrá contactarnos en caso de necesitarlo. Como ahora puede ser e[ proxy e[ que se conecta en lugar del cliente, [a cuenta de correo que aparecerá será [a del proxy, así que es necesario configurarla. Si un cliente de nuestro proxy hiciera algo indebido en un servidar FTP, sería conveniente que e[ administrador de dicho FTP pudiera ponerse en contacto con nosotros para comunicárnoslo.

o error_directory

Indica e[ directorio en e[ que se encuentran [os mensajes de error que e[ proxy mostrará a [os clientes (por ejemplo cuando accedan a un dominio no permitido).

Para que [os mensajes aparezcan a [os clientes en castellano, tendremos que modificar este parámetro a /usr/share/squid3/errors/Spanish_

Actividades "

31. Accede a[ directorio en e[ que se encuentran [os ficheros de error en castellano y modifica todos [os mensajes para incluir e[ nombre de [a empresa, en este caso SiTour.

32. ¿En qué formato están [os mensajes de error? ~Podrías incluir una imagen en estos ficheros, como por ejemplo e[ logotipo de la empresa?

.- - ' ".~.

Puedes comprobar que este es el nombre del usuario ejecutando el comando:

ps -c squid3 -o pid,ruser, cornrn que te mostrará el pid del proceso, el usuario que lo ejecu* ta y el programa que ejecuta el proceso.

Una vez terminada la configura* ción habrá que reiniciar el servi* cio de squid ejecutando sudo/ etc/init.d/sguid3 res­tart.

22

22

Seguridad de allo nivel en redes: proxy

Z3. Control de acceso en Squid

En este punto nos vamos a referir a todas aquellas parámetros que nos permiten contro­lar el acceso dependiendo, por ejemplo, de quién haga o cuál sea la petición.

o acl

A través de este parámetro definimos las listas de acceso, es decir, definimos grupos de equipos, de IP, de dominios, de horarios, etc., a los que luego permitiremos o denega­remos el acceso.

El formato general del parámetro ael es:

acl aclname acl t ype valores

oc/nome es el nombre que se le quiera dar a la lista, teniendo en cuenta que na pueden repetirse. Ac/type es el tipa de lista ael que se va a formar.

las tipos de ael más utilizados san src, dst, dstdomain, urLregex y time. Vamos a comen­zar viendo el tipo src y como se permite o deniega el acceso con hUp_access. Después continuaremos viendo el resto de tipos de ael.

o aclsrc

Define a través de sus direcciones IP un conjunto de equipos de origen. Por ejemplo podemos definir como origen el aula mediante la siguiente lista:

acl aula src 192.168.50.0/24

También podríamos formar una lista de acceso para cada aula del centro siempre que se diferencie por sus direcciones IP.

acl aula1 src 192. 168.l. 0/ 24 acl aula3 src 192 .168.3.0/ 24

En el caso por ejemplo de SiTour, podríamos generar una lista de acceso para los ven­dedores (2 personas) y otra para el empleado del departamento de contabilidad.

ac l vendedores src 192.168.50.5 192 .168.50 .6 acl contabilidad src 192.168.50.20

o hHp_access

A través de este parámetro permitimos o denegamos el acceso a las listas de acceso que tengamos definidas.

la sintaxis general de este parámetro es:

http_access allowldeny [!] aclname

ol/ow permite y deny niega el acceso a la ael que se indique después.

Para determinar si da a na da acceso a una petición, Squid lee la sección hUp_access de arriba hacia abajo y cuando encuentra una línea con la que concuerda permite a deniega el acceso según lo que diga dicha hUp_access.

Debido a que si no hay coincidencia continúa leyendo, para evitar prablemas se debe terminar la lista con un hllp_occess deny 01/.

Gt Actividades

33. Recuerda qué es una lista de contral de acceso buscando en los temas anterio­res su definición. ¿Dónde más hemos hablado de ael?

34. ¿Cómo definirías las listas de acceso para tu aula? ¿Y para tu instituto?

Seguridad de allo nivel en redes: proxy

Aplicación de las reglas de acceso

Determinar si hay acceso o no en los siguientes casos para la lista de ael y http_access:

_________ -'C=oso práctico 8 9 access (http_access allow aula 1) encontrará coinciden­cia, así que como es un allow permitirá el acceso. No continúa leyendo el resto de http_access.

ac1 all src 0.0.0.0/0.0.0.0 ac1 au1a1 src 192.168.1. 0/24 ac1 au1a2 src 192.168.2.0/24 http access allow au1a1 http_access deny !au1a1 http _ access deny a11

1. Llega una petición de la dirección 192.168.1.5 hacia www.google.com.

2. Llega una petición de la dirección 192.168.2.5 hacia www.goagle.com. La dirección 192.168.2.5 pertenece a la red 192.168.2.0/24, que se ha definido en la tercera ael como aula2.

Cuando llega la petición, Squid, de nuevo lee de arriba a abajo. La primera http_access (http_access allow aulal) no coincide con la dirección de la petición, así que no hace nada y pasa a leer la siguiente.

La dirección 192.168.1.5 pertenece a la red 192.168.1.0/24, que coincide con lo que la segunda acl ha llamado aula l.

Cuando llegue la petición, Squid leerá la lista de http_ access desde arriba hacia abajo. En la primera http_

La segunda (http_access deny !aula 1) afecta a todas las peticiones que no vengan del aulal, así que coincide con la petición y por tanto la aplica. Como es un deny, niega el acceso mostrando un mensaje de error ,en el I navegador. No continúa leyendo más http_acces~

Dentro de nuestro fichero squid.conf, la sección de http_access está preconfigurada, de forma que poro no cometer errores innecesarios debemos escribir dentro de la sección que se nos indica. Justo debajo de la línea # INSERT YOUR OWN RULE(S) HERE ... , sin modificar el resto de la sección.

__________ Caso (lráctico 9 9 Permitir acceso desde lo red

Configurar Squid para permitir el acceso a los equipos de nuestra red.

1. Buscamos la sección en la que se definen las ael.

2. Dejamos la sección ael tal y como está y tan solo quitamos el carácter # una de las líneas en donde se define localnet (red local) (para que la línea deje de estar comentada) y la adaptamos a nuestras necesidades:

ac1 10ca1net src 192.168.50.0/24

3. Bajamos a la sección http_access y descomentamos la línea que permite acceso desde nuestra red local:

http access allow 10ca1net

4. Reiniciamos el servicio y probamos en el cliente que tenemos acceso a cualquier página de Internet.

La seguridad del proxy depende por tanto de como construyamos la sección de http_ac­ces y las listas de acceso (ael). Cuando la red a controlar es grande, incrementa la longi­tud de estas secciones y dificulta su modificación. Las elaves para mantener la seguridad con éxito en un proxy squid, son:

• Mantener estructurada y organizada la sección http_access.

• Conocer y utilizar adecuadamente los diferentes tipos de ael.

. r

~ _-' , ,> Ji1~ .. - . ~~

223

24

Seguridad de olla nivel en redes: proxy

Para averiguar la IP de un domi­nio solo tienes que hacer ping al dominio y fijarte en la IP a la que deFinitivamente esta hacien· do pingo

Como ya se ha comentado ante­riormente las líneas oel van en la sección ael y las hUp_access en la sección htlp_access, respe· tondo las líneas que por defecto y por seguridad se crean en el fichero squid.conf.

o AcI dst

Utilizando este parámetro podemos generar una lista de acceso por direcciones IP de destino, es decir, generar una listo de direcciones IP que coincidirá con una peticián al proxy cuando la petición vaya dirigida a una de esas direcciones IP.

La sintaxis general de este parámetro es:

acl aclname dst dirección-IP- destino red-IP-destino

oc/nome es igual que antes el nombre que queremos dar a la listo, dirección-IP-destino es la dirección IP de destino que queremos incluir en la lista y red-IP-destino es lo red IP que contiene las direcciones IP que queremos incluir en la listo. Por ejemplo, en el caso anterior podemos generar la lista prensaDepor poniendo las direcciones IP de Morco y de As, que son respectivamente 193.110.128.199 y 194.169.201.186.

acl prensaDepor dst 193.110.128.199 1 94.169.201.186. http_access deny prensaDepor

Esto tiene un inconveniente: si los servidores que tienen esas direcciones IP son servi­dores compartidos: que contienen más páginas web de otros empresas, estas también serán bloqueadas: Por ejemplo, la dirección 193.110.128.199 es la de un servidor en el que el grupo Unidad Editorial aloja varias páginas, como marca .com o Elmundo.es; bloqueando el acceso a esta dirección IP bloqueamos el acceso a todas estas páginas.

o AcI dstdomain

Permite generar la lista de destinatarios a partir de dominios.

La sintaxis general de este parámetro es:

acl aclname dstdomain .dominiol .dominio2

.dominiol y .domini02 son los dominios que se incluirán en la listo de acceso. Los domi­nios siempre tienen que empezar por el simbolo «.».

Por ejemplo, podríamos agrupar los dominios de prensa deportiva para prohibir el ac­ceso a los trabajadores de uno empresa a dichos dominios desde su puesto de trabajo:

acl prensaDepor dstdomain .marca.com .as.com http_access deny prensaDepor

o urLregex

Permite utilizar expresiones regulares para definir una listo de url de acceso. Cuando se reciba una petición a una dirección url, por ejemplo www.tucasino.es. se comprobará si se produce coincidencia con la expresión regular definido. Puedes utilizarlo paro incluir todas las url que incluyan la palabra casino:

acl casinos url regex casino

Esto tiene varias inconvenientes:

• Si uno página relacionado con cualquier otro tema llevara la palabra casino en la dirección (por ejemplo, porque en otro idioma significara otra cosa) tampoco se podría acceder.

• Si un casino online no lleva la palabra casino en su dirección, no se bloqueará.

~ Actividades

35. Prohíbe el acceso a través de tu proxy a las direcciones IP de Marca y As.

36. Prohíbe el acceso a Morca y As utilizando el parámetro dstdomain.

Seguridad de alto nivel en redes: proxy

o time

Permite generar una lista de acceso con ciertos horarios, de forma que luego podamos per­mitir el acceso o negarlo durante dichos horarios. El formato general de time es:

acl aclname time [días] [horas]

En días hay que indicar una abreviatura de las días de la semana según la Tabla 8.3. En horas una franja horaria en el formato hora_inicia-hora_fin, e~presadas ambos en formato hh:mm, es decir, horas y minutos separados por <C,».

Si queremos definir el horario laboral en una acl, quedaría de la siguiente manera:

acl horarioLaboral time MTWHF 9: 00 -19:30

Para prohibir el acceso a páginas de prensa deportiva durante el horario laboral:

http_ access deny prensaDepor hor arioLaboral

Las peticiones que lleguen al proxy solicitando alguna página de las definidas en la lista prensaDepor durante el intervalo definido en horarioLaboral serán rechazadas.

Como puedes observar, en el caso anterior se han incluimos dos listas de acceso (acl) en una definición http_acess. Para que se aplique la regla permitir/negar definida en el http_access, la petición tiene que coincidir en ambas listas.

De forma general, cuando en una regla http_access se incluyen varias acl, para que dicha regla permitir/negar acceso se aplique, la petición tiene que estar incluida en todas las listas de acceso.

Para que se vea mejor como utilizar http_access con varias listas de acceso en Squid vamos a poner un ejemplo:

acl descanso-Mañana time MTWHF 11:00-11: 30 acl descanso-Tarde time MTWHF 5:00-5:30 acl contabilidad src 192.168.1. 0/ 24 acl correos dstdomain .gmail.com .hotmail . com acl prensa dstdomain .as.com .elpais.com http _ access allow contabilidad descanso-Mañana correos http _ access allow contabilidad descanso-Tarde prensa

La primera regla http_access solo se aplicará cuando llegue una petición con las siguien­tes características:

• Que venga de contabilidad, es decir de la red 192.168.1.10/24.

• Que llegue en el horario de 11 :00 a 11 :30 (de lunes a viernes).

• y que su destino sea uno de los dominios .gmail.com o .hotmail.com.

La segunda regla http_access solo se aplicará cuando llegue una petición con las si­guientes características:

• Que venta de contabilidad, es decir de la red 192.168.1.10/24.

• Que llegue en el horario de 5:00 a 5:30 (de lunes a viernes).

• y que su destino sea uno de los dominios as.com .elpais .com.

M Mondoy

T Tuesday

W Wednesday

H Thursday

F Friday

A SOlurday

S Sunday

Tabla 8.3 . Abreviaturas de días para Squid.

37. En la empresa SiTour hacen un descanso de 12:00 a 12:30 para tomar café y se quiere permitir el acceso a todos los contenidos durante este horario. ¿Qué infor­mación habría que incluir en el fichero de configura­ción de Squid?

Actividades ~

prensa rosa y juegos, que son las principales páginas visitadas por los empleados durante el horario de tra­bajo.

38. Continuando con la actividad anterior, durante el resto de horario se quiere prohibir el acceso a páginas de

39. Además, en SiTour se quiere prohibir el acceso en horario laboral, excepto en el descanso, a los blogs de Google, excepto al jefe, que tiene la dirección IP 192.168.50.3.

!26

Seguridad de alto nivel en redes: proxy

I directorio /etc/squid3 es del usuario reot y no tendrás acceso de escritura. Deberás ejecutar este comando como root.

Z4. Autenticación

Hasta el momento el único camino que tenemos para identificar un cliente es par la IP que tiene asignada. En este apartado vamos a estudiar una forma de configurar Squid para que los usuarios tengan que escribir usuario y contraseña para identificarse.

Cuando los usuarios se han identificado en el sistema a través de un nombre de usuario y una contraseña, podemos tener la certeza de que son ellos y por tanto reclamarles responsabilidades sobre sus acciones.

Squid incluye varios módulos que permiten realizar la autenticación de los usuarios utili­zando diferentes métodos como integrar los usuarios de Internet (praxy) con Windows, o incluso con una gestión de cuentas centralizada, como por ejemplo con Windows 2008 Server. Estos módulos se encuentran en el directorio /usr/lib/squid3 (Tabla 8.2).

En este apartado vamos a estudiar la autenticación utilizando el módulo ncsa_auth. Utilizando este método, el servidor proxy solicitaró a los clientes un nombre de usuario y una contraseña y comprobará si dicho usuario y contraseña existe en un fichero de claves que se encuentra en el servidor proxy.

q Casa p'r-.;r",á;.;:ct;.;.ic~o;....:.lO=-________________ ~~_~_...,

Preparación de un fichero de claves

Generar un fichera /etc/squid3/claves que contenga las contraseñas de los usua­rios Virginia y Fernando, respectivamente, patata y cebolla.

1. Para poder manejar el fichero de claves vamos a utilizar el comando htpas­swd. Este comando lo instalamos en un paquete que se llama apache2-utils.

2. Utilizando este comando generamos el fichero claves con un usuario llamado Virginia. Una vez ejecutado el comando nos pedirá la contraseña, escribiremos Ipatata':

htpassswd -c /etc/squid3/claves virginia

La opción 'oc' se utiliza la primera vez porque no existe el fichera y queremos que lo cree.

3. Repetimos el mismo proceso para el usuario Fernando con la contraseña 'cebo­lla'.

En segundo lugar activaremos el módulo ncsa_auth y configuraremos Squid para que lo utilice en los casos que nos interese.

M Actividades

~. SiTour tiene la siguiente configuración en el proxy:

acl ventas src 192.168.50.5 192.168.50.6 acl contabilidad src 192.168.50.20 acl horarioLaboral time MTWHF 8:00 - 21:00 http_access deny ventas horarioLaboral http_access al low contabilidad http_access deny

¿Qué ocurre si un empleado del departamento de ventas se cambia su dirección IP a la 192.168.50.20?

Seguridad de alto nivel en redes: proxy

Al final de la sección auth_param del fichero squid.conf, se nos recomiendo uno con­figuración básica para cada tipo de autenticación. Basándonos en estas líneas, la configuración recomendada para nuestro caso sería:

auth param basic program !usr!lib!squid3!ncsa_auth !etc! squid3!claves auth_param basic children 5 auth param basic realm Proxy Sitour auth_param basic credentia lsttl 2 hours

En la primera línea, indicamos el módulo que vamos a utilizar para la autenticación ! usr!lib!squid3!ncsa _ auth y el fichero de claves !etc!squid3!claves que acabamos de generar.

El parámetro children indica el número de procesos que se generarán para llevar a cabo la autenticación. Realm consiste en el mensaje que se incluirá en el cuadra que se mues· tre en el cliente para que introduzca su nombre de usuario y contraseña. Credentialsttl indica el tiempo que durarán las credenciales una vez obtenidas, es decir, una vez que el usuario ha pasado positivamente la autenticación el tiempo que le durará hasta que tenga que volver a hacerla.

Por última, añadiremos esta lista de acceso de forma que solo pertenezcan las peticio­nes de los usuarios que sean validas para el sistema utilizando alguno de los métodos de autenticación configurados (en nuestro caso ncsa)

acl validado proxy_auth REQUIRED

A cualquier regla http_access que añadamos la acl validado, le mostrará al usuario la ventana de validación (Fig . 8.32) Y comprobará que este usuario corresponde con cual­quiera de los listados en el fichero /etc/squid3/claves.

Hiitorlal Marcadores Herramientas AY!.I.da

x W ~~ ______________ ~===-________ I (&l Más visitados "" Comenzar a usar ef ... f&J Últinas: noticias

El proxy 192,168 ,0, 1:3128 est.§ sokitando I.m nombre de usuario y una contr~ña, El sitio dice: "Proxy SiTour"

Nomtlle de lISUaflo: I vi"ginia

contraseña: ~l.=.= •• =.=. ====================i Aceptar I Cancelar

Fig. 8.29. Autenticación NCSA Squid.

Muchas empresas actualmente utilizan redes Microsoft, es decir, tienen la autenticación de los usuarios centralizada.

Esto significa que cuando las usuarios arrancan el ordenador pasan un proceso de lo­gin, después del cual los usuarios ya son conocidos dentro de la red Microsoft. De esta forma los usuarios, cuando intentan acceder a un recurso, este acceso se gestiona auto­máticamente y de forma transparente entre el sistema operativo y el servidor de dominio.

No sería lógico que para poder acceder a Internet el usuario tuviero que poner de nue­vo su nombre de usuaria y contraseña.

Por este motivo, en redes de tipo Microsoft debemos configurar Squid para que utilice los usuarios ya definidos en el dominio.

Una de las principales I de las soluciones Microsoft (por ejemplo, el proxy de Microsoft) es que se integran perfectamen­te y de forma automática dentro del dominio. Sin embargo, esta solución tiene un coste más ele­

vado.

Seguridad de 0110 nivel en redes: proxy ----~------------~~------------------

Q Caso ráctico 11

Configurar reglas de acceso básicos SiTour

Configurar Squid para que en la empresa SiTour se cum­plan las siguientes narmas:

• Ningún trabajador podrá acceder a Gmail o Hotmail excepto los jefes: 'virginia' y 'fernando' (con contrase­ñas 'patata' y 'cebolla').

1_ Generamos el fichero de claves correspondiente:

ht pa sswd - c /etc / squid3/claves virginia htpasswd / etc/ squid3/claves f e rnando

• Los trabajadares de contabilidad que tienen el rango IP 192.168.50.2-192.168.50.127 podrán acceder o to­das las páginas excepto las mencionadas en el apar­tado anterior.

• Los trabajadores de ventas que tienen el rango IP 192.168.50.128-192.168.50.255 no podrán acceder a Internet excepto a lo página del ministerio de indus­tria y turismo (hltp://www_mityc_es).

Escribimos para ambos las contraseñas cuando nos las solicita.

2_ Configuramos Squid para trabajar con el mádulo ncsa_auth.

Incluimos al final de la seccián auth_param del fichero squid .conf las siguientes líneas:

auth_param basic program / usr/ lib/ squid3/ nc s a _auth /etc/ squid3/clave s aut h_param basic children 5

aut h_param basic realm proxy Si tour auth _ param basic credentialsttl 2 hour s

3_ Configuramos las listas de acceso que nos harán falta en Squid:

acl Conta src 1 92 .168 .50 .2-192 .168 .50 . 127

ac l Ventas src 192.168.50 .128-192. 16 8 . 50 . 2 55

ac l Ministeri o _Tur i smo dstdomain .mityc.es acl Ges t or e s Correo dstdomain .hotmail.com .gmail.com acl Jefes proxy _ auth REQUIRED

4_ Configuramos las reglas de acceso poro cumplir todas las condiciones:

http_access a l l ow Gestores Correo Jefes al low Ventas Ministe r i o Turismo

allow Canta !Gestores Correo

deny All Lhttp_ acces s http_acces s http_ access

____________________________________________ -J

~ Actividades

228

41. Haz que todos los usuarios del aula puedan navegar desde el ordenador cliente que está conectado a tu proxy, pero que ningún usuario que no se autentique pueda navegar.

42. Utilizando el siguiente tipo de acl: Ac l profesor es proxy auth macarena f e r nando http_ access a llow profesor es

La línea http_access solo coincidirá cuando los usuarios autenticados sean macarena y fernando.

Configura el proxy para generar los grupos de tu clase (profesores y alumnos). Haz que los alumnos solo ten­gan acceso a la página de tu instituto. Los profesores tendrán acceso a todo.

43_ En la empresa SiMotor, un concesionario de motos, tienen un ordenador con la direccián 192.168.50.100 para que sus clientes puedan acceder a las páginas de Honda y Suzuki. En el resto de la empresa para poder navegar desde cualquier ordenador hay que autenti­carse. Los usuarios son Virginia, Macarena, Fernando y Gustavo, y podrán acceder a cualquier página.

Seguridad de alta nivel en redes: praxy

7.5. Clasificación de sitios en Squid

Como ya has podido observar el control del acceso en un proxy es una tarea muy tedio­sa debido a que el número de sitios de Internet es muy grande y además cambian cons­tantemente (se generan nuevos sitios todos los días y desaparecen algunos que existían).

Caso ~ráctico 12 "

Estudio de las posibilidades para restringir el acceso a los sitios de noticias

En SiTour han detectado que los empleados dedican los primeros 5 minutos a leer el periódico por Internet. Quieren terminar con esta costumbre y deciden prohibir el acceso a los periódicos.

1. Aplicando lo que ya hemos aprendido en esta unidad podríamos limitar el acceso a ciertos dominios o direcciones IP, como por ejemplo los de El País, El Mundo, La Razón, ABe o Diaria 16. Sin embargo, los trabajadares todavía podrían conectarse a sitios de periódicos menos mayaritarios, como por ejemplo Adn, Metro o el diario de la zona.

2. Podríamos esforzarnos un poquito más y conseguir un listado de la mayoría de los periódicos y configurar sus dominios como prohibidos.

3. Sin embargo, aún podrían conectarse a periódicos no españoles, como por ejemplo The Daily Telegraph, The Guardian, The New York Times.

4. Podríamos prohibir el acceso a los principales periódicos en otras lenguas, pero podrían seguir leyendo los periódicos minoritarios de otros países.

Como puedes ver, este es un trabajo muy tedioso, que quita mucho tiempo y resulta poco gratificante para un administrador de red, pero al final conseguiríamos una lista muy grande en la que estarían muchos de los dominios de periódicos on-line.

También podemos aprovechar alguna de las listas que ya existen en Internet con clasificaciones de sitios ya completadas y que además se actualizan con cierta frecuencia.

~,-------------------------------Para descargar una de las listas de sitios disponibles en Internet accede a la sección de descargas (download) de la página http://urlblacklist.com y descarga el fichero bigblacklist.tar.gz.

Descomprime dentro del directorio /etc/squid3/ el contenido del fichero bigblacklisUar (para descomprimirlo usa el comando tar -xvzf bigblacklist.tar.gz cuando estés dentro del directorio squid3).

Ahora tendrás un directorio nuevo dentro de /etc/squid3/ que se llamará blacklist, dentro del cual habrá una carpeta por cada categoría de sitios de Internet, por ejemplo news, webmail o weather y dentro del cual habrá al menos uno de los siguiente ficheros:

o Domains: contiene los dominios que están incluidos en dicha categoría. Por ejemplo, dentro de /etc/squid3/blacklists/news/domains hay una línea «elpais.es» que indica que este dominio es un dominio de noticias. Este fichero lo utilizaremos para generar una lista de acceso (acl) utilizando el tipo dstdomain.

o Uds: incluyen URL con contenidos de dicha categoría. Las url que están incluidas en el fichero /etc/squid3/blacklists/news/urls contienen según esta clasificación noti­cias. Nos permite generar listas de acceso de tipo dst.

o Expressions: contiene expresiones que típicamente tienen los sitios de esta categoría en la dirección. Generaremos listas de acceso utilizando el tipo url_regex.

Otros sitios donde puedes encan· trar clasificaciones de sitios son:

http://www.shallalist.de

http://squidguard.mesd.k12. or.us/blacklists.tgz

229

Seguridad de alto nivel en redes: proxy

~ Casa práctica 13

Utilizar una lista de dominios para controlar el acceso a las noticias

Continuando con el coso práctico anterior de la empre­sa SiTour, vamos a construir una regla en el proxy para prohibir el acceso a los periodicos a sitios de noticias on-line utilizando la clasificación que nos hemos descar­gado.

domains_punto contiene los dominios pero comen­zando por punto (tal y como lo necesitamos en squid) .

2_ A continuación modificaremos la configuración de squid creando una nueva acl que incluya los dominios de noticias:

L Fí¡ate en el formato de los dominios del fichero /etc/ squid3/blacklists/news/domains aparecen correcta­mente uno en cada línea, pero no comienzan por el símbolo «.l>. Si recuerdas el tipo de acl dstdomain los dominios tienen que comenzar por «.l>, así que tendre­mos que añadir un punto al principio de cada línea. Esto se puede hacer de forma automática en Linux uti­lizando el comanda awk '{printf("_%s\n",$l)}' dornains > dornains punto _ Ahora el fichero

ac l noticias dstdomain "/etc/squid3/ black lists/news/ domains _punto"

y añadiremos una regla http_access al principio de nuestra lista que prohíba el acceso a estos dominios a todos los trabajadores:

http_access deny noticias

Ya solo nos queda comprobar que las clientes no pueden acceder a las dominios, para ello solo tenemos que con­sultar desde el navegadar de un cliente algunas de los dominios que aparecen en el fichero damains_punto.

Tendrás que tener instalado Webmin . Si no lo tienes, visita la página oficial (http://www_ webmin_com/), descárgalo e ins­tálalo. La versión utilizada para este libro ha sido Webmin 1.49.

En Webmin lo primera vez que accedes a un módulo lo encontrarás en Un-used modules (módulos sin usor). A portir del momento en que lo utilices por primera vez aparecerá en la categoría que le correspondo. En nuestro coso en la categoría Servidores.

~ Actividades

44_ Prohíbe el acceso en tu proxy a los sitios de blog y hacking, excepto a los usua­rias autenticados. Comprueba que lo has hecho correctamente.

45. Prohíbe el acceso a los sitios de juegos a los usuarios Macarena y Virginia. )

7.6. Gestión del proxy con Webmin. Control de log

Webmin es una aplicación de administración que utilizando un interfaz Web permite administrar la mayoría de los servicios disponibles en un equipo GNU/linux.

o Insto lar y configurar Webmin para Squid

Para poder utilizar Webmin para interactuar con el Proxy tenemos que instalar el módu­lo de Webmin llamado Squid y configurar dicho módulo.

Antes vamos a instalar dos paquetes del repositorio que necesita Webmin para interac­tuar con Squid: calamaris y squidclient. Para instalarlos ejecutamos el comando aptitude install ca/amaris squidclient.

Volviendo a la instalación del módulo Squid, entramos en Webmin (hHp://localhost:l0000) y en la configuración de Webmin (en el menú del marco de la izquierda Webmin > Configu­ración Webmin) seleccionamos la opción Módulos Webmin. En esta pantalla instalaremos Squid buscándolo entre los módulos estándar de www.webmin.com.

Una vez instalados nos pedirá ciertos datos de Squid para poder funcionar correcta­mente. Dentro de la sección Configuración del sistema habrá que indicar dónde están los ficheros principales de Squid que ya se comentaron en la Tabla 8.2. Algunos de estos valares son el comando para ejecutar Squid y el directario en el que se encuentran los lag de Squid.

Salvamos los cambios, y reiniciamos Webmin (Webmin > configuración webmin, y pul­sar el botón reiniciar) y ya podremos util izar el módulo Squid de Webmin.

Seguridad de alto nivel en redes: proxy

o Utilización de Webmin

Utilizando Webmin podemos modificar algunas de las opciones que ya conocemos, como por e¡emplo dentro de Control de acceso (Fig . 8.33) en Webmin podemos confi­gurar las listos de acceso y las reglas http_access. También puedes modificar la autenti­cación del praxy, añadir, modificar a eliminar usuarias, etc.

Wa!lrru.l'.WIiIDGilI ' ll!lUilln!!JiUtI1II.ll.l J~;:Ii1tü:i an:hMO Edu. !<'Ir t<iJ¡,.""l .I:! •• t.d".. t<1 .... ",¡I "lU "'nId. , 1..0;'0' ''''' O W.b_ Os." .. .. D s ..... , ... .

u""ro d. C.". .... U' JI"'" ~. ",,".,CV$

""'" '",fo;II",, 'od.ml,l. Servidor ProKy Squid $,.I;.","Ó.' • 00','" C''''~'' ' I • ••• ,~."'d

n"""~'"J/f''.'' '

!s0Ui~~ D a.. .. ",. o '''''w,,' U e,.",. n u." .. ~ , . ,.," .. ~ .. rt~

I ", ,, ,,,,, ••• 1, " 1.0;. 1:'1 ~""",,,f,,,,,,,,,,,

:::¡ .,f"'."'i"',, 0 1..0;,"

~ . ... n .. "l."'oJ • • • R. d

i::? \l." .... d. Co:M

lB 0"""""0<1'. ''''''

~ ~,r""., .. R,¡' ..

:#., e ..... ' ..... ¡" . ........ .

1"" óu, lo eo,*".,,,"n I I D."ner5.~ I

Fig. 8.30. Webmin Squid.

''''i''''''' d,_",d.

••• ;".,.,i •• ",,,V', ,,".

, U .. 4 .... m .. ' •

ifJ c.=d i. ",,..0

ilil 'o.,.d,."""

~ eodil.""; ••• ' O"""".n,,,,,,,,," •• .u.n ..

• ".1 ... ,oh . .... ~"'n .... ot ..... lo ,.nI .......... ,,"'01 d. 50""

11::. I

6 o.""" .. ~." ......

o C'ntrol ~,"'".o d, C.blt""

......... "lo< •• d. botin .... h' .... . ' ....... .. . .. ", .. . n .... ~",n. Uno • •• • • '_io '" <~ .... , O. , ,. ~ no •• d, .. loo,.,

Sin embargo, la mayor parte del tiempo que dedicamos a la administración de Squid en una empresa como por e¡emplo SiTour, una vez que Squid ya está instalado, configura­do y funcionando, se dedica al seguimiento de los lag que genera Squid. las tareas de configuracián se pueden realizar sin mucha dificultad directamente sobre los ficheros, pero para analizar los lag de Squid es recomendable utilizar alguna herramienta más visual. .

Por todas estos motivos, nos vamos a centrar ahora en la opción Análisis de histárico de calamaris.

o Anólisis dellog de Squid con Webmin

Tenemos varias opciones para controlar las lag de Squid de forma gráfica, una de ellas es utilizando el programa calamaris, que se integra dentro del módulo de Webmin. Si pulsamos en la opción Análisis de histórico de ca/amaris, veremos un informe de la acti­vidad que ha tenido Squid. Este informe contiene mucha información, pero nosotros nos vamos a centrar en dos tablas:

Byte % 1 hit-%

:.,.I_::..m~i~ni~iu~e~g~os~.~co~m;;==" ~_....;7",4~~1....;3::.;9;,' 7;.8;:1---:2~. ~70J I 18759611 10.7 0JI 0.60

I "I-~. m~i=n=iju;=e=g=o=s.::gr_at--=i5=.c=o=m2: : 1r--,2;-:4~ :lr12~'..;9~0+I-;;occ· O;:=}~ I 10 662 6 ¡-TOS 1 O. O O I-·googte.com 1 121 6.451 0.00 1 139641[Q.B01 0.00 :'::16;4.~1.2~S~.2~2~2=._~=-· ~1-~9~~1 ~4.~8~4·~1 -o~. ~ooll 1246161 7.101 0.00

I-·mochibot.com 1 9 '1 4.841 0.0011 148871 0.85'1 0.00 rl_-.a-nt:-e-v-e-ni:-o-.c-o-m--J- ,ilr---:8c'I---C4:-. 3::-:0~: il---C0:-. ~=i00 1 56321 0.321 0.00

I- .publicidad.ne!: 1 8,1 4.30 1 0.00 1 15771 ["OTo1 0.00

1 171_.=;d;=ou--:b-:"le~c-;;lic-;k-.n-e!:-:----;J :--1 ----:;7"lc ---:;3-:.7;-;:6+1-;;:0-;;.0:;;;011 71741J I4T9I 0.00

I-·advertising.com 11 71 3.761 0.0011 51696112.951 0.00

Fig. 8.32. Ca/amaris, dominios 2. o nivel accedidos.

¡;;(~min!llCP.reqUl!m by ha, t

I hDst Ir~qul!5t ~lsl!(/rl!q ~(hii'=% (kB/S I!(

1192. 1fiO.5().1'lD~r;:¡7~[2"2'iJSíJ.79~

Isum ~[6.i7¡-ii:'il~í3.7i~

Fig. 8.31. Peticiones por host.

Seguridod de alto nivel en redes: proxy

DOtumefltos .. ~~~:,i¿~~~~Hjn Generador de Informes de

Análisis de Squid 1:)

~ ori~en de

H'Slóncoy De~tino de

Informe

~ Opdonos de

Informe

~ E$\~o de Informl!

Genera,ión de Informe pI3n'I!cado

1 Generar Informo Ahora I Puln este botón para yenerar '-=====-'-' Inmed,atamente un Informe 5 .. ry en /var / """"/5'lu l d · ~epDrt'i ut,I,:ando.la conflgurac,ón ilctUill.

Fig. 8.33. 50r9 en Webmin.

232

• Request·destinotions by 2nd-level-domoin nos informo de los peticiones que ha habi­do o los dominios de segundo nivel (Fig. 8.36). Par ejemplo podemos observar que 01 dominio .minijuegos.com se han hecho 74 peticiones, es decir es el dominio mós consultado por los usuarios del proxy.

• Incoming TCP.requests by host nos muestra infarmoción sobre los peticiones que ha hecho codo equipo de lo red (Fig. 8.35). En nuestro coso solo tenemos un cliente, según lo Figuro 8.35, tiene lo IP 192.168.50.140 que ha hecho 15 peticiones.

Sin embargo, colomoris no nos estó ofreciendo información sobre qué usuarios occe· den o qué dominios (siempre tenemos lo opción de consultarlo en el fichero access.log directamente), por lo que vamos a instalar otro paquete del repositorio llamado Sarg (aplilude inslall sarg) y el módulo de Webmin que permite gestionarlo, también llamado Sargo Los pasos para la insta lación de Sarg en Webmin son los mismos que se explica· ron para el módulo Squid de Webmin.

Una vez instalado, vamos a configurarlo directamente a partir de su fichero de configu. ración editando el fichero / etc/ squid/sarg.conf. Modificamos dos paró metros language -pondremos «Spanish»- y access_log -pondremos la ruta al fichero access.log de Squid (ya la vimos en la Tabla 8.2 es /var/ log/squid3/ access.log) .

Una vez configurado accedemos a Webmin y entramos en Servidores> Generador de informes Squid (Fig. 8.36). Con la configuroción por defecto del módulo será suficiente, por lo que podemos generar un informe pinchando sobre el batán Generar informe ahora.

Ahora si pulsamos sobre Ver Informe Generado, podremos ver el informe que acabamos de generar.

Dentro de Webmin, en Opciones de informe podemos seleccionar varios tipos de infor· me; si seleccionas la opción Todos los informes, Sarg generaró todos los informes para las que haya información.

~ Actividades

46. Sigue las siguientes pasas:

1. Configura Squid para que se prohíba el acceso a las noticias, se prahíba el acceso a cuentas de correo excepto a los jefes y haya dos departamentos, ventas y contabilidad con diferentes permisos.

2. Vacía los ficheros de lag de squ id:

3. echo uu > /var//og/squid3/access.log 4. echo uu > /var/log/squid3/cache.log

5. echo uu > / var/log/squid3/slore.log 6. En el ordenador del cliente navega desde diferentes departamentos y dife·

rentes usuarios y tanto a páginas a las que se tiene acceso como a páginas a las que no. Intenta autenticarte como uno de los jefes (en algún caso no escribas bien la contraseña).

7. Genera un informe completo en Sarg de Webmin en el que se incluya pági­nas accedidas por cada usuario, listado de sitios mós visitados, denegacio­nes de acceso y fallos en la autenticación.

y responde a las siguientes cuestiones:

a) ¿Quiénes son los usuarios que han intentado acceder a póginas para las que no tienen acceso?

b) ¿Hay usuarios que hayan intentado autenticarse muchas veces en poco tiempo? (pueden estar intentando descubrir una clave de usuario).

e) Comprueba las páginas que ha visitado cada usuario ¿Son páginas correc· tos para un trabajador de SiTour?

d) ¿Cuóles son las páginas mós visitadas? ---------)

Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático

Asegurar la privacidad de la informacián transmitida en redes informáticas describiendo vulnerabilidades e insta­lando software específico

1. Instala WinGate, pera durante el procesa de instala­ción responde que no a la instalación de ENS (Exten­ded Network System). ¿Qué diferencias observas en el funcionamiento del proxy?

2. Configura el servicio Remate Control Service para que te permita acceder a GateKeeper desde cualquier equipa de la red.

3. La empresa SiTaur quiere cantrolor el acceso o Internet de sus empleados. En lo empresa hoy:

- Un jefe, Fernando que tiene que tener acceso o todo.

- Dos empleados de ventas, Macarena y Gustavo, que no tendrán acceso a Internet excepto de 10:00 o 10:30, que es el hororio de descanso.

- Un empleado de contabilidad, Virginia, que nece­sito tener acceso o lo página de lo agencio tributa­ria (www.aeat.es) y al correo de lo empresa (www. gmail.com).

- Configura WinGate poro conseguir que en lo empresa SiTour se cumplan estos requisitos.

4. La empresa SiCon, que se dedica a la construcción, tiene 10 empleados en su oficina y otros 50 empleados que habitualmente no están pero que de vez en cuando trabo ion una moñona allí. Configura WinGate paro que permito un acceso aceptable o las 10 emplea­dos que estón en lo oficina habitualmente y un acceso mínimo o los usuorios que de vez en cuando están allí.

5. En lo empresa SiCon se ha detectado que se estó acce­diendo o alguno pógina de juegas y opuestos online. Tiene que ser uno de los diez empleadas que habitual­mente está en la empresa, parque el resto no tienen acceso a este tipo de contenidos. Realizo lo auditoría necesaria en WinGate para detectar quién es lo per­sona que está realizando estos accesos.

6. En Squid, accede a la carpeta de mensajes de error, hoz una copia de dicho carpeta y después modifico los ficheros de mensajes para que aparezca el logotipo de SiTour (genera tu propio logotipo con tu herramienta favarita, por ejemplo, Paint).

7. En la empresa SiCon hay 4 departamentos que deben tener los siguientes accesos:

Seguridod de olto nivel en redes: proxy

Comprueba tu a"rendizaie~

Contabilidad

Gerencia

Proyectos

RRHH

192.168.50.10-192.168.50.20

192.168.50.21 -192.168.50.30

192.168.50.31 -192.168.50.40

192.168.50.41 -192.168.50.50

Tendrón acceso al correo, páginas de bancos y www.aeat. es

A todo

Avanzado: todo menos juegos

Correo y sindicatos Iwww.ugt.es)

Configura Squid para permitir y negar los accesos que se especifican en la tabla.

8. Basándonos en la configuración del coso próctico ante­rior y en parejas, uno hace el rol de usuario del proxy y el otro el de administrador. El alumno que hace de usuario pertenecerá al departamento de Proyectos y tratará de averiguar páginas para las que no debería tener acceso, pero que en realidad sí tiene. El alumno que hace de administrador revisará los lag para detec­tor accesos indebidos e irá incluyendo esos dominios en los ficheros adecuados para prohibir el acceso a dichas páginas.

9. Modificar la Actividad 7 para que las personas de los departamentos de Gerencia, Gustavo y Fernando, y de Recursos Humanos, Virginia y Macarena, tengan que autenticarse.

10. Configura Squid para que tu servidor proxy haga de Proxy para toda la clase. Reflexiona previamente sobre los contenidos que deberían bloquearse y qué tipo de autenticación sería necesaria.

11. Para poder aproximarnos más a una situacián real, uno de los equipos configurados en el ejercicio anterior se utilizará durante un por de días como proxy de lo clase . De esta forma generaremos unos ficheros de lag reales para un proxy de instituto.

12. Una vez pasados los dos días de funcionamiento del Proxy, todos los grupos se copiarán los ficheros de lag a su propio servidor y analizarán la informacián desta­cando:

• Datos relevantes: usos indebidos, intentos de acceso indebidos, cinco páginas más accedidas, usuarios con más tráfico, errores en la configuración.

• Medidas a tomar: sobre la autenticación, sobre las clasificaciones, sobre el fichero de configuración.

Seguridad de alto nivel en redes: proxy

Diferentes permisos usuarios

Compartir una única dirección IP .. .

Auditoría deltrófico

Cache de páginas consultadas

Proxy (tradicional)

Proxy NAT

Proxy transparente

Creación de usuarios

Autenticación de usuarios

Wingate

PureSight

Gestión de logs

Control de acceso

Autenticación de usuarios

S~uid

Clasificación de sitios

Gestión de logs

234

Anexo

Anexo: índice de términos

802.11 a, b, g, n Página 163 Unidad 6

802.1x Página 172 Unidad 6

ACL Página 126 Unidad 5

Algoritmos Página 90 Unidad 4

Algoritmos de bloque Página 90 Unidad 4

Algoritmos de flujo Página 90 Unidad 4

Amenazas Página 21 Unidad 1

Antivirus Página 11 Unidad 1 Página 139 Unidad 5

ARP Página 136 Unidad 5

Arquitectura Dual-Homed Host Página 197 Unidad 7

Arquitectura Screened Host Página 197 Unidad 7

Arquitectura Screen Subnet Página 198 Unidad 7

Arquitectura Screened Router Página 181 Unidad 7

Atacantes Página 133 Unidad 5

Auditoria Páginas 11, 25 Unidad 1

Autenticación Página 11 Unidad 1

Autenticación de los usuarios Página 123 Unidad 5

Autoridad de certificación Pági na 95 Unidad 4

Autoridad de registro Página 95 Unidad 4

Autoridades de los repositorios Página 95 Unidad 4

Autorización Página 11 Unidad 1

Bastión Página 181 Unidad 7

Borrar puntos de restauración Página 65 Unidad 3

Carder Página 133 Unidad 5

Centro de cálculo Página 13 Unidad 1

Certificado de revocación Página 88 Unidad 4

Certificado digital Página 11 Unidad 1

Certificados digitales Página 94 Unidad 4

Ciberterroristas Página 133 Unidad 5

Cifrado clave asimétrica Página 86 Unidad 4

Cifrado clave privada Página 84 Unidad 4

Cifrado de particiones Página 112 Unidad 5

Cifrador de Vigenére Página 82 Unidad 4

Cifra dar del Cesar Página 82 Unidad 4

Anexo

Cifrador PoLybios Página 81 Unidad 4

Clasificación de métodos de criptografia Página 83 Unidad 4

Climatización Página 33 Unidad 2

Cluster de servidores Página 44 Unidad 2

ConfidenciaLidad Página 10 Unidad 1

ControL de acceso Página 32 Unidad 2

ControL de cuentas de usuario Página 159 Unidad 6

Copia de registro Página 72 Unidad 3

Copia de seguridad compLeta Páginas 51, 54 Unidad 3

Copia de seguridad diferenciaL Páginas 51, 56 Unidad 3

Copia de seguridad incrementaL Páginas 51, 57 Unidad 3

Copias encriptadas Página 60, 61 Unidad 3

Cortafuegos Página 11 Unidad 1 Página 181 Unidad 7

Cortafuegos a niveL circuitos Página 186 Unidad 7

Cortafuegos a niveL paquete Página 186 Unidad 7

Cortafuegos de pasareLa de apLicación Página 186 Unidad 7

Cortafuegos de subred Página 186 Unidad 7

Cortafuegos personaLes Página 184 Unidad 7

Cortafuegos transparentes Página 186 Unidad 7

Cortafuegos Windows Vista Página 182 Unidad 7

CPD, centro de procesamiento de datos Página 31 Unidad 2

Cracker Páginas 9, 21 Unidad 1 Página 133 Unidad 5

Criptografia Página 80, Unidad 4

Criptografia híbrida Página 90 Unidad 4

Criptografia simétrica Página 84 Unidad 4

Cuotas de disco Página 117 Unidad 5

Denegación de servicio Página 141 Unidad 5

DiaLer Página 141 Unidad 5

DisponibiLidad Página 10 Unidad 1

DMZ Página 180, 198 Unidad 7

DNS Spoofing Página 136 Unidad 5

DupLicity Página 61 Unidad 3

Encriptación Página 11 Unidad 1

EscítaLa Página 80 Unidad 4

Esteganografia Página 83 Unidad 4

Etiqueta para soporte de copia de seguridad Página 73 Unidad 3

!36

Anexo

Fabricación Página 134 Unidad 5

Filtrado de paquetes Página 187 Unidad 7

Firewall Página 181 Unidad 7

Firma Página 11 Unidad 1

Firma digital Páginas 92 Unidad 4

Función resumen Página 91 Unidad 4

Gusanos Página 139 Unidad 5

Hacker Páginas 9, 21 Unidad 1 Página 133 Unidad 5

Hamachi LogMeIn Página 158 Unidad 6

Hash Página 91 Unidad 4

HickjackThis Página 148 Unidad 6

Hoja de regist ro de copias de seguridad Página 74 Unidad 3

Hoja de registro de restauración Página 74 Unidad 3

HTIP Página 149 Unidad 6

HTIPs Página 149 Unidad 6

IDs Página 159 Unidad 6

Imágenes Página 69 Unidad 3

Ingenieña social Página 141 Unidad 5

Integridad Página 10 Unidad 1

Intercepción Página 134 Unidad 5

Interfaz Página 186 Unidad 7

Interrupción Página 134 Unidad 5

Inundación de peticiones sYN Página 141 Unidad 5

Iptables Página 190 Unidad 7

Kerckhoff Página 90 Unidad 4

Kerio WinRoute Páginas 192, 200 Unidad 7

Keylogger Página 141 Unidad 5

Lammer Página 21 Unidad 1 Página 133 Unidad 5

Ley orgánica de protección de datos Página 23 Unidad 1

Listas de control de acceso Página 126 Unidad 5

Logs Página 199 Unidad 7

LOPD Página 23 Unidad 1

Malware Página 139 Unidad 5 Página 147 Unidad 6

Modelos OSI Página 186 Unidad 7

Modificación Página 134 Unidad 5

/ Anexo

Monitorización de Windows Página 131 Unidad 5

NAS Página 46 Unidad 2

NAT Página 190 Unidad 7

Newbie Página 133 Unidad 5

No repudio Página 10 Unidad 1

Objetivos de la seguridad informática Página 10 Unidad 1

OpenBSD Página 192 Unidad 7

OpenSSH Página 150 Unidad 6

Phising Página 142 Unidad 5

Phreaker Página 133 Unidad 5

Ping Página 187 Unidad 7

PKI Página 95 Unidad 4

Políticas de contraseñas Página 123 Unidad 5

POP-lIPS Página 147 Unidad 6

Programación copia Páginas 56 , 57 Unidad 3

Programadores de virus Página 133 Unidad 5

Protección del sistema Página 63 Unidad 3

Proxy Página 180 Unidad 7 Página 204 Unidad 8

Proxy transparente Página 213 Unidad 8

ProxyNAT Página 213 Unidad8

Punto de acceso Página 165 Unidad 6

Punto de restauración Página 63, 64, 65 Unidad 3

Radius Página 173 Unidad 6

RAID Página 38 Unidad 2

Recuperación automática del sistema Página 68 Unidad 3

Recuperación sistema operativo Páginas 63 Unidad 3

Red privada virtual Página 152 Unidad 6

Reglas de filtrado Página 188 Unidad 7

Reparación de inicio Página 67 Unidad 3

Restauración copia de seguridad Página 61, 64 Unidad 3

Restaurar sistema Página 65 Unidad 3

SAl on line Página 36 Unidad 2

SAl, sistema de alimentación ininterrumpida Página 35 Unidad 2

SAN Página 46 Unidad 2

Seguridad activa Página 16 Unidad 1

Seguridad física Página 13 Unidad 1

Seguridad informática Página 10 Unidad 1

Anexo

Seguridad lógica Página 14 Unidad 1

Seguridad pasiva Página 16 Unidad 1

Servicios Página 159 Unidad 6

Servidores proxys Página 11 Unidad 1

Sistema de alimentación en estado de espera Página 36 Unidad 2

Sistemas biométricos Página 125 Unidad 5

Sistemas de sustitución Página 83 Unidad 4

Sistemas de transposición Página 83 Unidad 4

Sniffer Página 133 Unidad 5

Snort Página 159 Unidad 6

Soporte de copias de seguridad Página 53 Unidad 3

Spoofing Página 135 Unidad 5

SPS, Stand by Power Systems Página 36 Unidad 2

Spyware Página 147 Unidad 6

SpywareBlaster Página 147 Unidad 6

Squid Página 219 Unidad 8

SSH Página 150 Unidad 6

SSL Página 150 Unidad 6

Telnet Página 150 Unidad 6

Ti pos de ataques Página 134 Unidad 5

Tripwire Enterprise Página 159 Unidad 6

Troyanos Página 139 Unidad 5

UAC Página 159 Unidad 6

Ubicación Página 30 Unidad 2

Última co nfiguración conocida Página 67 Unidad 3

UPS Página 35 Unidad 2

Virus Página 139 Unidad 5

Vulnerabilidades del sistema Página 20 Unidad 1 Página 129 Unidad 5

Wannabe Página 133 Unidad 5

Webmin Página 230 Unidad 8

WEP Página 166 Unidad 6

Wi-Fi Página 163 Unidad 6

WinGate Página 208 Unidad 8

WPA Página 170 Unidad 6

Zona desmilitarizada Página 180 Unidad 7

ZoneAlarm Pági na 184 Unidad 7