Descripción

Anuncio
Cómo se utiliza este libro
Presentación de la unidad
Unidad
2
Criptografía
Aquí encontrarás los criterios
de evaluación de la unidad.
En esta unidad aprenderemos a:
•Describirsistemasdeidentificación,
comolafirmaelectrónica
yelcertificadodigital,entreotros.
•Utilizarsistemasdeidentificación,
comolafirmaelectrónica
yelcertificadodigital,entreotros.
Además, te avanzamos
los contenidos que se van
a desarrollar.
Y estudiaremos:
•Lacriptografía.
•Laidentificacióndigital:
firmaelectrónica
ycertificadodigital.
•Lossistemasdeidentificación:
firmaelectrónica,certificados
digitalesyotros.
Desarrollo de los contenidos
CASOS PRÁCTICOS
Aplican los conocimientos aprendidos a problemas
y situaciones reales del entorno profesional.
ACTIVIDADES
Permiten trabajar los contenidos a medida que se van
explicando, y aseguran un aprendizaje progresivo.
Seguridad activa: control de redes
Una exposición clara y concisa de la teoría, acompañada de recuadros que ayudan a la comprensión de
los aspectos más importantes:
¿Sabías que…?
Seguridad activa: control de redes
tcpdump es una herramienta sencilla disponible en Linux que permite hacer un volcado
de todo el tráfico que llega a una tarjeta de red. Captura todo el tráfico, no solo el tráfico TCP, como aparece en su nombre. Los paquetes leídos se muestran en pantalla o se
pueden almacenar en un fichero del disco para ser tratados posteriormente por esta misma herramienta u otra más avanzada. Se necesitan privilegios para ejecutarla, porque
necesitamos poner la tarjeta en modo promiscuo para que acepte todos los paquetes,
no solo los destinados a suMAC, como ya vimos en la Unidad 6.
La captura con tcpdump se puede hacer en uno de los extremos si la conversación que
estamos estudiando ocurre entre una máquina Unix y otra máquina Unix/Windows/etc.
(hay versiones de tcpdump para Windows, pero aquí es mejor WireShark). Aunque también lo utilizaremos muchas veces para capturar las conversaciones que atraviesan un
router Linux. En la distribución representada en la Figura 7.15 podremos capturar las comunicaciones entre los ordenadores de las dos VLAN y todas las conexiones a Internet,
aunque no podremos conocer qué hablan entre sí los ordenadores de una misma VLAN.
 Dificultad:  Alta
Objetivo. Aprender a configurar e interpretar interfaces
monitorizadas.
Material. Cuatro ordenadores (uno con Windows 7, tres con
Linux Ubuntu), acceso a Internet, software SpiceWorks.
1. Vamos a instalar una red con un router Linux, un par
de ordenadores de trabajo (llamados Ubuntu Server y
Ubuntu Desktop) y un ordenador más, que será la estación de supervisión, donde corre el software de monitorización. Desde los ordenadores de trabajo generaremos tráfico de red sobre el router Linux y desde la
estación de supervisión controlaremos todo el proceso.
2. Primero conectamos los ordenadores según el esquema
de la Figura 7.1. El ordenador llamado Ubuntu Desktop
puede ser una máquina virtual corriendo en la estación
de supervisión. Necesitaremos conexión a Internet en
la estación de supervisión para descargar el software
asociado.
Ten cuidado
Internet
Router wifi
Ubuntu
Server
Router
Linux
192.168.1.33
10.0.1.1
192.168.10.3 Estación
192.168.10.1
192.168.10.4
de
supervisión
Ubuntu Desktop
Vocabulario
Fig. 7.1. Esquema de monitorización.
3. El router Linux conecta dos subredes: la 10.0.1.0/24
y la 192.168.10.0/24. Hay una tercera subred, la
192.168.1.0/24, para la salida a Internet por el router
ADSL.
4. Para facilitar la tarea, utilizaremos direcciones estáticas
en todas las interfaces:
a) 10.0.1.4 en Ubuntu Server.
b) 10.0.1.1 y 192.168.10.1 en router Linux.
c) 192.168.10.4 en Ubuntu Desktop.
d) 19192.168.10.3 y 192.168.1.33 en la estación de
supervisión.
Web
7
1.1. tcpdump
 Duración:  1 hora
10.0.1.4
Importante
7
Caso práctico 1
Monitorización de tráfico
5. En la Figura 7.2 vemos la configuración de la interfaz
Ethernet de la estación de supervisión. No necesitamos
servidor DNS porque siempre trabajaremos directamente con las direcciones IP.
Fig. 7.2. Configuración IP de la estación de supervisión.
6. No debemos olvidar activar el enrutamiento de paquetes en el router Linux para que de verdad actúe como
un router. Basta con introducir un 1 en el fichero ip _
forward.
¿Sabías que…?
tcpdump es un analizador de
paquetes. Es útil para protocolos
no orientados a conexión, como
IP, UDP, DHCP, DNS e ICMP.
Pero no ayuda mucho en los protocolos orientados a conexión,
como HTTP y SMTP, donde interesa identificar fácilmente todos
los paquetes de una conexión.
# echo 1 > /proc/sys/net/ipv4/ip _ forward
7. Terminada la configuración de direcciones, empezamos con los generadores de tráfico. En el router Linux
vamos a poner un servidor FTP y desde los ordenadores de trabajo (Ubuntu Server y Ubuntu Desktop) efectuaremos descargas de ficheros continuamente.
8. Como servidor FTP podemos utilizar vsftpd. Lo instalaremos con apt-get install vsftpd y dejaremos la configuración por defecto. La descarga la haremos con el
usuario anonymous; por tanto, los ficheros que vamos
a descargar debemos ponerlos en el directorio particular del usuario FTP (será /home/ftp). Ahí crearemos un
fichero de 10 KB con el comando:
VLAN soporte
Switch planta 2
Router Linux
Switch internet
Switch planta 1
Routers
# dd if=/dev/zero of=/home/ftp/10k bs=1024
count=10
9. Ahora vamos a los dos ordenadores de trabajo para
crear los generadores de tráfico. Utilizaremos un script
llamado generador.sh:
Internet
# cat generador.sh
N=$1
E=$2
while `expr $N > 0`
do
echo intento $N
$N=`expr $N – 1`
ftp 192.168.10.1 <<EOF
get 10k
bye
EOF
sleep $E
done
VLAN marketing
Fig. 7.15. Captura con router Linux.
Actividades
4. Investiga qué son los filtros de tcpdump y prueba algunos de ellos.
5. Prueba a decodificar una conversación ping, FTP o HTTP mediante tcpdump –X.
6. Prueba a conectar dos o tres routers Linux en cascada y efectúa captura en
todas las interfaces para comprobar cómo cruzan los paquetes de un extremo
a otro.
7. Utiliza tcpdump para comprobar que los paquetes destinados a la misma
subred llevan la IP y la MAC del ordenador destino, mientras que los paquetes
destinados a ordenadores de otra subred llevan la IP del ordenador destino
pero la MAC de la puerta de enlace.
El primer parámetro es el número de ejecuciones, y el
segundo, el tiempo entre cada ejecución. Podemos probar con diez ejecuciones y un segundo entre cada una.
8. ¿Cuándo podemos utilizar tcpdump con la opción -n, y qué nos aporta?
(Continúa)
171
Cierre de la unidad
Seguridad activa: sistema operativo y aplicaciones
Seguridad activa: sistema operativo y aplicaciones
Test de repaso
Sínt esis
Evitar que abra la caja.
Hay que encaminar
al usuario hasta
la autenticación
del sistema operativo
Evitar que arranque desde un dispositivo externo (CD, USB).
Evitar que modifique la configuración de la BIOS.
Evitar que edite la configuración del gestor de arranque.
Cifrar el contenido del disco por si falla alguna medida anterior.
Usuario/password
Fácil de recordar por nosotros, difícil para cualquier otro.
Establecer límites de longitud mínima, antigüedad, etc.
Complementan el usuario/password.
Tarjetas
Autenticación
en el sistema operativo
Fáciles de manejar (tornos de entrada y otros).
Reconocen características físicas de la persona
(huella dactilar, retina, voz, etc.).
Biometría
Elevación de privilegios
Permite realizar puntualmente tareas de administrador
sin estar presentado como administrador.
En Linux, mediante sudo; en Windows, mediante UAC
a partir de Windows Vista.
Permiten controlar el uso de los recursos por parte de los usuarios.
Generalmente se refieren al disco.
Cuotas
Se pueden aplicar a todos los usuarios o a un grupo de ellos.
Se puede configurar que solo avise al administrador o que también evite que exceda
el límite impuesto.
Actualizaciones y parches
Las herramientas suelen automatizar la búsqueda, descarga y aplicación de sus parches.
Utilizan Internet.
Generalmente conviene aplicarlos.
Antivirus
Es importante instalarlo y, sobre todo, tenerlo actualizado.
No basta con instalar mecanismos de seguridad: hay que asegurarse de que están funcionando.
Monitorización
También hay que supervisar los equipos y servicios para detectar nuevas necesidades
de seguridad.
Las tareas rutinarias hay que automatizarlas mediante herramientas de inventario y
monitorización.
Aplicaciones web
El trabajo de vigilancia se complica: los servidores pueden estar en un proveedor externo,
los usuarios utilizan sus propios navegadores y la comunicación puede ser intervenida.
Hay que redactar con cuidado el SLA con los proveedores.
Mismos temores que con las aplicaciones web, aumentados porque hay más tecnologías,
no solo HTTP.
Cloud computing
140
6
Síntesis: esquema-resumen de los contenidos estudiados en la unidad.
5
Hay que decidir si los servicios informáticos con el exterior (correo, chat, redes sociales)
los seguimos implementando con recursos propios (máquinas, personal de soporte)
o los subcontratamos.
1. Caja del ordenador:
a) No se puede proteger porque no tiene software donde
poner usuario y contraseña.
b) Podemos protegerla metiéndola dentro de una caja
fuerte.
c) Podemos utilizar un candado para dificultar el acceso
a los componentes, sobre todo al disco duro.
2. BIOS del ordenador:
a) No hace falta protegerla si tenemos protegida la
caja.
b) No tiene nada que proteger. La función de la BIOS
es otra.
c) Debemos fijar el orden de arranque para arrancar
siempre desde el disco duro.
3. Contraseñas de las BIOS:
a) Siempre hay que activarlas todas: usuario, supervisor, cifrado de disco, etc.
b) Como mínimo, activaremos la contraseña de supervisor para impedir modificaciones de la configuración.
c) La BIOS no tiene contraseñas.
4. En el boot manager:
a) No hay nada que temer: cuando arranque el sistema
operativo ya le pedirá el usuario y la contraseña.
b) No hay nada que hacer: es un software muy simple.
c) Podemos poner contraseñas a la configuración y a
cada una de las opciones de arranque.
5. El cifrado de particiones:
a) Solo tiene sentido para la partición del sistema operativo.
b) Solo tiene sentido para las particiones de datos.
c) Es necesario generar un disco de arranque para
recuperar el sistema en caso de desastre.
6. La contraseña de nuestro usuario:
a) Debe ser fácil de recordar para nosotros pero difícil
de adivinar para cualquier otra persona.
b) Es mejor dejarla en blanco: así no tenemos que recordarla.
c) Le ponemos la marca de nuestro coche, para recordarla fácilmente.
7. El acceso mediante tarjeta:
a) Es más seguro si lo combinamos con la introducción de una contraseña («algo que tienes, algo que
sabes»).
b) Si la tarjeta tiene un chip, es inteligente y ya no necesitamos contraseña.
c) Es molesto porque las tarjetas llevan chips y necesitan cargar las baterías.
8. El acceso mediante biometría:
a) Es más seguro si lo combinamos con la introducción de una contraseña («algo que eres, algo que
sabes»).
b) Es más seguro si lo combinamos con la introducción
de una contraseña y la lectura de una tarjeta («algo
que eres, algo que sabes, algo que tienes»).
c) Solo está disponible para los servicios secretos y la
policía.
9. Cuotas de disco:
a) No son necesarias: cada usuario controla muy bien
cuánto ocupa.
b) Solo tienen sentido para usuarios administradores.
c) Son necesarias para evitar afectar el rendimiento del
sistema.
Test: ayuda a detectar cualquier laguna de conocimientos.
10. Actualizaciones de software:
a) Siempre hay que aplicarlas, porque algo bueno harán.
b) En algunos casos habrá que revisarlas por si afectan
a determinados servicios que ofrece nuestra máquina.
c) No son necesarias porque mi sistema operativo es
original.
11. Antivirus:
a) Solo hace falta activarlo para escanear el programa
de instalación de la aplicación que vamos a instalar.
b) No conviene arrancarlo, porque degrada el rendimiento de la máquina.
c) Debe estar activo siempre.
12. Registros del sistema:
a) No merece la pena revisarlos: no entenderemos nada.
b) Solo los utilizan los programadores, para depurar
problemas.
c) Tenemos que revisarlos regularmente y, a ser posible,
de manera automatizada.
13. Computación en la nube:
a) Nos permite olvidarnos de la seguridad, porque lo
hace otro.
b) Nos permite olvidarnos de la seguridad, porque en
Internet nunca pasa nada.
c) Tenemos que confiar en que el proveedor de la nube
aplica las medidas de seguridad apropiadas.
Soluciones: 1 c, 2 c, 3 b, 4 c, 5 c, 6 a, 7 a, 8 b, 9 c, 10 b,
11 c, 12 c, 13 c.
5
141
Comprueba tu aprendizaje: actividades finales agrupadas por criterios de evaluación.
175
Descargar