I Seguridad y Aita Disponibilidad JESUS COSTAS SANTOS SEGURIDAD Y ALTA DISPONIBILIDAD 0 Jesús Costas Santos © De la edición: Ra-Ma 2011 MARCAS COMERCIALES. Las designaciones utilizadas por las em presas para dist inguir sus productos (hardware, software, sistem as operativos, etc.) suelen ser m arcas registradas. RA-MA ha intentado a lo largo de este libro distinguir las m arcas comerciales de los térm inos descriptivos, siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario. RA-MA es m arca comercial registrada. Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. Sin embargo, RA-MA Editorial no asum e ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. E sta publicación tiene por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para el editor ninguna forma de asistencia legal, adm inistrativa o de ningún otro tipo. En caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un profesional competente. Reservados todos los derechos de publicación en cualquier idioma. Según lo dispuesto en el Código Penal vigente ninguna parte de este Libro puede ser reproducida, grabada en sistem a de almacenamiento o transm itida en forma alguna ni por cualquier procedimiento, ya sea electrónico, mecánico, reprográfieo, magnético o cualquier otro sin autorización previa y por escrito de RA-MA; su contenido está protegido por la Ley vigente que establece penas de prisión y/o m ultas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica. Editado por: RA-MA Editorial Calle Jaram a, 3A, Polígono Industrial Igarsa 28860 PARACUELLOS DE JARAMA, Madrid Teléfono: 91658 42 SO Fax: 91 662 81 39 Correo electrónico; [email protected] Internet: w w w .ra-m a.es y w w w.ra-m a.com ISBN: 978-84-9964-089-1 Depósito Legal: M-24.265-2011 Maquetación: Antonio García Tomé Diseño de Portada: Antonio G arcía Tomé Filmación e Impresión: C losas-Or coy en, S.L. Impreso en España índice IN T R O D U C C IÓ N ............................................................................................................................................................................ 7 C A P ÍT U L O 1. P R I N C IP IO S D E S E G U R ID A D Y ALTA D IS P O N IB IL ID A D .........................................................9 1.1 IN TRO D U CCIÓ N A LA SEGURIDAD IN FO R M Á TICA ...............................................................................................10 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y D IS P O N IB IL ID A D ...................................................... 11 1.2.1 A lta d isp o n ib ilid ad ........................................................................................................................................................ 21 1.3 ELEM EN TO S VULN ERA BLES EN EL SISTEM A INFORMÁTICO: HARDWARE, SOFTWARE Y DATOS................................................................................................................................. 22 1.4 AM ENAZAS................................................................................................................................................................................ 24 1.4.1 A m enazas provocadas por p e rs o n a s ......................................................................................................................... 24 1.4.2 A m enazas físicas y lógicas............................................................................................................................................24 1.4.3 Técnicas de a ta q u e ......................................................................................................................................................... 25 1.5 P R O T E C C IÓ N ...........................................................................................................................................................................26 1.5.1 A u ditoría de seguridad de sistem as de info rm ación ............................................................................................ 27 1.5.2 M edidas de seg u rid a d ....................................................................................................................................................28 1.6 REFERENCLAS W E B .............................................................................................................................................................. 29 R ESU M EN D EL C A PÍTU LO ........................................................................................................................................................ 29 EJE R C IC IO S P R O P U E S T O S ....................................................................................................................................................... 30 T E S T DE C O N O C IM IE N T O S......................................................................................................................................................32 C A P ÍT U L O 2. S E G U R ID A D P A S IV A ....................................................................................................................................33 2.1 P R IN C IPIO S DE LA SEGURIDAD PASIVA.................................................................................................................... 34 2.2 COPIAS DE S E G U R ID A D .....................................................................................................................................................35 2.2.1 Modelos de alm acén de dato s .................................................................................................................................... 36 2.2.2 Recom endación sobre el tipo de copia a efe c tu a r................................................................................................... 37 2.2.3 R ecuperación de d a to s ...................................................................................................................................................44 2.3 SEGURIDAD FÍSICA Y A M B IEN TA L...............................................................................................................................47 2.3.1 C entros de Procesado de D atos (C P D )..................................................................................................................... 47 2.3.2 Ubicación y acondicionam iento físico .......................................................................................................................48 2.3.3 Control de acceso físico ................................................................................................................................................ 49 2.3.4 S istem as b io m é tric o s ................................................................................................................................................... 50 2.3.5 Circuito C errado de Televisión CCCTV)................................................................................................................... 51 2.4 SISTEM AS DE ALIM ENTACIÓN IN INTERRUM PIDA (SAI)................................................................................... 52 2.4.1 Tipos de S A I.....................................................................................................................................................................53 2.4.2 P otencia n e c e s a ria ......................................................................................................................................................... 53 2.5 R EFE R EN C IA S W E B ..............................................................................................................................................................60 R E S U M E N D E L CA PÍTU LO ........................................................................................................................................................ 61 E JE R C IC IO S P R O PU E ST O S .......................................................................................................................................................62 TEST DE C O N O C IM IE N T O S ......................................................................................................................................................64 3 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA C A P ÍT U L O 3. S E G U R ID A D L Ó G IC A ................................................................................................................................. 65 3.1 P R IN C IP IO S DE LA SEGURIDAD LÓ G IC A ................................................................................................................... 66 3.2 CONTROL DE ACCESO L Ó G IC O ....................................................................................................................................... 67 3.2.1 Política de c o n tra s e ñ a s ................................................................................................................................................. 67 3.2.2 C ontrol de acceso en la BIOS y gestor de a rra n q u e ...............................................................................................73 3.2.3 C ontrol de acceso en el sistem a o p erativ o ................................................................................................................77 3.3 PO LÍTICA DE USUARIOS Y G R U PO S..............................................................................................................................82 3.4 R EFE R E N C IA S W E B .............................................................................................................................................................. 84 R E SU M E N D E L C A PÍTU LO ........................................................................................................................................................ 85 E JE R C IC IO S P R O P U E S T O S ....................................................................................................................................................... 86 T E S T DE C O N O C IM IE N T O S ...................................................................................................................................................... 87 C A P ÍT U L O 4. S O F T W A R E A N T IM A L W A R E .....................................................................................................................89 4.1 SOFTW ARE M A LIC IO SO ......................................................................................................................................................90 4.2 CLA SIFICACIÓN D EL MALWARE.....................................................................................................................................91 4.2.1 M étodos de infección......................................................................................................................................................92 4.3 PR O T EC C IÓ N Y D E S IN F E C C IÓ N .....................................................................................................................................94 4.3.1 C lasificación del softw are a n tim a lw a re ................................................................................................................... 94 4.3.2 L a m ejor h e rra m ie n ta a n tim a lw a r e .......................................................................................................................100 4.4 R E FE R EN C IA S W E B ............................................................................................................................................................102 R E S U M E N DEL C A PÍTU LO ......................................................................................................................................................102 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................103 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................104 C A P ÍT U L O 5. C R IP T O G R A F ÍA ............................................................................................................................................107 5.1 P R IN C IP IO S DE C R IPT O G R A FÍA .................................................................................................................................. 108 5.2 TIPO S DE ALGORITM OS D E C IF R A D O ...................................................................................................................... 109 5.2.1 C riptografía s im é tric a ................................................................................................................................................ 111 5.2.2 C rip to g rafía de clave a s im é tric a ............................................................................................................................. 115 5.2.3 C riptografía h íb r i d a ................................................................................................................................................... 117 5.2.4 F irm a d ig ita l................................................................................................................................................................. 120 5.3 CER TIFIC A D O S D IG IT A L E S ........................................................................................................................................... 122 5.3.1 T erceras p a ite s de confianza.....................................................................................................................................125 5.3.2 D ocum ento N acional de Iden tid ad electrónico (D N Ie )..................................................................................... 125 5 .4 R E FE R EN C IA S W E B ........................................................................................................................................................... 126 R E S U M E N D EL C A PÍTU LO ......................................................................................................................................................127 E JE R C IC IO S P R O P U E S T O S .................................................................................................................................................... 128 T E S T DE C O N O C IM IE N T O S ................................................................................................................................................... 129 C A P ÍT U L O 6. S E G U R ID A D E N R E D E S C O R P O R A T IV A S .................................................................................... 131 6.1 AMENAZAS Y A T A Q U E S ................................................................................................................................................... 132 6.1.1 A m enazas e x te rn a s e in te r n a s .................................................................................................................................136 6.2 SISTEM AS DE D ETEC C IÓ N DE INTRUSOS (ID S)...................................................................................................137 6.3 R IESG O S PO T EN C IA LE S E N LOS SERV ICIO S DE R E D ...................................................................................... 139 6 .4 COM UNICA CIONES SEG U R A S...................................................................................................................................... 140 6.4.1 V P N ................................................................................................................................................................................. 145 4 © RA-MA INDICE 6.5 R E D E S IN A LÁ M B R IC A S....................................................................................................................................................148 6.5.1 S istem as de seguridad en W LA N .............................................................................................................................149 6.5.2 Recom endaciones de seg u rid ad en W L A N ........................................................................................................... 155 6.6 R E FE R E N C IA S W E B ............................................................................................................................................................158 R E SU M E N D EL C A PÍT U L O ...................................................................................................................................................... 158 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................159 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................160 C A P ÍT U L O 7. S E G U R ID A D P E R IM E T R A L ....................................................................................................................161 7.1 C O R TA FU EG O S..................................................................................................................................................................... 162 7.1.1 Tipos de c o rta fu e g o s....................................................................................................................................................168 7.1.2 DM Z..................................................................................................................................................................................173 7.2 PRO XY........................................................................................................................................................................................174 7.2.1 Tipos, ca racterísticas y funciones p rin c ip a le s ......................................................................................................174 7.3 R EFE R EN C IA S W E B ............................................................................................................................................................181 R E SU M E N D EL C A PÍTU LO ...................................................................................................................................................... 182 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................182 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................183 C A P ÍT U L O 8. C O N F IG U R A C IO N E S D E ALTA D IS P O N IB IL ID A D ................................................................... 185 8.1 SO LU CIO N ES DE ALTA D ISPO N IBILID A D ................................................................................................................ 186 8.2 R A ID ...........................................................................................................................................................................................187 8.3 BALANCEO DE CA RG A ......................................................................................................................................................194 8.4 VIRTUALIZACIÓN................................................................................................................................................................ 199 8.4.1 V irtualización de servidores......................................................................................................................................205 8.5 REFEREN CIA S W E B ............................................................................................................................................................210 R ESU M EN D EL CA PÍTU LO ......................................................................................................................................................211 E JE R C IC IO S P R O PU E ST O S .....................................................................................................................................................212 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................213 C A P ÍT U L O 9. N O RM A TIV A L E G A L E N M A TER IA D E S E G U R ID A D IN F O R M Á T IC A ............................. 215 9.1 LEY ORGÁNICA DE PR O TEC C IÓ N DE DATOS (LO PD ).........................................................................................216 9.1.1 Á m bito de aplicación de la L O P D .............................................................................................................................216 9.1.2 Agencia E spañola de Protección de D atos ........................................................................................................... 217 9.1.3 T ra ta m ie n to de los d a to s ........................................................................................................................................... 218 9.1.4 N iveles de se g u rid a d ................................................................................................................................................... 219 9.2 LEY DE SERV ICIOS DE LA SOCIEDAD DE LA INFORM ACIÓN Y DE COM ERCIO ELEC TR Ó N IC O (L S S IC E )................................................................................................................................................................................... 221 9.2.1 E n to rn o s W eb................................................................................................................................................................ 222 9.2.2 C om unicaciones com erciales.................................................................................................................................... 222 9.3 R E FE R E N C IA S W E B ........................................................................................................................................................... 224 R E SU M E N D E L C A PÍTU LO ......................................................................................................................................................224 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................225 T E S T DE C O N O C IM IE N T O S ................................................................................................................................................... 226 M A T E R IA L A D IC IO N A L ......................................................................................................................................................... 227 ÍN D IC E A L F A B É T IC O .............................................................................................................................................................229 5 Introducción E ste libro surge con el propósito de acercar al lector a los aspectos m ás im portantes que encierra la seguridad inform ática y los relativos a g aran tizar alta disponibilidad en los sistem as críticos, ante las crecientes am enazas sobre los sistem as informáticos, donde cada vez contenemos m ás valiosa información. Con la reform a curricular de formación profesional, enm arcada en la Ley Orgánica do Educación (LOE), los ciclos formativos de la familia profesional de Inform ática y Comunicaciones poseen como contenido transversal la m ateria de seguridad inform ática, debido a la creciente dem anda de personal cualificado para su adm inistración. Con tal propósito, puede servir de apoyo tam bién para estudiantes del las Ingenierías Técnicas. Hoy en día, existen muchos usuarios y profesionales de la Inform ática que discuten las ventajas e inconvenientes de la utilización de un determ inado sistem a operativo, antivirus o cortafuegos como solución única a los problem as de la seguridad informática, no entendiendo que en esta m ateria ha de trab ajarse en todos los frentes posibles. Aquí no hay preferencia por ningún sistem a en particular, ni se in ten ta com pararlos para descubrir cuál es el mejor de todos, sino enriquecer los contenidos al exponer sus principales características, manejo y métodos para conseguir la máxima fiabilidad de los sistem as. A lo largo del libro se analiza la seguridad inform ática y la alta disponibilidad desde d istintas perspectivas, con un total de 51 p rácticas, p ara com pletar una visión global de la m ateria y no dejar ningún aspecto vulnerable: P r in c ip io s b á sic o s y problem ática de la Seguridad y Alta disponibilidad. Capítulo 1. S eg u rid a d p asiva, analizando soluciones de copia de seguridad y seguridad física y am bienta) en ios sistem as informáticos. Capítulo 2. S egu rid ad lógica. Gestión de usuarios, privilegios, contraseñas y actualizaciones de sistem as y software. Capítulo 3. S o ftw a re d e seg u rid a d antim alware. Capítulo 4. C rip tografía en comunicaciones y protección de la información. C apítulo 5. S eg u rid a d en re d e s corp orativas, atendiendo a las am enazas in tern as y estudiando los fundam entos de comunicaciones seguras, con especial atención a inalám bricas. Capítulo 6. S eg u rid a d p erim etra l m ediante configuración de cortafuegos y proxy. Capítulo 7. C o n fig u racion es a v an zad as de alta d isp o n ib ilid a d , como redundancia en el alm acenam iento m ediante RAID, balanceo de carga, vírtualización de servidores. C apítulo 8. N o rm a tiv a leg al en m ateria de seguridad inform ática. LOPD y LSSICE. C apítulo 9. Uno de los objetivos de este Libro es dam os a conocer las innovaciones en ataques y vulnerabilidades m ás actuales en m ateria inform ática, haciéndonos m ás prevenidos y aprendiendo a realizar acciones totalm ente seguras. Para ello se presentan en cada capítulo n o tic ia s d e a ctu a lid a d relacionadas con la tem ática del mismo, que perm itan la reflexión y el conocimiento de nuevos avances. 7 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA P ara todo aquel que use este libro en el entorno de la enseñanza (Ciclos Formativos o Universidad), se ofrecen varias posibilidades: utilizar los conocimientos aquí expuestos p ara inculcar aspectos genéricos de la seguridad inform ática y alta disponibilidad o sim plem ente centrarse en preparar a fondo alguno de ellos. Ra-Ma pone a disposición de los profesores una guía didáctica para el desarrollo del tem a que incluye las soluciones a los ejercicios expuestos en el texto. Puede solicitarla a [email protected], acreditándose como docente y siem pre que el libro sea utilizado como texto base para im partir las clases. 8 • • • / Analizar la problemática general de la seguridad informática. / Conocer los principios sobre los que se sustenta. / Conocer el significado de alta disponibilidad. / Identificar las principales vulnerabilidades, ataques y medidas de seguridad a adoptar sobre los sistemas. / Diferenciar la seguridad física y lógica, y la pasiva de la activa. SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA Con la proliferación de la inform ática en todos los ám bitos de la vida, el núm ero de usuarios y profesionales de inform ática ha crecido exponencialm ente en los últim os años, del mismo modo que las necesidades de comunicación y com partición de recursos en red. L as dos nuevas problem áticas que subyacen de esta nueva realidad son, por un lado asegurar los sistem as y la información que disponemos, y por otro poder tener acceso a los servicios el mayor tiempo posible, sin interrupciones y con un cierto nivel de calidad, siendo la base para el estudio de la seguridad inform ática y la alta disponibilidad respectivam ente. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Las tecnologías de la información y la comunicación (TIC), y concretam ente la inform ática, se ha instalado en todos los ám bitos de la sociedad: sanidad, educación, finanzas, prensa, etc., siendo cada vez m ás útil e im prescindible para el desarrollo de su s actividades cotidianas. Del mismo modo que se extiende el uso de la informática, la seguridad inform ática debe ten er una im portancia cada vez mayor, teniendo en cuenta que el funcionamiento correcto de sus sistem as depende en gran medida, de protegerlos como el mayor de sus tesoros. La seguridad informática consiste en asegurar que los recursos del sistema de información de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, solo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Los p rin c ip a les ob jetivos de la seguridad inform ática por tanto son: Detectar los posibles problemas y am enazas a la seguridad, m inim izando y gestionando los riesgos. G aran tizar la adecuada utilización de los recursos y de las aplicaciones de los sistem as. L im itar las pérdidas y conseguir la adecuada recuperación del sistem a en caso de un incidente de seguridad. C um plir con el marco legal y con los requisitos im puestos a nivel organizativo. D u ran te el desarrollo del libro, veremos que el conjunto de vulnerabilidades, am enazas, ataques y m edidas de seg u rid ad han ido aum entando y modificándose con el tiempo, sien d o n ece sa rio esta r al d ía en esta m ateria. P a ra ello harem os uso de diversas noticias de actualidad y reflexiones sobre las mismas. La comunidad de usuarios y profesionales en m ateria de seguridad inform ática m antienen al día al resto de u su ario s m ediante noticias y post en blogs y webs especializadas. Sírvase como ejemplo el blogv repositorio de blogs de seg u rid ad inform ática disponible en la web del Instituto Nacional de Tecnologías de la comunicación S.A. (en adelante INTECO), sociedad anónim a estatal adscrita a la S ecretaría de Estado de Telecomunicaciones y para la Sociedad de la Inform ación: http ; / / www. inteco.es/ blog / Seg u rid a d ! Observatorio / BlogSeguridad 10 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD i La seguridad informática lleva asociada un conjunto de palabras, en muchos casos nuevos términos en inglés. A lo largo del libro y en los artículos de actualidad se irán repitiendo, por lo que es recomendable ir construyendo nuestro glosario de términos con palabras como pharm ing, tabnabbing, malware, sniffíng, spoofing, phishing, scam, spam, botnet, spyware, keylogger, etc. Te proponemos que leas un artículo de actualidad, que podrás encontrar descargando el material adicional y en la web www.securitybydefault.com /2010/01/origen-y-evolucion-del-efraude.htm l, en et cual deberás identificar palabras relacionadas con conceptos de seguridad informática que no conozcas y realizar un glosario de términos con sus definiciones. Comenta en grupo las siguientes cuestiones: • ¿Has recibido alguna vez un intento de phishing mediante correo electrónico de tipo spam ? ¿Podrías indicar algún ejemplo? • Realizar un debate en el que se analicen las más conocidas am enazas existentes en la actualidad y qué tipo de medidas de prevención prelim inares se podrían tomar. FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo está siempre presente, independientem ente de las m edidas que tomemos, por lo que debemos hab lar de niveles de seguridad. La seg u rid a d ab so lu ta n o e s p o sib le y rn adelante entenderem os que la seguridad inform ática es un conjunto de té c n ic a s encam inadas a obtener a lto s n iv e le s d e seg u rid a d en los sistem as informáticos. Podemos entender como seguridad una característica de cualquier sistem a que nos indica que ese sistem a está Libre de todo peligro, daño o riesgo, y que es, en cierta m anera, infalible. Como esta característica, particularizando p ara el caso de sistem as informáticos, sistem as operativos o redes de computadores, es muy difícil de conseguir (según la m ayoría de expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de fiab ilid ad , probabilidad de que un sistem a se comporte tal y como se espera de él. Por tanto, se habla de tener sistem as fiables en lugar de sistem as seguros. El experto Eugene H. Spafford cita en su frase célebre: "el único sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio que está enterrada en cemento, rodeada de gas nervioso y de un grupo de guardias fuertemente armados. Aún así, no apostaría mi vida en ello". 11 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA A grandes rasgos so entiende que m antener un sistem a seguro (o fiable) consiste básicam ente en garantizar tres aspectos: confidencialidad, integridad y disponibilidad. C on fid en cialid ad : cualidad de un mensaje, comunicación o datos, p ara que solo se entiendan de m anera comprensible o sean leídos, por la persona o sistem a que esté autorizado. Comprende por tanto la privacidad o protección de dicho m ensaje y datos que contiene. I n te g r id a d : cualidad de mensaje, comunicación o datos, que perm ite comprobar que no se ha producido m anipulación alguna en el oingtnal, es decir, que no h a sido alterado. D isp o n ib ilid ad : capacidad de un servicio, de unos datos o de un sistem a, a ser accesible y utilizable por Los usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la información pueda ser recuperada en el momento que se necesite, evitando su pérdida o bloqueo. H ay que tener en cuenta que, tanto las am enazas como los m ecanismos para contrarrestarlas, suelen afectar a ta ta s tres características de form a conjunta. Así por ejemplo, fallos del sistem a que hacen que la información no sea accesible pueden llevar consigo una pérdida de integridad. G eneralm ente tien en q u e e x istir los tr es a sp ecto s d e s c r ito s para q u e h aya segu rid ad . Dependiendo del entorno en que un sistem a trabaje, a sus responsables les in teresará dar prioridad a u n cierto aspecto de la seguridad. Por ejemplo, en un sistem a m ilitar se antepondrá la confidencialidad de los datos alm acenados o tran sm itid o s sobre su disponibilidad. En cambio, en un servidor de archivos en red, se priorizará la disponibilidad fre n te a la confidencialidad. En un entorno ba ncario, la faceta que más ha de preocupar a los responsables del sistem a es la integridad de los datos, frente a su disponibilidad o su confidencialidad: es menos grave que un usuario consiga leer el saldo de otro que el hecho de que ese usuario pueda modificarlo. Ju n to a estos tres conceptos fu ndam entales se suelen e stu d ia r conjuntam ente la a u te n tic a c ió n y el n o re p u d io . A u ten tica ció n : verificar que un documento ha sido elaborado (o pertenece) a quien el docum ento dice. Apficado a la verificación de la identidad de un usuario en inform ática, cuando el usuario puede ap o rtar algún modo que perm ita verificar que es quien dicc ser, se suele realizar m ediante un usuario o Login y una contraseña o password. N o rep u d io o irren u n cia b ilid a d : estrecham ente relacionado con la autenticación y perm ite probar la participación de las partes en una comunicación. Existen dos posibilidades: No rep u d io en origen: el em isor no puede negar el envió. La prueba la crea e) propio em isor y la recibe el destinatario. No rep u d io en destino: el receptor no puede negar que recibió el m eusaje porque el em isor tiene pruebas de la recepción. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Si la autenticidad prueba quién es el autor o el propietario de un documento y cuál es su destinatario, el no repudio prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino). Al grupo de estas características y objetivos de la seguridad se les conoce como CEDAN, nombre sacado de la inicial de cad a característica. La relación de los mismos se presenta en la figura siguiente. 12 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD En la imagen superior se ilustra cómo se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicam ente, así si no existe el de nivel interior, no puede aplicarse el exterior. De esta m anera, la d isp o n ib ilid a d se convierte en el p rim er re q u isito d e segu rid ad , cuando existe ésta, se puede disponer de co n fid en cia lid a d , que es im prescindible para conseguir in tegrid ad , imprescindible para poder obtener a u te n tic a c ió n y, por último, el no rep u d io, que solo se obtiene si se produce previam ente la autenticación. A continuación verem os tre s casos prácticos a modo de ejem plo sobre confidencialidad, in teg rid ad y disponibilidad. PRÁCTICA 1.1 CONFIDENCIALIDAD En esta práctica guiada estudiaremos cómo se puede asegurar la confidencialidad de los datos en sistema Windows, mediante la encriptación de archivos y carpetas. La confidencialidad o privacidad de datos es uno de los aspectos críticos de la seguridad, por esto Microsoft incluyó a partir de su sistema Windows 2000, y posteriores, el método de archivos encriptados conocido como EFS (Encrypted File System) que cumple este propósito. Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema. Permite a los archivos administrados por el sistema operativo ser cifrados en las particiones NTFS en donde esté habilitado, para proteger datos confidenciales. EFS es Incompatible con la compresión de carpetas. El usuario que realice la encriptación de archivos será el único que dispondrá de acceso a su contenido, y al único que se le permitirá modificar, copiar o borrar el archivo, controlado todo ello por el sistema operativo. Amenaza o vulnerabilidad Como veremos en capítulos posteriores, en un sistema personal es posible obtener el acceso al sistema de ficheros si podemos arrancar desde una distribución USB o CD/DVD Uve, o incluso acceder al sistema local como administrador, realizando una escalada de privilegios, teniendo de este modo permisos para acceder al sistema de ficheros por completo y por tanto incluso a carpetas restringidas por el sistema operativo. Para evitar la © RA-MA SEGURIDAD Y ALTA DISPONIBILIDAD apertura, lectura o modificación de información privada bajo sistemas Windows podemos utilizar las opciones de encriptación EFS. Proceso de encriptación Para probarlo podemos crear un archivo de texto plano (no cifrado) con una información confidencial en su Interior. En primer lugar seleccionaremos el archivo (o carpeta) a encriptar y con el botón derecho accederemos a la ventana de Propiedades. En su pestaña General pulsaremos sobre Opciones Avanzadas y en Atributos de compresión y cifrado marcaremos la opción de Cifrar contenido para proteger datos. Mota: En caso de no tener habilitada dicha opción deberá ejecutar gpedlt.msc (editor de directivas de grupo) y habilitar la directiva local, Directiva de equipo !ocal\Conñguración de Windows\Configuración de seguñdad\ Directivas de clave púb¡ica\Sistema de cifrado de archivos. Gpedit no se encuentra preinstalado en las versiones Home de los sistemas operativos Windows. tiitU M é» n V * t W V t» : *rrtt*iteot*r$w¿r*m tn i n n a i --j Nrwffr «r>«3>4i Mfci t e w n je a t« f *rfngp«raicA i«H bw di latita» * <>nti»«r r -fra*» 1Ceeener cartende o e • ^ qn • eeeeoo en * 6» ! - 'CJim CWolKM»Qc^o | HayiM | Cf jái ___ I topoanM—xtúrn ] | Carcdm j Verificaciones 1. Si accedemos con otro usuario al sistema que tenga permisos para acceder a todo el sistema de archivos, por ejemplo desde una cuenta de tipo administrador (distinta a la que ha cifrado el archivo), podemos ver que ei nombre del archivo nos aparecerá en color verde y, al intentar acceder a él, nos indicará acceso denegado. Igualmente si intentamos modificar el archivo para que deje de estar cifrado y aplicamos los cambios nos indicará error al aplicar los atributos. Aunque no es posible leer ni modificar su contenido, sí es posible borrarlo. 2. El archivo cifrado no es portable o copiable a una unidad externa ya que el sistema operativo pierde el control sobre su cifrado. En caso de intentar enviarlo a unidad USB nos indicará lo siguiente. © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD A rc h ir o c if r a d o •* Swthn-oYiomwx)nf<wiilwx>«rno«pued»ropw6wnwm OJC pan)« d Carado *V*0» owtr «te«ñor y c o r i n m , oc«nc«Ur i Onéf 1 ( Cwbr lofl* j | Cw i Ib ) Una recomendación más, no comprimir los archivos cifrados ya que dejan de estarlo. 3. En caso de tener acceso al sistema de archivos con un arranque desde una distribución modo Uve (en nuestro ejemplo Ubuntu), montando la partición correspondiente (en este caso el punto de montaje/mnt/ win) podremos borrar el archivo, pero no se nos permitirá ni copiarlo ni leer la información contenida. Si hemos comprimido el archivo en zip desde Windows, sí podremos acceder a su contenido confidencial. g root-aufauntu >mntm)n/Oocuni«nu and SM tlnflt/adm lrvU rritorto 4rrr.*> £n( v yrr ’ermr.,; . n « I Ayuda rootSubontu:/«nt/Kin/Docuacnti and c a t : Ipforaaclon con fid en cial,t«t: rootiíulXjniu:/»rl/»in/00Cu»eMs and cp: no s r puede abrir -informador roo(«iu»>umii:/iint/win/Oocu»en{i and Selting i/ad ^ ln/Eicritorioa cat infor»acion\ confidenctai.1«! - ■ Peralto denegado Seu irg i/nd iiiri/Escritorlo a cp infoiw cion \ confidencial t it /haneMnfo.c«t I con fid en cia l.txt- para lectura. Peralto denegado SetUngs/adiiirVEicritoM oa l l J L f r . ... rooteuburtu:/ant/xln/Oocuacnti and S em n 9 s/ed « ln /ticrlto rio * ra inforaacionx c o n fid e n c ia l.u t rooteubuntu: /nnt/vln/Oocu»eflts and Sem ngs/ad«ln/Escritorioa Is root&jbuniu./nr.t.’Mln/Oocimenu and Seu in g i/a d a ln /ticrH o rlo » [¡ ■ \ l BK11ÁT £rrn.vo 6 Nuevo fcdiUr yer Atirv gu-vor _ GuartUr herramienta* H impomir Documento* R A^ula inform acíoficonfídem inl./lp &rcr»vador f a u r o Nuevo información conftdenctal.txt O „ Abrir yw %yda * Extraer ® <1 4 AftaUtr arcWvos Atoar. lugar |¿¿ / |pa*S Toledo 067? Nombre ir* orrnaoon conftdcocüi W v- femaAo 16 bytn Tipo docur | PRÁCTICA 1.2 INTEGRIDAD Amenaza o vulnerabilidad En caso de que algún tipo de malware reemplace o falsifique archivos del sistema operativo, ocultándose para realizar tareas no autorizadas, la búsqueda y detección del mismo se complica ya que los análisis antimalware y de los procesos sospechosos por parte de administradores de sistemas, no dudarán de la veracidad de dichos archivos y procesos. A este tipo de malware se le denomina rootkit, programa que sustituye los ejecutables binarios del sistema para ocultarse mejor, pudiendo servir de puertas trasera o backdoor para la ejecución malware remota. System File Checker (SFC) es una utilidad de los sistemas Windows que comprueba la integridad de los archivos de sistema. Rootkit hunter es una herramienta más completa bajo GNU/Linux que entre otras tareas, como examinar los permisos de los ejecutables del sistema, buscar rootkits conocidos rastreando ficheros ocultos, realiza la comprobación de integridad de los archivos de sistema, es decir, verifica que no han sido modificados. SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA Verificación Windows SFC examina la integridad de todos los archivos de sistema protegidos de Windows y reemplaza los que están corruptos o dañados por versiones correctas, si es posible. En este proceso, si el sistema detecta que tiene algún problema, puede ser que nos solicite el disco de instalación de Windows en el caso de que necesite reparar algún fichero dañado. Si el proceso determina que no hay errores, a) final nos mostrará un texto como el de la ventana de arriba, "Protección de recursos de Windows no encontró alguna infracción de integridad". Si recibes un mensaje diciendo que no puede reparar algunos archivos, podemos averiguar qué archivos son y qué pasa con ellos. Cuando se ejecuta sfc, crea un archivo LOG que podemos consultar en la carpeta C: \ WINDOWS \LOGS\CBS\CBS.log. Sintaxis de sfc sfc[/scannow] [/scanonce] [/scanboot] [/revert] [/purgecache] [/cachesize=x] Los parámetros más usados son: /scannow. explora de inmediato todos los archivos del sistema protegidos. / scanboot: explora todos los archivos del sistema protegidos cada vez que se reinicia el equipo. /?: muestra la Ayuda en el símbolo del sistema. Si sfc descubre que un archivo protegido se ha sobrescrito, recupera la versión correcta del archivo de la carpeta raízDelSistema\system32\dllcache y luego reemplaza el archivo incorrecto. Si la carpeta ra¡zDelSistema\system32\dllcache está dañada o es inservible, se puede utilizar sfc /scannow o sfc /scanboot para reparar el contenido del directorio Dllcache. Verificación GNU/Linux 1. Rootkit Hunter se puede instalar mediante el comando: sudo aptitude install rkhunter Se recomienda antes de ejecutarlo, como todo software de seguridad actualizará a la versión más actual: sudo rkhunter - -update 2. Para la ejecución sobre el sistema, verificando todas sus opciones: sudo rkhunter - -checkall 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA ¿retuvo Edit* Ver ]knmnal Ayuda root$ubuntu:/hoac/alunno* rkhunter [ R o o t k u Hunter version 1.3.2 ) -checkall Checking systen coanands .. Perforoing 'strings' coatand checks Checking 'strings' contend I OK ] Perforwng Checking Checking Checking [ >*g n t found [ Mot found [ Hot found 'shared libraries' checks for preloading variables tor preload file ID LIBRARY PATH variable Performing file properties checks Checking for prerequisites /bin/bash /bin/cat /bin/chaod /bln/chown /btn/cp /bin/date /bm/df /bin/daesg /bln/echo [ I 1 I I 1 1 1 OK OK OH OK OK OK OK OK I OK 1 OK ] 1 | ) ] ) | I I ] Comprueba, entre otros aspectos, las cadenas y atributos de los comandos o ejecutables del sistema, la existencia de archivos rootkits, etc. Una vez finalizado nos dará un informe completo con las advertencias y posibles archivos sospechosos encontrados. PRÁCTICA 1.3 DISPONIBILIDAD Identificar y analizar la disponibilidad de servicios o servidores, puertos abiertos y versiones de sistemas operativos que los soportan, supone la información base para el estudio de las innumerables vulnerabilidades de los sistemas en red. De este modo se podrán tomar medidas frente a estos puntos débiles de nuestros sistemas. Nmap ("mapeador de redes") es una herramienta de código abierto para exploración de red y auditoría de seguridad. Utiliza paquetes IP para determinar qué equipos se encuentran disponibles en una red, qué servicios ofrecen y medíante qué aplicaciones (nombre y versión de la aplicación), qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando, así como otras características. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monítorízación del tiempo que los equipos o servicios se mantiene activos. Amenaza o vulnerabilidad Para las versiones de software de servidores y de los sistemas operativos es posible buscar posibles vulnerabilidades existentes: wvjw.securityfocus.com. Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se puede buscar información sobre las versiones de los productos de distintos fabricantes e incluso descargar exploits de verificación. SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA ovt (P*goi ofttl l / »«Stt J■■»(>li tm*r* Ven tor: M m ocot litlr S ÍM T ih . V k m ío c : S*o d V o»w y || - S t a r t h Uv CVE CYE; 1StilCW I1 M uftlplv V u n d o r T IS P ro lo c o l H u iito n R o n * g o lia t Ion HwcuiHy V u ln a ra b iltty h ttp /* w « r *m¿r*y1t>zut ct«T\Axl/~)bV2) M ic ro so ft W ln d o m U vor A c c e i v C on trol (l)A C ) n y p o t t l o c a l P rtviin g o f t c a l a t k i i i Vuln«ro*»il!ty M tcroiu ft O u tlook F Un A U a c Jim ertf DefU al Of K w rv Jt» VuinurdbMKy M tcro to n Officw Art O raw ln q R a c o n l R a m o ta C od o l n o ctli ion V o ln o ra tilllly rcc //w»wtaeuitvfocufc&nAnt+Mtt Ejemplo de búsqueda de vulnerabilidades por fabricante, en este caso Microsoft. www.nessus.org. Aplicación que detecta vulnerabilidades, tanto para sistemas y aplicaciones de Windows como GNU/Linux. En su última versión Nessus4 funciona como servidor web. Microsoft Baseline Securíty Analyzer (MBSA) es una herramienta diseñada para analizar el estado de seguridad según las recomendaciones de seguridad de Microsoft y ofrece orientación de soluciones específicas. Sirve para detectar los errores más comunes de configuración de seguridad y actualizaciones de seguridad que falten. En la siguiente imagen, a modo de ejemplo, vemos el resultado de un análisis en el cual se analizan aspectos como: Sistema de ficheros. Recomendado NTFS por su mayor nivel de seguridad. Cuentas de usuario. Analiza si poseen contraseñas y son seguras. Actualizaciones. Analiza si el sistema posee las últimas actualizaciones que previenen de vulnerabilidades actuales. Cortafuegos activo y configurado. Número de cuentas de administrador. 18 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD i " M icrosoft lio t tlin c S c c u n ty A n a ly/er 7.1 Microsoft ^ Baseline Security Analyzer Scoro Issue Result 1 F U & r to m (J%sWe to d e te rra n e the He ly stem o n fu©d dnvesO 4) w as te a m e d How to corract tN* ** Local Acícüx* Password Tc*t Soma user accounts (7 of 7) h a v t biar*. or unp la passw ord%t or coufcj not ba arw#y?ed was se am e d to co riv .t r ¿V/omeüc I t- ls f « Update* « e not a u to m a tic a l do»*rtoadedor r o ta te d c n t t a s c o r n e r "•Wxat m t s e a m e d No*» to corract rtw O In co rro tte U pdatw No rc o irc W e softw are update w t i K W t f Mere found a n * w a »canned O Windows F f íw il Window* F a e w a l* n o t r o ta te d or corfi>**td property, or o not avalafelc on tfw version of W Wow*. o /i u * « Account The 'i u r « a c c o u n t« not d e a b b d on th e c e n p i n . VHhtf ««at te a m e d * A d m tr M o r t No more tKan 2 AAnnrUrator* « « f <xr»d on tlw computer * * * mat s e v n e d P w J td e ia f o Windows Van»cr Corrcuter s not r v m n g Windows OS w*»at w as te a m e d kxd oq co TTot (hack w as stapped be ca m e tfte computer a n e t » r e d (o a da m an W h a w as te a m e d ReUncT Anonymous TTn ctedc can b e perfortred cr*t on Windows NT, W rdow s 2000 and Windows *P. w as te a m e d Password L «pr«bon Thn f hcei w as tfc£ped because th e computer n not p r w d Co a dom an Mtiat w as se am e d ** ** Del análisis y estudio de estas vulnerabilidades se aprovechan los desabolladores de exploits (del inglés to exploit, explotar o aprovechar), software, un fragmento de datos o una secuencia de comandos que pretende aprovecharse de un error, fallo o vulnerabilidad de una aplicación o sistema operativo. El fin del exploit puede ser violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Como ejemplo de posible consecuencia de la ejecución de un exploit, la toma de control de un sistema, mediante su consola de comandos. Para explorar las vulnerabilidades más comunes existen aplicaciones como metasploits, herramienta con interfaz modo comando y web, que posee un conjunto de exploits para aprovechar las vulnerabilidades más conocidas de puertos, sistemas y aplicaciones. M ic r o s o ft M o s s n q n Q u ir u n in q H n r v k a M S 0 5 - D 1 ’/ (w in37_O M B C ) HMAMC R e q u ir e d DATA T h« r.« (bien na'n© o» th * t a n ja t R H 08I R o q u irm l ADDR T h « t M<jß\ a d d re s s T h e ta rg e « p o r t RPORT R a q u lr o d PORT CMO H u q u lred DATA Th« command stnng «o «■•cut« I XI IT UVC R o q u im d DATA E û t techruqua “process*. 'thread*. ’ se#»* P r n ln r r B d f n c o d o r : UofouM E n c o d e t to p C enorntor:__ Qe1<uitf G e n e r a to r 1 Expío»» I Metasploits en su formato web, a través del puerto 55555. Tras buscar y seleccionar la vulnerabilidad a explorar (dispone de filtros de búsqueda por fabricante, puerto o aplicación), indicaremos la máquina (IP destino) en la cual queremos rastrear la vulnerabilidad y, a continuación, ejecutaremos el escaneo. 19 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA Recomendación Por todo esto es de vital importancia actualizar los sistemas, tanto el sistema operativo como el resto de aplicaciones, tan pronto como sea posible. Para facilitar esta tarea, la mayoría de aplicaciones tienen la opción de que las actualizaciones se realicen automáticamente, lo que permite tener los programas actualizados sin la necesidad de comprobar manual y periódicamente sí la versión utilizada es la última disponible, y por tanto la más segura. Recomendamos activar la notificación de actualizaciones automáticas, sobre todo de las aplicaciones más utilizadas y más expuestas a un posible ataque, sistema operativo, navegadores web, programas de ofímática, reproductores multimedia, etc., y controlar la veracidad de las actualizaciones antes de instalarlas. Actualmente existe software malicioso (malware) que sobrescribe las actualizaciones de aplicaciones conocidas, como es el caso de algunos de los productos de Adobe y Java. A modo de ejemplo, existe una variante del malware que imita Adobe Reader 9 y sobrescribe Adobellpdater.exe encargado de comprobar si está disponible una nueva versión del software. De esta forma si hemos sido infectados y se ha sobrescrito dicha aplicación, al notificarnos que una nueva versión está disponible, si la instalamos, en realidad estaremos instalando aplicaciones malware. Verificación Nmap es una aplicación que puede utilizarse en modo comando o mediante una interfaz gráfica denominada znmap o zenmap. Se puede obtener la versión más reciente de Nmap en http://www.insecure.org/nmap/. A continuación se puede ver un resumen de un análisis típico en modo comando con Nmap. Los únicos parámetros de Nmap que se utilizan en este ejemplo son la opción -A, que habilita la detección de sistema operativo y versión, y la opción -T4 que acelera el proceso, y después el nombre de los dos objetivos. # nmap -A -T4 scanme.nmap.org saladejuegos Starting nmap { http://www.insecure.org/nmap/ ) Interesting ports on scanme.nmap.org (205.217.153.62): (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION ssh OpenSSH 3 . 9pl (protocol 1.99) 22/tcp open domain 53/tcp open 7 0 / tcp closed gopher Apache httpd 2.0.52 ((Fedora)) 8 0 / tcp open http 113/tcp closed auth Running : Linux 2 .4 .X |2 OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2 .6.11 Interesting ports on saladejuegos.nmap.org (192.168.0.40): (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn 5900/tcp open vnc VNC (protocol 3.8) MAC Address: 00 :AO :C C :63 :85 :4B (Lite-on Communications) Running: Microsoft Windows NT/2K/XP OS details: Microsoft Windows XP Pro RC1+ through final release 20 © RA-MA 1 ■ PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD Podemos ver después de este escaneo modo comando las versiones de los sistemas operativos de dichas máquinas, direcciones MAC e IP, puertos abiertos (22 SSH, 80 HTTP, 53 DNS, 135 MSRPC, etc.) o cerrados y versiones de las aplicaciones (OpenSSH 3.91( Apache httpd 2.0.52, etc.). En el caso de distribuciones GNU/Linux es posible descargarse de la web del desarrollador el paquete de instalación, descomprimirlo y compilarlo, mediante los siguientes comandos (versión del ejemplo nmap 5.35): bzip2 -cd nmap-5.35DCl.tar.bz2 cd nmap-5.35DCl . / c o n f ig u r e make su root make install | tar xvf - La versión gráfica ZNMAP o ZENMAP para Linux puede obtenerse medíante el comando: sudo apt-get install zenmap. A continuación se muestra un escaneo rápido {Quick sean) sobre la red 192.168.0.0/23 equivalente al comando nmap -T4 -F 192.168.0.0/23. Por cada máquina encontrada en la red informa sobre IP, nombre dentro del dominio, puertos abiertos, etc. mi 197.168.0.0/23 >1 ProfVr G uie* K A n nmop T4 F 19? 168.0 0/73 P o n y , ►icvli ttopc<ogr' fK amt u ■*iwi«8ttaai pe62-1 4 1 0 0 9 1 /3 41 anda pC&ft i 4iOPW J 41 petC: \ 410091 •;: inda pc6l ) 4 1 00 9173 41 anda pcf>6-l 4100 9173 41 anda PC67-1 4 1 00 9173 41 anda pc64 1 41 0 0 9 1 7 3 41 anda pc6Vl 4100 9173 41 anda pc66-1.4 1009173.4 Landa pC69-1 4100 9173 41 anda pe 138-0 4100 9173 41 and p c !3 9 - 0 .4 l0 0 9 1 73.41 ana PC134-0 4 1 00 9173 41 pe 131-0 4 100 9173 41 p e l3 6 -0 4 1 00 9173 41 «nú and and PC137-0 4 1 00 9173 4 land p c l3 0 - 0 .4 1 0 0 9 l7 3 41 pe 131-O 4 100 9173 pel37 0 4 100 9173 pe 133-0 4100 9173 41 41 41 and and and and Starting Hw? l . N ( http://n«ap.Offl ) at 2616*11-26 14:1« CET Interesting port*, on 192.168.6.6: Hot ih w n ; 99 filtered port* PORT STATE SERVICE 66/tcp op*« http Interesting port» on f8 .41669173.41 .andared.cec.Junta Andalucía.es H92.166.6.1) Wot show: 93 filtered porti P€*7 STATE SERVI« 21/tcp op*n ftp S3/tcp open doaala 86/tcp open http 389/tcp opeo Idap 443/tcp opeo http» 873/tcp closed rsyne SOOO.tcp open http-proxy Interesting ports on c6 .41669173.41.andared.cec. Junta andalueia.es <192.168.6.2 Hot shown; 91 filtered portn POUT STATE SERVICE 21/tcp open ftp S3/tcp opan deoaln 66/tcp op«n http lllV tcp open rpcblad W / i r r mm libn Una vez finalizado podremos buscar para los puertos o servicios más vulnerables e inseguros, como por ejemplo telnet (puerto 23), qué equipos se encuentran con dicho puerto abierto. En el capítulo 6, sobre seguridad en redes corporativas volveremos a hacer uso de esta aplicación. ALTA DISPONIBILIDAD La alta disponibilidad (High AvailahilUy ) .se refiere a Ja cap acid ad d e q ue a p lic a cio n e s y d atos se en cu en tr en o p era tiv o s para los u su a r io s au to riza d o s en tod o m om en to y sin in terru p cio n es, d eb id o p rin cip a lm en te a su ca rá cter crítico. Eí objetivo de la m isma es m antener nuestros sistem as funcionando las 24 horas del día, 7 días a la sem ana, 365 días al año, m anteniéndolos a salvo de interrupciones, teniendo en cuenta que se diferencian dos tip o s de in terru p cion es; 21 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA Las in te r r u p c io n e s p rev ista s, que se realizan cuando paralizam os el sistem a para realizar cambios o m ejoras en nuestro hardw are o software. Las in terr u p cio n es im p revistas, que suceden por acontecimientos im previstos (como un apagón, un error del hardw are o del software, problem as de seguridad, un desastre natu ral, virus, accidentes, caídas involuntarias del sistema). Las m é trica s com únm ente utilizadas p ara medir la disponibilidad y fiabilidad de un sistem a son el tiempo medio en tre fallos o MTTF (Mean Time To Failure) que mide el tiempo medio transcurrido hasta que un dispositivo falla, y el tiempo medio de recuperación o MTTR (Mean Tíme To Recouer) m ide el tiempo medio tomado en restablecerse la situación norm al una vez que se ha producido el fallo. El tiempo en el que un sistem a está fuera de servicio se mide a m enudo como el cociente MTTR/MTTF. Lógicamente, nuestro principal objetivo es aum entar el MTTF y reducir el M TTR de forma que minimicemos el tiempo de no disponibilidad del servicio. Existen distintos n iv e le s d e d is p o n ib ilid a d del sistem a, según el tiempo aproximado de tiempo en inactividad por año se determ ina el porcentaje de disponibilidad. El m ayor nivel de exigencia de alta disponibilidad acepta 5 m inutos de inactividad al año, con lo que se obtiene una disponibilidad de 5 nueves: 99,999%. Como ejem p lo s d e siste m a s y se r v ic io s d e a lta d isp o n ib ilid a d podemos m encionar sistem as sanitarios, control aéreo, de comercio electrónico, bancarios, transporte m arítim o, m ilitares, etc., donde la pérdida o interrupción de conectividad pueden suponer graves consecuencias personales y económicas. En el Capítulo 8 profundizarem os en a lg u n as de las técnicas que perm iten m ejorar la disponibilidad de los sistem as y servicios ofrecidos por estos. ELEMENTOS VULNERABLES EN EL SISTEMA INFORMÁTICO: HARDWARE, SOFTWARE Y DATOS L a seg uridad es u n p ro b lem a in tegral: los problem as de seguridad inform ática no pueden ser tratad o s aislad am en te ya que la seguridad de todo el sistem a es igual a la de su punto más débil. Ai asegurar nuestra casa no sirv e de nada ponerle una p u erta blindada con sofisticada cerradura si dejamos las ventanas sin protección. La educación de los usuarios es fundam ental p ara que la tecnología de seguridad pueda funcionar. Es evidente q ue por mucha tecnología de seguridad que se im plante en una o rg a n iza ció n , si no existe una clara disposición por p arto de los directivos de la em presa y una cultura a nivel de usuarios, no se conseguirán los objetivos perseguidos con la im plantación de un sistem a de .seguridad. Por tanto, la seguridad inform ática precisa de un n iv el organ izativo, q u e posibilite unas norm as y pautas comunes por parte de los usuarios de sistem as dentro de una em presa, por lo q ue diremos que: S istem a d e S egu rid ad = TECNOLOGÍA + ORGANIZACIÓN Los tres elem entos principales a proteger en cualquier sistem a informático son el software, el hardware y los datos. E n las auditorias de seguridad se habla de un cuarto elem ento a proteger, de m enor im portancia desde el punto de v is ta de la seguridad inform ática, los fungibles (elementos que se gastan o desgastan con el uso continuo, como papel d e im presora, tóner,...). H ab itu al m ente lo s d a to s c o n s titu y e n el p r in c ip a l e le m e n to de los tres a p ro teg er, ya que es el más am enazado y seguram ente e l m ás d ifíc il d e recuperar: con toda seguridad un servidor estará ubicado en un lugar 22 © RA-MA 1 * PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD de acceso físico restringido, o al menos controlado, y adem ás en caso de pérdida de una aplicación (o un program a de sistem a, o el propio núcleo del sistem a operativo) este software se puede re sta u rar sin problemas desde su medio original (por ejemplo, el CD o DVD con el sistem a operativo que se utilizó p ara su instalación). Sin embargo, en caso de p érdida de una base de datos o de un proyecto de un usuario, no tenemos un medio ‘‘originar’ desde el que restaurar, hemos de pasar obligatoriam ente por un sistem a de copias de seguridad, y a menos que la p o lític a de co p ia s sea m uy estricta, es difícil devolver los datos al estado en que se encontraban antes de la pérdida. También debemos ser conscientes de que las m edidas de seguridad que deberán establecerse se deben contem plar a diferentes niveles, desde aspectos m ás lo ca les, p erso n a les o in d iv id u a le s h a sta los g lo b a les que afectan a una o rg a n iza ción , o incluso la ciudadanía y em presas en su conjunto, como son las leyes. Por tan to la seguridad inform ática comprenden el hardw are y el sistem a operativo, las comunicaciones (por ejemplo, protocolos y medios de transm isión seguros), m edidas de seguridad físicas (ubicación de los equipos, sum inistro eléctrico, etc.), los controles organizativos (políticas de seguridad de usuarios, niveles de acceso, contraseñas, norm as, procedimientos, etc.) y legales (por ejemplo, la Ley Orgánica de Protección de Datos, LOPD). LEGALES ORGANIZATIVAS FÍSICAS Ù Distintos mueles de profundidad relativos a la seguridad informática E ste esquem a sirve de base para el desarrollo del libro analizando la seguridad inform ática desde distin tas perspectivas, completando una visión global de la m ateria: S egu rid ad pasiva: Seguridad física y am biental y copias de seguridad en los sistem as informáticos. Capítulo 2. S eg u rid ad lógica: control de acceso a Los sistem as, gestión de sistem as operativos: usuarios, privilegios, contraseñas en el C apítulo 3, software de seguridad antim alw are en el Capítulo 4 y cifrado en la información y comunicaciones m ediante el estudio de la criptografía en el Capítulo 5. S eg u rid ad en re d e s corporativas: estudiando protocolos y aplicaciones seguras como SSH, TLS/SSL y VPN, configuraciones seguras en inalám bricas en el Capítulo 6 y protegiendo especialm ente ¡a seguridad peri m etra 1 m ediante cortafuegos y proxy en el Capítulo 7. C o n fig u ra cio n es d e alta d isp on ib ilid ad : m ediante redundancia en el alm acenam iento RAID, balanceo de carga, virtualización de servidores. Capítulo 8. N orm ativa legal en m ateria d e segu rid ad inform ática: LOPD y LSSICE. Capítulo 9. 23 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA AMENAZAS Las am enazas a un sistem a informático pueden provenir desde un kacker remoto que en tra en nuestro sistem a con un troyano, pasando por un program a descargado gratuito que nos ayuda a gestionar nuestras fotos, pero que supone una p u e rta tra se ra a nuestro sistem a perm itiendo la en tra d a a espías, h asta la en trad a no deseada al sistem a m ediante una contraseña de bajo nivel de seguridad. Las am enazas pueden ser p rovocad as por: personas, condiciones físicas-am bientales y software, o lógicas. AMENAZAS PROVOCADAS POR PERSONAS L a mayoría de ataques a nuestro sistem a provienen de personas que, intencionadam ente o no, pueden causam os enorm es pérdidas. G eneralm ente se tra ta ra de p irata s inform áticos, ciberdelincuentes, hackers o crackers, que in ten tan conseguir el máximo nivel de privilegio posible aprovechando algunas vulnerabilidades del software. Se dividen en dos grandes grupos: los atacantes pasivos que fisgonean el sistem a pero no lo modifican o destruyen, y los activos que d añan el objetivo atacado o lo modifican en su favor. D en tro d e u n a organ ización : El propio personal puede producir un ataque intencionado, nadie mejor conoce los sistem as y sus debilidades, o un accidente causados por un error o por desconocimiento de las norm as básicas de seguridad. Por otro lado ex empleados o personas descontentas con la organización pueden aprovechar debilidades que conocen o incluso realizar chantajes. H acker: Experto o gurú en aspectos técnicos relacionados con la inform ática. Personas que les apasionan el conocimiento, descubrir o aprender nuevas cosas y entender el funcionam iento de éstas. Suele distinguirse entre aquellos cuyas acciones son de carácter constructivo, inform ativo o solo intrusivo, o que adem ás lo son de tipo destructivo, catalogados respectivam ente de hackers y crackers, o w b ite h at y black hat. Recientem ente ha aparecido el térm ino, más neutro, grey hat (sombrero gris), que ocasionalm ente traspasan los lím ites entre am bas categorías. O tros térm inos y categorías son: N ew bie: Hacker novato. W annaber: Les interesa el tem a de hacking pero que por estar empezando no son reconocidos por la élite. L am m er o Script-K iddies: P retenden hacer hacking sin tener conocimientos de inform ática. Solo se dedican a buscar y descargar program as de hacking p ara luego ejecutarlos. L user {looser + user): Es un térm ino utilizado por hackers para referirse a los usuarios comunes, de m anera despectiva y como burla. P ir a ta in fo rm á tico , c ib e r d e lin c u e n te o d e lin c u e n te in form ático: Personas dedicadas a realizar actos delictivos y perseguidos legalm ente: como la copia y distribución de software, m úsica o películas de forma ilegal, frau d es bancarios o estafas económicas. AMENAZAS FÍSICAS Y LÓGICAS L as am en a za s física s y a m b ien ta les afectan a las instalaciones y/o el hardw are contenido en ellas y suponen el p rim e r nivel de seguridad a proteger para garan tizar la disponibilidad de los sistem as. En el capítulo 2 veremos con m ás profundidad los aspectos asociados a: 24 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD Robos, sabotajes, destrucción de sistem as. Cortes, subidas y bajadas bruscas de sum inistro eléctrico. Condiciones atm osféricas adversas. H um edad relativa excesiva o tem p eratu ras extrem as. Catástrofes (naturales o artificiales) terrem otos, inundaciones, incendios, hum o o atentados de baja m agnitud, etc. Interferencias electrom agnéticas que afecten al normal com portamiento de circuitos y comunicaciones. U na am en aza ló g ica es software o código que de una forma u otra pueden afectar o d añ a r a nuestro sistem a, creados de forma intencionada para ello (el software malicioso, tam bién conocido como malware, se analizará a fondo en eí Capítulo 4) o sim plem ente por error (bugs o agujeros). E ntre otros encontramos: H erra m ien tas de seguridad: Existen herram ientas para detectar y solucionar fallos en los sistem as, pero se pueden utilizar para detectar esos mismos fallos y aprovecharlos para atacarlos. Rogueware o fa lso s p rogram as d e segu rid ad: También denominados Bogue, FakeAVs, Badware, Scareware, son falsos an ti virus o an ti espías. P u erta s tra sera s o backdoors: Los program adores insertan “atajos” de acceso o adm inistración, en ocasiones con poco nivel de seguridad. Virus: Secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el virus tam bién lo hace. D etrás de la palabra virus existe todo un conjunto de térm inos que analizarem os con m ás detalle en el Capítulo 4, dentro de lo que se conoce como malware. G usan o o Worm: Program a capaz de ejecutarse y propagarse por sí mismo a través de redes, norm alm ente m ediante correo electrónico basura o spcim. T ro y a n os o C ab allos d e Troya: Aplicaciones con instrucciones escondidas de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realm ente ejecute funciones ocultas (generalm ente en detrim ento de la seguridad) sin el conocimiento del usuario. P rogram as con ejo o bacterias; Program as que no hacen nada útil, sim plem ente se dedican a reproducirse h a sta que el núm ero de copias acaba con los recursos del sistem a (memoria, procesador, disco...), produciendo una negación de servicio. C a n a les cubiertos: C anales de comunicación que perm iten a un proceso tran sferir información de forma que viole la política de seguridad del sistem a; un proceso transm ite información a otros que no están autorizados a leer dicha información. TECNICAS DE ATAQUE Del mismo modo que hemos analizados las am enazas de los sistem as informáticos desde un punto de vista de quién o qué la genera, los tipos de am enazas pueden clasificarse en función de la té c n ic a q u e se em p lea n para rea liz a r el ataq u e. Las técnicas m ás usuales son las que se indican en la Tabla 1.1. 25 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA Tabla 1.1 Malware Programas malintencionados (virus, espías, gusanos, troyanos, etc.) que afectan a los sistemas con pretensiones como: controlarlo o realizar acciones remotas, dejarlo inutilizable, reenvío de spam, etc. Ingeniería social Obtener información confidencial como credenciales (usuario-contraseña), a través de la manipulación y la confianza de usuarios legítimos. El uso de dichas credenciales o información confidencial servirá para la obtención de beneficios económicos mediante robo de cuentas bancarias, reventa de información o chantaje, Scam Estafa electrónica por medio del engaño como donaciones, transferencias, compra de productos fraudulentos, etc. Las cadenas de mail engañosas pueden ser scam si hay pérdida monetaria y hoax (bulo) cuando solo hay engaño. Spam Correo o mensaje basura, no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades que perjudican de alguna o varias maneras al receptor. Suele ser una de las técnicas de ingeniería social basada en la confianza depositada en el remitente, empleadas para la difusión de scam, phishing, hoax, malware, etc. Sniffing Rastrear monítorizando el tráfico de una red para hacerse con información confidencial. Spoofing Suplantación de Identidad o falsificación, por ejemplo encontramos IP, MAC, tabla ARP, web o mail Spoofing. Pharming Redirigir un nombre de dominio (domain ñame) a otra máquina distinta falsificada y fraudulenta. Phishing Estafa basada en la suplantación de identidad y la ingeniería social para adquirir acceso a cuentas bancarias o comercio electrónico ilícito. Password cracking Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son mediante sniffing, observando directamente la introducción de credenciales (shoulder surfing), ataques de fuerza bruta, probando todas las combinaciones posibles, y de diccionario, con un conjunto de palabras comúnmente empleadas en contraseñas. Botnet Conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática, en multitud de host, normalmente infectados, permite controlar todos los ordenadores/servidores Infectados de forma remota. Sus fines normalmente son rastrear información confidencial o incluso cometer actos delictivos. Denegación de servicio o Denial of Service (DoS) Causar que un servicio o recurso sea inaccesible a los usuarios legítimos. Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS, a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz. PROTECCIÓN H a sta ahora hemos hablado de los aspectos que engloba la seguridad inform ática, de los elem entos a proteger, de los tipos de am enazas que contra ellos se presentan y del origen de tales am enazas; parece claro que, para com pletar n u e s tra visión de la seguridad, hemos de hablar de las form as d e p ro tecció n d e n u e stro s sistem as. 26 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD P ara proteger nuestro sistem a hem os de realizar un a n á lisis de la s am en azas p o te n c ia le s que puede sufrir, las p érd id a s que podrían generar y la p rob ab ilid ad d e su ocu rren cia. E ste análisis convencionalmente se realizará m ediante auditorías de seguridad. AUDITORÍA DE SEGURIDAD DE SISTEMAS DE INFORMACIÓN U na auditoría de seguridad inform ática o auditoría de seguridad de sistem as de información (SI) es el estudio que comprende el a n á lisis y g e stió n d e sistem a s para id e n tific a r y p o sterio rm en te co rreg ir las d iv ersa s v u ln e r a b ilid a d e s que pudieran p resentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. U na vez obtenidos los resu ltad os, se d etallan , arch ivan y rep o rta n a los resp o n sa b le s q u ie n e s d eb erán e s ta b le c e r m e d id a s p r e v e n tiv a s d e refu erzo , siguiendo siem pre un proceso secuencial que perm ita a los adm inistradores m ejorar la seguridad de sus sistem as aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad de SI perm iten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y m edidas de seguridad. Los o b jetiv o s de u n a auditoría de seguridad de los sistem as de información son: Revisar la seguridad de los entornos y sistem as. Verificar el cum plimiento de la norm ativa y legislación vigentes E laborar un informe independiente. U na auditoría se realiza con base a un patrón o conjunto de directrices o b u en as p rá ctica s su g erid a s. Existen e stá n d a re s o rien ta d o s a servir com o b a se p ara a u d ito ría s d e inform ática. Uno de ellos es COBIT (Objetivos de Control de las Tecnologías de la Información), y adicional a éste podemos encontrar el están d ar ISO 27002, el cual se conforma como un cód igo in tern a cio n a l de b u e n a s p rá ctica s d e seg u rid a d de la inform ación , éste puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los r e q u isito s d e a u d ito r ía y sistem a s de g estió n d e segu rid ad , como lo es el estándar ISO 27001. Los servicios de auditoría constan de las siguientes fases: Enum eración de sistem as operativos, servicios, aplicaciones, topologías y protocolos de red. Detección, comprobación y evaluación de vulnerabilidades. Medidas específicas de corrección. Recomendaciones sobre im plantación de m edidas preventivas. 1.5.1.1 T ip o s d e a u d ito r ía Los servicios de auditoría pueden ser de distinta índole: A u d ito ría d e seg u rid a d intern a: se contrasta el nivel de seguridad de las redes locales y corporativas de carácter interno. A u d itoría de segu rid ad perim etral: se estudia el perím etro de la red local o corporativa, conectado a redes públicas. T est d e in tru sión : se in ten ta acceder a los sistem as, para comprobar el nivel de resistencia a la intrusión no deseada. 27 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA A n á lisis forense: análisis posterior de incidentes, m ediante el cual se tra ta de reconstruir cómo se ha penetrado en el sistem a, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistem a, se denom ina análisis post mórtem. A u d ito ría d e cód igo d e a p licacion es: análisis del código independientem ente del lenguaje empleado, un ejemplo concreto y frecuente se realiza con los sitios web, m ediante el análisis externo de la web, comprobando vulnerabilidades como la inyección de código SQL, Cross Site Scri.pting (XSS), etc. R ealizar auditorías con c ie r ta fr e c u e n c ia asegura la integridad de los controles de seguridad aplicados a los sistem as de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización del software y la adquisición de nuevo hardw are hacen necesario que los sistem as estén continuam ente verificados m ediante auditoria. A lgunas de las auditorías que trabajarem os a lo largo del libro son em pleadas en ocasiones para acceder a sistem as y conexiones rem otas no autorizadas, aunque en nuestro caso deben servir para ver el nivel de seguridad que disponemos en nuestros sistem as. E n tre las m ás comunes son las auditorías de contraseñas de acceso a sistem as y de conexiones inalám bricas o wireless. MEDIDAS DE SEGURIDAD A p a rtir de los análisis realizados m ediante auditorías, hem os de d ise ñ a r una p o lític a d e seg u rid a d que defina responsabilidades y reg la s a seg u ir para evitar tales am enazas o m inim izar sus efectos en caso de que se produzcan. A los mecanismos utilizados para im plem entar esta política de seguridad se les denomina m ecan ism os d e seg u rid a d , son la parte m ás visible de nuestro sistem a de seguridad y se convierten en la herram ienta básica p a ra g aran tizar la protección de los sistem as o de la propia red. Se distinguirán y estudiarán en los próximos capítulos las m edidas de seguridad: S egú n el recu rso a proteger: S eg u rid a d física: tra ta de proteger el hardw are, teniendo en cuenta entre otros aspectos Ja ubicación y las am enazas de tipo físico: robos, catástrofes n atu ra les o artificiales, etc. Algunas m edidas son el estudio de la ubicación correcta, medidas preventivas contra incidentes como incendios o inundaciones o el control de acceso físico. S egu rid ad lógica: protege el software tanto a nivel de sistem a operativo como de aplicación, sin perder nunca de vista el elemento fundam ental a proteger, la información o datos de usuario. Dentro de sus m edidas se encuentran; copias de seguridad, contraseñas, perm isos de usuario, cifrado de datos y comunicaciones, software específico antim alw are, actualizaciones o filtrado de conexiones en aplicaciones de red. S eg ú n el m om en to en el q ue se p on en en m archa las m ed id as d e segu rid ad: S eg u rid a d activa: son p r e v e n tiv a s y evitan grandes daños en los sistem as informáticos, por tanto se consideran acciones p rev ia s a u n ataque. Son de este tipo todas las m edidas de seguridad lógica. S egu rid ad pasiva: son correctivas, m inim izan el impacto y los efectos causados por accidentes, es decir se consideran m edidas o acciones p o ster io r es a un ataque o incidente. Son de este tipo todas las m edidas de seguridad física y las copias de seguridad que perm iten m inim izar el efecto de un incidente producido. 28 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD REFERENCIAS WEB INTECO - Instituto NacionaJ de Tecnologías de la Comunicación: www.inteco.es Hispasec Sistem as: Seguridad y Tecnologías de información. Noticias diarias y resúm enes anuales de noticias de actualidad sobre seguridad informática: www.hispasec. com Guía completa de seguridad informática: h ttp :! / www.rediris.es / cert tdoc / unixsec / unixsec. html Web de seguridad inform ática de la em presa de tecnologías de información (IT) IDG: www.idg.es Blog de seguridad inform ática de la em presa Trend Micro con noticias actuales: h ttp: / / blog.trendmicro.es Portal de ISO 27001 en español: www. iso27000. es Blog sobre auditoría y seguridad inform ática ISO 27001: h ttp :/1 sg si■iso27001.blogspot.com RESUMEN DEL CAPÍTULO H ablar hoy en día de un sistem a informático totalm ente seguro es imposible, ía conectividad global perm ite extender el campo de posibles am enazas. Aunque éstas provienen de dist intos ámbitos: p erso n a s (personal de u n a organización, hackers y crackers en red), am en a za s ló g ica s (malware y exploits sobre vulnerabilidades de las aplicaciones), así como todo tipo de am en azas física s como robos o catástrofes (n atu rales o artificiales como incendios). En este capítulo se han analizado los fundam entos y conceptos para conseguir sistem as y configuraciones fiables, partiendo del principio de g aran tizar d isp on ib ilid ad . Hoy en día se realizan un im p o rtan te y gran núm ero de operaciones a trav és de las redes de comunicaciones y la disponibilidad de sus servicios ofrecidos se convierten en ocasiones en algo crítico, pasam os a hablar de a lta d isp o n ib ilid a d cuando son necesarias m edidas específicas que garanticen la operatibilidad 24 horas al día, 7 días a la sem ana, los 365 días al año. Sobre la disponibilidad de los sistem as se sustentan otros aspectos que se deben perseguir para m ejorar la seguridad inform ática como la c o n fid en cia lid a d , in tegrid ad , a u ten tica c ió n y el no repudio. 29 © RA-MA SEGURIDAD Y ALTA DISPONIBILIDAD Debemos ser conscientes de que las m ed id a s de seg u rid a d comprenden un conjunto de elem entos que no pueden ser tratados dejando de lado o desprotegido ninguno de ellos: hardw are, sistem a operativo, comunicaciones, m edidas de seguridad físicas (ubicación de los equipos, sum inistro eléctrico, etc.), los controles organizativos (políticas de seguridad, norm as, procedim ientos, etc.) y legales (como la Ley O rgánica de Protección de Datos, LOPD). Dichas m edidas se diferencian en función de qué elem ento protegen seg u rid a d físic a y seg u rid a d ló g ica , y según sean preventivas (activas) o correctivas después de un incidente (pasivas). En los siguientes capítulos analizarem os periódicam ente el nivel de seguridad proporcionado por nuestros sistem as m ediante a u d ito r ía s y estudiarem os las m edidas oportunas para hacer de la seguridad la seña de identidad de nuestros sistem as. EJERCICIOS PROPUESTOS A lo largo de los siguientes ejercicios propuestos se pre­ se n ta n una serie de recomendaciones y h erram ientas genéricas para todo tipo de usuarios sean adm inistra­ dores o no. a través de las redes sociales. ¿Crees que conocer este tipo de noticias te ayudarán a tom ar ciertas precauciones? ¿Para qué tipo de usuarios puede ser útil? 1. M antenerse siem pre inform ado y al día es la pri­ m era y mejor recomendación. Uno de los peligros m ás comunes p ara los usuarios de Internet ya que son actualm ente unas de las web más usadas son las denom inadas redes sociales. P ara ello se pro­ pone a n a liz a r la siguiente noticia: "Cinco nuevas estafas en Facebook y T w itter”, cuya fuente se en­ c u e n tra descargándose el m a te ria l adicional del libro y en: htt.p:/ / www.csospain.es/Cinco-nueuasestafas-en-Facebook-y-Tloitter / sección-alertas ¡ articulo-196360, y contestar a las siguientes cuestiones: 2. E n la web de H ispasec existen varios recursos m uy interesantes, como m ultitud de noticias y estu ­ dios de actualidad, servicio de envío de noticias “Una al día” al que puedes suscribirte tan solo escribiendo tu correo electrónico, o VirusTotal analizador de ar­ chivos o URL potencialm ente maliciosas. Analiza las noticias de la últim a sem ana. ¿Qué vulnerabilidades y am enazas se describen? ¿Qué tipo de precauciones se recom iendan? Realiza un resum en de las mismas y súbelo a tu blog. ¿Qué tipo de ataques son los más comunes que se producen en las redes sociales? ¿Crees qué los ciberdelitos y ciberfraudes proliferarán con el uso de las redes sociales? ¿Qué es una blcicklist? Indica alguna web con comprobación de direccio­ nes web o URL, IP, direcciones de m ail, etc., que sean potencialm ente maliciosas. Indica qué precauciones tom arías y cómo iden­ tificarías un fraude a través de una red social. Busca algún nuevo tipo de estafa que se produzca 30 3. Em plea contraseñas fuertes y renuévalas periódi­ camente. Verifica y anota el nivel de fortaleza en tus contraseñas de acceso al sistem a operativo, correo electrónico y otras aplicaciones web como redes so­ ciales, banca online, etc.: http: / / www.m icrosoft.com /latam /protect /yourself! passw ord / checker.mspx Según las recom endaciones de Microsoft, una contraseña segura debe parecer le a un atacante una cadena aleatoria de caracteres. Debe tener 14 © RA-MA 1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD caracteres o más (como mínimo, ocho caracteres). Debe incluir una combinación de letras m ayúscu­ las y m inúsculas, núm eros y símbolos especiales. ¿Tus contraseñas de acceso a sistem as operativos, aplicaciones web como m ail o redes sociales, son seguras? ¿Cada cuanto tiempo cam bias las con­ traseñas? 4. M antón actualizado tu sistem a operativo y apli­ caciones, sobre todo los navegadores web, ya que las vuln erab ilid ades y am enazas cam bian co nstante­ m ente a través de la red. Comprueba el estado de actualización de tus aplicaciones, especialm ente el de navegadores web. Realiza un análisis desde la web de S ecu n ia con su inspector online: http'.l /secunia.com / vniñera bility_scann in g / online / ?lang=es ¿Qué aplicaciones disponían posibles vulnerabili­ dades al no encontrarse totalm ente actualizadas? ¿Cuál es la solución propuesta? 5. Con respecto a tu navegador web, es recomendable tenerlo con una correcta configuración, controlar la aceptación de cookies y el bloqueo de ventanas em er­ gentes, así como no recordar contraseñas en caso de com partir el equipo con otros usuarios. C o n testa a las sig u ien tes p reg u n tas, explora e identifica: ¿Qué opciones de seguridad o p ri­ vacidad perm iten configurar tus navegadores web? ¿Se aceptan cookies? ¿Recuerdan contrase­ ñas? ¿Cuáles? ¿Bloquean ventanas em ergentes? ¿Dispones de restricciones de acceso a determ ina­ dos sitios web? dos, ocupación en disco de los archivos analizados, % de ocupación de CPU en ejecución, opciones avanzadas de escaneo, tiempo de escaneo, vulne­ rabilidades y malware encontrado, malware des­ infectado, soluciones propuestas de desinfección. 7. Realiza copias de seguridad periódicam ente de la información fundam ental para ti, recuerda que es el elem ento fundam ental a proteger. P ara reali­ zar copias de seguridad hoy en día existen diversas opciones en In te rn e t podemos em plear un sitio FTP gratuito, o servicios más especializados y seguros como D ropbox, Id riv e o Mozy, que ofrecen alm ace­ nam iento virtual de datos para copias de seguridad remotas. Crea una cuenta y realiza una configura­ ción y prueba de copia de seguridad online de archi­ vos de tu equipo. 8. Em plea y conoce a fondo la configuración de todas las herram ientas de configuración que te perm iten tu sistem a operativo y aplicaciones de red. Los siste­ m as Windows incorporan un c e n tro d e seg u rid a d donde encontrarem os inform ación sobre: firew all, actualizaciones autom áticas y protección antivirus (solo detecta si tenemos instalado alguno). Se reco m ien d a tener activado el firew all o cor­ tafuegos para ev itar posibles accesos externos, notificar periódicam ente y descargar e in s ta la r m anualm ente actualizaciones, así como disponer de protección antivirus. Si deseam os acceder a Microsoft U pdate para ver las últim as actualiza­ ciones de n u estro sistem a operativo Windows, podremos hacerlo entrando con In tern et Explorer 5 o superior a: http:11www.apdate.microsoft.com. C ontesta a las siguientes cuestiones: 6. Verifica periódicam ente si estás infectado por malware. Actualm ente la m ayoría de las em presas de seguridad inform ática y creadores de antivirus g ra tu ito s y de pago, ofrecen servicios de escaneo online p ara poder probar sus soluciones. Aunque nor­ m alm ente no disponen de funcionalidades completas como la desinfección, si sirven p a ra ten er conoci­ m iento de que vulnerabilidades y malware tenemos en nuestro sistem a. Busca al menos dos an tiv iiu s en línea y realiza análisis de tu sistem a para tener un co n traste en la información obtenida. E n tre otras em presas que lo facilitan so encuentran: P anda, Bitdefender, Eset, Kaspersky, Mcafee, TrendMícro, Symantec, etc. Configura el firewall de Windows para evitar con­ testar a peticiones de red de eco en tran te. ¿Es posible realizar la configuración de cada puerto de red? Realiza una com parativa en tre las soluciones em ­ pleadas anotando: núm ero de archivos an aliza­ Configura el firew all para evitar que tu navega­ dor web tenga acceso a Internet. ¿Crees que los sistem as GNU/Linux al no dispo­ ner de tan tas opciones de herram ientas an tivirus son m ás seguros que los sistem as Windows? ¿Por qué? ¿Y en caso de tener un servidor FTP bajo Linux, alojando archivos potencialm ente malicio­ sos, sería recomendable tener alguna herram ien ­ ta que rastree posibles archivos infectados? 31 © RA-MA SEGURIDAD Y ALTA DISPONIBILIDAD TEST DE CONOCIMIENTOS La p rim era c a ra c te rístic a a g a ra n tiz a r en un sistem a seguro es: Confidencialidad. Integridad. Disponibilidad. No repudio. Indica qué sentencia es falsa: La integridad perm ite asegurar que los datos no se h an falseado. Confidencialidad es desvelar datos a usuarios no autorizados; que comprende tam bién la privaci­ dad (la protección de datos personales). Disponibilidad es que la información se encuen­ tre accesible en todo m omento a los distintos usuarios autorizados. U na de las siguientes m edidas no pertenece a la seguridad lógica: C ontraseñas. SAI. Copia de seguridad. SW antim alware. ¿Qué elem ento de un siste m a inform ático se considera m ás critico a la hora de protegerlo? Comunicaciones. Software. Hardware. Datos. U n hacker: Siem pre tiene una finalidad maliciosa. La m ayoría de las veces tiene u na finalidad maliciosa. A veces posee una finalidad maliciosa, entonces se denom ina cracker. Es un curioso con una finalidad conocida. 32 El phishing'. Es un tipo de fraude bancario. Es u n tipo de maluoare o virus. Se contrarresta con un spywctre. Se propaga m ediante correo electrónico siempre. ¿Cuál es el estándar ISO en m ateria de auditoría de sistem as de información? IS O 9001. ISO 27000. ISO 27002. ISO 27001. COBIT. ¿Y el están d ar de buenas prácticas en m ateria de seguridad informática? ISO 9001. ISO 27000. ISO 27002. ISO 27001. COBIT. Con respecto a un análisis forense: Se realiza siem pre a posteriori de detectar vulnerabilidades. Se debe realizar sem analm ente. Se realiza ta n solo cuando el sistem a de inform a­ ción ‘‘ha muerto". Se realiza siem pre a priori de detectar vu ln era­ bilidades. Una vez se realiza una auditoría: Si todo se encuentra correcto no es necesario volver a realizar auditorías. Es recomendable volver a realizarlas periódica­ mente. Es poco probable que todo esté perfecto. Es recom endable volver a realizarías periódica­ mente, pero ya no tan exhaustivas. • • • / Profundizar en aspectos de seguridad pasiva, como son las copias de seguridad y medidas específicas de seguridad física y ambiental. / Valorar la importancia de realizar periódicamente copias de seguridad de la información sensible de nuestros sistemas. / Analizar los distintos aspectos que influyen en la ubicación física de los sistemas. ✓ Valorar la importancia para la empresa de un centro de procesamiento de datos (CPD) y analizar qué medidas específicas requiere. ✓ Analizar los distintos dispositivos hardware que permiten mejorar la seguridad física, como sistemas de alimentación ininterrumpida (SAI), sistemas de refrigeración, armarios de seguridad, circuitos cerrados de televisión, etc. Investigar sobre nuevos métodos de seguridad física y de control de acceso a los sistemas medíante biometría. © RA MA SEGURIDAD Y ALTA DISPONIBILIDAD PRINCIPIOS DE LA SEGURIDAD PASIVA La seg u rid a d p asiva in ten ta m inim izar el impacto y los efectos causados por accidentes, es decir, se consideran m e d id a s o a cc io n es p o sterio res a un ataque o incidente. A continuación se presenta una tabla que relaciona los posibles problemas con soluciones propuestas: Tabla 2.1 Medidas paliativas Amenazas Suministro eléctrico: cortes, variaciones del nivel medio de tensión (subidas y bajadas), distorsión y ruido añadido. Robos o sabotajes: acceso físico no autorizado al hardware, software y copias de seguridad Condiciones atmosféricas y naturales adversas: temperaturas extremas, humedad excesiva, incendios, inundaciones, terremotos. Sistema de alimentación ininterrumpida (SAI o UPS). Generadores eléctricos autónomos. Fuentes de alimentación redundantes. - Control de acceso físico: armarios, llaves, blindaje, biometria. - Vigilancia mediante personal y circuitos cerrados de televisión (CCTV). Elegir la correcta ubicación de sistemas, teniendo en cuenta en la construcción la probabilidad de catástrofes naturales y ambientales. Centro de respaldo en ubicación diferente al centro de producción. Proporcionar mecanismos de control y regulación de temperatura, humedad, etc. Las consecuencias o efectos producidos por las distintas am enazas previstas son: Pérdida y/o mal funcionam iento del hardware. F alta de disponibilidad de servicios. Pérdida de información. Como hem os visto en el capítulo anterior la pérdida de información es el aspecto fundam ental en torno a la que g ira gran p arte de la seguridad inform ática, por lo que, como medida transversal y siem pre recom endada en prim er lug'ar abordarem os la planificación y realización de c o p ia s d e segu rid ad , que perm itan recuperar los datos. 34 © RA-MA 2 ■SEGURIDAD PASIVA A A continuación se propone leer una noticia de actualidad relacionada con la seguridad pasiva y com entar en clase determinadas preguntas de análisis de la misma, en concreto la podemos encontrar en ia URL http://www.weblogssl.corn/2008/09/23-caida-general-de~x-horas-durante-la-m adrugadadeh23~de-septiembre-de-2008, también descargándote el material adicional del libro. • ¿A qué se dedica la empresa? ¿Qué ha ocurrido y qué consecuencias ha tenido? ¿Por qué ha existido corte en el servicio de la empresa? ¿Crees que se encontraban bien dimensionados los generadores de gasoil para la carga que tenían que soportar? • ¿Qué equipos se apagaron primero al intentar reiniciar con el segundo grupo de em ergencia? ¿A qué temperatura deben de perm anecer las salas de estos equipos? ¿Qué peligros se corrían? • ¿Qué tipos de medidas ha tom ado la empresa a p osteñorí? ¿Las ves acertadas? • ¿Qué tipo de m edidas y recomendaciones crees que podrías aportar personalmente para evitar este tipo de incidentes en el futuro? COPIAS DE SEGURIDAD Por acción de algún tipo de mahuare, acceso no autorizado a nuestro sistem a, por fallos en el hardw are o, sim plem ente, por accidente o descuido, la in form ación co n ten id a en n u e stro eq u ip o p u ed e r e su lta r d añad a o in clu so d esa p arecer. Las c o p ia s d e seg u rid a d o backup, son r é p lic a s d e d atos q u e n os p erm iten recu p era r la in fo rm a ció n orig in a l en ca so d e ser n ece sa rio , es un ai-chivo digital, on conjunto de archivos o la totalidad de los datos co n sid era d o s lo su fic ie n te m e n te im p o rta n tes para ser con servad os. Uno de los principios de seguridad: "Ordenar de mayor a menor prioridad qué archivos, datos y configuraciones son difíciles de volver a realizar o recuperar, y mantener de forma segura copias de seguridad de los mismos, distribuidas en espacio y tiempo". Corresponde a cada usuario determ inar los datos, que por su im portancia, serán alm acenados en la copia de seguridad. E stas copias, se pueden alm acenar en soportes extraíbles (CD/DVD, pendrive, cintas de backup, etc.), en otros directorios o particiones de datos de n u estra propia m áquina, en unidades com partidas de otros equipos o en discos de red, en servidores remotos, etc. Es aconsejable que dichas copias de seguridad se encuentren cifradas y com prim idas en un solo archivo facilitando su confidencialidad, m antenim iento y distribución. Teniendo en cuenta los m od elos de a lm acen am ien to masivo de los sistem as hoy en día encontramos: 35 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA D irect A ttach ed S to ra g e (DAS): es el método tradicional de alm acenam iento y el más sencillo. El dispositivo de alm acenam iento se encuentra directam ente conectado físicam ente al sistem a que hace uso de él. Es el caso convencional disponer un disco duro conectado directam ente al sistem a informático. Los discos duros extraíbles, y las particiones de datos, son una solución sencilla y económica para realizar copias de seguridad locales. N etw ork -A ttach ed S torage (ÑAS): alm acenam iento conectado en red. Las aplicaciones hacen las peticiones de datos a los sistem as de ficheros de m anera rem ota m ediante protocolos de red, como NFS, FTP, CIFS o SMB. Las carpetas com partidas en red y servidores específicos ÑAS son una buena solución para una LAN de tam año pequeño o medio. S to ra g e A rea N etw ork (SAN): red de área de alm acenam iento. Los dispositivos de alm acenam iento se encuentran conectados a una red de alta velocidad directam ente y resuelven las peticiones que se le realizan. La in fraestru ctura necesaria hace que solo sea posible en grandes organizaciones. A modo de ejemplo veremos cómo im plem entar un servidor ÑAS como servidor de arcbh'os para distintos usuarios en una red corporativa en el capítulo 8. MODELOS DE ALMACÉN DE DATOS Los datos de la copia deben ser alm acenados de alguna m anera y probablem ente deban ser organizados con algún criterio. Para ello se puede usar desde una hoja de papel con una lista de las cintas de la copia de seguridad y las fechas en que fueron hechas, h asta un sofisticado program a con una base de datos. U n almacén d esestr u c tu ra d o o conjunto de disquetes, CD/DVD, m em orias USB, discos duros externos o cintas de b a cku p , con una m ínim a información sobre qué h a sido copiado y cuándo. É sta es la form a m ás fácil de im plem entar pero ofrece pocas g arantías de recuperación de datos. Lo habitual es trab ajar con alm acenes estructurados, en función de la cantidad de archivos que se salvaguardan a la hora de realizar la copia de seguridad, podemos distinguir tres tipos de copia: C om pleta, total o íntegra: es una copia de seguridad total de todos los archivos y directorios seleccionados. Increm enta!: se hace una copia de seguridad solo de los archivos que han cambiado desde la últim a copia de seguridad realizada, sea del tipo que sea. Tiene en cuenta los bits de archivo modificado. D iferen cial: es sim ilar a la íncrem ental pero realiza una copia de todos los archivos que han cambiado desde la últim a copia de seguridad total que hayamos hecho. Si hacemos una copia de seguridad total el día 1 de cada mes y copia de seguridad increm ental el resto de los días, cada copia increm ental solo g u ard ará los archivos que se hayan modificado ese día, por tanto el volumen de inform ación de cada backup increm ental será m enor que el de la total. Si tenemos que realizar la restauración de archivos a n te u n d esastre, d eb em os d isp o n er de la co p ia to ta l y de to d a s la s co p ia s in c rem en ta les q u e h a y a m o s re a liza d o d esd e la cop ia total. Si hacemos copia de seguridad total el día 1 de cada mes y copia de seguridad diferencial el resto de los días, cada copia diferencial g u ard ará los archivos que se hayan modificado desde el día 1. La ventaja es que se requiere menos espacio que la copia total y que en el p ro ceso de resta u ra ció n ú n ica m en te n ecesita rem o s la ú ltim a cop ia to t a l y la ú ltim a co p ia d iferen cial. U na copia diferencial anula a la copia diferencial anterior. Por el contrario, se consum e más tiempo en realizar la copia y tam bién m ás espacio que en el caso de copia increm ental. 36 © RA-MA 2 ■SEGURIDAD PASIVA RECOMENDACIÓN SOBRE EL TIPO DE COPIA A EFECTUAR Si el volumen de datos de n u e stra copia de seguridad no es muy elevado (menos de 4 GB), lo m ás práctico es realizar siem p re c o p ia s to ta les ya que en caso de desastre, tan solo debemos re c u p e ra rla últim a copia. Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) pero el volumen de datos que se modifican no es elevado (sobre 4 GB), lo más práctico es realizar una prim era copia total y, posteriorm ente, realizar siem p re co p ia s d iferen cia les. Así, en caso de desastre, tan solo debemos recuperar la copia total y la últim a diferencial. Periódicam ente debemos realizar una copia total y así em pezar de nuevo. Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) y el volumen de datos que se modifican tam bién lo es, las copias diferenciales ocuparán mucho espacio, por lo tanto en este caso lo m ás práctico será realizar una prim era copia total y posteriorm ente realizar siem p re cop ias in crém en ta les, ya que son las que m enos espacio ocupan. El problema es que en caso de desastre debemos recuperar la últim a copia total y todas las incrém entales realizadas desde que se hizo la últim a copia total. E n estos casos, conviene hacer copias totales más a m enudo p ara no tener que m antener un núm ero m uy elevado de copias incrém entales. Tabla 2.2 Método de copia Espacio de almacenamiento Velocidad de copia Restauración Copia recomendada Completo Máximo Muy lento Muy simple Pocos datos a copiar Completo + Incremental Mínimo Rápido Compleja Muchos datos que cambian frecuentemente Intermedio Lento Sencilla Datos cuya velocidad de cambio es moderada Completo + Diferencial En grandes com pañías donde la realización de copias de seguridad está perfectam ente p lan ificad a , se suelen u tilizar sistem a s m ixtos. Por ejemplo en un caso típico se realizarían las siguientes tareas: Todos los días 1 de cada mes, a las 23:00 horas: copia de seguridad total. Todos los viernes a las 23:00 horas: copia de seguridad diferencial desde la copia de día 1. Todos los días (excepto los viernes y el día 1) a las 23:00 horas: copia de seguridad increm ental desde la copia del día anterior. Con esta planificación nos aseguram os disponer de copia de seguridad diaria. En caso de desastre deberíamos recuperar la copia total, la últim a diferencial y todas las increm entales desde la últim a diferencial. P ara g aran tizar la disponibilidad de los datos, en caso de desastre en la ubicación principal, es recomendable d istribuir en distintas ubicaciones las copias de seguridad. P ara ello se puede utilizar una em presa especializada que tra n sp o rte y cu sto d ie duplicados de las copias, así como em plear alojam ien to rem oto, o bachup online o en la nube. 37 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA PRÁCTICA 2.1 COPIAS DE SEGURIDAD CON HERRAMIENTAS DEL SISTEMA Como hemos analizado, las copias de seguridad son parte fundamental de los sistemas, existen multitud de herramientas, algunas preinstaladas en los propios sistemas operativos, otras como aplicaciones específicas. Algunas de las opciones que se deben de analizar son: Compresión: es el mejor método para disminuir el espacio de almacenaje necesario y de ese modo reducir el coste. Duplicación: copias de seguridad duplicadas en un segundo soporte de almacenamiento. Esto puede hacerse para cambiar de lugar las copias, para optimizar velocidades de restauración, o incluso para disponer de una segunda copia a salvo en lugar o soportes diferentes. Se suele realizar en un soporte portable, económico y de alta capacidad como: CD/DVD, discos duros o unidades de cinta externas/ extraíbles, o en memorias de estado sólido. Cifrado: la alta capacidad de los soportes de almacenamiento desmontables implica un riesgo de perderse o ser robados. Si se cifra la información de estos soportes se puede reducir el problema, aunque esto presenta nuevos inconvenientes. Primero, cifrar es un proceso que consume mucho tiempo de CPU y puede bajar la velocidad de copiado. En segundo lugar, una vez cifrados los datos, la compresión es menos eficaz. Aunque para información confidencial es recomendable emplear esta opción. Nombre del archivo: suele incluir el tipo de copia y la fecha (en ef caso de copias totales) o fechas (en el caso de copias diferenciales e incrementales) de los datos. En ocasiones se indican las carpetas que contiene. Ejemplos: copia de seguridad total el 1 de enero de 2011: copiatotal_01enell.tar.bz2 Copia diferencial el 8 de enero de 2011: copiadiferencial_01enell-08enell.tar.bz2 GNU/Linux Bajo los sistemas GNU/Linux las operaciones de administración son habituales realizarlas mediante comandos del sistema, en este caso se propone un modelo de gestión de copias de seguridad con 2 herramientas en modo comando, tar para el empaquetado de archivos y cron para la automatización de tareas. Alternativamente se podría emplear para la compresión y cifrado de las copias de seguridad otras herramientas como gzip, zip, bzip2, rar, etc., y cfs o herramientas más sofisticadas de cifrado de particiones como Truecrypt, la cual veremos en el Capítulo 5. Centrándonos en las 2 primeras propuestas tar y cron, veamos en primer lugar sus opciones: TAR Empaquetando con tar, opciones más comunes: tar -vcf nombre_archivo.tar nombre_carpetas_a_empaquetar. v: (verbose) permite obtener una descripción de los archivos empaquetados/desempaquetados, c: {create/crear) crea un archivo tar. f: {file/archivo) índica que se dará un nombre al archivo tar. --newer-fecha: realiza un empaquetado incremental teniendo en cuenta que archivos han sido modificados desde la fecha que se le indique. Desempaquetando con tar, opciones más comunes: tar -tvxf mi_archivo.tar. t: ver el contenido (sin extraer). x: (extract/extraer) extrae los archivos en la carpeta que contiene el tar. 38 © RA-MA 2 ■ SEGURIDAD PASIVA CRONTAB La sintaxis crontab es la siguiente: crontab [-e | -I | -r ] [usuario]. El parámetro -e indica la edición del cron, -I ver las tareas programadas en el archivo cron y -r borrar un archivo cron. Si no se especifica el usuario, el comando se ejecutará para el usuario en sesión. Editaremos el archivo crontab con la instrucción: crontab-e Con este comando nos mostrará un listado de editores de texto para editar la tabla cron de tareas programadas. Una vez seleccionado el editor deseado, por ejemplo nano, seleccionado por su facilidad de uso, podremos definir líneas de configuración con la frecuencia con que queremos que se ejecute un determinado proceso, script o programa. ¿rchivo Edita» y» fcfrnindl Ayuda Gfcu ra n a ? F ic h e r o ; / t ffp / c rc r ta t; fl.fr /croM -ib N o tific a d o dora non do w com and 0 3 • • • /usr/bin/backup a a h Í Vcr ayuda jjTjj Guardar D Leer Fich B Salir §Q Justiflcargj Oónde E m -jJ Pag Ant Pag S i g BJ Cortar pegarTxt 2 2 Ros actual Ortografía Cada línea de crontab tiene el siguiente Formato: * * * * * comando_o_programa_a_ejecutar I I I I I l i l i |----- Q£a ¿le ia semana (0 - 6) | | | | ------------Mes (1 _ i2 ) I | ---------- D£a ¿el mes (1 - 31) I |------------ Hora (0 - 23) I---------------Minuto (0 - 59) (0 Domingo) La tarea se ejecutará de acuerdo a estos parámetros, por ejemplo, si quisieras ejecutar el programa /usr/bin/ backup, todos los días viernes a las 3 de la mañana la sintaxis sería la siguiente: 0 3 * * 5 /usr/bin/backup Para especificar más de un valor en un registro se puede utilizar la coma (,) para separar los valores; en el ejemplo anterior puedes definir que la tarea se repita los lunes y los viernes a las 3 de la mañana de la siguiente manera: 0 3 * * 1,5 /usr/bin/backup A modo de ejemplo se mostrará un script para realizar un backup completo o total del sistema cada 1 de mes (nomenclatura CTM_fecha), otro backup completo semanal cada Domingo (CTS_fecha) y backups diarios incrementales (ID_fecha) (solo de los cambios realizados desde el último backup completo). Lo primero que tenemos que hacer es tener claro dónde guardaremos nuestras copias de seguridad y qué directorios queremos resguardar, ya que deberemos modificar un par de líneas del script, también debemos indicarle dónde se almacenará la fecha del último backup completo, para que se tenga en cuenta en la copia incremental. 39 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA Las copias de seguridad se realizarán sobre la carpeta que indiquemos en BACKUPDIR en nuestro caso /home/ Backups. Lo recomendable es realizar la copia de seguridad sobre un dispositivo extraíbie, por ejemplo, un disco duro externo USB, indicando una carpeta donde esté montado el dispositivo. Una mejora añadida sería la creación de la copia en una carpeta remota. Al igual que se automatiza la creación de la copia, se podría ejecutar automáticamente un comando que, vía NFS, SMB, FTP o SSH, vuelque los archivos en un servidor remoto para mayor seguridad. También existen herramientas para realizar directamente copias de seguridad remotas como rsync. # ! /bin/bash # script de copia completa e incremental # modificar directorios a respaldar y destino del Backup DIRECTORIOS="/bin /boot /etc /initrd /home /lib /opt /root /sbin /srv /usr /var" # Directorio donde se guarda el backup BACKUPDIR=/home/Backups # Directorio que guarda la fecha del último backup completo FECHADIR=/home/Backups DSEM='date +%a' # Día de la semana (por e j . mié) DMES='date +%d' # Día del mes (por e j . 06) DYM='date + % d % b ‘ # Día y mes (por e j . 06jun) # "NUEVO" coge la fecha del backup completo de cada domingo # Backup mensual completo - sobrescribe el del mes anterior if [ $DMES = "01" ); then tar -cf $BACKUPDIR/CTM_$DYM.tar $DIRECTORIOS fi # Backup semanal completo # Actualiza fecha del backup completo if ( $DSEM = "dom" ]; then A H O R A = 'date +%d-%b' echo 5AHORA > $FECHADIR/fecha-backup-completo tar -cf $BACKUPDIR/CTS_$DSEM.tar $DIRECTORIOS H Backup incremental diario - sobrescribe semana anterior # Obtiene fecha del último backup completo, opcion newer. else N U E V O = " - - n e w e r = 'cat $ F E C H ADIR/fecha-backup-completo‘ " tar SNUEVO -cf $ B A C K U P D IR/ID_$DSEM.tar $DIRECTORIOS fi Cuando tengamos el script retocado a nuestro gusto le damos permisos de ejecución y lo copiamos a la carpeta /usr/bin, por ejemplo: chmod u+x backup-script cp backup-script /usr/bin/ Después bastará con hacer que el script se ejecute cada día mediante cron, por ejemplo a las 3 de la mañana, para que no nos moleste mientras trabajamos con el PC. crontab -e escribiremos en la tabla: 0 3 * * * /usr/bin/backup-script 40 © RA-MA 2 ■SEGURIDAD PASIVA Para determinar la fecha del último backup completo y poder hacer así el backup ¡ncremental, se utiliza un fichero de texto con la fecha en cuestión, denominado Fecha-backup-completo, que se actualiza cada domingo. La primera vez que se ejecute el scrípt se creará un backup completo en vez de incremental diario, sea el día que sea, ya que ese archivo todavía no existe. Lo que debemos hacer es ejecutar el script, invocando el script (sin esperar a la ejecución automática con cron) la primera vez para realizar el backup completo y después crear este fichero con la fecha actual. Podemos crear dicho fichero Fácilmente así: echo "date +%d-%b' > /home/Backups/fecha-backup-completo Sustituyendo /home/Backups/ por la ruta pertinente. Si queremos restaurar el sistema lo único que debemos hacer es entrar a un terminal, loguearnos como root y, situados en el directorio raíz o punto donde queramos, restaurar el backup e introducir estos comando: cd / tar -xf ruta_del backup_que_que r e m o s _ r e s u t a u r a r .tar WINDOWS En Windows existen varias utilidades del sistema para realizar copias de seguridad. Los archivos del sistema se almacenan en la carpeta Windows por defecto en la instalación. De las recomendaciones más habituales a la hora de poder realizar copias de seguridad para restaurar el sistema operativo son: Realizar una instalación del sistema operativo diferenciando 2 particiones una con suficiente tamaño para el sistema operativo y aplicaciones a instalar, y otra dedicada a datos de usuarios. Una posible restauración o sobreinstalación del sistema operativo no afectará a la partición independiente de datos de usuario. No guardes información relevante en las carpetas facilitadas por el propio sistema operativo como Mis Documentos, Escritorio, etc., ya que son carpetas que, en caso de tomar la decisión de sobre instalar el sistema operativo, no te asegura su continuidad tal y como estaban, ya que vuelve a configurarlas. Realizar una vez instalado y conFigurado el sistema, controladores, sus aplicaciones fundamentales estables, y configurado, puntos de restauración, que permitan en un momento determinado de inestabilidad volver a dicha configuración anterior conocida y estable. Windows posee 2 herramientas interesantes para realizar copias de seguridad y puntos de restauración, en Inicio/Todos los programas/Accesorios/Herramientas del sistema. Por un lado, Copia de seguridad para generar backups de los archivos origen deseados, con un formato específico .bkf, en un soporte como dispositivos de aimacenamiento externos. Estos archivos de backup se pueden restaurar a partir de la propia herramienta. El asistente proporcionado facilita la tarea para crear tus copias de seguridad. Por otro, Restaurar Sistema permite crear puntos de restauración así como restaurar anteriores, con la finalidad de guardar o restablecer la configuración de nuestro equipo en un momento determinado. En caso de tener un problema de configuración por causa de un programa o cambios inesperados o indeseados producidos por malware, podremos volver a una la configuración en la que nuestro equipo funcionaba correctamente, y por precaución creamos un punto de restauración, configuración en la que nuestro equipo funcionaba correctamente. El propio sistema crea sus propios puntos de restauración, pero es recomendable crear unos cuando vamos a realizar un cambio importante de software o hardware en nuestro equipo. 41 © RA-MA SEGURIDAD Y ALTA DISPONIBILIDAD I PRÁCTICA 2.2 COPIAS DE SEGURIDAD CON APLICACIONES ESPECÍFICAS Las herramientas propias del sistema poseen funcionalidades óptimas y suficientes en la mayoría de los casos, pero vamos a analizar varias herramientas que pueden resultar de interés para usos específicos como disponer de opciones como distintos algoritmos de cifrado, contraseñas, compresión, gestionar copias remotas, etc. Windows En el caso de Windows existen muchas aplicaciones de gestión de copias de seguridad pero las opciones que permite tas analizaremos con la herramienta Cobian Backup. Cobian Backup es un programa gratuito, multitarea, capaz de crear copias de seguridad en un equipo, unidad extraíble, red local (carpetas compartidas o ubicación de servidor) o incluso en/desde un servidor FTP. Soporta conexiones seguras mediante SSL. Se ejecuta sobre Windows y uno de sus grandes fuertes es que consume muy pocos recursos y puede estar funcionando en segundo plano. Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria, semanal, mensual o anualmente, o en un tiempo especificado. Hace copias completas, incrementales y diferenciales. Soporta compresión ZIP, Zip64 o SQX. Además ofrece la opción de proteger todas las funciones del programa por contraseña. Existe la opción de cifrar sus ficheros usando 4 métodos diferentes de cifrado fuerte: RSA-Rijndael (1024-256bits), Blowfish (128-bits), Rijndael (128-bits) o DES (64-bits). Estos y otros algoritmos se clasificarán en el capítulo 5 de criptografía. También pueden definir eventos disparados antes o después de la copia, como por ejemplo provocar el cierre de un determinado programa que utilice un fichero que se va a copiar y hacer que, una vez finalizada la copia, se vuelva a iniciar. La aplicación permite generar distintas tareas de ejecución programadas en tiempo, en cada una de las cuales podremos indicar principalmente una serie de características, tras pulsar el botón de Tarea nueva (reloj), podremos configurarle paso por paso: General: Nombre nombre y tipo de copia completa, incremental o diferencial. X ■knet^ Ow« • 0 H o u re tonbr« ^Ddjacm j^Avinuds i« « « ______ T jr M n j * * Qncm [^iln d u f «ubárcctcnc* rnpéju uwndo led*» QUMrbvc«<k«IrtKjKOi j*jUMr CoPV rcx><*'M04da (ri Constato inatm mtd W ®mciM ' j T« m CaCMt corrc«r«t « 9*ar4ar I» 42 ' I © RA-MA 2 ■SEGURIDAD PASIVA Ficheros: Ubicación ubicación de ficheros/carpetas a copiar y ubicación destino que puede ser un sitio FTP, para realizar copias remotas. Horario: Indicando indicando que periodicidad y en qué momento fecha y hora queremos que se ejecute. Archivo: Opciones opciones de compresión y protección mediante algoritmo de cifrado con contraseña, del backup. ijc Opaonr* de (M udn Too d» c o a p a a to ConpreaónZ© + ¡ ¡B _] Cc<%rrw ndvtXMftnaríe conc«rt>M«Aa <Lattt*uP+ C c rtitw A t (can/m ur) Cetnorttn) d* 0 <trvo __________________________________ AftfirvooMtJopor CotMT lUctlO 10 fra fo hjotm Too d c c Ir »¿o C a ^ d tlih M d M U n n la h (l2Stes> y. f r a » d*v» & GNU/Linu x En el caso de GNU/Linux nos encontramos en la misma situación, existen gran cantidad de herramientas de automatización de backups en los repositorios disponibles. En concreto comentamos la herramienta fwbackups por su intuitiva interfaz gráfica. Es multiplataforma y puede hacer backups individuales o recurrir a backups programados, en local o remoto, así como completos, incrementales, o diferenciales. También te permite hacer backups en formato tar, tar.gz, tar.bz2 o rsync. Desde la web www.difTingo.com podemos descargar la última versión e instalarlo con el instalador de paquetes GDebi, por ejemplo bajo Ubuntu. 0 fw bacfcupt gd»!*' ypr H'jtorvll H ot /KW« Download DifRngo S o lu u o m Inc. • M o /n li Flrvfex HenWKWlM - ¡13 KtpJMww.<Siftngo<cwTX/oisVfwt»ckup$A3ownk>dd ||M A svM ad nv IjQv- f*b<Kku| fKJecnngStarted Q U t r t t H ead H n n v (. >fwt»cfcup* - Download! D*fT -faiM C *upi lnü.in.*:><i* | O» Ha evcoguo abru fwbacltupi_I.43.Srx4-OuburTtul-ppaS_l3M.dob rtauieau n toouece de software de hop/yiaunchpadlibranan ne< ¿Q u é d a b a ria hacer F ircfo x con a sta a rc h iv o ? • AM 'cyn invtoUdor depjKji^teiGOebi (pret?e<rrTT ;ruwia) Guardar arrfwo H#cer rita automacamente para lo» «relavo* como éve de ahora en adelante ©Cancel»? N Fldtn W M (MtlUf* hrf> 43 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA r i y t > » rm r n f á V («.. CoAjMJtton MMim D«T* • ( llM M « k • ter« tf 11« m InWf finn I Unuerv {> K * . r C«rtf » • « I» Otr»-* La configuración de arch ¡vos/carpetas origen (pestaña path), destino (destination), tipo de copia, compresión y temporización es sencilla e intuitiva, pudiendo realizar backups programados o en el momento. RECUPERACION DE DATOS ¿Podemos recuperar archivos borrados definitivam ente de nuestro sistem a? E n el caso de haber sido víctima de un a taq u e o haber sufrido un accidente como corte de sum inistro eléctrico o fallo de hardw are, la recuperación de archivos en disco lo intenta. C uanto menor tiempo y modificaciones de disco tran sc u rra n entre el borrado o accidente y nuestro in ten to de recuperación, mejor será nuestro resaltado. Por ejemplo, cuando en un sistem a de ficheros de u.n sistem a operativo se borra un fichero de un medio de alm acenam iento (disco duro,pendriue USB, cinta, etc.), marca aquellas posiciones que ocupaba dicho fichero en el dispositivo como libres, para poder alm acenar nueva información, pero no las borra. Los datos perm anecerán en esas posiciones hasta que se sobrescriban con nueva información. Por lo que es posible recuperarlo m ediante alguna h erram ien ta software. I PRACTICA 2.3 RECUPERACION DE DATOS Existen diferentes soluciones que realizan el rastreo de información marcada como borrada en un medio de almacenamiento y que puede ser recuperable. Windows Recuva es una aplicación de archivos borrados para sistemas Windows, permite seleccionar el tipo de archivo y en qué unidades buscar archivos que están borrados o no visibles directamente en la unidad. 44 2 ■SEGURIDAD PASIVA © RA-MA InUemrm Hw rt* «Oblo» vttvw u4»fm urta<onootoadim qot. cssela*rotada .•Mr» Mmbar Wto te» artfyrt» da Pi— tfin wnoadw «uJo, cowo fa> gtf—ca "D g ru R M iM Mc*b • eflli? be »xíw ei de fom«fc» careodoi» d o ru iw tw de Cfft». o a w b i rtf*»w <3* *t u M VMm Hoat/jr «di» b» » Ü rrw o* «¿ao. csm g r^ « c n ri da m m mó & a tet M M )« i f l t t r d w a f p w to C o n n efectróMcs Meato» vj*D kx iwflMim di cwrw» d»g»dr* j 0« MMMNrf W W L>tr«i r «ido* kM M á*< r. í <»* »I I I n cu a te * ia»J*} «►.»»afci» fe-rapto CD* ***- I Es importante saber que no siempre es posible recuperar el 100% de los datos, en ocasiones se puede recuperar parcialmente parte de texto, imágenes, etc. En muchas ocasiones los nombres de los archivos recuperados no coinciden con el original, en nuestro caso el archivo nuevo.doc que creamos y borramos definitivamente en una memoria USB (sin pasar por la papelera de reciclaje), nos lo recuperó con el nombre_uevo.doc. | C-m ttrndvtjóatrftn m d o| ■U *1 0(11/2010itVS »11/2010 16« zvivaioitsa SSZSaSnSZSHu «010 '»><> '»» WS5 I «rTfvaa ■ane«’ a to an 0 03 mq* pciowtí ÍTOIOOTS5 0910 TO* «íi icoia □ n iva&mmi* «\A 0*11(301013'» O • •CHWOM* K\A UW 0*?©10£«9 r«rs. J.rx* Tañarte £«*30 IICB Cscafcnte lita IZ O n iS 5» ! I 77n kriojfmibtm V rau cw tf* irr«cupa>«te > r« \* « Jta a ¡ a i HopoCra JJTtt 99 fr?*ae*4iá« tit rite i trn w rti 1l> l krac^ar Ato 17 117ir a IraciCavaW» jn a tjc w ti I «QiiB tira*\**ntaa H ote U dat*ct*do »»gui. No M ha ¿Hartado ranpxt. (.*•m *t~ )f t i i aobmot W *« tfM n U to tr« o t (« • tfw o n U M tm a i UU W&TXJ 9*4 ( « • « it M I f U t o t r K r t C«a « t* * e « U *o6re«crl tal* m ttrxjn t j tofcr«ot MomM drtactado n»9 ^ • Cv» arcf**o arta tdtrm at U t « t f M n ía MÍ>no< No «a ha datarta-to r a ^ r Lrtf m ú *-nM U KCraatrf »ate»'/,rr»«t«r.c ic-mq 45 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA El método que poseen estos programas para la búsqueda de datos en clúster de un dispositivo esta basado en comparar los datos contenidos en ellos con las estructuras de datos de los formatos de archivos más comunes: texto (odt, doc, txt), gráficos (bmp, jpg, gif, png, tiff), vídeos (av¡, mpg, mov), sonido (mp3, wav, wma), otros como html, pdf, rar, etc. GNU/Linux Existen diversas herramientas de recuperación de datos incluso algunas de ellas se encuentran disponibles en USB o CD/DVD Live para poder recuperar archivos incluso en caso de no poder arrancar el sistema operativo. Algunas de tas más conocidas y disponibles en los repositorios de descargas son: TestDisk: incluye TestDisk que puede recuperar particiones perdidas y sectores de arranque, y PhotoRec, que es una herramienta sencilla de usar para la recuperación de archivos. Foremost: recupera archivos basándose en una serie de estructuras internas además de otros datos. Fue desarrollado por la fuerza aérea de los Estados Unidos y trabaja sobre todo con discos duros. Scalpel: realiza las mismas funciones que Foremost, pero se centra en un mejor rendimiento y un menor consumo del sistema, de tal manera que trabaja mejor con equipos viejos o con poca RAM. En el caso de Foremost, es un programa de línea de comandos pero sin interfaz interactiva, como PhotoRec. Para instalarlo podemos ejecutar: sudo aptitude install foremost. Para ver la ayuda podemos ejecutar: foremost - h. En nuestro caso usaremos las siguientes opciones: -t: con una lista de extensiones de archivo, separadas por comas. -v: que es el modo detallado, para saber qué está haciendo foremost de una manera más completa, -o: indicará la carpeta dónde van a ir los archivos recuperados. -i: donde indicaremos el sitio en el que están los archivos a recuperar. Ejemplo: sudo foremost - t jpeg,png,g¡f -o foremost -v -i/d e v /sd a l / dev/sdal es la partición donde queremos buscar los archivos borrados o perdidos. En ocasiones es necesario realizar una copia exacta del dispositivo o partición mediante el comando dd (duplícate disk)\ dd if=/dev/sdal of=/home/usuario/imagen.dd, pudiendo posteriormente emplear como ubicación de entrada (-i) a foremost dicho archivo con extensión .dd. Foremost encuentra y guarda en carpetas por cada formato, tanto los disponibles como legibles en el disco duro, como los recuperados. Los nombres de los archivos pueden no corresponder con los originales por lo que habrá que realizar un análisis posterior de los mismos hasta encontrar los recuperados. En caso de querer conocer las particiones disponibles podemos ejecutar previamente sudo fdisk -I. Arcftvo £fviar yw uro» roreaoit started at M O « 6 11:27:39 761» Invocation: foreaoit v -t png 1 /dcv/*do5 o rccyper»do/ Output directory: /taae/aluano/recupcrado Configuration file : /etc/forraott cor.f Proceulng: /dev/ida5 I........................................................... File : /dev/lda5 Start: Med Dec S 11:27.» ?010 length: 31 GB 146172235264 byte«) Mia ••t: 1: 2: 3: 4: S: «: ?r •: ft: •It: 46 nm e Ib*-512) »6533298.png »6373389. png 66325474. png 66575557. png »6523626.png »6325706.png 86323663.png »6326154.png 6632623).png »6326476. png »6637389.png SUe File orfiet Co—en! 1 KB 2 KB 2 KB 1 KB 2 KB 1 KB I KB 2 KB 2 KB 1 KB 1 KB 268652614 26*999566 2696426» 769662711 769126329 269162862 269252699 769391169 269431537 269553616 3365B3463 132 a 14» x (32 . 132 * (48 * <32 a (32 a (4B x (48 a 321 48) 32) 32) 48) 32) 32) 48) 46) ) (32 x 32) © RA MA 2 ■ SEGURIDAD PASIVA SEGURIDAD FÍSICA Y AMBIENTAL Es muy im portante ser consciente que por m ás que nuestra em presa sea la m ás segura desde el punto de vista de ataq u es externos, hackers, virus, etc., la seguridad de la misma será nula si no se ha previsto cómo com batir un robo o un incendio. La seguridad física es uno de los aspectos m ás olvidados a la hora del diseño de un. sistem a informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacan te interno a la em presa, que intenta a acceder físicamente a una sala de operaciones de la m ism a, no. Esto puede derivar en que para u n atacan te sea m ás fácil lograr acceder y robar una cinta o DVD de backup, que in ten tar acceder de forma rem ota o lógica a los datos que contienen los sistem as. Así, la seguridad física consiste en la a p lic a ció n de b a rrera s físic a s y p ro ce d im ie n to s d e con trol, com o m ed id a s de p rev en ció n y co n tra m ed id a s a n te am enazas a los recu rso s e in form ación co n fid en cia l. Se refiere a los co n tr o le s y m eca n ism o s de segu rid ad , dentro y alrededor de la ubicación física de los sistem as inform áticos, así como los medios de acceso al mismo, im plem entados p ara proteger el h ard w are y medios de alm acenam iento de datos. En este tem a se abarcarán medidas aplicables tanto a equipos de hogar y pequeñas oficinas como a servidores y centros de procesam iento de datos (CPD), que por su gran valor en la em presa requieren de m edidas de seguridad específicas. CENTROS DE PROCESADO DE DATOS (CPD) Se denom ina procesamiento de datos o CPD a aquella ubicación donde se concentran todos los recursos necesarios para el procesam iento de la información de una organización.Tam bién se conoce como c e n tro d e cóm p u to (Iberoamérica) o ce n tro d e cá lcu lo (España), o centro de datos por su equivalente en inglés d ata cen ter. Dichos recursos consisten esencialm ente en unas dependencias debidam ente acondicionadas, servidores y redes de comunicaciones. Un CPD, por tanto, es un edificio o sala de gran tam año usada para m an ten er en él una gran cantidad de equipam iento informático y en general electrónico. Suelen ser creados y m antenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. Por ejemplo, un banco puede tener un data center con el propósito de alm acenar todos los datos de sus clientes y las operaciones que estos realizan sobre sus cuentas. P rácticam ente todas las com pañías que son m edianas o grandes tienen algún tipo de CPD, m ientras que las m ás grandes llegan a tener varios in terco nectad os, en d istin tas ubicaciones geográficas, con distintos cen tro s d e respaldo. Un centro de respaldo es un centro de procesamiento de datos (CPD) específicam ente diseñado para tom ar el control de otro CPD principal en caso de contingencia o fallo. Debe elegirse una localización totalm ente distinta a la del CPD principal con el objeto de que no se vean ambos afectados sim ultáneam ente por la m isma contingencia, Es h ab itu al situarlos en tre 20 y 40 kilómetros del CPD principal. El equipam iento hardw are no tiene por qué ser igual al del CPD, aunque el software y los datos sí, por lo que es necesario contar con una rép lica d e los m ism os d a to s con los que se trabaja en el CPD original. Este es el problema principal de los centros de respaldo, por lo que existen políticas de gestión de copias síncronas o asincronas de datos. 47 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA E n tre los factores m ás im portantes que m otivan la creación de un CPD se puede destacar el ga ra n tiza r la c o n tin u id a d y a lta d isp o n ib ilid a d del servicio a clientes, em pleados, ciudadanos, proveedores y em presas colaboradoras, pues en estos ám bitos es muy im p o rtan te la protección física de los equipos inform áticos o de comunicaciones implicados, así como servidores de bases de datos que puedan contener información crítica. Requisitos generales: D isp o n ib ilid a d y m o n ito riza ció n “24x 7x 365”: proporcionará disponibilidad, accesibilidad y confianza 24 horas al día, 7 días a la sem ana, 365 días aJ año. F iab ilid ad in falib le (5 nueves): un 99,999% de disponibilidad, lo que se traduce en una única hora de no disponibilidad al año. S egu rid ad , red u n d a n cia y d iv ersifica ció n : alm acenaje exterior de datos, tom as de alim entación eléctrica to talm en te independientes y servicios de telecom unicaciones con balanceo de carga, SAI o sistem as de alim entación ininterrum pida, control de acceso físico, etc. C o n tro l a m b ie n ta l/p r e v e n c ió n d e in c en d io s: el control del am biente tra ta de la calidad del aire, tem peratura, hum edad, inundación, electricidad, control de fuego, etc. G eneralm ente, en un CPD todos los grandes servidores se suelen concentrar en una sala denom inada sala fría, nevera o pecera. E sta sala requiere un sistem a específico de refrigeración para m an ten er una tem p eratu ra baja (en tre 21 y 23 grados centígrados), necesaria p ara evitar averías a causa del sobrecalentam iento. Según las norm as internacionales, la tem peratura exacta debe ser 22,3 g ra d o s cen tíg ra d o s, recom endada entre 15° y 23“, y hum edad relativ a en tre 40% y 60%. La pecera suele contar con m edidas estrictas de seguridad en el acceso físico, así como m edidas de extinción de incendios adecuadas al m aterial eléctrico, tales como extinción por agua nebulizada o bien por gas INERGEN, dióxido de carbono o nitrógeno. U n CPD y sus centros de respaldo por sí solo no bastan p ara hacer frente a una contingencia grave. Es necesario disponer de un P la n de C o n tin g en cia s corporativo, con las a c tu a c io n e s en ca so de in cid en te. Veremos algunas de las configuraciones avanzadas em pleadas en alta disponibilidad en CPD y centros de respaldo en el Capítulo 8. UBICACIÓN Y ACONDICIONAMIENTO FÍSICO Aunque son difíciles de predecir con exactitud, las condiciones atm osféricas adversas severas se localizan espacial y tem poralm ente en ciertas partes del mundo y la p rob ab ilid ad de q u e ocu rran está d ocu m en tad a. L a frecuencia y severidad de su ocurrencia deben ser tenidas en cu en ta al decidir la ubicación y posterior construcción de un edificio. La comprobación de los iníórm es climatológicos o la existencia de un servicio que notifique la proxim idad de condiciones atm osféricas adversas, perm ite que se tomen precauciones adicionales, tales como la re tira d a de objetos móviles, construcciones antisísm icas, la provisión de calor, iluminación o combustible para la em ergencia. Algunos de los aspectos a tener en cuenta son: Incendios: son causados por el uso inadecuado de combustibles, fallo de instalaciones eléctricas defectuosas y el inadecuado alm acenam iento y traslado de sustancias peligrosas. Algunas precauciones: ubicación en área no combustible o inflamable, tener extintores m anuales (portátiles) y/o autom áticos (rociadores). S istem a d e aire acon d icionad o: control de tem peratura y hum edad relativa según recomendaciones, entre 15° - 23° C, y 40 - 60 %, respectivam ente. 48 © RA-MA 2 ■SEGURIDAD PASIVA In un d aciones: ubicación estanca de agua, con especial precaución en puertas y ventanas. T errem otos: los fenómenos sísmicos pueden ser tan intensos que causen la destrucción de edificios. Es recom endable conocer la actividad sísmica de la localización de nuestro centro de datos para disponer de las técnicas de seguridad constructivas requeridas. R ayos e in terfere n c ia s elec tro m a g n ética s: para evitar posibles desastres provocados por derivaciones de carga por rayos, y m inim izar el efecto no deseado do interferencias en las comunicaciones, las salas de sistem as se protegen m ediante jau la de Faraday, convirtiéndose en un búnker con respecto a radiaciones externas. CONTROL DE ACCESO FÍSICO Los ordenadores, servidores, así como las copias de seguridad con datos im portantes y el software, son elementos valiosos p ara las em presas y están expuestas a posibles robos y actos delictivos como sabotajes o destrozos, por parte de personal ajeno o propio de la em presa. El software es una propiedad muy fácilm ente sustraíble y las unidades de alm acenam iento como m em orias USB, cintas y discos son fácilm ente copiados sin dejar ningún rastro. El uso de cr e d en cia les d e id e n tific a c io n e s uno de los puntos más im portantes del sistem a de seguridad físico, a fin de poder efectuar un control eficaz del ingreso y salida del personal a los distintos sectores de la em presa. El control de acceso físico no solo requiere la capacidad de identificación, sino tam bién aso cia rla a la ap ertura o ce rra m ie n to d e p u ertas, perm itir o negar acceso basado en restricciones de tiempo, área o sector dentro de una em presa o institución. A las personas se Ies puede identificar por: A lgo q u e se p o see, por ejemplo u na Llave, una tarjeta de identificación o tarje ta inteligente {,Sm artC ard). Algo q ue se sab e, por ejemplo un núm ero de identificación único (PIN - Personal Identification Number) o una passw ord, que se solicitará a su ingreso. A lgo q u e se es (señas de identidad: manos, ojos, huellas digitales y voz) o sab e h a cer (firma escrita) es un principio que em plea la b iom etría. Es el método más seguro, ya que es muy difícil de falsificar. C ada una de estos identificadores asociados a cada persona o usuario se alm acenan en una base de datos que debe controlar un ser v ic io d e v ig ila n c ia para su posterior seguimiento, si fuera necesario. La principal precaución con el personal de vigilancia es que éste puede llegar a ser sobornado. Las tarjetas pueden ser copiadas, robadas, etc., y los núm eros secretos pueden llegar a usuarios no autorizados, perm itiendo e n tra r a cualquier persona que la posea. La biom etría ayuda a m ejorar el nivel de seguridad. O tra solución m uy em pleada para la .seguridad de los sistem as inform áticos en las salas de equipam iento informático, es disponer los mismos en un arm ario o rack bajo llave. Un rack es un bastidor destinado a alojar equipam iento electrónico, inform ático y de comunicaciones. Sus medidas están n o rm alizad as para que sea compatible con equipam iento de cualquier fabricante. Constan de un armazón metálico con un ancho norm alizado de 19 p ulgad as, con 2 guías verticales que poseen agujeros a intervalos regulares llam ados unidades de Rack (U) agrupados de tres en tres. Verticalm ente, los racks se dividen en regiones de 1,75 p u lg a d a s d e a ltu ra = 1 U, con tres agujeros en cada guía. El alto (4 - 46U) y la profundidad del bastidor (600, 800,1000 mm) no está norm alizada, ya que así se otorga cierta flexibilidad id equipamiento. El arm azón suele contar con bandejas horizontales donde puede apoyarse el equipam iento no norm alizado como un monitor, PC de sobrem esa y un teclado o un ratón. 49 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA File / Print server File / Print server File / Print server Domain controller Messaging server Storage server Firewall/VPN/Coche UPS UPS Keyboard and display Rack Management software Los dispositivos que se suelen alojar son: servidores, paneles de parcheo (que centralizan todo el cableado del arm ario) sistem as de audio y vídeo, sistem as de alim entación ininterrum pida (UPS o SAI), sw itches, routers, cortafuegos, periféricos que perm itan configuración como monitores, ratón, teclado, etc. SISTEMAS BIOMÉTRICOS Definimos la b io m etría como la p a rte d e la b io lo g ía q u e estu d ia en form a cu a n tita tiv a la varia b ilid a d in d iv id u a l de los se r e s v iv o s u tiliz a n d o m étod os e sta d ístic o s. Es una tecnología que realiza mediciones en form a electrónica, guarda y com para características únicas para la identificación de personas. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos, de esta forma perm itirá e! control de acceso físico, incluso es aplicable como método de identificación y acceso a sistem as operativos y aplicaciones. Las características biom étricas de una p erso n a son in tra n sfer ib les a otra, por lo que hace a estos sistem as m uy segu ros. Veamos a continuación algunas de las formas de identificación biométricas m ás comunes: H uella digital: se basa en el principio de que no existen dos huellas dactilares iguales, este sistem a viene siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella digital posee pequeños arcos, ángulos, bucles, remolinos, etc. (llamados m in u cias) características y la posición relativa de cada una de ellas es lo analizado para establecer la identificación de una persona. E stá aceptado que cada persona posee m ás de 30 m inucias, y que dos personas no tienen más de ocho m inucias iguales, lo que hace al método sum am ente confiable, y uno de los más empleados por su baja relación calidad/precio. V erificación de voz: la dicción de una lo más) frase es grabada y en el acceso se compara la voz (entonación, diptongos, agudeza, etc.), este sistem a es muy sensible a factores externos como el ruido, el estado de ánimo y enferm edades de la persona, el envejecimiento, etc., por lo que no es un mecanismo muy adoptado. V erificación de p a tro n es ocu lares: basado en los patrones del iris o de la retin a y h asta el momento son los considerados m ás efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0). La principal desventaja es que es un método intrusivo. Las personas son reacias a que les analicen los ojos, por revelarse en los mismos enferm edades que en ocasiones se prefiere m antener en secreto. 50 2 ■SEGURIDAD PASIVA © RA-MA V erifica ción A u tom ática d e F irm as (VAF): es extrem adam ente difícil reproducir las dinám icas del trazo de realización de las firmas, aunque el efecto visual final parezca similar. La VAF, usa emisiones acústicas, tom a datos del proceso dinámico de firm ar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es ú nico en cad a in d ivid u o. E xisten algunas otras soluciones a la biom etría más complejas y menos usadas en acceso a organizaciones o a un sistem a informático concreto, como son la geom etría de la mano, el reconocimiento facial o patrones térmicos. Lo que sigue a continuación es una tabla en la que se recogen las diferentes características de los sistem as biométricos: Tabla 2.3 Ojo (Iris) Huellas dactilares Escritura y firma Fiabilidad Muy alta Muy alta Media Afta Facilidad de uso Media Alta Alta Alta Prevención de ataques Muy alta Alta Media Media Aceptación Media Alta Muy alta Alta Estabilidad Alta Alta Baja Media CIRCUITO CERRADO DE TELEVISIÓN (CCTV) Se llam a p ro tecció n e le c tr ó n ic a a la detección de robo, intrusión, asaito e incendios m ediante la utilización de se n so r e s co n ecta d o s a ce n tra les d e alarm as. E stas centrales tienen conectados los elem entos de señalización, que son los encargados de hacer saber al personal de una situación de emergencia. Uno de los métodos más empleados en las em presas son los circuitos con cám aras de grabación de vídeo o cir c u ito s cerrad os d e te le v isió n (CCTV). Perm iten el control de todo lo que sucede en la planta según lo captado por las cám aras estratégicam ente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cám aras pueden e sta r a la v ista (para ser utilizadas como m edida disuasiva, incluso en ocasiones se instalan falsificaciones o cám aras que no graban) u ocultas (para evitar que el intruso sepa que está siendo captado por el personal de seguridad). En la actualidad unas de las cám aras más em pleadas, por bajo coste y buenas prestaciones son las cám aras LP. Son dispositivos autónomos que cuentan con un servidor web de vídeo incorporado, lo que les perm ite tran sm itir su im agen a través de redes IP como redes LAN, WAN, o incluso WLAN o inalám brica. Las cám aras IP perm iten al usuario tener la cám ara en una localización y ver el vídeo en tiempo real desde otro lugar a través de In tern et o una red local. 51 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA SISTEMAS DE ALIMENTACIÓN ININTERRUMPIDA (SAI) U n SAI (Sistem a de Alimentación Ininterrum pida), tam bién conocido por sus siglas en inglés U P S (Uninterrup tibie Power Su p p ly, sum inistro de? energía ininterrum pible), es un dispositivo que gracias a sus b a tería s puede proporcionar energía eléctrica tras un corte de sum inistro eléctrico a todos los dispositivos que tenga conectados, d u ran te un tiempo lim itado, perm itiendo de este modo poder apagar los equipos sin que sufran cortes sus fuentes de alim entación. Los distintos dispositivos hardw are no irán enchufados a las tom as de corriente directam ente, se enchufarán a la SAI que será la que estará conectada a las tom as de corriente, haciendo de este modo de interm ediario entre la red eléctrica y los dispositivos hardw are. Existen distintos modelos de SAI ajustándose a las necesidades energéticas de los equipos conectados a las m ism as. O tra de las funciones de los SAI es la de m ejorar la calid ad de la en er g ía e lé c tr ic a que llega a los aparatos, filtr a n d o su b id a s y boyadas de ten sió n y elim in a n d o a rm ó n ico s d e la red eléctrica. Los SAI dan energía eléctrica a equipos llamados cargas o eq u ip o s críticos, como pueden ser aparatos médicos, industriales o informáticos que, como se ha dicho antes, requieren tener siem pre alim entación y que ésta sea de calidad, debido a la necesidad de e s ta r en todo momento operativos y sin fallos (picos o caídas de tensión). 52 © RA-MA 2 ■SEGURIDAD PASIVA Tabla 2.4 Descripción Característica Tipo y número de conectores Los conectores de alimentación de la carga se diferencian entre tipo IEC y Schucko. Existen tomas que solo filtran variaciones de la señal eléctrica de entrada (impresora, fax, escáner), de aquellas que filtran y tienen alimentación de la batería en caso de corte de suministro (equipos, monitores, dispositivos de comunicaciones) denominadas de backup. Otras conexiones Conectores para la protección de Líneas de Datos RJ11-RJ45 para dispositivos de Teléfono/Fax/DSL/Internet/MODEM. Conexiones seriales COM o USB para monitorización y consulta de estado remoto, mediante software específico. Tiempo de funcionamiento solo con batería Según el modelo y la carga conectada, la batería suele estar diseñada para suministrar alimentación desde varios minutos hasta varias de horas y, de esa forma, apagar los sistemas conectados correctamente. Regulador de voltaje Integrado para evitar picos (subidas y bajadas) de tensión que se producen en la línea de suministro de entrada y que si no se filtran pueden afectar a las fuentes de alimentación de los equipos. T IP O S DE SAI H abitualm ente, Los fabricantes de SAJ clasifican los equipos en función de la tecnología y calidad de la señal eléctrica generada a su salida: SAI OFFLINE: los m ás económicos, recomendados para equipos en el hogar. No estabilizan la com en te y solo generan la tensión de salida cuando se produce un corte de sum inistro eléctrico. SAI INL7NE o L IN E INTERACTIVE-, equipos de gam a m edia-alta que estabilizan la corriente incorporando un estabilizador de salida (AVR). Solo general la tensión de salida cuando se produce un corte de sum inistro eléctrico. Son adecuados para ordenadores, centralitas telefónicas y equipos servidores de pequeñas y m edianas em presas (Pymes). SAI ON LIN E o de D O B LE CONVERSION: equipos de gam a alta, pensados para proteger sistem as críticos. Estos equipos generan siem pre la tensión de salida nueva, independientem ente de la entrada. PO TE N C IA N EC ESA R IA P ara a ju sta r las dim ensiones y capacidad eléctrica de la batería de la SAI a la que enchufar nuestros equipos, tam bién denominados carga, es necesario realizar un cálculo de La potencia que consumimos y por tanto que necesitamos su m in istra r por las conexiones de batería de la SAI. La p o ten cia eléc tric a se define como la cantidad de energía eléctrica o trabajo que se tran sp o rta o que se consum e en una determ inada unidad de tiempo. Cuando se tra ta de corriente continua (CC) la potencia eléctrica (P) desarrollada en un cierto instante por un dispositivo de dos term inales, es el producto de la diferencia de potencial entre dichos term inales (V) y la intensidad 53 SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA de corriente (I) que pasa a través de) dispositivo. Esto es, P = V x I. Si I se expresa en am perios y V en voltios, P e s ta rá expresada en vatios. En circuitos eléctricos de corriente alterna (CA), como son las tom as de corriente (enchufes), se em plean medidas de potencia eficaz o aparente y potencia real. La unidad de potencia que sum inistran com ercialm ente los SAI es el v o ltia m p erio (VA), que es p o ten cia ap aren te, tam bién denom inada potencia efectiva o eficaz, consum ida por el sistem a. Si tenemos la potencia en vatios (W) p o ten cia real, de forma aproxim ada se m ultiplica por 1,4 para tener en cu e n ta el pico máximo de potencia que puede alcanzar su equipo y de esta forma obtener la potencia aparen te en VA. Por ejem plo: 200 W x 1,4 = 280 VA. En ocasiones el factor 1,4, puede ser 1,33 ó 1,6 o factor divisor 0,7 ó 0,75, depende de la eficiencia energética del dispositivo electrónico. Algunos métodos para calcular el consumo en W de nuestros equipos y de esta forma estim ar. M ediante un medidor de potencia o m ediante una pinza am perim étrica (ver la siguiente figura) que m ida la corriente su m inistrada para los equipos conectados, de esta forma m ultiplicando por la tensión nominal (en E spaña 230 V), podremos obtener e! consumo medio aproximado. Conociendo el consumo medio (W.) sum inistrado en las características del fabricante. M ediante un modelo aproximado de estim ación de consumos, tomando como referencia estim aciones previas. Por ejemplo podemos ver estimaciones de consumos en la web de etiquetado de eficiencia energética Energy Star. Veremos un ejemplo a continuación. L a carga total enchufada a la batería de la SAI, se recomienda que n o so b rep a se el 70% del total de la potencia su m in istra d a por la misma. P o r ejem plo: en caso de querer enchufar a 4 tomas de una SAI, 2 PC y 2 m onitores que consumen en total 200 W, n u e s tra SAI deberá de su m in istrar 200 x 1,4 = 280 VA. Por tanto, nu estra SAI deberá de tener ai menos u n a potencia m áx im a su m in istrada de 280 x 100/70 = 400 VA. 54 © RA-MA 2 ■SEGURIDAD PASIVA Tabla 2.5 Consumo (W) Dispositivo Dispositivo Consumo (W) I PC Económico Core2 Dúo (2,8 GHz) o Athlon II X2 / 2 GB RAM / 500 GB 41 Monitor 15" CRT 45 Escritorio multimedia, Phenom II o Core ¡7 / 2,7 GHz / 4 GB RAM / 500 GB y gráficos más potentes 67 Monitor 17" CRT 55 PC de escritorio a medida para CAD, gráficos o investigación científica: Xeon / 2,7 GHz / 8 GB RAM / 500 GB / 64 bit OS 190 Monitor 17" LCD 19 Netbook: Atom o Via Nano, 10" LCD-TFT. 5,9 Monitor 19" LCD 21 Portátil económico: Core2 Dúo or Turion 64 X2, 15-17" LCD-TFT. 12 Monitor 30" LCD 110 Impresora láser 600 Módem externo 9 Multifunción láser 250 Impresora inyección de tinta 40 Escáner 10 50 Multifunción inyección PRÁCTICA 2.4 MONITORIZACIÓN DE SAI A modo de ejemplo se presenta a continuación la parte posterior de una SAI de la compañía Emerson, Liebert PowerSurew PSP 650VA: v i v j p o it tn o r Oé u UPS 55 © RA-MA SEGURIDAD Y ALTA DISPONIBILIDAD Recomendación de conexión del Fabricante, en tomas de backup y filtrado: monitores, equipos de sobremesa y de comunicaciones (switch, router, etc.), en tomas de protección contra picos de corriente: impresoras, escáner, Con*et* Im computadoras, pantallas y ejes de redes a los receptáculos color naranja Conecte los siguientes tipos de equipos SOLAMENTE a los receptáculos negros Las SAI disponen entre otras funciones de conexión para monitorización y consulta de estado remoto, medíante puerto serial COM o USB normalmente, a través de un software específico suministrado por la compañía fabricante. A continuación se muestran fas características y funcionamiento del software multiplataforma (Windows, GNU/ Linux, etc.) Multilink que facilita el fabricante Emerson con sus SAI: Posee un sistema de alertas que indican el estado y posibles incidencias y medidas a tomar sobre los sistemas conectados a la SAI: Notificación d e Multil.ink Sevtndad hoc» de recfco © M m i a K oe aten« Se ha iniciado el software de ccrcroi de la U P S Ocurrió ot nov-2010 2 2 5 8 1 8 f»-nov.20 t0 2 2 S f r l 3 « i e i a sp ostivo 1192 168 0 213]PCprofesorf B aervteip de MuMjntc enei toodordaemon" ha comenzado_________ | Aceptar | [ Recowandaoán La pantalla de monitorización de estado permite visualizar en una primera pestaña una sinopsis de los principales parámetros: Capacidad de la batería, tiempo restante en caso de fafta de suministro de entrada, porcentaje de carga conectado a la salida de la SAI, es recomendable que se encuentre siempre por debajo del 60 - 80%, voltajes de salida y entrada y sensor de temperatura. 56 © RA-MA 2 ■SEGURIDAD PASIVA f u l V l » u j ! i ; ^ o r MiiMit in l H itr t Corftpstr t^xU 5*r«p»' <.crUM»aúr\ <rn m r i c «rgttifl Ot evarlo IB PSA650MT-230 C jrg j protegida - Estado normal i LeuilCap Oa«c»»c«án ir s OrtOcot Valor O teco i « 1 I j Portarla* 00 carga «M i a 10 «0 n so x> Z¡ H< b Jfl 9Q 7B *oo' YoU»>«0MM í o ■0 1« 2« tx volata «te er*M » a — 3 •0 1*0 ----- r30 2« 130 X> « «0 IT * rj % 100* % 2» V V 22 «,- C «O V A 50 Wi 730 v rSAÍMMT-130 JIJAMOS rs - A<*«rienoa •* « te u Carpi riy rn / f iK io r ra nwñÉ de u lM V ola* no -M A MÉda Noníra <Mmodro d«i i»aBO*»H> faor» a» tatacaaún <*■ ilibata u Valar « M « Existen otras 2 pestañas de configuración y registro de eventos: Es posible efectuar eventos sobre la SAI y ver qué tipo de recomendaciones y efectos produciría sobre nuestro sistema. En el ejemplo se ha producido artificialmente una sobrecarga de salida, más consumo energético del que puede suministrar la batería de la SAI, y como medida de seguridad en un tiempo límite de 1 minuto et software apagará e! sistema operativo como medida de seguridad. .i ViaM«(ir«do» *atw«tM*nk KAtJr* 'o r h j j * Ayudi • A l aM a Stibncartfa a* MfcM O 1 2301 <ừ*-2 0 1 0 2JD1 5J a r * 1* 0 213FC croiw r/S*dlrtor U 6« r e e * e W—l—l i11C l» H p w < X g aiP * tu rn ia rr<jrr«lv* a A|i«<)atln í M c m a i « * rv « ta i« g * tfn i . T X Vofcr acaro» OcutkS al 23*1:3) ao a l «apaaWaa 1 1t2.1M U 1 JrCprofaaaa/SanKteúo*- la f «o * «*■ aafeda tmn e a M a la ta p a iiM da te urs MuMLrti alagar A ai aMania oparrfMo al «anear ai t»mpa>u*¿of da la cuanta ratraaÉaa. | CancMr A0a9aa> || to a « Ajw^ada | A su vez, ia pestaña de registro de eventos, facilita un histórico de eventos en la SAI. Es posible ver con más profundidad aspectos del grupo de salida, entrada, etc., para analizar por ejemplo el consumo en W y VA de los equipos conectados, por ejemplo en el caso de tener conectados un PC Pentium 4 a 2 Ghz con 2 GB de memoria RAM y un monitor LCD de 17"" el consumo conjunto es de 92 W y 106 VA. Como podemos ver et factor multiplicativo entre la potencia real (W) y la aparente (VA) es de 106/92=1,15. Podemos concluir, de este modo, que el factor multiplicativo 1,4 es aproximado y nos servirá para realizar cálculos teóricos. SEGURIDAD Y ALTA DISPONIBILIDAD © RA-MA E J V »% u.»li/«acliir M u llil inV M J lI x * C o n fq u r« '¿ n o e s r C onT ^jr «c*5n or* « v c rto * Ffed M A ü n k J d * - a x Ayuda R egistro tie I I **•*> Éi ÉDpmMMI □ P S A S ttM T 230 e n CO M I G r u p o d e s a l i d a 1 P i p o d e batería & é«co« Montare __ | G rupo d e « r tr a d a C o m erte de f è d a G ráfico . 0 __ I O u p c d e nfcrm *c*¿n OH c q u p g P o rtá rte le de c arg a d e s a ld a 0 « SO ra V o la r d a &*ida 0 00 100 24Q 1 O \ o o d a Q uarte 1 Otro 10 upo d e atar m ee Valor i 3 too 1201___________ un . _ 4 - — ia % 1 222, V 1 _ J L ai • d e O s p c t f M » de to red Par *rwcfto« Valor Nombra C a rpe reaJ d e vaftda F racuencia d e aafeda 1 V o ie p m è n n o de tafea» I ________ W tAm mirwno Oto tálete U id e d e i « |W 106 VA C a rpa d e s a ld a a paro-fe sb ttt 9 Í0 V ;ie v PRÁCTICA 2.5 CÁLCULO ENÉRGETICO DE SAI ENERGY STAR es un programa voluntario de etiquetado para ta eficiencia energética iniciado por la Agencia de protección del medio ambiente estadounidense (EPA) en 1992. La Comunidad Europea, a E Z2E 2 ; través de un acuerdo celebrado con e! gobierno de ios Estados Unidos, participa en el programa ENERGY STAR para los equipos ofimáticos (European Councíl Decisión). El etiquetado ENERGY STAR representa los requisitos de eficacia energética que cualquier fabricante respetuoso con el medio ambiente debe cumplir. Con esta etiqueta podremos elegir los modelos de los equipos ofimáticos con mayor eficiencia energética y que mejor se adapten a nuestros criterios de rendimiento. En la web www.eu-energystar.org podemos encontrar información y consejos sobre las ventajas que supone la compra del equipo ofimático más eficiente desde el punto de vista energético, qué configuración de ahorro de energía resulta más ventajosa y cómo sacarle el máximo rendimiento. Posee también una interesante aplicación de cálculo estimado de consumo energético para usuarios particulares y empresas. A continuación se muestra una tabla resumen de consumos medios aproximados de dispositivos ofimáticos en modo encendido o activo: Podemos concluir que los sistemas con pantalla integrada y multifunción consumen aproximadamente menos del 50% que sus equivalentes con pantalla separada o componentes (escáner, impresora, etc.) separados. A modo de ejemplo plantearemos el siguiente supuesto práctico: La empresa Scripting S.L. nos contrata para dímensionar tanto sus armarios de servidores y comunicaciones, como sus SAIs en un entorno de oficina: En la entrevista con el responsable de IT nos indica: "Disponemos de 2 PCs de escritorio con sus monitores, 2 portátiles, 1 impresora láser, 1 escáner, 1 servidor para backup con un monitor para su configuración, 1 panel de parcheoy 1 dispositivo multifunción router inalámbrico. Estamos interesados en poder poner los equipos principales de nuestra empresa en un armario de 19"" que tenemos de unos 100 cm de alto. Nuestras instalaciones no sufren demasiadas subidas, bajadas ni cortes de electricidad, pero queremos prevenir posibles eventualidades". 2 ■S E G U R ID A D P A S IV A © RA-M Ä Tabla 2.6 20 40 PC escritorio 75 W 30x 35 Portátil 32 W 40 X 30 Im p reso ra lá se r 180 W 20 X 10 Router inalám brico 0,1 A lectura de pinza am p erim étrica Monitor 30 W Fu en tes de alim entación 600 W, consum o m edio 3 0 % X 3 2x 35 4 8 .2 6 X 8 ,88 S erv id o r 4 8 .2 6 X 4 ,4 4 Panel de parcheo 32 X 10 D atos 1 U = 1 ,7 5 E scá n e r 2,3 A lectura de pinza am p erim étrica 1" = 2,54 cm . S A I ofertada por el proveedor APC 8 0 0 VA con 6 to m a s de backup y filtrado y 2 to m as con filtros de b aja d as y picos de tensión, disponibles en m odelos offüne, ¡nline u oniine, tanto versión rack, de ocupación 1 U, com o para so b rem esa, C o n testarem o s a las sig u ientes cu e stio n e s: Tipo de SA I seleccio nada ( on-line, in-line u off-line). Ju stifica la resp u esta. La m ejor opción en relación calidad precio su ele se r la S A I ¡nline, en caso de ten e r m u ch as alteracion es en el su m inistro eléctrico, y n e cesita r una disponibilidad m ayor de los siste m a s por las ca ra cte rística s de la em p resa, o ptaríam os por la opción oniine. Tan solo para usuarios dom ésticos se recom iend a la opción offline. D iferenciar dispositivos según ubicación: O ficina: 2 PCs y 2 m onitores, 2 portátiles, 1 im presora, 1 escáner. Consum o de equipos conectados a S A I (W ): O ptarem os por una S A I de so b rem esa ¡nline. A la S A I conectados a batería para backup solo serán necesario s los 2 PCs y 2 m onitores. Por tanto el consum o será de ( 75 + 30 ) x 2 = 210 W -> 210 x 1,4 = 294 VA ap ro xim ad am ente. Si se recom ienda que la S A I debe e sta r al 6 0 % de carga 294 x 100/60 = 490 VA, por lo que las S A I ofertada por APC (8 0 0 VA) será su ficien te. Los 2 portátiles llevan su propia batería no es necesario tenerlos conectados a la S A I. La im presora y el e scá n e r se conectarán a las 2 conexiones de filtrado disponibles. A rm ario o rack : 1 servidor, 1 monitor, 1 router, 1 panel de parcheo. Para el arm ario disponible: ¿ E s posible ubicar los equipos m ás críticos en el arm ario disponible por la em p resa? 1 U = 1,75 x 2 ,54 = 4 ,4 4 cm de altu ra. Recordam os el ancho norm alizado son 19" = 19 x 2 ,54 = 4 8 ,2 6 cm . El arm ario en total dispone de 100 cm / 4 ,4 4 cm/U = 2 2 ,5 2 U por tanto tan solo dará cabida a 22 U. A rm ario o rack\ De ancho norm alizado y por tanto atornillables d ire cta m e n te: 1 se rvid o r (8 ,8 / 4 ,4 = 2 U), 1 panel de parcheo ( 4 ,4 / 4 ,4 = 1 U ), en b an d ejas independientes se p a ra d a s: 1 m onitor (3 5 /4 ,4 = 7 ,9 5 por tanto 8 U) y 1 router (1 0 /4 ,4 = 2 ,2 7 por tanto 3 U ). 59 © RA-MA S E G U R ID A D Y A LTA D IS P O N IB IL ID A D En total serán n ecesario s 2 b an d ejas de ocupación 1 U cada una, m ás 1U para la SA I, m ás 14 U para el resto de equipos = 17 U. Consum o de equipos conectados a S A I (W ) : O ptarem os por una S A I de rack in-line. A la S A I conectados a b a te ría p ara backup solo se rá n n e c e s a rio s el se rvid o r, router y 1 m onitor. Por tan to , el co n su m o re sp e c tiv a m e n te s e rá de (0 ,3 x 6 0 0 W + 0 ,1 A x 23 0 V + 30 W) = 233 W ^ 233 ap ro xim ad am en te. Si se recom ienda que la S A I debe e s ta r al 6 0 % de carga 3 2 6 ,2 por lo que las SAI ofertada por APC (8 0 0 VA) será suficiente. El panel de parcheo e s un elem ento pasivo no conectado a red eléctrica. REFERENCIAS WEB Soluciones de almacenamiento para empresas HP: http:/ / welcome.hp.com/ country / es/es 1smb/'storage, html Soluciones de almacenamiento y copia de seguridad Dell: http:// www.dell.es / Empresa dedicada a copias de seguridad remotas: http: / / www.copiadeseguridad.com/ Blog de seguridad informática. Copias de seguridad: http: / / www.bLoginformatico.com/etiqaeta / copias-de-seguridad Almacenar» iento de datos en Internet Idrive: http: / / Luww.idrive.com Seguridad física. Red - Iris: http: / / www.rediris.es/cert/doc/unixsec/node7.html Sitio web sobre SAI: http: / / www.newsai.es / Catálogo, manuales y documentación de SAJ: http:/ / www.apc.com/es/ Noticias y medidas de seguridad para CPD: http: / / www.seguridadcpd.com/ Soluciones técnicas para el control de acceso físico: http:/ / www.accesor.com/ Soluciones técnicas de biometría: http: / / www.bionietriaaplicada.com/ 60 x x 1 ,4 = 3 2 6 ,2 VA 100/60 = 5 4 3 ,6 6 VA, RA-MA 2 ■S E G U R ID A D P A S IV A RESUMEN DEL CAPÍTULO En este capítulo hemos analizado los principios de la seguridad pasiva para intentar minimizar el impacto y los efectos causados por accidentes. Por un lado, después de ver en el Capítulo 1 que el elemento fundamental a proteger en un sistema son los datos, hemos analizado: Modelos de almacenamiento según el volumen de información y tamaño de la organización: DAS, ÑAS y SAN. La importancia, como recomendación transversal en seguridad informática, de una adecuada política de gestión de copias de seguridad de !os datos críticos de una organización, analizando tipos (completa, incrementa! y diferencial), temporización, cifrado y comprensión, así como redundancia y distribución geográfica de las mismas. Las posibilidades de recuperar datos perdidos o borrados, mediante software específico. En cuanto a las medidas relativas a la seguridad física se han estudiado: Ubicación y acondicionamiento de centros de procesamiento de datos (CPD) y de respaldo, atendiendo a aspectos como: Refrigeración y protección frente a incendios e inundaciones. Control de acceso físico, con medidas como la biometría, armarios de seguridad y circuitos cerrados de televisión (CCTV) para controlar robos y sabotajes. SAI - UPS o generadores autónomos, dimensionados para proporcionar energía eléctrica estable en caso de fallos o alteraciones de suministro. © RA-M A S E G U R ID A D Y A LT A D IS P O N IB IL ID A D EJERCICIOS PROPUESTOS 1 . Realiza una tabla comparativa en la que compares el tamaño en Gigabytes (GB), precio del dispositivo, y divide el precio/capacidad o tamaño en GB para obtener el precio por cada GB de distintas memorias comerciales: memoria RAM, disco duro a 5400 y 7200 rpm, CD, DVD, cinta de backup , memorias y discos duros USB. ¿Cuál es la memoria más barata? ¿Cuál es la más rápida? ¿Crees que las memorias de estado sólido o flash sustituirán a los discos magnéticos como el disco duro? Busca y comenta algunos sistemas informáticos que hayan sustituido el disco duro por memorias de estado sólido. 2. Busca información comercial en HP o Dell sobre sistemas de almacenamiento en cinta. ¿Crees que hoy en día se siguen utilizando? ¿Cuáles suelen ser sus aplicaciones? ¿Por qué crees que se siguen empleando? ¿Cuál es el coste por MB? Busca una unidad lectora/grabadora de cinta y una cinta e indica su coste. 3. Busca una empresa que se dedique a recuperar los datos de fallos físicos de discos e indica sus precios y servicios ofertados. ¿Te parecen caros los servicios de recuperación de datos? ¿Cuáles son los principales fallos, recomendaciones y precauciones que se deben tener con los discos duros? 4. Para realizar copias de seguridad en Internet hemos visto que existen sitios FTP gratuitos como Dropbox, Idrive o Mozy, existen otras empresas especializadas en backup remoto de pago. Analiza qué servicios ofrecen y a qué precios, las empresas www. copiadciiegiiridad.com y www.perfectbackup.es. 5. Para garantizar un espacio seguro de nuestras copias de seguridad podemos optar por contratar los servicios de empresas que realicen la recogida y custodia de copias de seguridad ¿Qué servicios y precios ofrecen empresas como www.csabe.corn y www. copiasegura.com?¿Qué normativa deben cumplir con respecto a seguridad informática? 6 . Realiza una comparativa de distintas aplicaciones de software de copia de seguridad analizando las 62 opciones que permiten respecto a: tipo (completa/ i n ere mental/diferencial) y temporización de copias, origen y destino de copias (opciones de alojamiento remoto), compresión, algoritm os de cifrado y contraseñas. Ejemplos para Windows: Cobian, U ranium Backup, Backup4all, Fiabee, FBackup, etc., y para GNU/Linux: Fwbackups, Rsync, Bacula, Amanda, Simple Backup, DupLicity, Backup PC, Suite Simple Backup, Back in time, etc. 7. Dentro de las herramientas de copia de seguridad encontramos herramientas específicas de realización de copia exacta, clonado o imágenes de disco, que permiten la restauración exacta de una determinada partición de disco. Indica algunos ejemplos de software de clonado de discos ¿Cómo se guardará la copia de seguridad por ejemplo para una partición que ocupe 40 GB? ¿Se realiza en un único soporte? 8 . En ocasiones para poder restaurar la configuración de un equipo es interesante tener una copia de seguridad de nuestros controladores. Realiza una copia de seguridad de los controladores o drivers de tu equipo mediante alguna aplicación específica como DriverM ax o similar. Valora ventajas e inconvenientes de este tipo de software en función de las opciones que permite realizar. ¿Qué utilidad puede tener una copia de seguridad de tus drivers? ¿Es posible siempre recuperarlos, incluso teniendo el lisLado de dispositivos? ¿Y en caso de no tener dicho listado? 9. Análisis de mejoras de un CPD en una solución real. Lee y analiza el siguiente caso real “Solución integral de CPD altam ente seguro para Supermercados Condis”, en la fuente web: http:/ / www.abast.es/ cs_ condis_cpd.shtml. ¿Qué se considera un “traslado en caliente”? ¿Cuáles eran los riesgos que corrían y que podrían poner en peligro su anterior CPD? ¿Qué es una auditoría? ¿Quién lomó la decisión de cambio? ¿Cómo se podrían resumirlas soluciones adoptadas por la empresa en los distintos ámbitos? ¿Las SAIs y el resto de sistemas se encuentran en la misma sala? ¿Por qué? © R A MA 10 . Busca información referente al lector de huella dactilar y el software asociado Fm gerprint Logon Manager, que HP integra en sus portátiles y contesta las siguientes preguntas como entrada en tu blog: ¿Cuáles son las ventajas de usar el lector de huellas digitales para iniciar sesión en un equipo? ¿Cómo es el proceso de configuración software del lector de huellas digitales? ¿Qué precauciones o recomendaciones de uso se recomiendan a la hora de emplear el lector de huella? ¿Se puede iniciar la sesión en Windows con el lector de huellas digitales? ¿Es compatible con otro tipo de sistemas operativos? ¿Se puede usar un dedo diferente para iniciar sesión en el PC? ¿Es posible que varios usuarios inicien sesión con el lector de huellas digitales en el mismo PC? 11 . Para evitar robos en espacios públicos, o aulas, existen una serie de soluciones de seguridad física como: arm arios de seguridad con llave, carritos móviles para equipos informáticos, cables de seguridad para portátiles y llaves y candados para equipos y periféricos. Encuentra un armario y sus características en dimensiones para que dé cabida a un siuitch, panel de parcheo, PC (sobremesa con funciones de servidor) con monitor, teclado, ratón y SAL En primer lugar, deberás elaborar una lista con las dimensiones de cada componente para poder hacer una estimación del espacio necesario en el armario. ¿Qué precio y en qué distribuidor has encontrado dicho armario? ¿Qué características tiene la puerta y la llave de dicho armario, crees que seria totalmente seguro? Explica tus razones. 12. A través del distribuidor www.senfor.com podrás encontrar un conjunto de soluciones de seguridad para aulas de ordenadores. Diseña una solución con presupuesto, que permita dar seguridad a un aula como la que dispones, en la que se quiera tener también 15 ordenadores portátiles. 13. Busca en la web de alguna empresa que facilite soluciones de control de accesos a CPD, como por ejemplo www.zksoftwnre.es , encuentra y explica las diferencias existentes, entre los terminales de presencia (con tarjeta identificad ora), terminales de huella dactilar, y terminales con código y password. Analiza y explica cómo funciona el software de control de accesos, para una empresa con cientos de empleados. 2 ■S E G U R ID A D P A S IV A 14. Si tu equipo no dispone de lector de huella, existen diversos periféricos que permiten el control del PC únicamente mediante la utilización de la huella registrada de usuario. Investiga acerca de los precios y características de periféricos como teclado, ratón, disco duro o memoria USB o incluso lector de huella USB independiente, así como las opciones de software que existen, como eNDeSS. ¿Qué niveles de acceso controla dicho software? Realiza una tabla resumen con precios y características. 15. Analiza las características y el funcionamiento del sistema BioCloser de reconocimiento de voz. Explica su principio de funcionamiento y para qué se puede emplear. 16. Busca información acerca del control de acceso Biopassword y descubre su principio de funcionamiento probándolo a través de su demo. ¿Cuál es el principio de funcionamiento? ¿Qué parámetros mide? ¿Crees que podría ser útil este sistema como control de acceso biométrico? 17. Diseña una infraestructura de cám aras de vigilancia 1P inalám bricas, con 4 cám aras que permita controlar la planta de un edificio. Indica los equipos necesarios aparte de las cámaras, espacio de almacenamiento necesario y períodos de realización de copias de seguridad. Crea una tabla con el coste de la instalación desglosado con cada uno de sus coro ponentes así como la mano de obra de instalación y configuración. ¿Qué leyes se apLican sobre la filmación de vídeo en espacios públicos y en privados? A modo de resumen, ¿qué precauciones y recomendaciones se deben tomar a la hora de realizar grabaciones de seguridad? Busca alguna noticia sobre la implantación de cámaras de seguridad en las vías públicas de las ciudades y qué tipo de controversias ba originado. 18. Encuentra una SAI para todos los sistemas de tu aula, sirviéndote y ajustando los consumos de los equipos en base a las estimaciones de Energy Star, y teniendo como máximo una carga del 70% de la potencia máxima suministrada por la batería. Justifica tu respuesta e indica tipo, número y tipos de tomas, potencia suministrada en VA, etc. En caso de no encontrar una SAI con suficiente capacidad, realiza una división de la carga entre distint as SAI. Es necesario disponer una SAI para un portátil o un notebook? ¿Por qué? ¿Qué función realiza el transformador de corriente del portátil? ¿Y las celdas de baterías? 63 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA TEST DE CONOCIMIENTOS Las medidas de seguridad biométricas: Permiten el acceso a un sistema mediante contraseña asimétrica. Emplean la biología paira medir parámetros de seguridad. Emplean características biológicas para identifi­ car usuarios. Son el fundamento de la identificación mediante certificado digital. Las SAIs: Permiten conectarse ininterrumpidamente a la red eléctrica. Suministran corriente eléctrica frente a cortes de luz. Son dispositivos de almacenamiento de alta dis­ ponibilidad. Son pro .gramas que permiten mantener confi­ dencialidad. Los armarios o bastidores para albergar sistemas no poseen: Profundidad variable. Ancho fijo. Ai tura múltiplo de 1 U. Profundidad fija. El sistema biométrico más fiable y seguro es: Reconocimiento de voz. Huella dactilar. Iris. Escritura y firma. 64 de: La pinza amperimétrica sirve para realizar medidas Voltaje (V). Potencia aparente (VA). Corriente eléctrica (A). Potencia real (VV). En caso de tener una instalación CPD crítico con un suministro eléctrico muy fluctuante, el tipo de SAI a utilizar es: Online o doble conversión. Offline. Inline. Línea interactiva. Si el espacio que disponemos para realizar copias de seguridad es limitado éstas deben ser: Completas. Incrémentales, Diferenciales. Completas + Diferenciales. El sistema biométrico mas empleado por su relación fiabilidad/coste es: Reconocimiento de voz. Huella dactilar. Iris. Escritura y firma. En los sistemas GNU/Linux para realizar copias de seguridad autom atizadas no se emplea el comando: Bkp. Crontab. Tar. Gzip. / / / / Profundizar en aspectos de seguridad lógica. Valorar la importancia del uso de contraseñas seguras. Restringir el acceso autorizado en el arranque, sistemas operativos, ficheros, carpetas y aplicaciones. Analizar las ventajas de disponer el sistema y aplicaciones actualizadas. Garantizar el acceso restingido de los usuarios a datos y aplicaciones, mediante políticas de seguridad. S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-M A PRINCIPIOS DE LA SEGURIDAD LÓGICA El activo más importante que se poseen las organizaciones es la inform ación, y por lo tanto deben existir técnicas más allá de la seguridad física que la aseguren, estas técnicas las brinda la seguridad lógica. La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a Los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo. A los largo de los capítulos 3 (seguridad en el acceso lógico a sistemas), 4 (software antimalware), y 5 (criptografía), veremos algunos de los métodos fundamentales. Algunas de las principales amenazas que tendrán que combatir los administradores de sistemas son el acceso y m odificaciones no autorizadas a datos y aplicaciones. La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de acceso a los recursos informáticos, basados en )identificación, autenticación y autorización de accesos. Como principio básico de seguridad lógica en la configuración de sis te m a s: todo lo que no está perm itido debe e sta r prohibido. i A lo la rg o d e e s te c a p ítu lo v a m o s a c o m p ro b a r la im p o rta n c ia d e e m p le a r c o n t ra s e ñ a s fu e rte s y la r e s p o n s a b ilid a d q u e t ie n e n so b re el co n tro l d e la s m is m a s los d e s a r r o lla d o r e s d e s o ftw a re y a d m in is tra d o re s d e s is te m a s . Para ello s e p ro p o n e la le c tu ra d el a rtíc u lo “ U tiliza n d o m a p a s co m o c o n t ra s e ñ a s d e a c c e s o , un a n u e v a id ea de se g u rid a d in fo rm á tica ", fu e n te : http://noticias.lainform acion.com /ciencia-y-tecnologia/ tecnología-general/u tilizando-m a pas-com o-contrasenas-de-acceso-una-nueva-idea-de-seguridad inform atica_Kt8uDQyuXZu27JJbyXmVr4 /. S e p ro p o n e c o m e n t a r en g ru p o la s s ig u ie n te s c u e s t io n e s : • ¿ Q u é longitud d e c o n tra s e ñ a p re s e n ta e s te n u evo m éto d o ? ¿ Q u é código de c a r a c t e r e s u tiliz a ? • ¿ Q u é m e c a n is m o s y h e rra m ie n t a s m alware elude ? ¿ Q u é m e to d o lo g ía s e p o d ría e m p le a r p ara o b te n e r la c o n t ra s e ñ a ? • ¿ Q u é p re c a u c io n e s d e b e ría m o s d e to m a r a la ho ra d e r e g is t r a r n u e s t r a s c o n t r a s e ñ a s ? ¿ Y e s p e c ia lm e n t e en re d e s s o c ia le s ? 66 © RA-MA 3 ■S E G U R ID A D L Ó G IC A CONTROL DE ACCESO LÓGICO El control de acceso lógico es la principal línea de defensa para la mayoría de los sistemas, permitiendo prevenir el ingreso de personas no autorizadas a ta información de los mismos. Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificación y autenticación. Se denomina identificación al momento en que el usuario se da a conocer en el sistema; y autenticación a la verificación que realiza el sistema sobre esta identificación. Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de ahí a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina single login o sincronización de passwords. Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas. Es el caso de servidores LDAP en GNU/Linux y Active Directory sobre Windows Server. Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes son: Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto más corta, más sencilla de obtener probando combinaciones. Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario o conjunto de palabras comunes. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable. Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas, de esta forma so bloquea el sistema automáticamente después de un número de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de protección es el mecanismo empleado en las tarjetas SIM que se bloquean automáticamente tras tres intentos fallidos al introducir el código PIN. A continuación veremos criterios para establecer políticas seguras de contraseñas. POLÍTICA DE CONTRASEÑAS Las contraseñas son las claves que se utilizan para obtener acceso a información personal que se ha almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales, etc.). Para que una contraseña sea segura se recomienda: Longitud mínima: cada carácter en una contraseña aumenta exponencialmente el grado de protección que ésta ofrece. Las contraseñas a ser posible deben contener un mínimo de 8 caracteres, lo ideal es que tenga 14 caracteres o más. 67 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A Combinación de caracteres (letras minúsculas y mayúsculas, números y símbolos especiales): cuanto más diversos sean los tipos de caracteres de la contraseña más difícil será adivinarla. Para un ataque de fuerza bruta que intenta encontrar contraseñas generando todas las combinaciones posibles, si empleamos una contraseña de 5 caracteres en minúscula para el idioma español que posee 27 caracteres diferentes, tendría que probar 275 = 14 348 907 combinaciones a probar. En caso de emplear mayúsculas y minúsculas el número de combinaciones se multiplicaría siendo (27 x 2) 5 - 525 = 380 204 032 combinaciones a probar. Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar, a fin de evitar contraseñas poco seguras, se recomienda: No incluir secuencias ni caracteres repetidos. Como “12345678”, “222222 ”, “abcdefg”. No utilizar el nombre de inicio de sesión. No utilizar palabras de diccionario de ningún idioma. Utilizar varias contraseñas para distintos entornos. Evitar la opción de contraseña en blanco. No revelar la contraseña a nadie y no escribirla en equipos que no controlas. Cambiar las contraseñas con regularidad. I PRÁCTICA 3.1 CONFIGURACIÓN DE CONTRASEÑAS SEGURAS Todas las recom endacion es an teriorm ente citad as están m uy bien cuando se conocen y se llevan a cabo, pero, ¿no se ría m ejor opción e v ita r que los usuarios tengan co n traseñ as inseg uras o débiles y que no se cam b ien nunca? V eam os que opciones de configuración sobre el control de co ntraseñas poseen los siste m a s operativos. Windows Las d ire ctiva s de cuentas nos perm iten configurar el com portam iento que van a ten e r é sta s ante una serie de su ce so s. La im portancia de una correcta configuración de e sta s d irectivas radica en que desde ellas vam o s a poder controlar de una forma m ás eficiente la form a de acced er a nuestro ordenador. En p rim er lugar, acced em o s a !a ventan a de D irectivas de seguridad de cuentas, m ed iante la ejecución del com ando gpedit.msc o desde el Panel de control / Herramientas administrativas / Directivas de seguridad local. Una vez en la ventana de las D irectivas de seguridad local nos encontram os a la izquierda con va ria s d irectivas. T ratarem o s la D ire ctivas de cuentas. Como podem os ver, en este grupo de d irectivas tenem os dos subgrupos, D ire ctiva de co n traseñ as y D irectiva de bloqueo de cu en tas. Vam os a v e r qué podem os h acer en cada uno de ellos: 68 3 * S E G U R ID A D L Ó G IC A © RA-M A D irectiva de co n traseñ as: • tti tf *o ó n ilM 9 C *T P rf omtM T H H M tA c u v k U a • J 0»HtN« b u fa l ^ i q W ■*«*• * i li Ktrtxmrnfm • _ | C««3*M ¿t rtft» p jt* . Q £ v^r> « « i te car* « A 4 • _ J tf* iO ,K * - « l> K » l mémm ^A^.a<«aM áillCcr» >V4 Dentro de las directivas de contraseña nos en contram os con una serie de d irectivas com o: A lm acenar co n traseñ a usando cifrado reversib le para todos ios usuarios del dominio. Forzar el historial de co n traseñ as: Estab lece estab lece el núm ero de co n traseñ as a recordar, los usuarios no pueden utilizar la m ism a co n traseñ a cuando ésta c a d u c a .. S e recom iend a un valo r mínim o de 1. Las co n traseñ as deben cum p lir los requerim ientos de com plejidad: S e se recom ienda habilitar esta opción, la cual obliga para n u eva s co n traseñ a s: 6 ca ra cte re s com o m ínim o. C o ntener ca ractere s de al m enos tres de las cinco c la se s sig u ien te s: M ayúsculas, m inúsculas, dígitos en base 10, ca ra cte re s no alfanum éricos (por ejem p lo : !, $, # o % ), otros ca racte re s Unicode. No co nten er tres o m ás ca ra cte re s del nom bre de cuenta del usuario. Longitud m ínim a de la con traseñ a. Vigencia m áxim a de la co n traseñ a: E stab le ce estab lece el núm ero de días m áxim o que una contraseña va a esta r activa. Vigencia m ínim a de la co n traseñ a: Estab lece estab lece el núm ero de días m ínim os que una contraseña va a esta r activa. Si es m ayor que 0, los usuarios no pueden cam b iar repetid am ente las co n traseñ a s para eludir la configuración de directiva Forzar el historial de co n traseñ a s con el fin de utilizar su contraseña original. D irectiva de bloqueo de cu e n tas: Duración del bloqueo de c u e n ta s: Estab ie cee stab le ce, en m inutos, el tiem po que una cuenta debe p erm an ecer bloqueada. R estab lecer la cuenta de bloqueos desp ués de: E sta b le ce e sta b le ce , en m inutos, el tiem po que ha de p asar para re sta b lecer la cuenta de bloqueos. Umbral de bloqueos de la cuenta: E stab lece estab lece el núm ero de intentos fallidos para bloquear el acceso a una cuenta. Recom endaciones: fr Configuración de seguridad local Archivo O Acata B Ver Ayuda c? S C§ ^ C a rfijiod ón de «egu<dad - _ 2 Oeectrvas de cuente Cwect/va de contresef ♦ Directiva de bloqueo d & _ 8 Cwectrveí lócele) t . _| Orectrvas de daves púbéc * _| Orectrvas de restricción d* t ^ Orectwa* de segundad IP Drectr/e Corfigur ación de s... SQAhvsceo* cor*reserta usando ctfrado reversóle pera to ... Oejhabfcade gjjForrar el hetonaide contraseñas 0 contraseñas tecor.. ÜLongtud n w M de la corta aserta •yfl Vigencia rnax<na de lo contraseña 7 $ \ Vgtnoa mrama de la contraseña M caracteres 31 das Odas S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA S e recom ienda configurar la política de co n traseñ a s para que la longitud m ínim a sea de 14 ca racte re s, tenga las ca ra cte rística s de com plejidad requ erid as y haya que m odificarlas cada m es. En caso de m ás de 3 intentos fallidos b loquear la cuenta 15 m inutos, para e v ita r ataqu es de fuerza bruta. ti Q j » c o r \ de segixided D re c tM OeectjYM de cuento Orectrva de contraseñas _J OrectN* de bloqueo de cuentas OeectKai loca*w C o n ñ g u x jó n d e t... S flíX ra o ó n dei bfcoueo de c u e ru 15 ¿^A ettobieccr la cuenta de btoojeo* desoués de IS m n u o s ¡Q^Urrórd do Moqueos óe le cuenta 3 rite n to *óe n ao ... Cwectjv« de deves pùbica* Orecttvet de restncoán óe taftwMre CeecOves de seguided V* en Ccnpo k x d S e debe com p robar la nueva política de co n tra se ñ a s cre a d a y re n o va r las co n tra se ñ a s cre a d a s con an teriorid ad . En caso de no cum plir con los requisitos im p uesto s, a los u suarios se les m ostrará el siguiente m e n sa je . Cuentas de umano Para controtar por parte del adm inistrad o r los a cceso s al siste m a podem os hab ilitar en Directivas locales / Directiva de auditoría / A uditar sucesos de inicio de sesión, tanto correctos com o errón eos. El viso r de su ceso s en panel Panel de c o n tro l/ herram ientas adm inistrativas nos perm itirá analizarlos. Configuración de seguridad local AjcTívc Atoón V« Ayuóe da rff d Conflpjreoónde segindad • _ 3 D re d r*« cuore« S _2 OrecttvM bcaiif J Dwtrv* de eudtone i JJ Aagruaónóetoectios de usuano íi _ i Ocoonet de ^ rx is d • _J Cwectivos de deves púbfca* • _ J O rectr/ai de rettncdón de • % Drect*« de tegmded IP enLaico beai Ccrftp^eoún de seginded Drecbve § 5 AoJtar «J acceso a objeto« S Q A oítflr H acceso dei M rv tto de dre do r© iSjÜAuAar el carrài) de d ie d r a * ei s egi«ner*o de proceso» ¡SdAcdtar d uso de p rry*o jo i SQAudtar la adrrw tracien de c u « * » £j(¡Audtar suceso* de n e o de sesrin jgQAuJtar » jomo » de n « o de í w ú n de cuente Corréelo, Enóroo Correcto. Erróneo Con©do, Erróneo Conecto, Erróneo Conecto, Erróneo Correcto, Erróneo Conecto, Erróneo Correcto, Erróneo G N U /Linux El control so b re com p lejid ad y cifrado en co n tra s e ñ a s se re aliza en G N U /Lin ux m ed ian te el se rv ic io PAM (Pluggable Authentication Module). M ediante PAM podem os co m u n icar a nu estras ap licacion es con los m étodos de autenticación que d eseem o s de una form a tran sp are n te , lo que perm ite integrar las utilidades de un sistem a Unix clásico ( login, ftpFTP, te ln e t,..) con esq u em as d iferentes del habitual password: cla ve s de un solo uso, biom étricos, ta rje ta s in te lig en te s... El módulo p a m _cracklib está hecho esp ecíficam ente para d eterm in ar si es su ficien tem ente fuerte una contraseña que se va a crear o m odificar con el com ando passwd. Para instalarlo eje cu tare m o s: sudo apt-get install libpam -cracklib. Uno de los com andos de asignación de co n traseñ as a usuarios en el acceso a siste m a s GN U /Linux su ele ser passwd, y su archivo de configuración asociado e s /etc/pam .d/passw d. A su vez éste suele re fe ren ciar a /e tc / pam. d/com m on -password. En dicho archivo podrem os indicarle las ca racterísticas de los m ódulos a em plear, en el ejem plo p am _crack lib . so (instalad o para el control de la com plejidad en co n traseñ a s de usuario) y p a m _u n ix .so (p rein stalado y el m ás em pleado por defecto). M ostram os a modo de ejem plo 2 líneas de configuración co n ven cio n ales: © RA-M A 3 ■S E G U R ID A D LÓ G IC A password p assword required p a m _ c r a c k l i b .so dcredit=-l ucredit=-l lcredit=-l required p a m _ u n i x .so use_authtok nullok md5 m inlen= 8 La prim era linea incluye el m ódulo de verificación cracklib, e indica que la longitud m ínim a sea 8 (m in ien ), y que debe co n ten er dígitos (d cred it), m ayú sculas (u cre d it) y m inúsculas (Icred it). En la segunda indicam os que los arch ivo s que contienen las co n traseñ as posean encriptación MD5. En ve rsio n e s actu a le s de d istribuciones GN U /Linux se incluyen algoritm os de cifrado m ás seg uros com o SHA. Cuando em p leem os de nuevo el com ando passwd para renovación de co ntraseñas de un usuario, dicho com ando verificará que se cum plen las reglas d escritas en el archivo de configuración common-password. Para v isu a liza r los acceso s al sistem a y otros su ceso s del sistem a o logs, estos se guardan en arch ivo s ubicados en el d ire cto rio /va r/lo g, au nque m uchos p rogram as m anejan su s propios logs y los guardan en /v a r/lo g j< p ro g ra m a > . Con respecto al acceso e identificación de usuarios en contram os; /v a r/ lo g / a u th .lo g : se registran los login en el siste m a . Los intentos fallidos se registran en líneas con inform ación del tipo invaíid password o authentication failure. A continuación realizaremos un análisis en profundidad a distintos niveles, de los mecanismos de control de acceso a los sistemas mediante contraseña; I o nivel; control con contraseña del arranque y de su propia configuración proporcionado por la BIOS. 2° nivel: control mediante contraseña del arranque y de la edición de las opciones proporcionadas por los gestores de arranque. 3o nivel: control mediante usuario y contraseña por parte de los sistemas operativos. El sistema operativo permite el control de acceso a datos y aplicaciones mediante la configuración de privilegios a los distintos perfiles de usuario o individualmente a estos. 4o nivel: contraseña y cifrado de acceso a datos y aplicaciones, entre otros los archivos ofimáticos, comprimidos, sitios web (mail, banca online), etc. PRÁCTICA 3.2 PELIGROS DE DISTRIBUCIONES LIVE! Son inn um erables los siste m a s operativos arran ca b les desde unidades extraib les U S B , CD o DVD en modo U ve sin necesid ad de form atear e instalarlos en disco duro. Incluyen gran cantidad de aplicacion es de recuperación de datos y co n traseñ as de usuario. D esde las opciones de S E T U P o configuración de ia B IO S, podem os h ace r que arran q u e en p rim er lugar desde cu alq u iera de las m encion ad as unidades. V uln erab ilid ad es A modo de ejem plo m encio n arem o s algunas distribuciones arran ca b les en modo Live: 71 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A U ltím ate Boot CD (U BC D ): posee en un en to rn o sim u la d o W indow s a p lica cio n e s com o a n tiv iru s, recuperación de datos, ap licacion es de recuperación y borrado de co n traseñ as de la B IO S (cm o s _p w d ), borrado y restitución de nu evas co n traseñ a s de usuarios de siste m a s W indows instalad os en disco, incluso creación de n u eva s cu e n tas de usuario adm inistrador. B acktrack: distribución específica con un conjunto de herram ientas de auditorías de seguridad, entre otras alg unas que perm iten escalad a de privilegios en sistem as W indows (ophcrack) y GN U/Unux (John the ripper). O phcrack; distribución esp ecífica que contiene la aplicación de m ism o nom bre con capacidad de e x trae r co n traseñ a s de usuarios en siste m a s W indows. Verem os m ás ad elan te un ejem plo de aplicación. S la x : distribución basada en Stackware, m uy ligera y arran cab le desd e U SB. Perm ite el m on taje y acceso a los siste m a s de ficheros instalad os en disco. W ifiw ay y W ifisla x : d istrib u cio n es o rie n ta d a s a re a liz a r au d ito rías wireless, com o re cu p eració n de contraseñas. En la m ayoría de las ocasiones desde e sta s distribuciones es posible acced er a las particiones y siste m a s de ficheros de form a tran sp are n te , es decir, sin restricciones del siste m a operativo, por lo que puede com prom eter la seguridad de los datos y ficheros. Com probación A modo de ejem plo podem os com probar d esp ués de a rra n ca r con un DVD U ve de Back track el listado de p articiones disponibles en el disco duro m ed ian te el com ando ejecutado com o root: fdisk -I. Tras a n a liza r las particiones d isponibles, m ontarem os por ejem plo en una carpeta cread a por ejem plo /mnt/win, ia partición de form ato NTFS de W indows /dev/sda2, con el com and o: m ount -t ntfs /dev/sda2 /mnt/win. La opción - t nos perm ite indicar el form ato de la partición. De esta form a podem os acced er a través de la carpeta /mnt/win a todos los ficheros de dicha partición. root$bt: /mnt • Shell - K o risole* Session Edit View Bookmarks Settings Help llnaole to open / I root net: » fd lsk -I Disk /dev/sda: 58 5 OB, ‘>8506416640 bytes 255 heads. 63 secto rs/track. 7113 cylinders Units = cylinders of 16665 • 512 * 8225290 bytes Bisk Id e n t ifie r : 0«cfce28df Oevlce Boot /dev/sda1 /dev/sda2 • /4ev/sda3 /dcv/KU5 foot -.if : * 1» Start 1 U 5004 SOW End 10 5002 7112 7112 Blochs BQ293* 40580198 16458592* 16458561 Id ÓC Í 7 System D ell U t ilit y HPFS/NTFS #95 E xt'd UBA» HPFS/NTFS roobjfet: » cd . . r o o t T t ; * p«rt rooti'ot: * cd m l/ ro o tle t: » Is 'i c b ’Ot: root d : • okdir win » count -t n tfs /dev/sdc>2 /■nt/win «1 Recom endación C onfig urar el arran q u e para que siem p re se realice en prim er lugar desd e el disco duro donde estén instalados los siste m a s op erativos y configurar con contraseña el setup de la B IO S para e v ita r m odificaciones no auto rizad as en la secuencia de arran q u e. 72 © RA-M A 3 ■S E G U R ID A D L Ó G IC A CONTROL DE ACCESO EN LA BIOS Y GESTOR DE ARRANQUE BIOS (Basic Input/Output System): es el nivel más bajo de software que configura o manipula el hardware de un ordenador de manera que cada vez que iniciamos el ordenador este se encarga de reconocer todo el hardware que contiene el ordenador y controlar el estado de los mismos. En la BIOS podemos configurar cualquier parámetro referente al hardware, de qué dispositivo arrancará en primer lugar o parámetros más comprometidos como el voltaje que se le suministra al núcleo del microprocesador. Por este motivo tendremos que proteger nuestra BIOS de manera que solo un Administrador o un usuario responsable puedan cambiar los valores de la configuración. Según la versión y la marca de la BIOS podemos configurar la seguridad del mismo de distintas formas. Estableceremos una clasificación sobre los niveles de seguridad que suele tener: Seguridad del sistem a (system): en cada arranque de la máquina nos pedirá que introduzcamos una contraseña que previamente se ha configurado en el BIOS. En caso de no introducirla o introducirla incorrectamente, el sistema no arrancará. Seguridad de configuración de la BIOS (setup): en este apartado se suelen distinguir dos roles apLicables: Usuario (solo lectura) y Administrador (lectura/modificaciones). PRÁCTICA 3.3 CONFIGURANDO CONTRASEÑA EN LA BIOS En toda la explicación de esta actividad nos b asarem o s en una B IO S concreta del fab ricante AM I( por lo que es recom endable reconocer qué tipo de BIO S estam os m anejando (Aw ard, Phoenix, etc.) y co n su ltarla web del fabricante de la placa base para obtener el m anual que contiene los pasos detallados para la configuración de la seguridad. Proceso de asignación de co n traseñ as E n trare m o s en el setup de nuestra B IO S (norm alm ente pulsando en el principio del a rran q u e , tras p ulsar el botón de encendido la tecla Su p r o F 1 2 ) y nos dirigirem os a la sección "secu rity" para poder configurar las co n traseñ a s. En esta sección nos en co n trarem o s con una serie de opciones para ca m b ia r o borrar las co n traseñ as. E sta s son: Change supervisor password: crear, cam bia o elim ina la contraseña del Adm inistrador. Change user password: cre a r o cam b iar la contraseña del usuario. Clear user password: elim ina la contraseña del usuario. © RA-M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D S e le ccio n a re m o s "chang e su pervisor passw ord" para cre ar la nueva co ntraseña del A dm inistrador, introducirem os la co n traseñ a dos v e ce s y p ulsarem os en "OK". Tras definir la co ntraseña del adm inistrador, la vista de la sección "secu rity " cam b ia. Ahora nos en co ntrarem o s con m ás opciones que las que se m ostraban por defecto en esta sección, com o: User access level' define el nivel de acceso que tendrá el usuario. Estos niveles pueden v a ria r en tre: No access (sin a cce so ), View only (solo le ctu ra ), Limited (m od ificar con lim itacio n es) y Full Access (todos los p erm isos). Password Check'. e ste parám etro perm ite configurar cuando querem os que la B IO S pida la contraseña tanto al A dm inistrador como al usuario norm al. La opciones son: Setup\ la co ntraseña se pedirá en el inicio del asisten te de configuración de la B IO S . Always: la petición de la co n traseñ a se realizará en cada arranq ue de la m áquina. Ahora ca m b iarem o s las opciones del usuario norm al ya que por defecto tiene pleno acceso a la B IO S . En nuestro caso los config u rarem os para que solo pueda visu a liza r la B IO S . Para ello, se leccio n arem o s "U se r A ccess Level" y m a rca re m o s la opción "View Only". Por últim o, configurarem os para que siem p re que se inicie la m áquina nos pida la co n traseñ a , m ediante la opción "Passw ord C h eck " lo podrem os configurar seleccionan do el parám etro "a lw a ys": Pit I n iM u . im r il S u p e r v is o r P assw ord U ser P a ra m rd P llu rT ' Change S u p e r v is o r P a s s u o rd U ser A ccess L e v e l C hange U s e r P a ssw o rd C le a r U s e r P assw ord UIÜS SETUP U T IL IT Y IttMit. S S it O T J f 1 Kk L 1 n s ta I n i Im U lIr d t U l r u O n ly ] S e t u p ’ C h eck p a s s w o rd w h ile in v o k in g s e t u p . A lw a y s : C h eck p a s s w o rd u h i l e in v o k in g s e tu p .< w e ll u s o n e a ch b o o t . Con esto ya tenem os configurada la seguridad de nuestra B IO S para e v itar a cceso s no d eseados a la B IO S y al arran q u e del siste m a . Una ve z configurada la seguridad de los usuario s, podem os reiniciar nu estra m áquina para ve rifica r que nos pedirá la contraseña en el arranq ue de la B IO S : Enter CIIHREMT Passuord : In tro d u cirem o s la co ntraseña y podrem os inicializar nu estra m áquina sin problem as. R ecom endaciones C ab e d esta car que la seguridad de la B IO S es m uy vu lnerab le ya que existen va ría s form as para re se te a r ta B IO S, y vo lve r a sus valo re s de fábrica y por tanto que las co n traseñ as d esap a rezcan . Una de ellas es quitando la pila de la placa base, o a través de la conexión del jumper C LR _C M O S que suelen trae r junto a la pila. A ve ce s con un sim p le candado que aseg u re la apertura de la torre y no perm ita el acceso a la placa b ase es su ficien te. O tra form a para re setea rla es con una distribución Live como U ltím ate Boot CD for W indows, o con el PC arrancado b ajo W indows, e je cu ta r una aplicación como cm o s_p w d , que encuentran y borran las co n traseñ a s. 74 © RA-M A 3 ■S E G U R ID A D L Ó G IC A Im ag e n del m enú de UBCD con las h e rram ien ta s de password para re cu p era r y borrar el password de la B IO S . E s im portante cuidar la fortaleza de la contraseña de la B IO S a se r posible que sea de )a m ayor longitud posible (su e le s e r dependiendo del m odelo entre 6 y 10 ca ra c te re s), y que contenga m ayú scu la s, m inúsculas y núm eros para h a c e r m ás difícil la obtención de la contraseña por p ersonas no d ese a d a s. Del m ism o modo es recom endable que el adm inistrad or no publique, ni escriba de form a visib le su contraseña y la ren u eve periódicam ente. | PRÁCTICA 3.4 CONTRASEÑA EN EL GESTOR DE ARRANQUE Cuando tenem os instalado varios siste m a s operativos en disco duro, para se leccio n ar con qué sistem a arrancarem os se em plea un gestor de arranque. Unos de los m ás populares y em p lead o s con siste m a s operativos GN U /Linux es GRUB. A m enaza o vulnerabilidad D espués de realizar la B IO S las com probaciones de hardw are y dar paso al arranque de los dispositivos configurados (Boot S e q u e n ce ), es posible visu a liza r el m enú de arranq ue de GRU B pulsando la tecla E S C , siem pre que lo tengam os instalado (por defecto en distribuciones com o Ubuntu) y no se m uestre. I■ »[i Lwm'UMvnmmmMm IJbMntM, kt’ rm'l » - O l í Uifi I HHfKtrv I OI Hitr o y w í « l In g v y a tim v U im lU M i H W HW M X f 1______________________ ___________________ x h iih u a lr y d OS. lo r • O Is to od|< tlw» c o t» « i» 4 141.» La opción de recovery m ode bajo siste m a s GN U/Linux tiene un propósito de recuperación en caso de fallo del siste m a , pero puede se r utilizada en tre otras accio nes para recu p era r y m odificar co n traseñ a s de ad m inistrad or ( root) o incluso acced er a inform ación del disco duro. 75 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA Vem os dentro del m enú de recuperación como es posible a cced er a una consola con privilegios de root. Perm itiría e je c u ta r com andos de cam bios de co ntraseña sin conocer la an terio r com o: passwd root. Otra opción si tuviéram os restringida la opción de recup eración, se ría editando alguna de las en tra d as del m enú, pulsando la tecla e, y en la línea kernel m odificar el final de la m ism a su stitu ir el texto desde "ro" incluido, por ¡n¡t=/b¡n/bash. Si arran ca m o s d esp ués de la edición, desde esta opción este cam bio e je cu ta rá en el arran q u e una shell con perm isos de root, teniendo control total sobre el siste m a . P roceso de asignación de contraseña a GRUB Com o recom endación se propone: A ñad ir contraseña en crip tad a al m enú de edición es d ecir im posibilitar la edición por cu a lq u ie r usuario no autorizado. ■Mfufeantti.-t i n « 3 ir* j d rv tc r» te g u e it BIOS d r iv e s T h u w a tu b u n tv - i f r d l t /hoot/Qrufe/aewu. U t ftrtfrrt» ** Vann* may te te • li AyytlJ I m m u l BAS* l i k e li n e e d it in g i t w p p o r tH th e tin t w on j. TAB I» » !» p e t t ib le '» ( n o re a lly th e U r * t « n tiy (te fin e d i c c a p le c ie n t Anywhere « I m TAB l i m the pi c o a p le tio m o f ■ d e v ic e /f ile r a a e . 1 •e hiddenaenu Petted- ••••• gruh> «JVc r/p t. i f Hide» th e aew i by d c le u lt | ( m t fSC te tee th e eenui | F**rypted: *ll7f&5t/M»Y«rtO/ijP .’ grrhO» i^rís» • P r e tty t o ìo u r t '• c o lo r cyer/H lw e « A lte /b lu < q iu t> Q »* p e ttw o rd I ' «d V | »M w d • I f u*«d in thè f i r t t ir t t lo r of a amu T ile .e d itin g '» control leetuj witry c^ltqr *nG <.o»-d;:>l lir e ) «l JOd entri • cowwnd * lo c k ‘ e . f . p e tiu o rd to p te c re t 11 # I>etword «JS i 0 p attuir« ilig iM * /w w /ik í*iQ r» i« M ritu o e / A ñad ir encriptada co ntrasena en modo de recuperación. n¡ d e v lc e t to g tie tt 1 1 « « r iir e t. T h ll aey te ke i « M jfc u n tu :*l g e d it J b o o t/g n jb /a e m i.ls t 0 érrhrt« tuca« fi* alunmacufeunlv Jwrnwai V jM Id le 6 Muevo /r * J . . Aftnr &<a D C C iW tP » y. tm gntm A yjtU «i m a m ft* O I m r i a e l 1ASH llfc e lin e e d itin g l i tw ppcrted tK * fjr tt « fd . TAfl l l i u p o t t i b le c o a p lc tio n t. A n y ***re c i t e TAI U t M Ih e o 00 00 End Oefeult Options »•» c o a p lr tio n t • d e v jc c /f Jtenaae. | st i g ru ft* ad* < ypt t it le root Ubunte « *4. kernel M . f l l l generic ()/wbuntu/dliki f c w iw t /b o e t/v a lin u * -} 6 .¿ t il - g e n e r ic r w ta a u n H M M P t ttt tf O H n r o Q u ie t v p le th / b o o t / l n i t r d la g 2 . i . 2t i l g e n e r i c r« tt* s rd • • • • • tn c ry p te d 1 )S?*&3t/D (W W M yfeiJ«uh0atunr#g lo o p « /s fe a n iu /d it k i/ r e 9 l.d ltk gr llt» I t il i« Q lU ltrd CMKtW 'd root mài Ufeuntu 9 14. te»nel tllW rft/tf« V W V ry £ n 7 g n .*N J tt I l/ubw'tu/ditkt \snM¡ l i jn w r it (recovery eodtj . ^ k e rn e l / b o o t/v » lim tf 2 .0 r t I ! g e n e ric root->XJlI>-<K8«m <W W O W l M p » / u fe w tu / d !t k i/ r Q o t.d u k ro tin g le t n it 'd / b o o t / i n i t r d Lag ? . t ?» 11 g e ne ric title ro o t ke rn e l Ubuntu f . M . a r a te t i» * * ( l/tA c n tu /d m t / b o e t / a e a t e i t * * .61* 1 © RA-M A 3 ■S E G U R ID A D L Ó G IC A I o M ediante el com ando grub, nos ab rirá una consola que nos perm itirá e n crip ta r en codiñcación MD5 cualq uier texto que d eseem o s com o co n traseñ a, m ed ian te el com ando mdScrypt. C opiam os el texto de salida en MD5, com enzará por $1$. 2 o Editam os el archivo menu.lst de grub, hab itualm ente localizado en /boot/grub/. Tras la línea com entada password - -m d5 $ 1 $ , escrib irem o s una línea con nuestra contraseña en criptada. Esto no perm itirá ia edición de ninguna de las en trad as del m enú, si no conocem os la co n traseñ a. 3 o En el archivo menu.lst b uscarem o s las líneas que hagan m ención a (re co v e ry m ode) y d esp ués de la línea title añ ad irem o s una línea de password. Esto no perm itiré a rran ca r en modo recuperación a m enos que conozcam os la co n traseñ a . Podríam os añ adirle contraseña a las opciones que queram os de este modo. E s tam bién posible re alizar dichas m odificaciones m ediante la aplicación gráfica S t a r t Up M a n a g e r. Su instalación: sudo aptitude ¡nstall startupmanager. Una vez instalado, podem os acce d e r a la aplicación en S istem a -> A dm inistración -> A dm inistrador de A rranque o con el com ando startupmanager con p erm isos de root. A d m in i s t r a d o r d i* JVirftfVE|üe biEl.x.j Opciones Je arranque Aspecto Seguridad Av»r«»dc Opciones d a prolección Proteger con contraseña el Cargador de arranque Proteger con contraseña el modo de rescate Proteger con contraseña las opciones antiguaj de arranque C a m b ia r C o n tra s e fta Contraseña: Confirmar contraseña Actualizar contraseña CONTROL DE ACCESO EN EL SISTEMA OPERATIVO Existen métodos de acceso al sistema operativo muy seguros como por ejemplo mediante huella dactilar, pero el más utilizado signe siendo a través de una contraseña asociada a una cuenta de usuario. Como hemos visto anteriormente existen métodos para poder acceder a los sistemas operativos sin control de contraseña, en el caso de GNU/Linux mediante el modo de recuperación. En el caso de Windows para versiones como XP mediante el modo prueba de fallos o pulsando 2 veces en la ventana de inicio de usuarios Ctrl + Alt + Supr e intentando acceder a la cuenta del usuario Administrador sin contraseña, ya que en la instalación no se le asigna ninguna, por tanto por defecto suele estar vacía. Pero existen otros métodos, normalmente asociados a poder arrancar con una distribución Live para poder recuperar o conocer las contraseñas de cualquier usuario, así como borrarlas o modificarlas. Como recom endación, estas herram ientas empleadas nos servirán para auditar nuestros sistem as de credenciales de acceso a sistemas operativos y ver el nivel de fortaleza de las mismas, ya que dependiendo del nivel de nuestras contraseñas no siempre será posible recuperarlas. 77 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA PRÁCTICA 3.5 RECUPERACIÓN DE CONTRASEÑAS W indow s O phcrack es una aplicación que perm ite re cu p era r co n traseñ as de W indows. Tam bién se encuentra disponible en distribuciones como B acktra ck, o incluso posee su propia distribución U ve . S e basa en el conocim iento de cómo alm a cen a W indows su s co n traseñ a s de usuario (no rm alm ente en windows/system32/ config/SAM sólo solo a ccesib le sin a rra n ca r el siste m a operativo, por ejem p lo desde una distribución U v e ), y em plea una com probación m edian te fuerza bruta y diccionarios que habré que ca rg a r dependiendo de la versión y el idiom a d eseado. L/ Load Select the directory which contains the table«. LOOK in 5 & Q Computer roo! M S 3com. dm 1025 £ 3 1028 @ 1031 © 1033 S 1037 S 1041 aa >0 « IOSA g 2052 a a a B B Directory: - o m edia,ditk.WINDOWS'Sy»lem32 3076 3082 CalRool Ca1Root2 Com aa cmcp aa 0064 a aa ra»Resiore a a a aa export aa a spooi aa a a me a usnii a muí aa a a a a mu DirectX dlicacho drivers DRVSTORE GroupPolIcy o a © a PreInstan SekP ShellEx! SoTfiyareDistnoutlon lesimi wbem meter» MacromeO Microsoft MsOIC weom npp Choose I consg Files ol type Preload waiting Bíui» torce wamng Pwd immd: I M) Time elapsed On O m Os Como vem os en la figura debem os indicarle en prim er lugar la ruta del directorio donde se alm acenan las co n traseñ as, norm alm en te Windows/system32/confíg. P reviam ente hab rem os m ontado la partición correspondiente. Por otro lado, m ediante el botón Tables, ind icarem os la ruta donde podrá en co ntrar la tabla de diccionario con el qué querem os probar, en e s te caso , hem os cargado X P _ fre e _ fa s t. Una ve z ca rg a d as las tablas de diccionario, eje cu ta re m o s el com ienzo de pruebas, y como ve m o s para los usuarios de la partición de W indows seleccionad a ha encontrado para los u su ario s: A dm inistrador - 1 3 5 7924680A lo , alum no - C a ra c a s , y para adm in. - K oala9021. V em os que incluso para co n traseñ a s de cierta longitud y con ca ra cte re s num éricos, m ayú scu la s y m inúsculas ha sido cap az de recup erar las co n tra se ñ a s (colum na NT Pw d). © RA-M A 3 ■S E G U R ID A D L Ó G IC A O o c * 415O30Q3M0 «IDOCDCtal 1«W< LAIMMfi M éúo *e *» riB d e e y u o « ÍUPPC0H W U !* D l&jmry) 0ffC.7»?M»4f. ís u n 't o e ft x *m n | Tafai» • OOM CARACAS k o a la m SMkn O rntory m eáwC rurei • MMO • tabtol • HW2 AtMd-f JldS cbO dtla cbM teOHbar S *í5 J3 'r8M4 B6ft»63!907c ?» M t2 M r3 b6&cXkS2* 14% ln RAM lO O X nK A U lO O X nR AU fto g r tn ■■■■■■■ lOOXmAAM ln RAM XX ItAtai 99% Ihwdftaunú'! 44 jTM*Apag#:I 0h0m 5?a | Recom endación: O p hcrack en cuentra grandes dificultades con co n traseñ as cre a d a s con palab ras se p ara d as por esp acios y ca ractere s e sp e cia le s, por lo que se recom ienda su uso. G N U /Linux En los siste m a s GN U /Linux el archivo que controla usuarios y su s co n traseñ a s en crip tad as es /etc/shadow visible tan solo por el usuario root, aunque en caso de poder acce d e r a una partición GN U/Linux y a su siste m a de ficheros, tenem os el fichero visible. La e stru ctu ra del m ism o es un listado con una línea por cada usuario en la que la segunda colum na sep arad a por : es la contraseña encrlptada según algún algoritm o de cifrado, habitualm ente MD5 si com ienza por $ 1 $ , o SHA si com ienza por $6$, opción m ás segura e incluida por defecto en las version es de d istribuciones a c tu a le s. chipcard:I:14657:0:99999:7:: sanc>rt:•: 14657:0:99999: 7::: pulse:*:14657:0:99999:7::: messaqebus:*:14657:8:99999:7::: potkltuscr:•:14657:8;99999:7::: «valu:•:14657:0:99999:7::: haldaenon:■:14657:0:99999:7:: usuario :S6SZBxm>u*DÍ»5Q/8J5l5zDTK<RSX¡rHpkA9KvHeX4FrZV9othIyCEpíLH7FLAtíYgnsJAdY2by8SliGHcd2o< XJacukdzN317P2VCArvl:14938:0:99999:7::: ejabberd:*:1488?:0:99999:7::: 1 ________________ * I__________________________________________ A rrancando desde una distribución B acktrack acced em os al contenido del archivo /etc/shadow de una partición GN U /Linux instalada en disco duro y p reviam ente m ontada. Vem os que el usuario de login posee su contraseña encrip tad a con SHA. Mediante la aplicación John the Ripper, podem os efe ctu ar distintos tipos de ataques contra este archivo (deberem os indicarle la ruta del archivo_shadow) para d escub rir co n traseñ as encrip tad as, por ejem plo: jolin - -single arch ivo _sh ad o w Perm ite re alizar una búsqueda con com binaciones sim ples, m ediante palabras h ab itu ales, incluido el nom bre de usuario. john - - w o rd list= p assw o rd .lst arch ivo _sh a d o w S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA Realiza una búsqueda em pleando com o diccionario el archivo: john - - in crem en tal= all arch ivo _sh a d o w R e aliza un a ta q u e de fuerza bruta probando con co m b in acio n es de n ú m e ro s, c a ra c te re s en m a y ú sc u la s, m in ú scu las, etc. r o o t > b l: 1 ü cssio n Ed<( V i« m BookmMñt* p a w w o r c K j f r - S h « ll • K o n t o t o S cttings Help root»: t . g l« / m t /G uadal m é K 2 / * tc / » h a d o * Lo4d«d l iw ivw o rcJ i u v u # rlo q u e is tfc : 1 try tn g u s u a r io tim : ig o r e r jc c r y p t ( J ) 1 it u a r i o) lo o .0C \ (E IA u 9 9 »9 9 f no 00:03 rj 3 ? n hu Nov 2 1 3 :1 4 46 20101 c /f: Zt 15 En la figura se m uestra la obtención de la contraseña del usuario "usuario" y contraseña "usuario". PRACTICA 3.6 MODIFICACIÓN DE CONTRASEÑAS En caso de olvidar la co ntraseña o q uerer m odificarla sin conocerla, podem os recurrir a h erram ien ta s en modo Live que perm iten re se te a rla s o ca m b ia rlas sin autorización de adm inistrador. W indow s Ex isten diferentes opciones sólo solo nos ce n trarem o s en alg u n as de las m ás se n cillas, todas ellas requieren de la posibilidad de arranq ue d esd e una distribución Live : 1. M ediante la distribución UBCD podem os e je cu ta r la aplicación Password Renew. Le indicarem os en qué directorio se en cuentra la carp eta de siste m a : ¿‘U t M f f ' u m r r m • i r * » i c a a p m t i d u m M P H L y if i A l to r •» | M r i « i A continuación nos m ostrará el listado de usuario s disponibles, pudiendo re alizar acciones com o renovar una co n traseñ a (sin co n o cer la an te rio r), c re a r un usuario adm inistrador, o m odificar el tipo de cuenta de un usuario, por ejem p lo, lim itado a adm inistrador. © RA-M A 3 ■ S E G U R ID A D LÓ G IC A 2. Otra vu lnerabilidad que presentan los siste m a s W indows es a través de h e rram ien tas que pueden ve rse m odificadas o sustitu id as por una consola de com andos ( cmd.exe con privilegios de ad m inistrad o r). Por ejem p lo la utilidad S tickyK e ys softw are de ayuda y accesib ilid ad , que se activa pulsando la tecla S H IF T 5 v e ce s seg uid as. El fichero que eje cu ta es sethc.exe ubicado en C:\WJNDOWS\5YSTEM32. La vulnerabilidad co nsiste en su stitu ir sethc.exe por cmd.exe (consola de com andos) y así cuando p ulsem os la tecla S H IF T 5 v e c e s seg u id as se nos ab rirá la shel! de com andos, desde la cual podem os hacer e je c u ta r los com andos que q ueram os sobre el equipo. Vem os los com andos para su stitu ir el eje cu tab le se th c .e x e por cm d .e x e , desde una distribución Live con la partición de W indows m ontada. aluano4ubufltu:/ant/win/WlM D0WS/sy&le*37S I s *1 cad .exe rvxrw nrvx 1 root root 4*2944 Í9 W - M - I9 15:42 *ltflno tufontu :/fln t/w in/w JM X M S /systea32 S I s l s e th c .e xe rv x rw xrv x 1 ro o l root J?256 2*04-M 19 15:43 aliano4ubuntu:/ant/win/MlM D0W 5/sy9te*32S cp velb c-exe sethc o íd .e n e •luanofubuntu /■ rt/w ln/w iN D O ifS/iysteU ?! cp c a d .r te vethc e*e o luano fubuntu:/ant/w in/ifIN D O tfS/syite*32i | En la página de inicio de sesión pulsam os 5 v e ce s la tecla shift y nos e je cu tará la consola de com ando. Podremos e je c u ta r todo tipo de com andos, como por ejem plo control u serp assw o rd s2 que nos abrirá la utilidad de configuración de co ntraseñas de usuarios, pudiendo ren o varlas sin conocerlas p reviam ente. G N U /Linux En el ca so de GN U /Linux, si podem os acced er al siste m a de ficheros y m odificam os en /etc/shadow para cualq uier usuario, su contraseña actual por una contraseña encriptada que conozcam os, podrem os acced er con la nueva co n traseñ a . D ebem os de tener en cuenta 2 consideraciones: A n alizar qué sistem a de encriptación em plea el sistem a de verificación de G N U /Lin ux, podem os a n a liz a r el archivo /etc/p a m .d /co m m o n -p assw o rd , y la línea correspond iente al m ódulo p am _u n ¡x .so , al final de la m ism a su ele ind icar el algoritm o de cifrado em pleado en /etc/shadow. Por ejem p lo : passw ord required p a m _u n ix .so u se _a u th to k nullok sh a-512 Tener un conjunto de co n traseñ a s cifradas conocidas, o em p le ar una herram ienta de cifrado MD5 o SHA de texto plano para obtener el texto cifrado correspondiente. Por ejem plo en la web http://www. hashgenerator. de/ podrem os cifrar texto plano m ediante d iferentes algoritm os. S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-MA POLÍTICA DE USUARIOS Y GRUPOS La definición de cuentas de usuario y su asignación a perfiles determinados, grupos o roles, así como la asignación de privilegios sobre los objetos del sistema es uno de ios aspectos fundamentales de la seguridad, y una de las tareas fundamentales del administrador de sistemas. Este proceso lleva generalmente cuatro pasos: Definición depuestos: separación de funciones posibles y el otorgamiento de los mínimos permisos de acceso requeridos por cada puesto para la ejecución de las tareas asignadas. Determ inación de la sensibilidad del puesto: determinar si una función requiere permisos críticos que le permitan alterar procesos, visualizar información confidencial, etc. E lección de la persona para cada puesto: requiere considerar los requerimientos de experiencia y conocimientos técnicos necesarios para cada puesto. Formación inicial y continua de los usuarios: deben conocer las pautas organizacionales,su responsabilidad en cuanto a la seguridad informática y lo que se espera de él. Debe estar orientada a incrementar la conciencia de la necesidad de proteger los recursos informáticos. La definición de los perm isos de acceso requiere determinar cuál será el nivel de seguridad necesario sobre los datos, por lo que es imprescindible clasificar la inform ación, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad. Pora empezar la implementación es conveniente comenzar definiendo las medidas de seguridad sobre la inform ación más sensible o las aplicaciones más críticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles. PRÁCTICA 3.7 CONTROL DE ACCESO A DATOS Y APLICACIONES Tanto en sistem a p erso n ales como en siste m a s en red controlados por servicio s de directorio com o LDAP o A ctive D irectory bajo W indows Server, el control sob re la seguridad de los objetos del sistem a (a rch iv o s, ca rp etas, p ro ce so s, re cu rso s de red, recu rso s hardw are, e tc.) se realiza m ed iante el control y asignación de p erm isos. S o b re el sistem a de archivos es posible e sta b lecer listas de control de acceso (ACL) que de form a individual p erm ita a sig n a r perm isos a un usuario, sin tener en cuenta el grupo al que p erten ece. W indow s E n la sig u iente actividad vam os a configurar algunos asp ectos de seguridad y asignación de p erm iso s a usuarios lo ca le s, en siste m a s W indows. Para m odificar la configuración de seg uridad local irem os a Panel de control / Herramientas administrativas / Directiva de seguridad local. Podrem os m odificar D irectiva de auditoría, A sign ació n de derechos de usuario u Opciones de seguridad, en el árbol de la consola haz clic en D irectivas lo c a le s, esta s d irectivas se aplican a un equipo y contienen tres sub co njunto s: 82 © RA-M A 3 * S E G U R ID A D L Ó G IC A D irectiva de au d ito ría: D eterm ina determ ina si los su ceso s de seguridad se registran en el registro de seguridad del equipo. El registro de seguridad forma parte del V isor de su cesos. A signación de derechos de usuario : D eterm ina d eterm ina qué usuario s o grupos tienen derechos de inicio de sesión o privilegios en el equipo, en tre otros: A ju sta r cuotas de m em oria para un proceso, perm itir el inicio de sesión local, h acer cop ias de seguridad y re sta u ra r arch ivo s y directorios, g en erar au ditorías de seg uridad , o tom ar posesión de archivo s y otros objetos. O pciones de seg u rid ad : Habilita habilita o d eshabilita la configuración de seguridad del equipo, como la firm a digital de datos, nom bres de las cu en tas A dm inistrador e Invitado, acceso a CD-ROM y unidades de disco, instalación de controladores y solicitu d es de inicio de sesión. Pero para ten e r un m ayor control sobre la configuración del nivel de acceso por parte de cada usuario a cada recurso del siste m a , com o por ejem p lo una ca rp eta, es n ecesario re alizar la configuración de A CL. En W indows es posible realizarla m ed iante el com ando cacls. Com o sab em os en un sistem a local las carp etas de usuario no son accesib les por otros usuarios del siste m a . En caso de q uerer un u s u a rio l d ar acceso de lectu ra, solo a un usuario2 a su carpeta MisDocumentos/Musica, podem os e je cu ta r con el u s u a rio l en la consola de co m and o s: cacls "Mis Documentos\Musica /t le /g U su a rio 2 :R Las opciones princip ales son: /t: m odifica las A C L de los arch ivo s especificados en el directorio actual y subdirectorios. /e : m odifica en vez de re e m p la za r la A CL. / g usuario: p erm isos R (le ctu ra ), E (e sc ritu ra ), C (c a m b ia r), F(control total. Perm ite asig n arlo s (g rant). /p : perm ite re e m p la za r los ex iste n tes o q uitárselo todos con :N. G N U /Linux Para brindar privacidad y protección, cada archivo o directorio tiene aso ciad o s perm isos d iferentes para el dueño, para el grupo y para los dem ás u su ario s. En el caso de arch ivo s, los perm isos que pueden d arse o q uitarse so n: (r) lectu ra, (w ) escritu ra y (x) ejecució n . En el caso de directorios, los perm isos so n: (r) para listar los archivo s, (w ) para escribir, cre a r o borrar archivo s y (x ) para acced er a archivos del directorio. Los perm isos de un archivo pueden s e r m odificados por el dueño, propietario o por el ad m inistrad o r del sistem a con el com ando chmod que esp era dos p ará m e tro s: cam bio por re alizar al perm iso y nom bre del archivo por cam biar. Los perm isos se pueden e s p e c ific a re n octal o con una o m ás letras para identificar al usuario (u para el u suario, g para el grupo, o el resto de usuarios y a para todos), un +, un - o un = y d esp u és letras para identificar los perm isos (r, w o x ). Por ejem p lo : chm od og+x su b e.sh Añade ( + ) al resto de usuarios (o) y al grupo al que p ertenece el archivo (g ), perm iso de ejecución del archivo (x ) su b e .sh , que debe e s ta r en el directorio desde el cual se da el com ando. El dueño de un archivo puede s e r m odificado solo por el ad m inistrad o r del sistem a con el program a chow n. Un usuario que p ertenezca a varios grupos puede cam b iar el grupo de uno de su s arch ivo s a alguno de los grupos a los que pertenezca con el program a o com ando chgrp, por ejem p lo : chgrp estu d ian tes t a r e a l.t x t S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA C a m b ia rá el grupo del arch ivo t a r e a l.t x t a e stu d ia n te s. Los grupos a los c u a le s un usuario p e rte n e ce son m ostrados por el com ando groups. En caso de q u erer em p lear listas de control de acceso y poder p erm itir o d en eg ar perm isos a usuarios concretos, em p le are m o s los com andos: getfacl: perm ite ve r la inform ación de perm isos sobre un archivo. setfacl: perm ite a sig n a r perm isos sobre un archivo. En prim er tugar o b se rva rem o s si la partición del sistem a de archivo s posee en tre su s opciones la de control m ed ian te A CL, leyendo el archivo /etc/fstab, y viendo la línea correspond iente, si posee entre las ca ra cte rística s u opciones de m ontaje la opción acl. Por ejem p lo : /dev/sd a2 /m n t/Linu x auto rw ,u se r,a u to ,e x e c,a d 0 0 En caso de no disponer de dicha opción podem os m ontarla de nuevo con la opción: m ount -o rem ount,acl /d e v /sd a 2 . Por ejem plo para añ ad ir el perm iso de que un usuario2 pueda leer y e scrib ir(rw ) sobre un archivo, y ve rificar que se han asignado los perm isos, podrem os e je c u t a r la se n ten cia: setfacl -m u se r:u su a rto 2 :rw - archivo getfacl archivo REFERENCIAS WEB Sitio web sobre seguridad informática de Microsoft: http:I ! www.microHoft.com/ Spain/protect / Manual de administración segura de GNU/Linux: http: / / es. tldp.org / Manuales-LuCAS / GSAL/gsal-19991128.pdf Seguridad en GNU/Linux: http: / / exa.unne.edu.ar / depar/areas / informática / SistemasOperatiuos / MonogSO / SEGLIN00.html Administración de aspectos de seguridad en GNU/Linux y Windows: http: / / www.adminso.es / wiki / index.php / Cómo de fuerte es tu contraseña: http: / / kowsecurcism.ypaiifiword.net / Comprobador de contraseñas de Microsoft: http: / / www.microsoft.com/latam /protect /yourself!password / checker.mspx Administración de usuarios en GNU/Linux: http .7 / www.liniLxtotal.eom.mxi index.php?cont~info_aclmon 008 84 © RA-M A 3 ■S E G U R ID A D L Ó G IC A RESUMEN DEL CAPÍTULO La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo. Para ello se emplean técnicas como el control de acceso lógico mediante contraseña a distintos niveles: En el arranque y configuración de la BIOS, y gestores de arranque. En el sistema operativo, datos y aplicaciones. Una contraseña segura debe parecerle a un atacante una cadena aleatoria de caracteres, para ello se recomienda que sea lo más larga y compleja (combinación de letras mayúsculas y minúsculas, números y símbolos). Los adm inistradores de sistem as deben auditarlas comprobando la fortaleza de las mismas, y configurar las opciones para asegurar que los usuarios tengan contraseñas fuertes y se cam bien regularm ente. Los sistem as operativos son capaces de gestionar usuarios y sus privilegios o procedimientos autorizados, sobre las aplicaciones y archivos. El principio de la política de privilegios debe ser todo lo que no está permitido debe estar prohibido. Para asegurar este principio se recomienda que el uso habitual de sistema se realice con cuentas de usuario con privilegios limitados y tan solo en los momentos en los que sea necesario, como por ejemplo en una instalación de una aplicación o driver, se adoptarán privilegios de administrador. © RA-MA S E G U R ID A D Y A L T A D IS P O N IB IL ID A D EJERCICIOS PROPUESTOS 1. Lee el artículo sobre “Recomendaciones para la creación y uso de contraseñas seguras” de Inteco, disponible en la siguiente página web http:1 / www. inteco.es/Seguridad / Observatorio / Estudios _e_ Informes / Notas_v_Arti.cu.los / recomendaciones_ creacion_uso_contrasenas y contesta a las siguientes cuestiones: ¿Qué porcentaje de usuarios emplea contraseñas para el acceso a sus sistemas de archivos? ¿Qué porcentaje de usuarios en EEUU apunta su con­ traseña en papel o archivo electrónico en el PC? ¿Qué porcentaje de usuarios emplea la misma contraseña en distintos servicios? 2. En caso de tener acceso al archivo /etc/shadow de un equipo local, y conteniendo éste las siguientes líneas: a.lumnol:$l$zmDCo$pP/ Rrln2jTy30eTvjL8MgO: 14544:0:99999:7::: root;$l$bM36INXG$n.lckzvSVJy.z42Atfóp 6 n.: 11585:0:99999:7::: ¿Qué contraseña poseen los usuarios: root y alumnol? ¿En qué tiempo has sido capaz de descifrar las contraseñas? ¿Qué algoritmo de cifrado po­ seen sus contraseñas? ¿Qué significado poseen cada uno de los campos que componen cada línea del archivo? 3. Lee el siguiente artículo sobre el uso de cuentas lim itadas y administrador en sistemas Windows: http://www.inteco.es/Seguridad/Observatorio/ Estudios_e_Informes/Notas_y_Articulos/cuenta_admi.n istrado r_v s_limi tada ¿Qué perfiles tipo y Limitaciones de uso existen en las cuentas de usuario en sistemas Windows? ¿Con qué tipo de cuenta utilizarías normalmente el sistema? ¿Qué tipo de limitaciones tendrías? ¿Para qué sirve el comando runas? 4. Desde un usuario con rol administrador, agregar la posibilidad a la cuenta limitada creada anterior­ 86 mente de cambiar la fecha/hora e instalar contro­ ladores de dispositivo y revocarle el privilegio de acceso al CD-ROM,. Activar el archivo de sucesos o log de sucesos asociados a esos privilegios. Acceder como usuario rol-limitad o y verificar privi­ legios y limitaciones. Acceder como usuario rol-ad­ ministrador y veri ficar el archivo de suceso o log. ¿Los usuarios con cuenta limitada pueden acce­ der a la configuración de directivas locales? ¿Es lógico? 5. Investiga sobre la finalidad y opciones uso de la aplicación W indows SteadyState. ¿Qué opciones de configuración segura facilita? 6 . Investiga sobre las opciones de configuración de contraseña y cifrado de acceso a archivos ofirnáti­ cos (doc, xls, odt, pdf, ppt, odp...), comprimidos (zip, rar,...), etc, ¿Es posible en caso de olvidar la contra­ seña recuperarlas? ¿En qué casos de los anterior­ mente descritos? 7. Investiga sobre la finalidad y opciones de uso de la aplicación Keepass Password Safe. ¿Qué opciones de configuración segura facilita? ¿Es posible recordar las contraseñas de sitios web y acceder sin teclearlas? 8 . Explica las diferencias existentes en sistemas GNU/ Linux entre el uso del comando chmod y setacl. 9. A partir de qué versión del sistema operativo Windows se solicita para realizar tareas de admi­ nistración como cambios en la configuración de red, instalación de driuers o aplicaciones, la contraseña de un usuario administrador ¿Por qué crees que es interesante dicha opción? ¿Se realiza dicha petición en sistemas GNU/Linux? 10. ¿Qué utilidad tienen las aplicaciones “congelador” del sistema operativo como DeepFreeze? Busca al­ guna otra aplicación disponible para Windows y otra para GNU/Linux: ¿Es posible instalar aplicaciones y guardar datos teniendo activa este tipo de aplica­ ción? ¿Qué protección ofrecen? 3 ■S E G U R ID A D L Ó G IC A © RA MA TEST DE CONOCIMIENTOS ¿Qué tipo de cuenta se recomienda para un uso cotidiano en sistemas Windows? Administrador. Invitado. Limitada. Mínimos privilegios. Una contraseña segura no debe tener: Más de 10 caracteres. El propio nombre de usuario contenido, Caracteres mayúsculas, minúsculas y símbolos. Frases fáciles de recordar por ti. ¿Qué es la identificación? Momento en que el usuario se da a conocer en el sistema. Verificación que realiza el sistema sobre el inten­ to de login. Un número de intentos de Login. Un proceso de creación de contraseñas. Para un usuario experim entado como tú, las actualizaciones deben ser: Automáticas, descargar e instalar actualizacio­ nes automáticamente. Descargar actualizaciones y notificar si deseas instalarlas. Notificar, pero no descargar ni instalar. Desactivar actualizaciones automáticas. Las contraseñas de sistem as GNU/Linux se encuentran encriptadas en el archivo: / etc /groups. / etc. / passwd. / etc! shadow. /etc/sha-pass. En caso de tener configurada con contraseña el SETUP de la BIOS, y querer prohibir el arranque en modo Live. el primer dispositivo de arranque debe ser: LAN. HD. USB. CD. El comando john ” Wordüst=password.lst passwords, realiza un ataque: Diccionario. Fuerza bruta. Simple. PWstealer. Activando la directiva local de seguridad en sistemas Windows “las contraseñas deben cumplir los requisitos de complejidad”, las contraseñas nuevas o renovadas no pueden tener: 5 caracteres. Números. Mayúsculas. Minúsculas. Caracteres especiales. Una de las vulnerabilidades en la instalación de Windows XP es: Crea un conjunto de usuarios administrador. Crea un usuario Administrador con una contra­ seña débil. Crea un usuario Administrador sin contraseña. Crear 2 usuarios al menos sin contraseña. Desde la utilidad de usuarios y password de Windows de Ultím ate Boot Recovery no podemos: Resctear contraseñas. Recuperar contraseñas. Modificar contraseñas seguras. Dejar contraseñas en blanco. 87 c <3 C c c A r / Comprender qué es el software malicioso (,m alware) y sus posibles fuentes. ✓ Crear conciencia de análisis de nesgo y toma de precauciones en las operaciones informáticas. ✓ Identificar las nuevas posibilidades y riesgos que poseen Internet y las redes sociales. ✓ Analizar las distintas herramientas de seguridad software antimalware existentes. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A SOFTWARE MALICIOSO Gracias al desarrollo de las comunicaciones y al creciente uso de la informática en la mayoría de los ámbitos de la sociedad, los sistemas de información se han convertido en objetivo de todo tipo de ataques y son sin duda el principal foco de amenazas. Por esta razón es fundamental identificar qué recursos y elementos necesitan protección así como conocer los mecanismos o herramientas que podemos emplear para procurar su protección. Con el nombre de software m alicioso o maJware agrupamos clásicamente a los virus, gusanos. troyanos y en general todos los tipos de programas que han sido desarrollados para acceder a ordenadores sin autorización, y producir efectos no deseados. Estos efectos se producen algunas veces sin que nos demos cuenta en el acto. En sus com ienzos, la motivación principal para los creadores de virus era la del reconocim iento público. C uanta más relevancia tuviera e) virus, más reconocimiento obtenía su creador Por este motivo, las acciones a realizar por el virus debían ser visibles por el usuario y suficientemente dañinas como para tener relevancia, por ejemplo, elim inar ficheros importantes, modificar los caracteres de escritura, formatear el disco duro, etc. Sin embargo, la evolución de las tecnologías de la comunicación y su penetración en casi todos los aspectos de la vida diaria ha sido vista por los ciberdelincuentes como un negocio muy lucrativo. Los creadores de virus han pasado a tener una m otivación económ ica, por lo que actualmente son grupos mucho más organizados que desarrollan los códigos maliciosos con la intención de que pasen lo más desapercibidos posible, y dispongan de más tiempo para desaíro llar sus actividades maliciosas. Hay varias formas en las que el creador del programa malicioso puede obtener un beneficio económ ico, las m ás comunes son: Robar inform ación sensible del ordenador infectado, como datos personales, contraseñas, credenciales de acceso a diferentes entidades, mail, banca online, etc. Crear una red de ordenadores infectados, generalmente llamada red zombi o botnet, para que el atacante pueda manipularlos todos simultáneamente y vender estos servicios a entidades que puedan realizar acciones poco legítimas como el envío de spam} de mensajes de phishing, acceder a cuentas bancarias, realizar ataques de denegación de servicio, etc. Vender falsas soluciones de seguridad Irogueivare) que no realizan las acciones que afirman hacer, por ejemplo, falsos antivirus que muestran mensajes con publicidad informando de que el ordenador está infectado cuando en realidad no es así, la infección que tiene el usuario es el falso antivirus. Cifrar el contenido de los ficheros del ordenador y solicitar un rescate económico al usuario del equipo para recuperar la información, como hacen los criptovirus. 90 © RA-M A 4 ■S O F T W A R E A N T IM A LW A R E i D e s c u b re alg u n o de lo s n u e v o s p e lig ro s d e la re d , com o son las re d e s botnet le yen d o y a n a liz a n d o la sig u ie n te n o tic ia : http: //prensa, pandasecurity. com /2010/07/panda-security-y ~defence-¡ntelligence-ayudan-al-fbi-aarrestar-a-cibercñm inales-% E2% 80% 93-hacker-arrestado-en-es¡ovenia/ C o m e n t a r en el grupo d e c la s e : ■ ¿ C u á l e ra la fin a lid a d del a ta q u e d e s c rito ? • ¿ C u á le s son los n u e v o s p elig ro s d e riv a d o s del uso d e In te r n e t, co m o la s d e n o m in a d a s re d e s z o m b i? ¿ Q u é tipo d e p re c a u c io n e s y re v is io n e s re a liz a ría s en tu equ ipo p ara e v ita r fo rm a r p a rte de e s ta s re d e s ? • ¿ C r e e s q u é in t e r n e t e s u n a red s e g u ra ? ¿ P o r q u é ? CLASIFICACIÓN DEL MALWARE Los distintos códigos maliciosos que existen pueden clasificarse en función de diferentes criterios, los más comunes Virus: de su analogía con los virus reales ya que infectan otros archivos, es decir, solo pueden existir en un equipo dentro de otro fichero, generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat. También pueden infectar otros archivos, por ejemplo un virus de macro infectará programas que utilicen macros, como los productos Office. Los virus infectan a un sistema cuando se ejecuta el fichero infectado. Gusano: característica principal es realizar el máximo número de copias posible de sí mismos para facilitar su propagación. Se suelen propagar por los siguientes métodos: correo electrónico, archivos falsos descargados de redes de compartición de ficheros (P2P), mensajería instantánea, etc. Troyano: código malicioso con capacidad de crear una puerta trasera o backdoor, que permita la administración remota a un usuario no autorizado. Pueden llegar al sistema de diferentes formas, las más comunes son: descargado por otro programa malicioso, al visitar una página web maliciosa, dentro de otro programa que simula ser inofensivo, etc. 91 S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-MA Debido a la gran cantidad y diversidad de códigos maliciosos que existen, que muchos de ellos realizan varias acciones y se pueden agrupar en varios apartados a la vez, existen varias clasificaciones genéricas que engloban varios tipos de códigos maliciosos son las siguientes: Ladrones de inform ación (infostealers): Agrupa todos los tipos de códigos maliciosos que roban información del equipo infectado, son los capturadores de pulsaciones de teclado (keyloggers), espías de hábitos de uso e información de usuario Cspyware), y más específicos, los ladrones de contraseñas (PWstealcr). Código delictivo (crimeware ): Hace referencia a todos los programas que realizan una acción delictiva en el equipo, básicamente con fines lucrativos. Engloba a los ladrones de información de contraseñas bancarias (phishing) que mediante mensajes de correo electrónico no deseado o spam con clickers redireccionan al usuario a falsas páginas bancarias. Dentro de este ámbito encontramos otro tipo de estafas electrónicas (scam) como la venta de falsas herram ientas de seguridad (.rogueware). Greyware (o grayware): Engloba todas las aplicaciones que realizan alguna acción que no es, al menos de forma directa, dañina, tan solo molesta o no deseable. Agrupa software de visualización de publicidad no deseada (adware ), espías ( ) que solo roban información de costumbres del usuario para realizar campañas publicitarias (páginas por las que navegan, tiempo que navegan por Internet...), bromas (joke ) y bulos Uwax). MÉTODOS DE INFECCIÓN Pero, ¿cómo llega al ordenador el malware y cómo prevenirlos? Existen gran variedad de formas por las que todo tipo de malware puede llegar a un ordenador; en la mayoría de los casos prevenir la infección resulta relativamente fácil conociéndolas: Explotando una vulnerabilidad: cualquier sistema operativo o programa de un sistema puede tener una vulnerabilidad que puede ser aprovechada para tomar el control, ejecutar comandos no deseados o introducir programas maliciosos en el ordenador. Ingeniería social: apoyado en técnicas de abuso de confianza para aprem iar al usuario a que realice determinada acción, que en realidad es fraudulenta o busca un beneficio económico. Por un archivo malicioso: esta es la forma que tienen gran cantidad de malware de llegar al equipo: archivos adjuntos a través de correo no deseado o spam , ejecución de aplicaciones web, archivos de descargas P2P, generadores de claves y cracks de software pirata, etc. D ispositivos extraíbles: muchos gusanos suelen dejar copias de sí mismos en dispositivos extraíbles para que, mediante la ejecución automática que se realiza en la mayoría de los sistemas cuando el dispositivo se conecta a un ordenador, pueda ejecutarse e infectar el nuevo equipo, y a su vez, nuevos dipositivos que se conecten. Cookies m aliciosas: las cookies son pequeños ficheros de texto que se crean en carpetas temporales del navegador al visitar páginas web; almacenan diversa información que, por lo general, facilitan la navegación del usuario. Las denominadas cookies maliciosas monitorizan y registran las actividades del usuario en Internet con fines maliciosos, por ejemplo capturar los datos de usuario y contraseña de acceso a determinadas páginas web o vender los hábitos de navegación a empresas de publicidad. 92 © RA-M A 4 ■S O F T W A R E A N T IM A LW A R E PRÁCTICA 4.1 KEYLOGGER En la práctica que realizarem o s a continuación instalarem os un softw are de recuperación de p ulsaciones de teclado denom inado R e vea le r Keylogger que se e je cu ta al inicio y se en cuentra oculto, pudiendo e n v ia r rem otam ente por FTP o matl, el archivo que registra, en el que se encontrarán tras un período de tiem po cre d e n cia le s de usuario por ejem plo de sitios web com o correo, banca electrónica, o redes so ciale s. A d v e rte n c ia 25 Revealer Keylogger va a convertrse en invisible, c « seguros querer segur? Atajo de tedddo para hacer reaparecer la rterfaí del programa: CTRL + AlT + W •*"No ralear le próxima ve? | Si ~| No En el equipo local que lo tenem os instalado si pulsam os C TR L + Alt + F9 podem os v e r el estad o de registro, observando en qué m om entos ha entrado en d eterm inad as páginas web y qué ha tecleado. En la secuencia vem o s como d esp ués de te cle a r la URL www.yahoo.es ha escrito el texto: inform ática (+ In tro ) y a continuación koala (+ In tro ), posibles nom bre de usuario y contraseña re sp ectivam en te, de uno de los servicios de yahoo, como el correo electrónico. Recom endación La m anera de p revenir estos ataqu es es realizar escan eo s periódicos antimalware con una o v a ria s herram ientas fiab les y actu a lizad a s, controlar los a cceso s físicos y lim itar los privilegios de las cu en tas de usuario para evitar in sta lacio n es no d esea d a s. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A PROTECCIÓN Y DESINFECCIÓN Aunque, como se ha visto, existen gran cantidad de códigos maliciosos, es muy fáci] prevenir el quedarse infectado por la mayoría de ellos y así poder utilizar el ordenador de forma segura, basta con seguir las recom endaciones de seguridad: M antente informado sobre las novedades y alertas de seguridad. Mantén actualizado tu equipo, tanto el sistema operativo como cualquier aplicación que tengas instalada, sobre todo las herramientas anümalware ya que su base de datos de malware se actualiza en función del nuevo malware que se conoce diariamente. Haz copias de seguridad con cierta frecuencia, guárdalas en lugar y soporte seguro para evitar la pérdida de datos importantes. Utiliza software legal que suele ofrecer mayor garantía y soporte, Utiliza contraseñas fuertes en todos los servicios, para dificultar la suplantación de tu usuario (evita nombres, fechas, datos conocidos o deducibles, etc.). Crea diferentes usuarios en tu sistema, cada uno de ellos con los permisos mínimos necesarios para poder realizar las acciones permitidas. Utilizar la mayor parte del tiempo usuarios limitados que no puedan modificar la configuración del sistema operativo ni instalar aplicaciones. Utiliza herram ientas de seguridad que te ayudan a proteger y reparar tu equipo frente a las amenazas de la red. Actualizar la base de datos de malware de nuestra herram ienta antes de realizar cualquier análisis, ya que el malware muta y se transforma constantemente. Analizar nuestro sistema de ficheros con varias herramientas, ya que el hecho de que una herramienta no encuentre malware no significa que no nos encontremos infectados. Es bueno el contraste entre herram ientas antimal ware. Realizar periódicamente escaneo de puertos, test de velocidad y de las conexiones de red para analizar si las aplicaciones que las emplean son autorizadas. Veremos estos aspectos con más profundidad en el capítulo 6, relativo a redes. No debes fiarte de todas las herramientas antimalware que puedes descargarte a través de Internet de forma gratuita o las que te alertan que tu sistema está infectado, ya que algunas de ellas pueden contener código malicioso, publicidad engañosa, no ofrecer la protección prometida e incluso dar como resultado falsos positivos (FakeAV)- Es el denominado rogueware. CLASIFICACIÓN DEL SOFTWARE ANTIMALWARE En cuanto a las herram ientas disponibles para realizar una correcta prevención y corrección son muy diversas según el frente que se desee atajar. Es importante resaltar que las herram ientas antimalware se encuentran más desarrolladas para entornos más utilizados por usuarios no experimentados y por tanto más vulnerables, usualmente entornos Windows, aunque la realidad es cambiante y cada vez son mayor el número de infecciones en archivos alojados en servidores de archivos y de correo electrónico bajo GNU/Linux, y aplicaciones cada vez más usadas como Mozilla Fi refox. 94 © RA-M A 4 ■S O F T W A R E A N TZM A LW A R E A ntivirus: programa informático específicamente diseñado para detectar, bloquear y eliminar códigos maliciosos. Es una herramienta clásica que pretende ser un escudo de defensa en tiempo real para evitar ejecuciones de archivos o accesos a web maliciosa«. Existen versiones de pago y gratuitas, los fabricantes suelen tener distintas versiones para que se puedan probar sus productos de forma gratuita, y en ocasiones para poder desinfectar el malware encontrado será necesario comprar sus licencias. Algunas de las variantes actuales que podemos encontrar son: Antivirus de escritorio: instalado como una aplicación, permite el control an ti virus en tiempo real o del sistema de archivos. A ntivirus en línea: cada vez se están desarrollando más aplicaciones web que permiten, mediante la instalación de plugins en el navegador, analizar nuestro sistema de archivos completo. Análisis de ficheros en línea: servicio gratuito para análisis de ficheros sospechosos mediante el uso de múltiples motores antivirus, como complemento a tu herram ienta antivirus. De esta manera podrás comprobar si algún fichero sospechoso contiene o no algún tipo de código malicioso. A ntivirus portable: no requieren instalación en nuestro sistema y consumen una pequeña cantidad de recursos. A ntivirus Live: arrancable y ejecutable desde una unidad extraíble USB, CD o DVD. Permite analizar nuestro disco duro en caso de no poder arrancar nuestro sistema operativo tras haber quedado inutilizable por algún efecto de malware o no querer que arranque el sistema operativo por estar ya infectado y no poder desinfectarlo desde el mismo. Entre otras herram ientas específicas destacamos: Antispyware: el spyware , o programas espía, son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas para luego enviarla a través de Internet, generalmente a alguna empresa de publicidad. Existen herramientas de escritorio y en línea, que analizan nuestras conexiones de red y aplicaciones que las emplean, en busca de conexiones no autorizadas. Herram ientas de bloqueo web: nos informan de la peligrosidad ele los sitios web que visitamos, en algunos casos, nos informan de forma detallada, qué enlaces de esas páginas se consideran peligrosos y cuál es el motivo. Existen varios tipos de analizadores en función de cómo se accede al servido: los que realizan un análisis en línea, los que se descargan como una extensi érJplugin de la barra del navegador y los que se instalan como una herramienta de escritorio. A continuación vamos a realizar varias prácticas que permitan ver el espectro de herram ientas fundamentales de escaneo antlmalware. 95 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A | PRÁCTICA 4.2 ANTIM ALW ARE Una de las h e rram ien tas m ás utilizad as por su grado de actualización de base de datos de maíware y su eficacia e s el softw are M alw arebytes para W indows. Su d escarg a e instalación es sen cilla. Podrem os ob tener una versión gratuita en http://www.malwarebytes.org/. 1. En p rim er lugar re a liza re m o s una actu alizació n de la ap licación , m ed iante su p esta ñ a A ctu a lizar. A continuación podem os re a liza r un an álisis com pleto del siste m a d esd e su p estaña Escán er. Tras re alizar el e scá n e r podrem os an a liza r cada una de las en tradas y elim in ar las que d eseem o s. E sta herram ienta es m uy útil frente a rootkits que hayan m odificado el registro de W indow s y no perm ita su edición o la ejecución de com andos m ediante la consola. 7Ì A rtll MjKvare M aliu areb ytes’ £»c*rm P erno ta Cu—r » ™ R«ptm UU ¿ to n fa i KMY.aAS$CS.ROOmSO>MAOC«M R«9f»rV*J> KttY_CU fi*tK ! V* « 1 fopatyV*» MTrv.LCH^_MAO«NC\SOrrw«AC'Moo^Wrd}«MSGjfwVVwMn\Acr>'4)mk*««:t>ooicarAg MtXY.CIJRf**«! _USf R'¿OTTWARE Vn oc-fi\r.yJmmS^jUtOtD H^_CURR(M1.immSOaWAW\MaOKA\Wn4m«\CiMrA>«wn> J >oleM\Sfi<w>£^MMA«9 dirToah A«9«fev | 96 MtfY.lOOL.MACH1ME VvOFTWAR*; 'JNác-iNHr» , <*■>W ntoM NT II Cwr ] im V«i p)6ood ¡O) Batf piOcod a (1) 0«*3 [0| I ’■+ I 4 ■S O F T W A R E A N T IM A LW A R E © RA-M A Las 3 ultim as en trad as restituyen valo re s correctos del registro. JÜ M jh *.u rliy1 rt'Ant* M.ilar.wr M a liu a re b y te s’ AobmAem c u iw im Rapata Lata óe-r** **» m an ai pia ato ^ U itu n t* I r a n 0 te M w v lo i ^ l i m i t « Traca 4 0 <0 ^ : U jrw M * Tran Uarwara Trac* Tro<vUtar*»r fcacMSoordol ftacMtuorActf Trotan Aganf TreimJbo* ^ tijrwar* trac« || Trac# u«r*«r» Trac« ¿ Ujrwart Trata Owaiiada 1V I 1 /3 *0 iv i van o iv n /a n o i v iv a n o iv n /an o I V I 1/3010 i v i vano i v n /a n o IV I 1/2010 tc /n /a n o i v iv a n o iv n /a n o i v iv a n o i v i i /a n o iv i vano C*ap>ta na rta na rta ria Na ffe 'la a na fia na fia r«a na n Cordiaca* Müh Usa tea » ja rta i opoaraa pata ai í f e i t na C WiflHOOWX \KfaMO. J C V*flN00WSE\**amBV»»*\_3?**e di C>£oo*an*a ar<j S«*npVU Uaan CVOocwrrfi and SaWnjMaaui.’V«*fcabowC>ata>inW C \WIMDQWSE\at waaaPVoont^.ij a a m cJfeVtaácafc? CWNOOa/KVaaqarvy 4 C \VrtNOGWS£\an«aa*y <fl C W N D O W tt V i y a a i ü T W . l ^ fe cía C Va1HDOWS£\i» «awBMi ■ r .g fe c a l fe C FfcaUOowrá>«drtd>-riaafcVVsUtfe C >ÚooiMnH and SanngiVLoc^amca NT MJlHQATY C\W lMW Nirtt\*cfc-^a di C VWlHOOWS£\i| «a«3A— » C VDocuaanh and SaQngiUaiueíWiÉc-abon ^ K a W > C VD ocwnli ar*3 ü ^ i g¡V<alife5a»ca NT AUTHOR! Mot* 6m J L »ota 4a De un an á lisis concreto podem os v e r com o ha sido cap az de d etecta r: código malware (m a lw a re ,tra c e ), p uertas trase ra (backdoor), troya nos (trojan), etc. I PRACTICA 4.3 Los tiem pos en los que los an tiviru s para GN U /Linux eran poco efectivos, casi ni existían o estab an en un segundo plano, poco a poco se van quedando atrá s. Debido a que como hem os com entado anterio rm ente, el m ayor núm ero de archivo s alojados en se rvid o re s de red se encuentra en siste m a s GN U /Linux, debem os de conocer herram ientas que perm itan re alizar un an álisis exhaustivo y de calidad bajo esta plataform a. La herram ienta que p resen ta rem o s es el an tiviru s Clam Av, y su versión gráfica Clam tk. Es posible instalarlas m edíante los com andos: sudo aptitude install cla m a v sudo aptitude install clam tk Com o sie m p re el prim er paso será a c tu a liz a r la herram ienta de form a online, m ed iante el co m an d o : sudo freshdam. Una vez realizad a la actualización de la base de datos de viru s, podem os e sca n e a r el directorio d eseado (/hom e en este caso ) de forma recursiva (opción - r ) y que tan sólo solo nos m uestre los archivo s infectados (-i), por ejem p lo : sudo clam scan - r -i /ho m e En el caso de eje cu tar la versión gráfica m ed ian te: sudo clam tk 97 S E G U R ID A D Y A LT A D IS P O N IB IL ID A D Scan yer © RA-MA Cuarentena & yuda Actions Home V Scan hidden Thorough 4» Exit __ , Directory A r c h iv o •í ■i ignore size Save a log Estado e o u Antivirus engine 095 3 408 GUI version Virus definitions None found Last virus scan Last infected Me 27 nov 2010 Never Sean Escaneando /mntAvlrVWlNDOWS/lnstaller Porcentaje completado 2 O Archivos Escaneados: 236Vlrus Encontrados: lTiempo transcumdo 00 43 En este caso se ha em pleado la herram ienta para un caso an terio rm ente co m entad o : e s ca n e a r un siste m a de archivo s W indows sin a rra n ca r el sistem a operativo propio. Se ha arrancado en modo Live el sistem a desde el CD de instalación de Ubuntu, configurado los p arám etros de red para te n e r conexión con el repositorio de ap licacion es, instalado clam A v y cla m T K , y m ontando la partición d esead a (en este caso en /mnt/win). PossiDle inlectioos tuve been found Archivo Estado Annt/win/WlNDOWVWeb/txmtcrs/pagel.asp PUAHTMLtnfected VVebPage-2 None ;mnl/v*in'WINDOWS»yste»n32/symbooicfg.exe TToian.Buzijs-3511 Actíon Taken None Vem os como ha sido ca p az de d etectar 2 archivo s malware, que desde el propio siste m a operativo W indows y con la aplicación Malware bytes no había sido cap az de detectar. PRÁCTICA 4.4 ANÁLISIS ANTIMALWARE LIVE! A modo de ejem p lo de herram ienta esp ecífica que podem os em p le ar para re sca ta r arch ivo s y an alizar el malware de un sistem a, p resen tarem o s AVG R escue CD. Es un conjunto independiente de h e rram ien tas que se puede iniciar desde un CD o un disco flash U SB. Puede u tilizarse para recup erar equipos que no perm itan el reinicio o que estén infectados y no puedan funcionar con norm alidad. Tanto el CD com o la unidad flash U S B constituyen un sistem a autónom o con el sistem a operativo G N U /Linu x y AVG p reinstalad os. R e alizare m o s el ejem p lo con una m em oria U SB. En prim er lugar d escarg a rem o s el archivo RAR desde la web del fab ricante y se ex trae rá en la raíz de un dispositivo U SB (unidad flash). Para hacer que nuestro U SB sea a rra n ca b le , seleccionándolo desde la B IO S , eje cu tare m o s d esd e W indows el archivo m akeboot.bat extraído, ai e je cu ta rs e , el archivo sob rescrib irá el registro de arran q u e. En la ventan a de línea de com andos de W indows ab ierta, presiona cualq uier tecla para p rep arar la unidad fíash U SB. Una vez d ispuestos los archivos en la m em oria podrem os a rra n ca r nuestro equipo seleccionando com o prim er dispositivo de arranque la unidad U SB. Una vez arran cad o AVG Rescue m ostrará en prim er lugar una pantalla de b ienvenid a, se leccio n are m o s por defecto la prim era opción AVG Rescue CD. 98 4 ■S O F T W A R E A N T IM A L W A R E © RA-M A D urante el arran q u e real, AVG R e scu e CD m ontará au to m áticam ente todos los discos duros del equipo. De este modo, los discos duros podrán an alizarse y editarse. Así ¡mismo, la conexión de red se configurará auto m áticam ente, si es necesario se indicarán los p ará m e tros de red. En el siguiente paso, se pregunta si d eseam o s e je c u ta r una actualización de AVG, será recom endab le re a liza rla , teniendo en cuenta que d ebem os disponer de una conexión a In te rn e t activa. Una vez finalizado el procedim iento de arranq ue, se abrirá una sencilla interfaz de usuario, com o la que se m uestra a continuación. EQZ S í'i .1 UUftiill , n iiHii r .1 ■ F. l>t HSli rt' imt *tuwo ¿■ait'¡isaa imiM.TBMKaa Ulew and process scan result. Configure <i n d run last update. 1aspect U1ndaws virus uau11. Be— Wnetwork indows uoluars Confnonnt .1,1'rebootable Create ItSB Flash Drlue. HEject 1see 11-netmi; utilities. rescue cd. Reboot sysle*i. Shutdown sijsten. Rescui- Cl1and l;VS version Info. <S ■> m xhw ; D esde este m enú, se puede o b ten er acceso a todas las funciones ese n c ia le s de AVG R escue CD que son en tre o tras: A n alizar: para iniciar un an álisis malware. R esultados del a n á lisis: v isu a liza r inform es de an álisis finalizados. A ctu a lizar: iniciar una actualización de AVG. M o n ta r: iniciar el m on taje de los dispositivos de alm acenam iento. Red: para configurar la conexión de red. U tilidades: conjunto de h erram ien tas útiles como se presenta en el siguiente m enú. Por ejem plo para ed itar el registro de W indows en caso de que haya sido acap arad o y no m odificable por algún rootkit. O tras opciones: recup erar archivos borrados con Testdisk y Photorec, un explorador de arch ivo s, etc. 1 f ill: n.lll.l(|(T¡ II P¡»«| T- tOl:K rtmtliH« Link« 1-1irlii H|lit 1nnn.iiiili r Ulndows re g istry e d ito r. Pl«g u tl 1I ty . Disk data recouenj u tility . Recover deleted f lic s . Text UUU browser. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A LA MEJOR HERRAMIENTA ANTIMALWARE Conocer qué herramienta se ajusta mejor a mis necesidades en cuanto a consumo de recursos, opciones de escaneo, y cantidad de malware encontrado en test de prueba, no es Fácil. Muchas de las empresas desarrolladoras de software antimalwares m uestran estudios en sus propias web demostrando que son mejor que la competencia, pero estos estudios pierden validez al ser conducidos por la propia empresa. También pierden validez los estudios conducidos por los propios usuarios (a pesar de que estos tengan buenos conocimientos de seguridad informática) debido a que generalmente la muestra de virus es muy pequeña o se pueden m alinterpretar los resultados, por ejemplo contando la detección de un falso positivo como verdadera cuando no lo es y debería contarse como falsa. También tenemos que tener en cuenta que la tasa de detección puede variar de mes a mes, debido al gran número de malware que se crea, y aunque la tasa de variaciones suele ser pequeña lo mejor es comparar un estudio con otro un poco más antiguo (meses, no años). Hay que recordar que ningún antivirus es perfecto (no existe el 100% de detección), y además, puede que un antivirus detecte un virus que otro antivirus no detectaría y viceversa. Los estudios con más validez son los que son hechos por empresas o laboratorios independientes, entre las empresas más importantes y más precisas que realizan los estudios tenemos: AV Comparativos (http: / 1www.av-comparatives.org). AV-Test.org (http:/ / www.av-test.org). ICSA Labs [http:/ / www.icsalabs.com) . Virus Bulletin (http:/ / www.virusbtn.com). West Coast Labs (http: / / westcoastlabs.org). En ocasiones las herramientas antimalware no suponen una solución a una infección, ya que detectan posibles am enazas pero no corrigen el problema. En estos casos es más efectivo un control a fondo de los procesos de arranque, los que se encuentran en ejecución y otros archivos del sistema que hagan uso por ejemplo de las conexiones de red establecidas. I PRÁCTICA 4.5 ANÁLISIS ANTIMALWARE A FONDO En tos siste m a s operativos es necesario re alizar ta re a s de m onitorización y control e x h a u stiv as para d etectar an o m alías y m odificaciones no d esea d a s. A continuación verem o s que para siste m a s W indows existen diversas h e rra m ie n ta s que nos perm iten controlar y d e te c ta r m odificaciones si las insp eccion am os p eriódicam ente y an alizam o s las va riacio n e s que se produzcan: Los procesos de arran q u e en el siste m a , m ediante la ejecución de la herram ienta msconfig. 100 © RA-M A 4 ■S O F T W A R E A N T IM A L W A R E U tilid a d d e c o n fig u r ación d r l t u t e n ™ General 5YSTEMJM WIN INI 800TJM2 □emento de rricio <u> l j» PíW Serv lr**> Herreraertes Ubc^oÓn CoMndo y¡ *C'\Ardwoí de programaKyfcerLr*.\Pot*e»DVD\... "C:Wct*vo4 de progreme\Cy<)erU*V*o»wefCiVO\. 'C-VArchrvos de progreme\Archvo» conune*Uev... ? Language □ C Lj (9 B 60 X Servrio» RTH XK ^ e P tu nfcam ctímon OpenOifke.org 3.0 RTfrCCR.D C “C W cbrvoi de programa\K©eP«í P«y^ord Stí. *C’VArchrvos de programaV'^a^arpbyt«' ArO-M... C:\WIHDOWS\syJlem32Vctfmon.exe C :\ARCHIV~1\OPENCT-1.C«G\progrem\QUlCX... o □□□□□□□□... □ □□□□□□□□• K*XM\SOFTWAR£V^OOSOÍU HCLM\SOfTWAR£VtaO«jft\ TWAPfVVrMOÍU HOM\50rrWAft£\MoWt\ HCLM\SOFTWAR£\Mcroíaft\ rtaM\SC#TWAR£\Nkroíoft\ ^aASOFTWAPEV^üOMftV Startup rttCU\SOFTWAR£\Mao«ftV **OJ\SOFTWARE\Mcn>ícft\ m ' ~ M ‘t » 1 OefheMler lodo HetiKerCodo 1 Acepter j tokj* Cenceier Ayude D eshab ilitarem os tas 2 en trad as últim as, potencialm ente m aliciosas ya que poseen nom bres no ¡dentificables. Los procesos en ejecución podem os an alizarlos m edian te la herram ienta A utoruns y Pro cess Exp lo rer, que se incluyen en la suite de h e rram ien ta s Sy sin te rn a ls. Con A utoruns podrem os id entificar el fabricante y la ruta de ejecu ció n del proceso. Existen otras p esta ñ a s com o: listado de D LL conocidas, se rvicio s, procesos de inicio de sesió n, localización de drívers registrad o s, etc. Process Exp lorer m u estra los vínculos entre cada proceso y los archivos y DLLs que em plea, socket que ab re , usuario que lanza el proceso, hiios de ejecu ció n , etc. H erram ientas a v a n za d a s de an álisis del sistem a com o la proporcionada por Trend Micro H iJackThis: perm ite la búsqueda ex h a u stiv a de elem entos no d esea d o s en ei arran q u e , el registro de W indows o los directorios de siste m a . Para cada una de las e n tra d a s, podem os b uscar inform ación a cerca de si es potencialm ente m alicioso o no. A partir de la inform ación su m inistrad a en web de seg urid ad podrem os h acer una desinfección del siste m a en caso de infección. 04 • .ytixv lS7Mtf6r%Ti«yAco] CvyfKr* * fotaátdtforTM tian or> to n 04 T>it parto# r tv ic jn r tiK fc ito r w v 'r tf «a po eu i « r tn n tM t «iok>ad*rf»<r u*ndo»*iU rts A o ttÉ i»dr*j«rír»»t4rito«d#nigBtrrtírc>r. vtiK > pl ar p e -is t*rctu sfig th tE SUrl SMrt*>P«9r. 5««ah6«r and *>♦»<> kvutíMl loN M rt ro • ta « t«* t page tftm • ry rtw * r«toot M o . • tX i M» b» th«£ car rtx¡ vcv*rai p * t i d yo* ffUtm. Inf«cttdhwoéi ••geatc r t W C i r v«S ( nrd n: C-Wogre» h n tá* 8 ( M id (Anón l«*ao »tQrtry » } 02-mo *^SartD*erto^-<I7ttf<OI-l7CE-4C07-eC66*A«9*4WC) O*-HVHVbn[•ftttrt)CV*WC">WvrVe»SVtf»*ityr»* O«-«l*\..\Rist C\W9DO+T&fr*»m33W*9**«** O*•>*IM\,\JUriISinTPCr^lCproprn*F»rt\Syr*0tKj\5^TP\SynTTOiK 0*M#l V»inlaMJ^v»)*C \.-i I»" 09 «.»„ II ■J Toob» SddCornwter ÍZ f • (2V#616C-A30CM4f5-eCHA-rDOO}A26C85C) • C:'^fogr « r F«cs\50fc£>0CU 04 • rttMV \fU n (V iM a n d lC \W*©0W5CVsy**rfO2V*t»A®«» 0 4 . n i K i iBl t [U04«UP?ü39wTCue] 'C:\propm F * ^ y b e n w * ) * ^ 2 G ó W n t » n * m * t n s t * t P + n j.i 04 • * O H IU 04aK«TSh»tC U ) 'OWrOQren H«\C»t»rl**4D*0 Srf*V M T f«W irV < JI5 U ft«*ru r». 04 ■ VUrx [5utf**M JpM e5(t*d) *C ^Prograw N rt ’iCownon HevU«y*'J*v* e>e* 04 04 04 0« 04 - H l**. [Aá&iK+*itr-Sc+KlL*ntm )'C'rrajrw nFén‘lM * * \P » * * '9 tyl»*á"Vt»+3* j L fr t - H1M\ Vtvn ¡Adob«A#í«3*C \Praor*»««\Cai»wFteVW oe»V*P»^l 0\Adab*A£V r>«* •M U4 [Butfcb] C jo t r a r * 5te*A5UCe®jfcü» • t* M lK flogo#f]C:y^ogr««nn\wtritoMiSCMA5UU\SCnjriot#Y.*»* • * m . IP v r [KeeAftec : <V*oad] * t P « v « d S rfi -pr«fc»5 OtheriftSr SMbg iMchecfcm! W o o n M h c fd t o * . | Wn H e n f^ n j , CoVQ A d d tfw ^ ad fo c ro e h l 101 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A REFERENCIAS WEB Historia del malware.'. http: / / www.pand.asecurity.com / spain / homeusers / security-info / classic-malware / Útiles gratuitos de seguridad informática del CERT - INTECO —Centro de Respuesta a Incidentes de Seguridad. Instituto Nacional de Tecnologías de la Comunicación: http: / / cert.inteco.es / software / Protection/útiles ^gratuitos! Foro de análisis malware-, http: / / www.forospyware.es/ Web sobre software antimalware\ http:/ / www.antiuirusgratis.com.ar/ Sección de software gratuito antimalware en Softonic: http :/ / www.softonic.com!s / malware RESUMEN DEL CAPÍTULO Atrás quedaron los años en los que se entendía como virus un código que se ejecutaba en un ordenador con la finalidad de dejarlo inoperativo, concepto muy genérico que se ha visto desarrollado en el término malware o software malicioso, orientado actualmente a la obtención de beneficios económicos. Entre los nuevos tipos de malware encontramos a parte de los clásicos virus, gusanos y troyanos, el greyware inofensivo generalmente como Adware, Broma (Joke), Bulo (Hoax), los ladrones de información o infostealers como spyware, keyloggers y PWstealer o ladrones de contraseñas, así como software dedicado a fines delictivos o crimeware que mediante falsificaciones web, rogueware, mensajes de spam que redireccionan a web falsas para intentar hacer phishing, ingeniería social y aprovechando puertas traseras (backdoor) y exploits para manejar redes zombi o botnets, son capaces de lucrarse económicamente. Como vemos el malware se encuentra cada vez más especializado y diversificado, por lo que las empresas desarrolladoras de herram ientas de prevención, detección y desinfección se encuentran siempre corriendo a tapar las nuevas vulnerabilidades y amenazas. A la hora de seleccionar la mejor herram ienta debemos buscar cuáles se ajustan mejor a nuestras necesidades, utilizando siempre el contraste de varias y analizando los informes independientes que realizan los laboratorios de test de herram ientas antimalware conocidas. Para mantenerse sin “infecciones”, las recom endaciones son: tomar precauciones de uso compartido de dispositivos, así como en la navegación y descarga en Internet. Mantener siempre actualizadas nuestras aplicaciones y sistemas operativos, así como nuestras herram ientas antimalware, controlar los procesos en ejecución y realizar chequeos periódicos, y mantenerse muy informado de las últimas tendencias en software malware , para evitar situaciones comprometidas. 102 © RA-M A 4 ■S O F T W A R E A N T IM A L W A R E EJERCICIOS PROPUESTOS 1. Lee el siguiente artículo sobre la historia de los virus: http: / / www.nnd32-la.com/ tutorials/cronologia_dejos_uirus_informaticos.pdf y contesta a las siguientes cuestiones: ¿Cómo ha cambiado la finalidad del software ma~ Iware desde sus orígenes hasta hoy? ¿Existen vi­ rus para MacOS? ¿A medida que pasan los años la aparición del malware es más rápido o lento? ¿Qué dispositivos son el objetivo de los nuevos creadores de malware? ¿Por qué? 2. Lee el siguiente artículo de comparativa de dis­ tintos antivirus, disponible en: http:/ / www.diarioti. com/gate / n.phpHd=25518 y contesta a las siguien­ tes cuestiones: ¿Qué antivirus funcionó mejor ante el test pro­ puesto en 2009? ¿Y en segundo y tercer lugar? ¿Y en el 2008? ¿Qué porcentaje de CPU consume en la máxima carga de trabajo el antivirus más eficiente? ¿Cuál es el único gratuito que superó todas las pruebas? 3. Analiza la siguiente noticia “Madrid, capital del spam" http:/ / www.csospain.es / Madrid,-capital-delspam -/ sección-alertas! noticia-91980 y contesta: ¿Cómo se denomina al correo basura y por qué? ¿Cuál es el país con mayor emisión de correo basura? ¿En qué posición se encuentra España? Comenta algún caso en el que hayas recibido co­ rreo basura con intento de phishing y cómo lo detectaste. 4. Investiga acerca de secuestradores del navegador web (browser hijacker) y de la consola de comandos (shell hijacker). ¿Qué efectos no deseados tiene sobre el sistema? 5. Busca información sobre el archivo autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. Dentro de la clasificación de malware que hemos visto, ¿qué tipo de malware suele ser autorun. i.nf? ¿Cómo se propaga? ¿Qué efecto tiene? ¿Parece inofensivo? ¿A qué tipo de sistemas operativos afecta? ¿Qué medidas de seguridad puedes tomar? ¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede realizar? ¿Para que sirve USB Vaccine? Visualiza este videotutorial y descubre otra forma de eliminar el malware. ¿Con qué programa se realiza la desinfección? www.cristalab.com / tips / como-eliminar-virus-auto­ ra n. inf-de-un-di spositi vo-usb-c 764361 / 6 . Busca información sobre dos ejemplos actuales y reales muy peligrosos de códigos maliciosos o ma­ lware (troyano, virus, gusano, PWstealer, etc.), rea­ liza primero una breve definición y posteriormente analiza y explica: nombre del malware, archivo o método de propagación e infección, mecanismo de reparación manual. Comparte los ejemplos reales con tus compañeros, analiza los ataques y medios de infección y solución empleados. 7. Repartir entre los alumnos de la clase las dife­ rentes herram ientas antimalware en su versión gratuita, trial o de evaluación, de escritorio y en lí­ nea de Ad-aware, Avast, AVG, Avíra, Bitdefender, ClamAv, eScan, ESET, F-Secure, G DATA, Kasperskv, Rings oft, Malwarebyte's, McAfee, Microsoft Security Essentials, Norman, Panda, Sophos, Symantec Norton, TrendMicro o TrustPort. Realiza un escaneo de tu equipo con al menos 2 de ellas y compara el resultado analizando distintas características como: Tiempo y tamaño de la actualización de la aplica­ ción, número de archivos analizados, ocupación en disco de los archivos analizados, % de CPU ocupa­ da en escaneo y en espera, opciones de escaneo, tiempo total de escaneo, malware encontrado y desinfectado, recomendaciones de seguridad pro­ puestas. 8 . Si deseas utilizar alguna herram ienta antímalware de la que desconoces la reputación del fabricante, te 103 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D recomendamos, antes de instalarla, comprobar la con fiabilidad de la aphcación en la lista actualizada de http://www.forospyware.com/t5.html. Indica al menos cinco programas Rogueware o FakeAVs. í). Realiza una lisia de los programas instalados y los procesos en ejecución en tu sistema. Busca en esta lista realizada si se encuentra algún FakeAVs dentro de la lista de Forospyware. Puedes ayudarte del ar­ tículo sobre procesos legítimos del sistema operativo en sistemas Windows de ESET: http: / / blogs.eset-la.com / laboratorio / 2009105/07/ procesos-legitimos-/iativos-sistema-operatiuo-i/ © RA MA 10. Entra en la web www.siteaduisor.com (McAfee) y verifica distintas URL de las que tengas dudas sobre su nivel de seguridad. Haz un listado con el informe de al menos tres URL. 11. Investiga sobre la inyección de código SQL (SQL Inyection) con la finalidad de obtener las tablas de usuarios y contraseñas de base de datos de sitios web. ¿Cómo es posible realizarlo? Prueba mediante la distribución Backtrack un intento de inyección SQL en un sitio web en el que sea necesario regis­ trarse. ¿Qué tipo de precauciones tendrías como ad­ ministrador web para evitar inyección SQL? TEST DE CONOCIMIENTOS Málware que toma el control remoto del usuario administrador: Hoax. Joke. Rootkit. Gusano. Malware que envía mensajes electrónicos con noticias falsas o bulos: Hoax. Joke. Rootkit. Gusano. Malware que permite capturar lo que se pulsa por teclado para capturar posibles usuarios y contraseñas: Clicker. Spyware. Exploit. Keylogger. 104 Diferencia entre el scam y el spam\ Fraude bancario y correo basura. Fraude electrónico y correo basura. Correo basura y fraude malware. Troy ano y gusano. La finalidad actual de crear malware es: Lucrarse. Hacer el mal. Divertirse. Buscar errores en las aplicaciones. Crear parches de seguridad posteriores. 4 ■S O F T W A R E A N T IM A L W A R E © RA-M A Dituiwidoi Calegoita Fie Elementos cAdocunerts and tettmgsVietwoikseíviceVcofifiguiaoón loca/\aichiYot tempotalet Extensión.Mismatch Fie cAdocunenls and tettngj\netwo<kseivce\contiouiación iocafaichivos lempotales Extensión.Mismatch Fie c \docum?nts and tettngsVietwofkíeiviceVonfgu ación locafvatchivot terrcotateó Worm.Conficker Fie c:\WIND0WS\system32'.tgqygon. d¡ Worm.Conflcker Dont.Steal.Our.Software JÁ Fie Fie e:\RECYCLER\j-5-3-42-281 9952290-8240758968-879315005-36&5\<wgkvsq vnw Worm.Palevo Registiy Valué @ Extensión.Mismatch 0 0 0 0 0 ♦ 0 0 ^ 0 0 Regtíüy Valué HKEY_LOCA1__MACHINE\SOFTWARESMicio$oí(\Wi x Jows NTVCurertVeraonVWi Ht|ack. Shell RegretiyData PUM.Hijack.StartMenu Regisfty Data HK.EV_CURRENT_USER\SOFTWARE\Miciosolt\Wrdowt NTV£unen(Vemon\Wi HK£Y_CURRENT_USER\SOnWARE\M¡ctosolt\W»idom\Cu!er>lVetsion\Exploii Worm.Palevo ^ ^ e Vaño 2010-201 USIVnalwatebjrteí 1 46\palnck exe HK£Y_CtlRRENT_USER\SOFTWARE\Wic»osjDll\Windowj NT\CutenlVeftion\Wi Para la figura mostrada, contesta a las preguntas 6 , 7 y 8 . Después de realizar un análisis antimalware, ¿qué tipo de malware es la 4f( entrada? Gusano. Troyano, Virus. PWstealer. ¿Qué inhabilita la 9a entrada? Consola de comandos. Administrador de tareas. Registro. Archivo ejecutable. ¿Qué ha modificado la 7a entrada? Consola de comandos. Administrador de tareas. Registro. Archivo ejecutable. ¿Bajo qué término se engloban acciones malicias no demasiado perjudiciales? Hocix. Greyware. Joke. Infostealer. / Profundizar en aspectos de criptografía asociada a la confidencialidad de la información y de las comunicaciones. / Garantizar la confidencialidad de la información. / Garantizar la privacidad de las comunicaciones. </ Diferenciar ventajas e inconvenientes de la criptografía simétrica y asimétrica. / Analizar nuevos procesos de identificación digital seguros mediante firma digital, certificado digital y dni electrónico. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A PRINCIPIOS DE CRIPTOGRAFÍA La criptografía (del griego “oculto” y “escribir”, literalmente “escritura oculta”) es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que solo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. O tra aplicación frecuente es la de cifrar información contenida en soportes de almacenamiento para garantizar la privacidad y confidencialidad de la misma. Con más precisión, cuando se habla de esta área de conocimiento como ciencia, se debería hablar de criptología, que a su vez engloba tanto las técnicas de cifrado, es decir, la criptografía propiamente dicha, como sus técnicas complementarias, entre las cuales se incluye el criptoanalisis, que estudia métodos empleados para romper textos cifrados con objeto de recuperar la información original en ausencia de las claves. La criptografía se consid era una ram a de tas M atem áticas y en la actualidad de la Inform ática y la T elem ática, que hace uso de m étodos y técn icas m atem áticas con el objeto principal de cifrar un mensaje o archivo por medio de un algoritmo, usando una o más claves. En la terminología de criptografía, encontramos los siguientes aspectos: La inform ación original que debe protegerse se denomina texto en claro o texto plano. El cifrado es el proceso de convertir el texto plano en un texto ilegible, denominado texto cifrado o criptograma. Por lo general, la aplicación concreta del algoritmo de cifrado se basa en la existencia de una clave o información secreta que adapta el algoritmo de cifrado para cada uso distinto. Los algoritmos de cifrado se clasifican en dos grandes tipos: De cifrado en bloque: dividen el texto origen en bloques de bits de un tamaño fijo y los cifran de manera independiente. De cifrado de flujo: el cifrado se realiza bit a bit, byte a byte o carácter a carácter. Las dos técnicas más sencillas de cifrado , en la criptografía clásica, son: La sustitución: supone el cambio de significado de los elementos básicos del mensaje, las letras, los dígitos o los símbolos. La transposición: supone una reordenación de los mismos, pero los elementos básicos no se modifican en sí mismos. El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la clave. 108 5 ■C R IP T O G R A F ÍA © RA-M A Le e el sig u ie n te a rtíc u lo so b re la co m p e tició n e x is te n te p ara c o n d e c o ra r al a lg o ritm o de cifrad o m á s s e g u ro , tra s d e te c ta r d e b ilid a d e s en el a lg o ritm o " e s t á n d a r d e oro " S H A . A rtícu lo " S e b u s c a el a lg o ritm o m á s se g u ro del m undo", fu e n te http://w w w .laflecha.net/canales/ blackhats/noticias/se-busca-ehalgoritmo-mas-seguro-del-mundo. C o m e n ta con el re sto d e c o m p a ñ e ro s en c la s e : • • ¿Q u é e s el N IS T y p ara q u é s ir v e ? ¿ C u á n t a s v e rs io n e s de S H A e x is te n ? ¿ E n q u é añ o se p re v é la fin a liz a ció n del c o n c u rs o ? ¿C o n q u é a lg o ritm o s e re a liz ó p re v ia m e n te e s te p ro ce so ? TIPOS DE ALGORITMOS DE CIFRADO La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones desarrollaron técnicas para enviar mensajes durante las campañas militares, de forma que si el mensajero era interceptado la información que portaba no corriera el peligro de caer en manos del enemigo. Posiblemente, el primer criptosistema que se conoce fuera documentado por el historiador griego Polibio: un sistema de sustitución basado en la posición de las letras en una tabla. También los romanos utilizaron sistemas de sustitución, siendo el método actualmente conocido como César, porque supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura. César utilizó un esquema criptográfico simple pero efectivo para comunicarse con sus generales. El método de cifrado introducido por Julio César introduce el concepto de clave criptográfica. El desplazamiento de 3 letras es la clave que se utiliza por César para cifrar el mensaje, necesitándose la misma clave para descifrarlo. El ejemplo de César muestra un criptosistema de clave simétrica en el que se utiliza la misma clave para cifrar y descifrar el mensaje. Existen dos grandes grupos de algoritmos de cifrado'. Sim étricos o de clave sim étrica o privada: los algoritmos que usan una única clave tanto en el proceso de cifrado como en el de descift-ado. Asim étricos o de clave asim étrica o pública: los que emplean una clave para cifrar mensajes y una clave distinta para descifrarlos. Estos forman el núcleo de las técnicas de cifrado modernas. 10« S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA Según el principio de Kerchohoff la fortaleza de un. sistema o algoritmo de cifrado debe recaer en la clave y no en til algoritmo, cuyos principios de funcionamiento son conocidos normalmente, en caso de no conocer la clave no podremos descifrar el mensaje. I PRÁCTICA 5.1 SCRIPTS DE CIFRADO 1. A modo de ejem p lo de algoritm o de su stitu ción, podem os e je cu ta r el sig u iente com ando para cifrar m ed ian te codificación C é sa r un archivo de texto plano (en el ejem plo denom inado d o cu m en to ): fiichivo Editar yer Terminal Ayuda root@aluano-laptop:/home/aluiino/DocuBentos/Confidencial# cat docuaento Este archivo contiene información relevante y datos de ingresos periódicos Passl: jokoala Pass2: Ingresos etc root@aluano-laptop:/hoBe/aluniiio/Oocunentos/Confidencial» cat documento | tr [a-z] [d-zabe] | tr [A-Z] [0-ZA8C) > docuaentocesar rootaaluwio■ I aptop :/hone/alumno/Documentos/Confidencial# cat docuaento cesar Hvwh dufklyr frqwlhqh Iqirupdflrq uhohydqwh b gdwrv gh Iqjuhvrv shulrglfrv Sdvvl: a m r d o d Sdvv2: Lqjuhvrv hwf root@alumno-laptop:/hoae/aluano/Docunentos/Confidencial» | Com o vem os el com ando tr perm ite re alizar una sustitución ca rá cte r a carácter. M ediante tu b e ría s o pipes se han incorporado m ayú scu la s y caso s lím ite como son los ca ra cte re s 'x', 'y' y vz'. 2. Otro ejem plo donde se su stitu yen las vo cales por ca ra cte re s esp ecia le s de puntuación, a-*b->etc. Archivo Editar yer Terminal Ayuda root@ubuntu:/ho«e/alumno/Docuaentos/Confidencial» cat documento | tr [aeiou] r [AEIOU] I > docuaento sustitución root@ubuntu:/hoae/alumno/Oocuaentos/Confidencial« cat documento sustitución st :rch,v. c.nt. n l: .nf.n»:c,.n r l v:nt P:ssl: J.k.:l: | ti' P :S S 2 : ,n g r s . s _tc root@uburtu:/ho«e/aluiwio/Docuaentos/Confldencial» cat documento Este archivo contiene la información relevante Passi: jokoala Pass2: In g re so s etc root@ubunt u :/hoae/aluono/Documentos/Confidencial* | 3. Por otro lado, com o ejem plo de algoritm o de transposición, p asarem os a un scrípt denom inado transposición, sh un docum ento en texto plano, y palabra a palabra y c a rá cte r a carácter, irá dándole la vu elta, colocando de esta form a cada ca rá cte r en una posición diferente pero sin m odificarlo. 110 © RA-M A 5 ■C R IP T O G R A F ÍA i------- . » vUhM. í / m »o ( A ta r y rr Jtvrmnal ------- - ■ * r /« rootfutuniu /ho*/alurv)/C)QcueertosZContJdmciaL* transpon clon. *h docuarolo root*ubw«tu /ho«*/alu«no/Do<uae*toi/Canllí»CTCtala c a t docunento tr*o*pom ton ettC avibera m ttin o c a l n e ic a ro fn f atnav*ler h v iP alacho) 7 \\* r '. c ir r g n l c t* ytr*» o O t>fJi Huevo Afcrtt yr» rtt fM'Votrr aiiwriVí^oci^t^«To^.iJ*TidaiM•cH¿t n ^ |u k jt G u a n í* fcfcmm*wr» Doc^ntrtos Agute D r.*« u » neftteer im prim ir •trwwoovoonih o fi/tlia / te s h If | • - » M I titta acbo *Ma t i n l i a rc h iv o o r tg r « tlM tH t T I I i r a . U’ M c iO n • h t l r r«ad lin e a U II* TowtH l» t r 1or »a a b ia ia i i i w a »'1 1I ln a ^ itu i]« eche io j .» >»• I «*■ U m f lt u 4 * l U I l * " * i t« I I ) f o r ; in \ r l l i n n ; la t ra | cu» - e ll dOM tc h o ■ CRIPTOGRAFÍA SIMÉTRICA La criptografía sim étrica es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario y éste lo descifra con la misma. Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. Dado que toda la seguridad está en la clave, es importante que sea muy difícil adivinar el tipo de clave. Esto quiere decir que el abanico de claves posibles, o sea., el espacio de posibilidades de claves, debe .ser amplio. Esto lo posibilita la longitud y el conjunto de caracteres que emplee. Actualmente, los ordenadores pueden descifrar claves con extrema rapidez, y ésta es la razón por la cual el tamaño de la clave es importante en los criptosistemas modernos. Algunos ejemplos de algoritmos de cifrado simétrico son: El algoritm o de cifrado DES usa una clave de 56 bits, lo que significa que hay 256 = 72.057.594.037.927.936 claves posibles. Esto representa un número muy alto de claves, pero un ordenador genérico puede comprobar el conjunto posible de claves en cuestión de días. Algoritmos de cifrado como 3DES, Blowfísh e IDEA usan claves de 128 bits, lo que significa que existen 2 128 claves posibles. La mayoría de las tarjetas de crédito y otros medios de pago electrónicos tienen como estándar el algoritmo 3DES. Otros algoritmos de cifrado muy usados son RC5 y AES, Advanced Encryption Standard, también conocido como R^ndael, estándar de cifrado por el gobierno de los Estados Unidos. Los principales problem as de los sistemas de cifrado simétrico no son su seguridad sino: El intercam bio de claves: una vez que el rem itente y el destinatario hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero, ¿qué canal de com unicación seguro han usado para transm itirse las claves? Sería mucho más fácil para un atacante intentar interceptar una clave que probar las posibles combinaciones del espacio de claves. 111 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA n úm ero de claves que se necesitan: si tenemos un número n de personas que necesitan comunicarse entre sí, se necesitan n /2 claves diferentes para cada pareja de personas que tengan que comunicarse de modo privado. Esto puede funcionar con un grupo reducido de personas, pero sería imposible Llevarlo a cabo con grupos más grandes. El Para solucionar estos problemas se mejora la seguridad de los sistemas, mediante la criptografía asimétrica 3' la criptografía híbrida. PRÁCTICA 5.2 CIFRADO SIMÉTRICO PGP (Pretty Good Privacy) es el program a m ás popular de encriptación y de creación de llaves públicas y privadas para seguridad en ap licacion es inform áticas, por lo que se considera híbrido. PGP se ha convertido en e! e stá n d ar de seguridad para las plataform as en que se ha lanzado y perm ite añ ad ir seguridad a docum entos, ap licaciones, etc. GPG o GNU Privacy G uard e s una herram ienta para cifrado y firm as digitales, que vien e a se r un reem plazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es softw are libre licenciado bajo la GPL. No usa algoritm os de softw are que están restringidos por p aten tes, entre estos se en cuentra el algoritm o de cifrado ID EA que está p resen te en PGP casi desde su s inicios. En su lugar usa una se rie de algoritm os no patentados como EIG am al, C A S T 5 , Triple D ES (3 D E S ), A E S y Blowfish. Es una aplicación que viene p reinstalada en las distribuciones GN U /Linux, aunque existen ve rsio n es g ratuitas para W indows. El com ando gpg con la opción - c puede se r em pleado para re alizar cifrado sim étrico, pidiéndonos una frase co n traseñ a o clave privada que será em p leada tanto para el cifrado com o el descifrado. gpg - c archivoorigen La aplicación gpg genera un archivo en el m ism o directorio donde se ubique el archivo de origen a cifrar, añadiendo por defecto la exten sió n gpg. Ef arch ivo de salid a es binario, para que se com ponga de c a ra cte re s A S C II, añ ad irem o s la opción - a , siendo el form ato de salida ase. En caso de q uerer d escifrar el archivo de salida e je cu ta m o s: gpg -d a rch ivo .a se , en caso de que el archivo haya sido cifrado con ca ra cte re s de salida A S C II. Archivo Editar Vtf Jerminal Ayuda root@ubuntu:/hoae/alumno/Docuaentos/Confidencial» gpg c a docuaento gpg: el agente gpg no esta disponible en esta sesión root@ubuntu:/hoae/aluono/Docuaentos/Confidencial» Is documento docuaento- documento.ase docuaento cesar documento.gpg root@ubuntu:/hone/alunno/Documentos/Confidencial« cat docuaento.ase ---- BEGIN PGP HESSAGE..... Versión: GnuPG vi.4.9 (GNU/Linux) jAeEAMMC9xq94xBsIIlgytttrPoC6S93wll») rlXpd3/K3fdOlCxh)UVC50»SHbf JT X85b9/6ov0Y3cWnlpvYi30z+7GdObcb+I4oC181rfpalv<-e4NslGGt)UxhcvqQAI1 wsmRBqONclGAi3HoHuyLvaalcvaoyV7xSY5df(h=s =rrj2 .... END PGP MESSAGE..... V em os que un fichero creado en texto plano se ha convertido en un archivo no interpretable (d o cu m en to .ase). 112 © RA MA 5 ■C R IP T O G R A F ÍA I PRÁCTICA 5.3 CIFRADO DE DATOS Y PARTICIONES La confidencialidad de los datos alm acen ad o s en una unidad es fund am ental, para ello vim os en el p rim er capítulo a modo de ejem plo como W indows integraba un siste m a de encriptación denom inado E F S , que ap ortab a seguridad en el acceso sólo solo perm itiéndoselo al usuario que realizaba la operación. En e ste caso irem os un paso m ás ad elan te y verem os una aplicación para cifra r y ocultar en el ordenador datos que el usuario considere re serv ad o s o confidenciales. T rueC ryp t ofrece la posibilidad de c re a r discos virtu ales o ap ro v ech a r una partición ya e xiste n te para g uardar ficheros cifrados, pudiendo esco g er en tre varios algoritm os de cifrado, com o A E S , S e rp e n t o Tw ofish, y d eterm inar de qué capacidad será la unidad virtu al. Allí podrem os g uard ar cu alq u ier docum ento de form a seg u ra y cóm oda. S e integra con el explorador de arch ivo s que usem os, es fácil de usar, perm itiendo cre a r hasta 32 unidades d iferentes. Existen ve rsio n es para siste m a s operativos W indows, Mac OS X, y GN U /Linux. 1 . D e scarg a re m o s la aplicación y la in stalarem o s. En p rim er lugar podem os disponer de la herram ienta traducida al español pulsando Settings / Language / Download Language Pack, d escarg a m o s un archivo zip y lo d escom prim im os en la m ism a carpeta donde instalam os. Tras reiniciar la ap licación podrem os se leccio n ar Settings / Language / Español. yfcgha ► TiuoCiypl Archvo VoOmenr-i Archrvo*-lavo Merrormntas —O v^M vP ^Q* Ajustes Ayuda Tamafio Un. Encryptton algorthr' Tpo —U T Crear Vcáuwn Votunen □ 3 H srr«n e n t« de vokjneo' Auto-MonUr Undadei Sebee. A/chr^oSetecc. Dopoubvo I Oesmcrtar Todo 2 . A continuación podrem os c re a r un volum en norm al (botón "C re a r V o lum en"), se leccionam os la opción en un archivo, que se creará en la ubicación que seleccionem os (ind icarem o s un nom bre por ejem plo v o lu m e n _cifra d o ). Entre las opciones de encriptación podrem os se leccio n ar en tre d iferentes algoritm os pudiendo v e r una tabla com parativa con rendim ientos en procesos de encriptación y d esencrip tación. 113 S E G U R ID A D Y A LT A D IS P O N IB IL ID A D & A i i i i r n i r |m r.i In C © RA-M A irnt Km i k un V Opciones de oicnp(ion AigorCm m travacn avhm(ftwóMt. p£fcrwd r\ l * W tr«c n»*f b» litad Cv U -5 ÿ > * rr » rr t «r<d açanon to {*of«I dw«foá*Vormaeani 4 todia Top S t a * »»*^1 ."îC rti My. bteO. M rtx/iái(A£S-¿56). Hade t f oc** «bon « ií>w | <Att«n | jgart»>~1 Una vez seleccio nad o , elegim os el tam año de tu volum en cifrado y añ ad irem o s una co ntraseña lo m ás segura posible. fc Amtrnfi’ |Mf* Int ir t («filfa'Uh Vdliimrn fluH lypl j *5<|j C o n tr a ía la del V o lu m e n C ortj«*A j trmm Car [ Hvxrm arttm&é r iM ixhMit«« » tí mjf n p o larva qjb tàu i n t u n t c c r f t M ^ i M m «togr cjj» contato* vdanwrt* in a palat»« Que m pueda *nccr t i » an c r Axn>aro¿o\r^cu>«<jrw«Cr.dt:. J©« pdtt***) *to¿atm o r ttrw t r r g / i no*i>* o fechat 4» n o M r to . «to fe b* tar f * 4 dr t^ irw LUbjirj^orÍjBfl'M i/rt a r r i r * m * *:«r i* Wr»< M lW O Ji i, mruacUaa, fM w roi r r<r«lw «* m « M Íw . eor 0*000+1 - f * * r t c S* reaswrvSe t m» contraseña gu» lonast» en n i 4* 30 caacîeretkvwrtomi« la«®*. eiweer) U tagtud » « « ■ A ir tH u ilC tim Ayuda <W *n | <feU Carca!« S eleccio n am o s el siste m a de ficheros (por ejem p lo : N TFS por defecto) y nos indicará a continuación que el volum en ha sido creado. 3. Para utilizarlo deb em o s m ontar una unidad con el archivo creado. Seleccio n am o s una unidad disponible, por ejem plo K, y p ulsarem os el botón Seleccionar archivo, donde n aveg arem os hasta la ruta del archivo creado para el volum en encriptado. Pulsarem os Montar y se nos pedirá nuestra co n traseñ a : aj i h^l: KI^Oi *tfc k*Q. U»5: *^U I^V: I^W. a tr ia fc rp o In lrm liirra C tn lr M ^ s pnr.i ( tflnrm neuti «md Scttlni^VAdmlrm Cúnneterte | Ace«*» Cacfa ccnir a t*A i y mtti 4a-a an a ría Catxaáar H>tfrare erti nefa ( ijse » t c í m I m | C V octaianb a d í* (» ig ilM « n t > a « 'v ^ r C«v<ar(t\H Ccoonrs M orta» «J ■»' ** í x i 9«ardar frrt erva »torramartai d i roiutwn. Auto-Morí* I N b d H 114 Iraypoor atgofttm 5aí*cc Ctapcnovo * 5 ■C R IP T O G R A F ÍA © RA-M A Haciendo doble clic sobre la unidad a cced erem o s a nuestro volum en cifrado. Archivo Vcfcjmene* UruJad Ard«vos-lave Herrarrwnt« A)ustes Ayuda Tarrwo Vakjmen PégnaWeb Cmypüon aijofthín Tipo ^ 3 < # L: '-'N; * I lo c ilO I s k IK :) Pie [Jt Vtew f 3 Favor*»» Toob O H * B fr M * . I :B |v Ule «ndtoJdcrr 0 ¿ jG o & Wat C ualq uier fichero que arrastrem o s hacia la unidad se guardará cifrado de form a tran sp are n te , y sin necesidad de que teclees de nuevo la co n traseñ a (solo se te pide cuando m on tas la unidad ). Puedes utilizar tu volum en cifrado Tru eC ryp t como otra unidad m ás de disco. Por últim o no olvidem os d esm o n tar el volum en, p ulsarem os el botón Desmontar. Es recom endable re a liza r copia de seguridad del archivo ya que en caso de borrarlo p erd erem os la inform ación contenida en él. CRIPTOGRAFÍA DE CLAVE ASIMÉTRICA En este caso, cada usuario del sistema criptográfico ha de poseer una pareja de claves: Clave privada: será custodiada por su propietario y no se dará a conocer a ningún otro. Clave pública: será conocida por todos los usuarios. Esta pareja de claves es complementaria: lo que cifra una solo lo puede descifrar la otra y viceversa. Estas claves se obtienen mediante algoritmos y funciones matemáticas complejas de forma que por razones de tiempo de cómputo, es imposible conocer una clave a partir de la otra. Los sistemas de cifrado de clave pública se basan en funciones resum en o funciones hash de un solo sentido que aprovechan propiedades particulares, por ejemplo de los números primos. Una función de un solo sentido es aquella cuya computación es fácil, mientras que su inversión resulta extremadamente difícil. Por ejemplo, es fácil multiplicar dos números primos juntos para obtener uno compuesto, pero es difícil factorizar uno compuesto en sus componentes primos. Una función resumen o hash de un sentido es algo parecido, pero tiene una simplificación o atajo, si se conoce alguna parte de la información, sería fácil computar el inverso. Por ejemplo, si tenemos un número compuesto por dos factores primos y conocemos uno de los factores, es fácil computar el segundo. Algunos de los algoritmos empleados como funciones resumen o hash son MD5 y SHA. 115 © RA-M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D PRÁCTICA 5.4 FUNCIONES RESUMEN (HASH) En la siguiente práctica vam os a an alizar la integridad de un archivo descargado m ediante la com probación de su valor resum en calculado. En m uchas ocasiones las web de los fabricantes originales m uestran junto a su archivo de instalación el valor resum en calculado, con el que podremos verificar tras d escarg ar el archivo de instalación su integridad o que no ha sido modificado o es una falsificación. En el ca so de GIMU/Linux podem os em p le ar el com ando m d5sum nom b red earchivo y nos ca lcu la rá el valor re su m en MD5, pudiendo contrastarlo con el valor del fab ricante. Para W indows existe la posibilidad de d escarg ar una pequeña aplicación m d 5 su m .ex e. Si e je cu ta m o s: m d5sum D ocum ento.txt. A la salida nos m ostrará: 8 6 3 7 2 1 4 9 c 8 6 7 6 7 b 4 e f3 2 0 9 6 1 2 e la 2 7 2 e *D o cu m e n to .tx t En caso de querer ve rifica r el resultado au to m áticam en te cre are m o s un archivo .m d 5: m d5sum D ocum ento.txt > N om bredelH ASH .m d5 Para ve rifica r la integridad del arch ivo : m d5sum -c N om brede!H ASH .m d5 Si el archivo no ha sido m odificado m o stra rá: D o cum ento.txt: OK Si el archivo ha sido m odificado: D ocu m en to .txt: FA ILED m d 5 su m : W ARN ÍN G: 1 of 1 com puted checksum did NOT m atch El tamaño de la clave es una medida de la seguridad del sistema, pero no se puede comparar el tamaño de la clave del cifrado simétrico con el del cifrado de clave pública para medir la seguridad. En un ataque de fuerza bruta sobre un cifrado sim étrico con una clave del tamaño de 80 bits, el atacante debe probar hasta 2SÜ- 1 claves para encontrar la clave correcta. En un ataque de fuerza bruta sobre un cifrado de clave pública con una clave del tamaño de 512 bits, el atacante debe factorizar un número compuesto codificado en 512 bits. La cantidad de trabajo para el atacante será diferente dependiendo del cifrado que esté atacando. Mientras 128 bits son suficientes para cifrados simétricos, dada la tecnología de factorización de hoy en día, se recomienda el uso de claves públicas de 1024 bits para la mayoría de los casos. La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y descifrar con la otra, pero este sistema tiene bastantes desventajas: Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso. Las claves deben ser de mayor tam año que las simétricas. El m ensaje cifrado ocupa más espacio que el original. 116 © RA-M A 5 ■C R IP T O G R A F ÍA Herramientas software como PGP o en comunicaciones TCP/TP, protocolos como SSH o la capa de seguridad TLS/SSL, utilizan un cifrado híbrido formado por la criptografía asim étrica para intercam biar claves de criptografía sim étrica y la criptografía sim étrica para la transm isión de la información. Algunos algoritm os de técnicas de clave asimétrica son: Diffie-Hellman, RSA, DSA, ElGama.1. criptografía de curva elíptica. Algunos protocolos y software que usan los algoritmos antes citados son: DSS (Digital Signature Standard) con el algoritmo DSA (Digital Signature Algorithm). PGP y GPG, una imple mentación de OpenPGP. SSH, SSL y TLS. CRIPTOGRAFÍA HÍBRIDA El uso de claves asimétricas ralentiza el proceso de cifrado. Para solventar dicho inconveniente, el procedimiento que suele seguirse para realizar el cifrado de un mensaje es utilizar un algoritm o de clave pública, más seguro, tan solo empleado para el cifrado en el envío de una pequeña cantidad de información: por ejemplo una clave simétrica, junto a uno de clave sim étrica, para el cifrado del mensaje, reduciendo de esta forma el coste computacional. A modo de ejemplo describiremos un proceso de comunicación seguro: Ana y Bernardo tienen sus pares de claves respectivas. Ana escribe un m ensaje a Bernardo. Lo cifra con el sistema de criptografía de clave sim étrica. La clave que utiliza se llama clave de sesión y se genera aleatoriamente. Para enviar la clave de sesión de forma segura, ésLa se cifra con la clave pública de Bernardo, utilizando por lo tanto criptografía de clave asim étrica. Bernardo recibe el mensaje cifrado con la clave de sesión y ésta misma cifrada con su clave pública. Para realizar el proceso inverso, en primer lugar utiliza su clave privada para descifrar la clave de sesión. Una vez ha obtenida la clave de sesión, ya puede descifrar el mensaje. Con este sistema conseguimos: C onfidencialidad: solo podrá leer el mensaje el destinatario del mismo. Integridad: el mensaje no podrá ser modificado. Pero todavía quedan sin resolver los problemas de autenticación y de no repudio. 117 S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-M A PRÁCTICA 5.5 C IF R A D O A S IM É T R IC O 1. Em p le are m o s gpg para la generación de un par de claves para cifrado asim étrico m ed ian te: gpg --g en -key D urante el proceso de generación se nos irán haciendo d iv ersa s preg u ntas, com o el tipo de cifrado que querem os utilizar, la intensidad de cifrado, la fecha de expiración de la clave en cuestión y nuestro nom bre y apellidos así com o una dirección de correo, que es lo que va a constituir el U S E R ID . Nos va a b asta r con acep tar las opciones que ya vienen por defecto, ya que en la m ayoría de los caso s é sta s son ap rop iad as: Tipo de cla ve s, la prim era opción (D SA and E IG am al) que nos perm ite en crip tar y firmar. Tam año de las claves que se puede elegir en tre 1024 y 4 0 9 6 bits. Por defecto se recom ienda 2 0 4 8 , a m ayor tam año m ás segura es la clave y m ayor el tiem po de cóm puto al e n crip tar y desencriptar. Tiem po de validez querem os que tenga la cla ve . Por defecto vien e la opción 0 que es que no caduque nunca. En el caso de poner que cadu q ue al cabo de cierto tiem po habrá que volver a g en erar las clave s y volver a m an d a r la nueva clave pública a aq uellos que usaban la que ha caducado. Último p aso, g en era r la clave , se nos va a p reguntar por una fra se de paso o p assp h rase, es decir, una co n traseñ a. Esta co n traseñ a nos va a aseg u ra r que nadie m ás que nosotros m ism os va a poder u sar esta clave GPG, por lo que es im portante eleg ir una co n traseñ a fuerte y difícil de adivinar, pero que sea lo su ficien tem ente clara para nosotros como para no olvidarla, puesto que si esto su ced e no podrem os volver a utilizar m ás la clave gpg relacionada. Cuando se produce el proceso de g eneración de las claves es buena ¡dea reproducir m p3, m over el rató n ... , para que se generen núm eros aleatorios y se creen an te s las claves. Si es la prim era vez que se eje cu ta nos crea un directorio en el que g uardará el fichero de configuración así como los archivos secring.gpg y pubring.gpg. En el prim ero se alm a cen a ran las cla ve s privadas y en el segundo las cla ve s públicas. Para ver las cla ve s públicas que tenem os disponibles hay que hacerlo con el com ando gpg --list-k eys o gpg -k. Esto lo que haces listar las cla ve s que hay disponibles dentro del ñchero pubring.gpg. En el ejem p lo podem os ver 1 clave pública disponible, el identificador de cada clave (C la v e ID ) es el núm ero que ap a rece d esp ués de 1024D al hacer gpg --list-k e ys, en nuestro caso 5 D 1 0 B E F 4 . Ls necesario qcnertr mjctxn byte» aleato ri» » , Es un« tu rn a ì-iea r e t i u a r alguna o tra tarea (tra b a ja r r r o tra ventana/consola. aover el ratón, m ar la red y los discos) durante la 9eneracl6n de Rutero» prUo». C iro da al generador de nuatros a leatorios aayor oportunidad de recoger s u flc ie fttr entropía gp9 /root/.gnupg/trustdb .gpg: se ha creado bave a* «utos de confjan/a gpg clave VIOBfF« Barcada cama de confianza absoluta claves publica y »ecreta creada» j firmada» gpg. coaprobando base de dato» de confianza gpg 1 dudo»a(s) necesarias. 1 caapletal») necesarir». aodelo de confianza PC# gpg: n iv e l; i validez: 1 firmada: • confianza: aq. dn, da, t í . lu pub i«7«D/J01tttra » 1 1 12 13 Huella de clave - te*« bj*¿ AA*e « m : ci»7 ttdC 2At? c a n t t i « m m uld Jesús costas Santo» Ibeneracion de claves para cifra d o asía t in c o ) «jeuiM P"all.co*» suft M7 M U 12 13 roo(fi.t>unru:/TMryaluBno/t>ocuamtc^i/Cnofiden<iala gpg « /roo!/ gnupg/putring.gpg pub 1»240/U>1M(M 201« U-15 uld Jesús Costas Santos (Generación de claves para cifra d o asiae t r lc o l <Jeaus#Biil cok* »ub mag/620Ar?37 ia 12-is 118 © RA-M A 5 ■C R IP T O G R A F ÍA Para ve r las claves privad as que tenem os disponibles hay que hacerlo con el com ando gpg —list-secre t-k eys. Esto lo que h aces listar las cla ve s que hay disponibles dentro del fichero secring .g pg . S e llam a anillos a los archivo s en los que se g uardan las cla ve s públicas y las p rivad as. Si se quiere borrar alguna clave prim ero hay que borrar la clave privada y después la pública. Para borrar cla ve s privad as se hace con el com ando gpg --d elete-secre t-k ey C la v e lD . Para las claves públicas se h ace con el com ando gpg --d elete-key C la v e ID Copia y distribución de cla ves Una ve z g en erad as las c la v e s, para que el resto de personas y en tidades puedan com probar nu estros m e n sa je s firm ados, tenem os que darles nuestra clave pública. Esto se puede hacer de va ria s m an e ras: 1. Subiéndola a un servid o r de cla ve s públicas. Los se rvid o re s de cla ve s suelen están interconectados, es decir, que subiendo la clave a un servidor, el resto ya tiene conocim iento de la existen cia de nuestra nueva cla ve . El se rvid o r pgp de rediris puede se r usado para este propósito. La orden a te cle a r para rem itir nu estra clave e s: gpg --se n d -ke ys --k e y se rv e r p g p .re d iris.e s C lav e lD . Para hacer una búsqueda de cla ve s públicas, de en tidad es o usuarios con los que queram os com unicarnos o verificar un m e n sa je recibido de eé sto s: gpg --k e y se rv e r N om b reD elServid or —se a rch -k e y s C lav e lD . Para bajarnos dicha clave pública: gpg --k e yse rve r N om b reD elServid or —re cv-k e ys C la v e lD 2. Enviándola por correo o dándola en un soporte portable (U S B , C D /D V D , e tc .), m edíante un fichero. Si tan sólo solo q u erem o s que no sea de dom inio tan público sino que sólo solo unos pocos tengan conocim iento de nuestra cla ve público, para ello d eberem os volcar esta clave a un fichero de texto. El com ando para ello podría re alizarse de 2 form as: gpg - -arm o r - - output ficherodeclave - - export C la v e lD E s im portante ten er una copia aparte de nuestra clave privada, para que en caso de d e sa stre inform ático o pérdida de datos podam os recu p erarla. Para exp o rtar la clave privada a un fichero y poder tener una copia de se g u rid ad : gpg --arm o r --output fichoedeclave --e xp o rt-se cret-ke y C lav elD D esp ués de em p le ar el m étodo de distribución deseado, el com ando a e je cu ta r en la m áquina d estin ataria para im portar una clave volcada en un fichero, e s: gpg - - import ficherodeclaves E lim in ar claves distrib uid as en servid o res Si se ha olvidado la co n traseñ a o hem os perdido la clave p rivad a, o consideram os que se encuentra en estado com prom etid a, podem os g e n e ra r un certificad o de revocación y subirlo a un se rvid o r de claves. S e recom ienda cre a r este certificado al cre a r las cla ve s ya que al final del proceso de generación se pide la co n traseñ a. Esta clave ha de g u ard arse en un lugar seguro ya que si alguien la obtuviese podría revo car nu estras cla ve s y d e ja rlas inutilizadas. La orden para gen erar este certificado e s: gpg -o re vo cacio n .a sc --g en -revo ke C la v e lD Si q uerem os revo car una clave hay que im p ortar el fichero que tiene el certificado de revocación, una ve z revocada la clave ya no podem os cifrar m e n saje s au nq ue si se pueden desencriptar. Para im portar a nuestra relación de cla v e s: gpg --im port re vo cacio n .a sc 119 © RA-M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D Archivo EdrtJM JrtTrUnai Ayycto Necesita un« frase contraseña para desbloquear la clave secreta del usuario: •Jesús Costas Santos (Generación de claves para cifrado o siaetrico ) «Jesús# miX.com>' clave DSA de 1924 b it s , ID S0196EF4. creada e l 7016 12-13 se fuerza salid a con armadura A SCII. C ertificado de revocación creado. Por favor consérvelo en un sedlo que pueda esconder; s i alguien consigue acceso a este ce rtificad o puede usarlo para in u t iliz a r su clave. Es inteligente ía p rla ir este c e rtific a d o y guardarlo en otro lugar, por s i acaso su ardió resulta iaposlble de le e r. Pero precaución: ie l slsteaa de íapresión de su Boquina podría alw cenar los datos y hacerlos accesibles a o tras personasl root(iubuntu:/hoae/a\uano/Oocuaentos/Confidenciale gpg taport revocación.ase gpg: clave Í019B6F4: "Jesús Costas Santos (Generación de claves para cifrado asimétrico) <]esus# uil.co s> * ce rtificad o de revocación 1aportado gpg Cantidad to tal procesada: 1 gpg: nuevas revocaciones de claves: 1 gpg; 3 dudosa(s) necesarias, i coapleta(s) necesarias, aodelo de confianza pop gpg: n iv e l: 9 valid e z: 1 tim ada: 9 confianza: 9 -, 8q. 9n. 9a. 9 f. lu root£ubuntu:/hoae/ali*vio/l>ocuaentos/Confidenclol# cat revocación.ase BÉGIH POP PUBLIC KEY BIOCK........... Versión: GnuPG v i . 4.9 (fM IA Jm ix) Co—rn t ; A revocation c e rt ifíc a te should fo lio * lEk£IB£CAAlcFAk9]KosCHOHACgkQKvUSV9CvvTB>ACgioKCx3SnXltOSkuwnwÍl Et7WCycAnJf4*0ulQ3F0pu2íPftpdpaJCbkU -44 ?n ----- LHD POP PUBLIC KTY BlOOC........... roottubuntu:/hoae/aluano/Docuaentos/Confideftciala gpg -k t root/ . gnupg/pubring. gpg pub Í9240/»198£F4 2919-12-15 (revocada: 2919 12-13) uid Jesús Costas Santos (Generación de claves para cifrado asiaetrico ) <JelllSfMlil.COM> Com o vem o s en la Figura an te rio r al listar el listado de cla ve s, m uestra la fecha de revocación. El últim o paso es com unicar a los servid o res de cla ve s que nuestra cla ve ya no es válid a, con la o rden : gpg —k e y se rv e r N om breD elServidor --se n d -k e ys C la v e lD . Tras re alizar dicha operación podem os b uscar y v e r el estad o del certificado en el se rvid o r público de certificados. S e a r c h r e s u lt s fo r 'je su s co sta s’ loot von Tied) Se rvrr - Get Arrfuvo Efftt* £ Hijfon* Uarcadom Mtrramtercat 0*?a*7c4*35dl0tJirta ••. iñojfíl* r\i**ò* a « hnp.'/pgprertnves in7l4*sAoo»tup»of>*get&sejrth».to2Af2C4t5i0109 v ,|Q * ' MAsviSitadov'- ^Oetl/ngStarteo ..'Lates* Mea^i-nes* P u b lic K ey S e r v e r -- G et " 0 x 2 a e 2 c 4 e 5 5 d l0 b e f 4 " rtX l««) j»yx*A O Vl» tfO ftT *T p.tb r<9*oTuirT «fO r*M i*«jtlh *« ?IlMtN < x47c)ti7M CU ^«£«*PX i!O /..n fc*afa jo*:9r» r.* toi« *% «rf* oruja?pw icK )r» #uC N z^O fuCrtu ZTnftCpMU«VK«VtlpSI {I SOAkrbCVfy'Atu.MadwC^BJufl/Mxa^O/caZmOU f •sa»0 I *OMOClMoV)VljMu»nOrtMf4jKV73r«taPr<aMS]ZC/llMM7»tM»iW»Vim.«»o?rVe I <ASrpOJ*VVtp)0*|*flSJ]»dlptS#,,*u«rtF#AylU^M0-B9Gl*£«r./t!a2.rtft3*5ri£l e i at k rvot r »w»c • i d tyttac. «/1va \» •j t jm i ztiatíw n i ra u ; i ovTfcn J«*yr I Af4r^«!«rt7^CWa7«J07lrrrr4/vxlvaMa/(«VWW%nAVVaa»i^irftf«vXAvivV^«7i\# FIRMA DIGITAL U na de las principales ventajas de la criptografía de clave pública es que ofrece un método p ara el desarrollo de fir m a s d ig ita les. La firma digital perm ite al receptor de un m ensaje ver ifica r la a u ten ticid a d d el o rig en d e la in fo r m a c ió n así como verificar que dicha información n o ha sid o m od ificad a desde su generación. De este modo, la firm a digital ofrece el soporte para la au ten tica c ió n e in tegrid ad de los datos así como para el no rep u d io en o r ig e n , ya que la persona que origina un m ensaje firm ado digitalm ente no puede arg u m en tar que no lo hizo. U na firm a digital está destinada al mismo propósito que lina m anuscrita. Sin embargo, una firm a m anuscrita es sen cilla de falsificar m ientras que la digital es imposible m ientras no se descubra la clave privada del firm ante. 120 © RA-M A 5 ■C R IP T O G R A F ÍA La firm a digital es un cifrad o d el m en saje que se está firm ando pero utilizando la cla v e p riv a d a en lugar de la pública. Sin embargo, ya se ha comentado el principal inconveniente de los algoritmos de clave pública: su lentitud que, adem ás, crace con el tam año del m ensaje a cifrar. Para evitar este problema, la firm a d ig ita l es el resultado de cifrar co n cla v e p rivad a el resu m en d e los d a to s a firm ar, haciendo uso de fu n cio n e s resu m en o h ash. A modo de ejemplo: Ana y B ernardo tienen sus pares de claves respectivas. Ana escribe un mensaje a Bernardo. Es necesario que B ernardo pueda verificar que realm ente es Ana quien ha enviado el mensaje, por lo tanto, Ana debe enviarlo firmado: 1. Ana resum e el m ensaje o datos m ediante una función ha,sh. 2. Cifra el resultado de la función hash con su clave privada. De esta forma obtiene su firm a d igital. 3. E nvía a B ernardo el m ensaje original junto con la firma. B ernardo recibe el m ensaje junto a la firma digital. Deberá comprobar la validez de ésta para d ar por bueno el m ensaje y reconocer al autor del mismo (integridad y autenticación). 4. Descifra el resum en del m ensaje m ediante la clave pública de Ana. 5. Aplica al m ensaje la función hash para obtener el resumen. 6. Com para el resum en recibido descifrado, con el obtenido a p artir de la función hash. Si son iguales, B ernardo puede e sta r seguro de que quien ha enviado el mensaje es Ana y que éste no ha sido modificado. Firma Digital Comprobación de una Firma I iq r jo n ,ic7] / jionoonoiot] ’•U11001wJtOT CüówDltW. Si lo« c ó d g o t h art conddan la Rrma o » vài*da Mecánica de la generación y comprobación de una firm a digital. Con este sistem a conseguimos: A u ten ticación : la firm a digital es equivalente a la firma física de un documento. Integridad: el m ensaje no podrá ser modificado. N o rep u d io en origen: el em isor no puede negar haber enviado el mensaje. 121 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A PRÁCTICA 5.6 F IR M A D IG IT A L DE UN DOCUM EN TO La firm a digital de un docum ento se com pone del cifrado con nuestra clave privada del valor resu m en calculado con una función hash de un m en saje o archivo. Existen d iversos m odos de envío de d ocum entos firm ados, docum ento + firm a en un solo archivo cifrado, o docum ento y firm a en arch ivo s sep arad os. Los p arám etros de gpg para obtener la ñrm a digital de docum entos son los sig u ien te s: clearsigrr. se une la firm a digital al contenido del archivo, el cual no se cifra. s : se une la firma digital al contenido del archivo, el cual se cifra con la clave privada, como resultado tenem os un archivo binario. S e em plea para firm ar archivo s binarios, com prim idos, e je cu tab le s, etc. b\ firm a y m e n sa je están contenidos en archivos sep arad os. A m odo de ejem plo podem os re a liza r: gpg -- clearsig n docum ento, tendrem os a la salida un archivo docum ento, ase, donde el contenido no está cifrado y se en cuentra firm ado digitalm ente al final, entre begin y end pgp sígnature. Para ve rifica r la valid ez de las firm as digitales em p learem o s la opción - -verify, teniendo en cuenta que la entidad o usuario que quiera re alizar la com probación de nuestra firm a deberá ten er nu estra clave pública disponible, es d ecir im portada p reviam ente. En la figura vem os d esp ués de e je cu ta r: gpg -b - a docum ento, generando de este modo una firm a sep arad a del d ocum ento, denom inada d o cum ento.ase, una verificación de dicha ñrm a. root@ubuntu:/Hoae/aluano/Docuaentos/Confidenclal* cat documento.ase ..........BEGIN PGP SIGNATURE Versión; GnuPG v i . 4.9 IGNU/Limix) lEYEABECAAYFAI(0JM/HftCgkQtyTKi(R}582vHQACl36*+NAx7YNMIlvAgirtjakop«7E KDUAn31zmfO(lqMqCBrlhHOesbvw4kv =9U«r • ENO PGP SIGNATURt root<M><intu:/hoaw/aluwio/Docui»entos/Conf ¡dencial» gpg -ve rify documento.ase gpg: Firmado e l « l í 15 dlc 2818 22:32:35 CET usando clave OSA ID 18F9FJ6B gpg: F in « correcta de 'Jesús Costas 2 (Generación de claves 21 «Jcostas$nall .c a o * CERTIFICADOS DIGITALES Según puede in terp retarse de los apartados anteriores, la eficacia de las operaciones de cifrado y firma digital b asa d as en criptografía de clave pública solo está garantizada si se tiene la certeza de que la clave privada de los u su ario s solo es conocida por dichos usuarios y que la pública puede ser dada a conocer a todos los dem ás usuarios con la seguridad de que no exista confusión entre las claves públicas de los distintos usuarios. P a ra g aran tizar la u n icid a d d e las cla v es p rivad as se suele recurrir a so p o rtes físico s tales como tarjetas in telig en tes (SrnartCcirds) que g aran tizan la imposibilidad de la duplicación de las claves. Además, las tarjetas criptográficas suelen estar protegidas por un núm ero personal o PIN solo conocido por su propietario que garantiza que, aunque se extravíe la tarjeta, nadie que no conozca dicho núm ero podrá hacer uso de ella. Como caso particular encontram os el DNI electrónico o DNIe. 122 © RA-M A 5 ■C R IP T O G R A F ÍA Por otra parte, para asegurar que u n a determ inada clave pública pertenece a un usuario en concreto se utilizan los c e rtifica d o s d ig ita le s o d o cu m en to e le c tr ó n ic o q ue a so cia u n a cla v e p ú b lica con la id e n tid a d de su p ro p ieta rio . En general un ce rtifica d o d igital es un a rc h iv o que puede em plear un software para firm ar d ig ita lm en te a r c h iv o s y m e n sa je s por ejemplo de correo electrónico, en los cuales puede v e r ific a r s e la id e n tid a d d el firm an te. Como ejemplo encontram os los certificados digitales que identifican a personas u organizaciones, y que contienen información sobre u na persona o entidad, nombre, dirección, m a il, el ám bito de utilización de la clave pública, las fechas de inicio y fin de la validez del certificado, etc., así como una clave pública y una firm a digital de una autoridad certificadora u organismo de confianza, en E spaña La Casa de la Moneda y Timbre. E n el apartado siguiente veremos la im portancia de las autoridades certificadoras. El formato están d ar de certificados digitales es X.509 y su distribución es posible realizarla: Con clave privada (suele tener extensión *.pfx o * .p l 2 ) más seguro y destinado a un uso privado de exportación e im portación posterior como método de copia de seguridad. Solo con clave pública (suele ser de extensión *.cer o *.crt), destinado a la distribución no segura, para que otras entidades o ususarios tan solo puedan verificar la identidad, en los archivos o m ensajes firmados. irfti r'ji : E n tre las a p lic a c io n e s de los certificados digitales y el DNIe encontram os, realizar com pras y comunicaciones seguras, como trám ites con la banca online, con la adm inistración pública (hacienda, seguridad social, etc.) a través de Intern et, etc. I PRÁCTICA 5.7 U T IL ID A D E S DE C E R T IF IC A D O S Los certificados digitales son de gran utilidad hoy en día y nos sirven principalm ente para g aran tizar la autenticidad y g en erar confianza de m e n sa je s, inform ación y sitios web, en tre otras ap licacion es. 1 ) En prim er lugar an alizare m o s com o una visu a liza d ó n del certificado digital nos puede se rv ir para ate stig u ar la veracid ad de un sitio w eb: En los n aveg adores web, cuando visitam os sitios web seguros (h ttp s) que poseen form ulario de envío de cred en ciales o de datos privados que deben s e r enviados de form a seg ura, se m uestra un candado en la parte inferior derecha del navegador. Pulsando sobre él podrem os ve r su certificado digital, así com o la entidad certificadora. 123 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A C hW Wtp* f/kon.rehee t<wV<orAQ/bflr_»«#yZ7.rwl-««6LWC-iwi O<o «UMttttf M ir a d o « t f C u rtan » Iré* t * firm / * »«V«A—í *< ■ V x n o p f. H .l 'Ti L1t / |XÍI^.É~ Introduce tu* datos. Ganard MMftn i ¿ ÍA n piaMfMo/ l i rvcprtaro i ClMWMlO («ir Mila wrb n 1 p*>iCAwa4o Iqufw inai rie t r f l lindo* 'le fio yihoo i frr cartftado | I i l r <r r tfk aóo Sa itdo vfrtk td o para Im iiq u m ln u CartfeatodtfMiYidor 3*. •*«&• cuta (CH) 0rgancacbn(0 ) rfl^oona» r^oo' Ine undad a*iú*c A«9j«rdadMj (00) »af»» (mudo par NanfcracomnfOO Orgarcaaóft(O) tgjfa» it*ladc»>3rt?Jí)o(Cv» Vaftdo/ iacura Carlini* *otfcr*> L iA to « OI/OlfHX* tjvrarf 04/01/2011 *jrfad0Ld5Mál tl.01.SC4F'9fr9'A& Ce.jDA.tt:¿» ¿0CO.IV 9» WffcW.lM* Bi<*4r£MfciC9fc2Ci3h(ci? rajrfadgtrfMD* ¿.No oenei O de Vaheo»? 2 ) Los certificados personales o de entidad pueden se r instalados en el siste m a operativo, en ap licaciones como naveg ad ores web o clientes de correo electrónico, para posibilitar acceso s a páginas web seg u ras y cifrar m e n sa je s, elim inando el uso de cre d e n ciale s escritas por teclado. A continuación ve m o s las opciones de Mozilla Firefox; en su pestaña A vanzado podem os v is u a liz a r los ce rtificad o s in sta lad o s y re a liza r accio nes de exp ortacion es o v e r sus atributos. lita r M u t u ile « ! « IM /IN A i ÍID 6 4 ? f/ I t W «V IA IO K I f lf U f NCH»t COSTA? 5AKT05 X5U5 -*Gf Í7XT40V» Car«lóate GjanJo in Mr*úor rmx—é nacart#«ate parvrat 'jttM cnam ajta^luwl« •> [urt»4»trrocaoiJn I | g^diodo ] Itepo«»««da«a?sttad A A nno r [rVcr^anon Oí ta dma piMta ód * 4*0 álQcrtmo 0* U dava pübkca M «usto Om p i H u M m * - U m cm tm mtn dtf aui lo M carffKato ftatenreor«* ^fcncai da cartfkads ldertf acador di obm C? S3 lt) U lu o o n da ki d a * da cwrttcado ___ P**Ua <1024 a4 M ">1 *1 N I I TI kl n b< H « k ) >i ?» V» 1| s í fe-a «I ft I» 1« r «7 >a >« 01 I ¿« 1« «.« ©I a» «•' t* C1 ■ »* S> •> Tl al ti I t i 11 <! 4< la K (« n 14 ) ) 4t O i ; f* «* n c* M CO l ' *: fa A •> 44 I I 43 t : » k I I t« ce 71 » 14 I I cO ic kf Oa i 4a U <1 l i C la 04 >1 ta kl ta 10 k+ «* 1( «4 IV * tO <1 «a » M >4 i l I I X 1« i I 124 jg © RA-M A S ■C R IP T O G R A F ÍA TERCERAS PARTES DE CONFIANZA U na vez definido el concepto de certificado digital se plantea una duda: ¿cómo confiar si un determ inado certificado es válido o si está falsificado? La validez de un certificado es la confianza en que la clave pública contenida en el certificado pertenece al usuario indicado en el certificado. La m anera en que se puede confiar en el certificado de un usuario con el que nunca hemos tenido ninguna relación previa es m ediante la c o n fia n za en te rce ra s partes. La idea consiste en que d os u su a r io s p u ed a n con fiar d ir ecta m en te e n tr e sí, si am bos tien en re la c ió n con u n a tercera p arte y q u e é sta p u ed e dar fe de la fia b ilid a d d e los dos. La necesidad de una Tercera P arte Confiable (TPC o TTP, Trusted Third Party) es fundam ental en cualquier entorno de clave pública de tam año considerable debido a que es im pensable que los usuarios hayan tenido relaciones previas antes de intercam biar información cifrada o firmada. Además, la mejor forma de perm itir la d istrib u ció n d e la s cla v e s p ú b lica s (o c e rtifica d o s d ig ita le s) de los distintos usuarios es que algún agen te, en quien todos los usuarios confien, se encargue de su publicación en algún repositorio al que todos los usuarios tengan acceso. En conclusión, se podrá tener confianza en el certificado digital de un usuario al que previam ente no conocemos si dicho certificado está avalado por una tercera parte en la que sí confiamos. La form a en q u e esa tercera p a rte av a la ra q u e el certifica d o e s de fia r es m ed ía n te su firm a d ig ita l sob re e l certificad o. Por tanto, podremos confiar en cualquier certificado digital firmado por una tercera parte en la que confiamos. La TPC que se encarga de la firma digital de los certificados de los usuarios de un entorno de clave pública se conoce con el nombre de A u torid ad d e C ertifica ció n (AC). El modelo de confianza basado en Terceras P artes Confiables es la base de la definición de las In fra estru ctu ra s de C lave P ú b lica (ÍCP o PKI, Public Key Infrastructures), formado por: Autoridad de certificación (CA): em ite y elimina los certificados digitales. Autoridad de registro (RA): controla la generación de los certificados, procesa las peticiones y com prueba la identidad de los usuarios, m ediante el requerim iento de documentación de identificación personal oportuna. Autoridades de repositorio: alm acenan los certificados em itidos y eliminados. Software para el empleo de certificados. Política de seguridad en las comunicaciones relacionadas con gestiones de certificados. DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO (DNIE) El Documento Nacional de Identidad (DNI), emitido por la D irecció n G en eral d e la P olicía (Ministerio del Interior), es el documento que acredita, desde hace más de 50 años, la identidad, los datos personales que en él aparecen y la nacionalidad española de su titular. Con la llegada de la Sociedad de la Inform ación y la generalización del uso de In tern et se hace necesario adecuar los mecanismos de acreditación de la personalidad a la nueva realidad y disponer de un instrum ento eficaz que traslad e al mundo digital las m ism as certezas con las que operamos cada día en el mundo físico y que, esencialm ente, son: A creditar electrónicam ente y sin posibilidad de duda, la identidad de la persona. F irm ar digitalm ente docum entos electrónicos, otorgándoles una validez ju ríd ica equivalente a la que les proporciona la firma m anuscrita. 125 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A Para responder a estas nuevas necesidades nace el D ocu m en to N a cio n a l d e Id en tid a d e le c tr ó n ic o (DNTe), sim ilar al tradicional y cuya principal novedad es que in corp ora un p eq u e ñ o circ u ito in teg ra d o (chip), capaz de guard ar de forma segura, m ediante medidas específicas de seguridad para im pedir su falsificación, información en formato digital como: Un certificado electrónico para autenticar la personalidad del ciudadano. Un certificado electrónico p a ra firm ar electrónicam ente, con la m ism a validez ju ríd ica que la firm a m anuscrita. Certificado de la Autoridad de Certificación emisora. Claves para su utilización. La plantilla biom ètrica de la impresión dactilar. P ara la utilización del DNI electrónico es necesario contar con determ inados elementos: H ardw are específico: lector de tarje ta s inteligentes que cum pla el están d a r ISO-7816. E xisten d istin tas implementaciones, bien integrados en el teclado, bien externos (conectados por ejemplo vía USB). Software específico: m ediante controladores o módulos criptográficos que perm itan el acceso al chip de la tarjeta y, por tanto la utilización de los certificados contenidos en él. En Windows es el servicio Cryptographic Service Provider (CSP). y en los entornos GNU/Linux o MAC el módulo criptográfico se denom ina PKCS#11. REFERENCIAS WEB Web especializada en aplicaciones de seguridad y criptografía: http:I I www.kriptopolis.org/ Taller de criptografía: http:! / www.cripto.es/ Libro electrónico sobre criptografía avanzada: http: / / www. criptored. upm .es/guiatcoria /gt_m001a. htm Web de la Fábrica Nacional de M oneda y Tim bre, A utoridad de Certificación y expedición de certificados digitales: http: / / www.eert.fmnt.es / Cam erfirm a. Web de las cám aras de comercio con información sobre certificados digitales: http:! / www.cam erfirm a.com ! Web del DNI electrónico. M inisterio del interior: http :/ / www.dnielcctromco.es ! Información práctica sobre el DNI electrónico: http :! ! www.dnielectronico.eu! 126 © RA-M A S ■C R IP T O G R A F ÍA RESUMEN DEL CAPITULO Desde los orígenes de la hum anidad los mensajes que se transm itían se han intentado realizar de tal modo que no se pudieran entender por cualquier persona que lo interceptara. La crip tografía , arte o ciencia de cifrar y descifrar información m ediante técnicas especiales, se em plea frecuentem ente para perm itir un intercambio de m ensajes que solo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. El cifrado es el proceso de convertir un texto plano en uno ilegible, denominado texto cifrado. Existen dos métodos criptográficos, principalm ente: C rip tografía sim étrica: con una m ism a clave para cifrar y descifrar mensajes. Im plem entada en algoritm os como DES, 3DES, Blowfísh e IDEA, RC5 y AES. C rip tografía asim étrica: cada usuario posee u na pareja de claves, una clave privada que no se d ará a conocer, y u n a clave pública que será conocida por el resto de los usuarios con los que quiera comunicarse. Im plem entada en algoritm os como Difííe-Hellman, RSA, DSA, ElGamal. Alguna de las a p lic a c io n e s a c tu a le s de la criptografía sim étrica, por su m enor coste computacional, es el envío y recepción de m ensajes largos o el cifrado de sistem as de ficheros. H erram ientas software como PGP o en comunicaciones TCP/IP, protocolos como SSH o la capa de seguridad TLS/SSL, utilizan un cifrad o h íb rid o formado por la criptografía asim étrica para intercam biar claves de criptografía sim étrica y la criptografía sim étrica para la transm isión de la información. U na de las principales ventajas de la criptografía de clave pública o asim étrica es que ofrece un método p ara el desarrollo de la firm a d ig ita l o resultado de cifrar con clave privada el resum en de los datos a firmar, haciendo uso de funciones resum en o hash, y garantizando la autenticación y el no repudio en el origen de los datos. O tra de las aplicaciones del cifrado asim étrico es la creación y uso de c e r tific a d o s d ig ita le s o documentos electrónicos (archivos) que asocian una clave pública con la identidad de su propietario. Una de sus aplicaciones m ás destacadas a nivel mundial es el DNI e le c tr ó n ic o (DNIe) sim ilar al tradicional y cuya principal novedad es que incorp ora un pequeño circuito integrado (chip), capaz de g u ard ar de forma segura información como el certificado digital del propietario. P ara el uso de certificados digitales confiables es necesario crear un modelo de confianza basado en Terceras Partes Confiables e im plantar In fraestru ctu ras de Clave P ú b lica (ICP o PKJ, Public Key Infrastructures), que incorporen autoridades de certificación y registro como interm ediarios en el uso de certificados digitales. 127 S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-M A EJERCICIOS PROPUESTOS 1 . In v estig a acerca de los d istin to s m étodos de cifrado que se em plearon en la 2a G uerra M undial y concretam ente sobre Enigm a. ¿Cuál era su palabra clave? 6 . R ealiza los trá m ite s p ara la obtención de tu certificado digital. ¿Dónde lo tienes que descargar? ¿Dónde tienes que ir a recogerlo? ¿Qué caducidad posee? Instálalo en In tern et Explorer y Mozilla Firefox. Realiza una copia de seguridad con contraseña privada, y elimínalo de un PC inseguro al que puedan acceder otros usuarios. Una persona que acceda a nuestro equipo en el que tenemos instalado un certificado digital, ¿puede acceder a distintos sitios web de información personal de tipo legal? 2. Realiza un scri.pt para GNU/Linux que perm ita m ediante un m enú de opciones seleccionar entre los diferentes comandos (gpg simétrico, asimétrico, firma digital, revocación, publicación de claves públicas, etc.) y scripts (sustitución y transposición) que hemos visto a lo largo de las prácticas del capítulo. 3. Busca información acerca de qué es y para qué sirve la esteg a n o g ra fía . Introduce un mensaje de texto o una fotografía dentro de un archivo de música, im agen o vídeo, m ediante algún software específico bajo Windows como PicCrypt, Xiao Steganography o S teg an G o bajo G N U /Linux como OpenStego. Com prueba que es posible recuperar el m ensaje o archivo oculto. 7. Realiza una búsqueda de los servicios de em presas como bancos, y de la a d m in istració n pública (seguridad social, hacienda, etc.) a los que se puede acceder de forma segura, m ediante certificado digital y m ediante DNIe. En caso de disponer de certificado dig ital y/o DNI electrónico intenta acceder de forma segura a alguno de los servicios comentados e indica el proceso de acceso y las posibilidades que te ofrece el servicio. ¿Consideras estos servicios útiles para el ciudadano? ¿Para qué colectivos especialm ente pueden ser útiles estas aplicaciones? 4. Revisa en la web www.cam erfirm a.com , uno de los usos que tiene el certificado digital para la firma y el envío de correos electrónicos con certificado digital, describe el proceso. ¿Qué garantiza? ¿Qué es S-MIME? Explica una posible utilidad que tendría el uso de certificado digital para m inim izar el spam. 8. 5. Busca qué Autoridades Certificadoras Adm itidas de certificados digitales existen en España. Describe el proceso p ara la obtención del certificado digital, p ara ello visita la web w w w .fnm t.es. ¿Es válido para todos los navegadores web? ¿Puede em plearse para firm ar otro tipo de archivos? ¿Es posible exportarlo o solam ente se puede em plear en un solo equipo? ¿Qué precauciones podemos ten er con el certificado digital en cuanto a protección m ediante contraseñas en la exportación? 128 Qué diferencias existen en tre la instalación de un certificado en un servidor web y un servidor de certificados. Busca cómo se instala y qué opciones ofrece el servidor de certificados integrado en el servidor US de Microsoft. Realiza una petición por parte de un cliente de un certificado digital. 9. Investiga acerca de la aplicación OpenSSL. ¿Qué tipo de algoritm os em plea? ¿P ara qué sistem as operativos se encuentra disponible? ¿Qué utilidades posibilita? © RA-M A 5 ■C R IP T O G R A F ÍA TEST DE CONOCIMIENTOS Indica qué sentencia es falsa con respecto al DNIe: Posee la m isma utilidad en In tern et que el DNI anterior. Posee mucho m ás nivel de seguridad que el anterior. Lo poseen actualm ente m uchas menos personas que el anterior. Exige un hardw are b astan te económico para emplearlo. Con el certificado digital y eí DNIe todavía no puedo realizar trám ites como: Acceder a la declaración de la renta. R ealizar devoluciones oniine de un producto. Averiguar mis datos de la Seguridad Social. Pedir una cita para el médico. E n un siste m a criptográfico el aspecto m ás im portante es: Longitud de la clave. La asim etría. La clave. Tiempo de cifrado. ¿Cuál de estos tipos de mecanismos de identificación no poseen validez alguna todavía? DNIe. Firm a digitalizada. Firm a digital. Certificado digital. La codificación RSA-3, es un método: Asimétrico. Simétrico. Hash. Híbrido. ¿Qué tipo de cifrado se em plea en este comando gpg'-c? Asimétrico. Simétrico. Hash. Firm a digital. Híbrido. ¿Para qué se emplea este comando gpg -b ? Cifrado Asimétrico. Cifrado Simétrico. Publicación de clave pública. Firm a digital. Cifrado Híbrido. ¿P ara qué se em plea este com ando gpg --sendkeys? Cifrado Asimétrico. Cifrado Simétrico. Publicación de clave pública. Firm a digital. Híbrido. 129 Ö U U ü rJ tj> U U U ü / Valorar los nuevos peligros derivados de la conexión a redes. / Adoptar medidas de seguridad en redes corporativas o privadas tanto cableadas como inalámbricas. / Analizar las principales vulnerabilidades de las redes inalámbricas. / Comprender la importancia de los puertos de comunicaciones y las amenazas existentes en protocolos poco seguros. / Conocer y emplear protocolos y aplicaciones seguras en comunicaciones. S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-M A AMENAZAS Y ATAQUES Sin im portar si están conectadas por cable o de m anera inalám brica, las redes de ordenadores cada vez son m ás esenciales para las actividades diarias. Los ataques e intrusiones de personas no autorizadas a través de las redes públicas y privadas cada vez son m ás frecuentes, y pueden causar interrupciones costosas de servicios críticos y pérdidas de trabajo, información y dinero. De forma genérica las am en azas en comunicaciones podemos dividirlas en cuatro grandes grupos: In terru pción : un objeto, servicio del sistem a o datos en u n a comunicación se pierden, quedan inutilizables o no disponibles. In tercep tación : un elem ento no autorizado consigue un acceso a un determ inado objeto. M odificación: adem as de conseguir e) acceso consigue modificar el objeto, es posible incluso la d estr u c ció n una modificación que inutiliza al objeto afectado. Fabricación: modificación destinada a conseguir un objeto sim ilar al atacado de forma que sea difícil distinguir entre el objeto original y el “fabricado”. En la figura se m uestran estes tipos de ataque de una forma gráfica: F lu jo normal de información entre emisor y receptor y posibles amenazas: fa) interrupción, (b) interceptación, ( o modificación y (ti) fabricación Como ejemplos prácticas de dichas am enazas, encontram os diversas té c n ic a s d e ataq u es in fo rm á tico s en r e d e s. Algunos son: A taque d e d en eg a ció n d e servicio: tam bién llamado ataque DoS (Deny o f Service), es un caso específico de in terru p ció n de sen-icio. Causa que un servicio o recurso sea inaccesible a los usuarios legítimos, norm alm ente provocando la pérdida de la conectividad de la red por ei consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistem a de la víctima. M ediante botriet o redes zombi se pueden llegar a controlar cientos o miles de m áquinas para realizar ataques distribuidos de saturación de servidores o DDoS. S niffin g, es una técnica de in tercep tación : consiste en ra stre a r monitorizando el tráfico de una red. 132 © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S M an in th e m iddle: a veces abreviado MitM, es un caso específico de in terc ep ta ció n y m o d ifica ció n de id e n tid a d . Un atacante supervisa una comunicación en tre dos partes, falsificando las identidades de los extrem os, y por tanto recibiendo el tráfico en los dos sentidos. Spoofm g: es una técnica de fab ricación , suplantando la identidad o realizando una copia o falsificación, por ejemplo encontram os falsificaciones de IP, MAC, web o m ail. P h a rm in g : es una técnica de m o d ific a c ió n . M ediante la explotación de u n a vulnerabilidad en el software de los servidores ÜNS o en el de tos equipos de los propios usuarios, perm ite modificar las tablas DNS red ¡rigiendo un nombre de dominio (domain ñame) conocido, a otra m áquina ( IP ) distinta, falsificada y probablem ente fraudulenta. i A n a liz a la n o ticia " Tabnabbing; phishing a tra v é s d e la s p e s ta ñ a s del n a ve g ad o r'', e n c o n tra d a en http://w w w .hispasec.com /unaafdia/423l , e in d ica : • ¿ Q u é tipo de a m e n a z a d e la s a n te rio rm e n te v is t a s su p o n e el Tabnabbing ? ¿ C ó m o fu n c io n a ? • ¿ Q u é tipo d e m e d id a s d e p re c a u ció n p o d e m o s to m a r a n te e s te tipo de a m e n a z a ? A continuación veremos una serie de prácticas en las que se em plean dichas técnicas. PRÁCTICA 6.1 S n iffin g - MitM - A R P Sp oo fin g - P h arm in g La m onitorización del tráfico de red es un aspecto fundam ental para a n a liza r qué está sucediendo en la m ism a, y poder tom ar precaucion es y m ed idas de seguridad en la m ism a. H erram ientas como W ire sh a rk, NMAP o Caín & Abel perm iten re alizar una m onitorización de qué equipos se en cuentran conectados en una red y qué puertos y ap licaciones utilizan. En nuestro caso vam o s a re alizar una se rie de p rácticas que perm iten ve r las vulnerab ilidades de protocolos com o ARP y DN S, y de este modo tom ar cie rta s precauciones. E m p le a re m o s una h e rram ien ta para siste m a s W indows denom inada Cain & Abel, aunq ue para G N U /Linux podem os em p le ar Ettercap que posee sim ilares p restaciones. En prim er lugar seleccio n arem o s la pestaña superior Sniffer y la inferior Hosts. Pulsarem os sobre el botón su p erior de sniffing, e sca n e a rá nuestra red local y nos dará inform ación (IP y MAC) de qué equipos se en cuentran en red con nuestro equipo. 133 © RA-M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D *) © & «inm + * j o ? ft y ■■s u a » ' \j i< > Iti T ñ c ^ r r y I # 1m Iw Ito f IU 1 M .0 I )*M «64).JS 197 1 « 0 . IJ OOKOlíSOGM OOI6CF7TOSD 00]fc+UÓ«?2S TV—icntre AStlV CC*WTW CO«#. UIT-CN Ttcfocfegr Gerp AHP I n i (llroadcMt 8 bit) Ia>«*•*i©**« i+ ■<>*«i»~wnii | VffVJ | ARP PO ISO N IN G El ARP Spoofing, tam bién conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red E th e rn e t conm utada (b asad a en switch y no en hubs), que puede p erm itir al atacan te m onitorizar p aqu etes de datos en la LAN (red de área local), incluso m odificar el tráfico. El principio del ARP Spoofing es e n via r m e n sa je s ARP falsos (falsificad os, o spoofed) a los equipos de la LAN. N orm alm ente la finalidad es a so cia r la dirección MAC del atacan te con la dirección IP de otro equipo, como por ejem plo la puerta de en lace p redeterm inad a (g a te w a y ). De esta form a cualq uier tráfico dirigido a la dirección IP de ese equipo suplantado (p o r ejem plo el g a te w a y ), se rá enviado al a ta ca n te , en lugar de a su destino real. El a ta ca n te , puede entonces elegir, entre re e n v iar el tráfico a el equipo real (ataq u e pasivo o escu ch a , em pleado en MitM) o m odificar los datos a n te s de reenviarlos (a ta q u e activo). -. * » ¿ O taxK n » H -r. W w l + j w t» |y o q. y e j ■ §o a a ^8 Otam 1 « i. « — a | n « n u l Y r rtlw i i r ft Lì) o— 1 •: N o kUP Poten Haul ni« VMIMNGW onft* >gNtonta* fYM'Nrf MC* Ku W fi w u b n you lo h)K> # W k t * n —r 9-m i—r«>J hr»*/ <*■.9 * )r* te* w*j « O n hüiKitt« MH p^awrc» ti * éc0mhL *1 vi )u i LAN y mtiijii iviMüii v s z tc a o ii youtoAl cjum DOS4 youmi AFfl w>c oi^ctisoco oia72xnD anuu&m | / t&iiw»fMXH . 134 liS«» H- »wn l!\ i»* | O» | C ro l © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S Para re a liza r un ataqu e ARP Poisoning o de en ve n en am ien to ARP, se le ccio n am o s la p estaña inferior APR, y p ulsarem os el botón su p erio r + . Seleccio n arem o s de los equipos de nu estra LAN, por qué equipo querem os hacernos p asar (colum na izq uierda) y en qué equipos q uerem os infectar su tabla ARP (colum na d e re ch a) con una entrada de nuestra MAC asociad a a la IP del equipo a suplantar. En este caso el equipo por el que nos harem os p asar se rá la puerta de en lace (1 9 2 .1 6 8 .0 .1 ) , ya que la m ayoría del tráfico irá dirigido a este equipo. C : \ D o n m r iit o m u! S o t t in 'ja \< ftd n tfiX ir p I n t r r Í A . ' . 192 .1 611 .» .1 1 D i r e c c ió n IP 1 9 2 .1 6 8 .f t. 1 C :\D o c iu ia n t v « m i S e t t in(jt> V A d « ifi> a rp I n t e r i n e : 1 9 2 .16U .(J. 11 D ir e c c ió n IT 1 9 2 .IC H .11.1 1 9 2 .1 6 8 . I t . Iff ¥ « H *2 D ir e c c ió n f i e l e « M T 2 4 -4 1 2% -MU-2H Tipt» d in A n lc o * Mw2 D ir e c c ió n ( i - l e « M HU 1 B - d « -2 2 - V « -* 5 I ip o d Í¿ M Ío i d in iír i ic o 1 Podemos ve r el an tes y desp ués de dicho envenenam iento en uno de los equipos infectados: 1 9 2 .1 6 8 .0 .1 1 . En prim er lugar la MAC de la puerta de en lace o router era 0 0 - 2 4 - d l- 2 5 - 0 0 - 2 0 , a continuación d esp u és de re alizar el en venen am ien to disponem os de 2 en trad as con la m ism a MAC, del equipo que va a recib ir todo el tráfico que vaya dirigido a la puerta de enlace. Medíante esta técnica es posible m onitorízar el tráfico que va dirigido al router y rastre ar protocolos no seguros como FTP, HTTP, POP, SMTP, Telnet o FTP, y de esta forma obtener cre d e n cia le s. PHARMING Es posible re alizar una inserción en las tab las locales de nom bres de dom inio, posibilitando un redireccionam iento a una IP con una web falsa. Seleccion and o la pestaña inferior APR, y la opción APR-D N S podem os c re a r en trad as de nom bres de dominio con IP falsas. a a -j * © s* » £* + j ¿ Dtodert HKwwri W I« I , / O e&m | 0 fiK a o J e |E • o t ii CCCU |*H' 5Ç75T E3 AP*<frt (4) £ , APR-CW5 ■ WH.-55M-1 <0) 5 A?*-HTTP5(0) A*<-0£*>(0) â «*-FTP5(0) 5 AW-P0f>3S(0) 5 APP-IHAP3 (05 5 *P«-iWSP5(0) 5 AP©-SP5(0) Vem os com o desp ués de re alizar DNS spoofing, en unos de los equipos afectad o s, al hacer ping a google nos envía a una dirección IP falsa. L ':s lK ic iin n n t> iu c i c n i l o <ind líe t t in g ? ''« d m n > p in n w u u .g o n g le p l» v * l. t f n a if le .c iiM ( 1 9 2 .1t»8. H.1 I co n 32 b y t * : <tn d a t o s : « r s p i a o t j i d e sd e 1 9 2 .1 6 8 .H .1 : b y t r t -32 1 le n p n -23n= FTL 64 R r a p io ^ U ilc a d e I 92 .1 M I . » . I : b y t r t '3 2 I ie n p u *13«*. I VL - •»"f l ’** •• jm r - l j d e n le 1 9 2 .1 6 8 .11.1 : liy le a 32 l l n i p u - t n t I I I . 6-1 Las falsificaciones de sitios web donde se hacen uso de cred enciales m ediante form ularios, ponen en peligro nu estras co n traseñ a s y por tanto la privacidad e integridad de nu estros datos. En el ejem plo se han realizado falsificado w ebs de acceso a correo electrónico de yahoo. S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-M A Recom endaciones Para e v ita r este tipo de ata q u es se recom ienda en tre otras acciones, el uso de tab las ARP e stá tica s, o al m enos, en tra d as e stá tica s como la que da acceso a la puerta de en lace, ya que la m ayoría del tráfico pasa a trav és de esta IP. S e puede re a liza r m ediante el com and o: arp - s IP MAC. C:\WfNDOWSt\iyslcm32Vcmd.cw H ic r o s n fi ( U o r s in n S . 1 . 26 BB ) 198S-2WW1 M ic r o s o ft C orp . W in d o w s XP <C) C o p y rig h t C :\D o c u n c n ta « m i S e tt in f j3 V J o - u i2 > A r p I n t e r i n e » : 1 9 2 .U O . l i l i liilr t* n o t A d d ro c u 1 9 2 .1 6 0 .H. i .1 0X2 P Ií u s í c a I f t d i l r r u r I ypp lili 24 .11 25* IIH 211 .tyn.inic |c: vOocunrnt . .tml S o it ln«| •'.«1o^i»a2>«%P|i 1V2.16H.H.1 OI1-2*l-rit -2S HÍÍ-2H 0 11 1 |C : \D c rmr L t «uní S e t t i n y 3 V ^ l e a i i s 2 ) a r ¡ i I u t o r f .ico : 192.160.11.1 1 Hm2 I n lo r t ir t A d d ro Q S P h y c ic a l flildrous 1 92.160.H .1 BW 24 »11 2S-00 2Ü Tyi>n a t a tic En redes gran d es con gran cantidad de adm inistración no es una buena solución, re alizar esta configuración a m ano. Para esos caso s lo m ejor es m onitorizar los intentos de m odificación de tablas ARP, por ejem plo m ediante softw are esp ecífico de detección de intrusos ( ID S ) com o SNORT, o específicos de intentos de duplicados ARP: bajo G N U /Linux A rpw atch o en W indows D ecaffein atID o re a liza r una m onitorización esp ecífica m ediante W ire sh a rk que es cap az de d etectar intentos de duplicados ARP. En el caso de DNS spoofing, debem os tener especial precaución con las falsificaciones de sitios w eb, com probando en los sitios web que en viam o s cre d e n ciale s ( mail, redes so cia le s, b anca, com ercio oniine, e tc .) que em plean protocolos se g u ro s, como HTTPS, certificado digital que perm ita ve r su au tenticid ad, y otros asp ecto s com o la veracid ad de su URL, o que nunca nos pedirán por otras vías de com unicación (teléfono o mail) el envío de dichas cre d e n cia le s. AMENAZAS EXTERNAS E INTERNAS L as am enazas de seguridad causadas por intrusos en redes corporativas o privadas de u n a organización, pueden o rig in arse tanto de forma interna como externa. A m enaza ex te r n a o d e a cc eso rem oto: los atacantes son externos a la red privada o interna de una organización» y logran introducirse desde redes públicas. Los objetivos de ataques son servidores y routers accesibles desde el exterior, y que sirven de pasarela de acceso a la redes corporativa. A m enaza in tern a o corporativa: los atacantes acceden sin autorización o pertenecen a la red privada de la organización. De esta forma pueden com prom eter la seguridad y sobre todo la información y servicios de la organización. Con estos 2 frentes abiertos, veremos por un lado como defender la segu rid ad en la red corp o ra tiv a de forma in te rn a (capítulo 6 ), y por otro como disponer de m edidas de p ro tecció n p erim etral (capítulo 7), en los equipos y servicios que están expuestos a redes públicas. 136 © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S P ara protegernos de las posibles a m e n a z a s i n t e r n a s algunas propuestas son: R ealizar un buen diseño de dirección am iento, parcelación y servicios de subredes dentro de n u estra red corporativa. P ara elío se em plean técnicas como, subnettíng, redes locales virtuales o VLAN y creación de zonas desmi lita rizadas o DMZ, aislando y evitando que los usuarios puedan acceder directam ente en red local con los sistem as críticos. Políticas de adm inistración de direccionamiento estático para servidores y routers. M onitorización del tráfico de red y de las asignaciones de direccionamiento dinámico y de sus tablas ARP. Modificación de configuraciones de seguridad y, en especial contraseñas por defecto de la adm inistración de servicios. En redes inalám bricas em plear máximo nivel de seguridad. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) Un sistem a de detección de intrusos o IDS es una herram ienta de seguridad que in ten ta detectar o m onitorízar ios eventos ocurridos en un determ inado sistem a informático en busca de intentos de com prom eter la seguridad de dicho sistem a. Los IDS buscan patrones previam ente definidos que im pliquen cualquier tipo de actividad sospechosa o maliciosa sobre n u estra red o host, aportan a n uestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, pero aum entan la seguridad de nuestro sistem a, vigilan el tráfico de nuestra red, exam inan los paquetes analizándolos en busca de datos sospechosos y detectan las prim eras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc. Los tip o s de IDS que encontram os son: H ID S (Host IDS): protegen un único servidor, PC o host. M onitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determ inando de esta m anera qué procesos y usuarios se involucran en una determ inada acción. Recaban información del sistem a como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias. NTDS (Net IDS): protege un sistem a basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque. Actúan m ediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan en tiempo real todos los paquetes que circulan por un segm ento de red aunque estos nos vayan dirigidos a ese determ inado dispositivo). La arq u itectu ra de un IDS, a grandes rasgos, está formada por: La fuente de recogida de datos. E stas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistem a. Reglas y filtros sobre los datos y patrones para detectar anom alías de seguridad en el sistem a. Dispositivo generador de informes y alarm as. En algunos casos con la sofisticación suficiente como para enviar alertas vía m a il, o SMS. Con respecto a la ubicación del IDS se recomienda disponer uno delante y otro detrás del cortafuegos perim etral de n u estra red, para obtener información exacta de los tipos de ataques que recibe nu estra red ya que si el cortafuegos está bien configurado puede p arar o filtrar muchos ataques. 137 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A PRÁCTICA 6.2 ID S - S N O R T Sn o rt es un ID S o S iste m a de detección de intrusiones basado en red (N ID S ). Im p lem en ta un m otor de detección de ataqu es y barrido de puertos que perm ite registrar, a le rta r y responder an te cualquier an om alía p reviam ente definida com o patrones que corresponden a ata q u es, b arridos, intentos ap ro v ech a r alguna vulnerabilidad , an álisis de protocolos, etc., conocidos. Todo esto en tiem po real. Snort ( http://www.snort.org/) está disponible bajo licencia G PL, gratuito y funciona bajo plataform as W indows y G N U /Linux. Es uno de los m ás usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así com o actu alizacio n es co nstantes an te ca so s de ataqu es, barridos o vu lnerab ilidades que vayan siendo d etectad as a través de los distintos boletines de seg uridad . Puede funcionar como sniffer (podem os ve r en consola y en tiem po real qué ocurre en nuestra red, todo nuestro tráfico ), registro de paquetes (p erm ite g uard ar en un archivo los logs para su posterior an álisis, un an álisis offüne) o com o un ID S normal (en e ste caso N ID S). 1. En p rim er lugar instalarem os la aplicación bajo GN U /Linux m ed ian te: aptitude install snort, 2 . Snort en modo Sniffer y registro de paq u etes: snort -d e v -I ,/log -h 1 9 2 .1 6 8 .1 .0 / 2 4 . En e ste modo (d e v ) visu a liza rem o s las ca b ece ras de los paquetes TCP/IP, es decir, en m odo sniíferSnifíer. modo verbouse (v) m ostrará las ca b ece ras IP, TCP, UDP y ICMP, visu a liza rá los cam pos de datos que pasan por la interface de red (d ), y las ca b e ce ras a nivel de en lace (e). Las opciones sig u ientes -I sirve para indicar el directorio de logs y -h para a lm a ce n a r registros de tráfico de la red o host que se le indique. 3. Filtros: Para para m onitorizar tan sólo solo el tráfico deseado de un determ inado puerto, s e puede indicar por ejem p lo: snort -vd host 1 9 2 .1 6 8 .1 .5 and dst port 8 080. En el cual solo se m ostrará el tráfico del host 1 9 2 .1 6 8 .1 .5 con puerto de destino 8 080. 4. ID S : El el modo detección de intrusos de red se activa añadiendo a la línea de com andos de snort la opción -c snort.conf. En este archivo , snort.conf, se guarda toda la configuración de las re g las, p rep rocesad ores y otras configuraciones n e cesaria s para el funcionam iento en modo N ID S. Por tanto podem os e je cu ta r: snort -dev -I ,/log -h 1 9 2 .1 6 8 .1 .0 / 2 4 -c . ,/etc/snort.conf. 5. Modos de alerta: Hay hay v a ria s m aneras de configurar la salid a de las a le rta s, el modo en que se alm a cen a rán ésta s en el archivo a le rt.id s. S n o rt dispone de siete m odos de alertas en la línea de ó rden es: completo, rápido, socket, syslog, smb (W inPopup), consola y ninguno. C om o ejem plo, en modo de alerta com pleta (-A Full) nos d evolverá inform ación sobre: tiem po, m en saje de la a le rta , clasificación, prioridad de la alerta, IP y puerto de origen/destino e inform ación com pleta de las cab eceras d e los p aquetes registrad os. snort -A full -dev -I ,/log -h 1 9 2 .1 6 8 .1 .0 / 2 4 -c . ./etc/sn o rt.co n f 138 © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S RIESGOS POTENCIALES EN LOS SERVICIOS DE RED TCP/TP es la arquitectura de protocolos que usan los ordenadores para comunicarse en In tern et y, actualm ente, casi en cualquier otra red. E m plean p u ertos d e co m u n ica cio n es o n u m eración ló g ica que se a sig n a p ara id e n tifica r cad a una d e las c o n e x io n e s de red, tan to en el origen com o en el d estin o. No tiene ninguna significación física. Los servicios de red más habituales tienen asignados los llam ados puertos bien conocidos, por ejemplo el 80 para H TTP o web, el 21 para transferencia de ficheros FTP, el 23 para TELNET, etc. T a b la 6 .1 Rango Puertos 0 -10 23 S e rv icio s bien conocidos 1 0 2 4 -4 9 1 5 1 R egistrados 4 9 1 5 2 -6 5 5 3 5 D inám icos y/o privados Servicios sobre puertos bien conocidos 20 y 2 1 : FTP 2 2 : SSH com unicación cifrada 23: Telnet no cifrado 24: SM TP y 110: POP3 53: DNS 8 0 : HTTP y 443 HTTPS cifrado 1 3 7 ,1 3 8 ,1 3 9 : N etBIO S com partir archivos e im presora y 4 4 5 : SMB Los d istintos sistem as y sus aplicaciones de red, ofrecen y reciben servicios a través de dichos puertos de comunicaciones. Solo a través de un conocimiento y análisis exhaustivo de los puertos y las aplicaciones y equipos que los soportan podemos asegurar n u estras redes. El análisis y control do los puertos se pueden realizar desde distintos frentes: E n u n a m á q u in a lo cal observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan. El comando n e tsta t perm ite ver el estado en tiempo real de n u estra s conexiones. Los co rta fu eg o s o firewall p erso n a les son una medida de protección frente a ataques externos. E n la a d m in istra ció n d e red p ara ver qué puertos y en qué estado se encuentran los de un conjunto de equipos. La aplicación rnnap perm ite u.n escaneo de puertos, aplicaciones y sistem as operativos, en un rango de direcciones. Los co r ta fu eg o s y p roxys p erim etra les ofrecen protección m ediante un filtrado de puertos y conexiones hacia y desde el exterior de u na red privada. T ras realizar un análisis exhaustivo a nivel de puertos, debemos proteger n u estras conexiones, haciéndolas seguras, por ejemplo cuando enviemos información confidencial. 139 © RA-MA S E G U R ID A D Y A LTA D IS P O N IB IL ID A D I PRÁCTICA 6.3 A N Á L IS IS DE P U E R T O S M ediante el com ando ne tstat tanto en siste m a s GN U /Linux com o W indows podrem os a n a liz a r el estado de n u e stra s conexiones y puertos. A modo de ejem p lo bajo W indows netsat -an o b , nos m ostrará un listado com pleto m ostrando núm ero de puerto, estado (a la escu ch a , esta b lecid as, o cerrados a la e sp era ) y proceso responsable de dicho estado. En GN U /Linux las opciones m ás co m unes del com ando son netsat -atu p . Como vim os en el capítulo 1 n m a p es una aplicación de gran utilidad en el an álisis de puertos. Entre otras ap licacion es se rv irá para la adm inistración de protocolos seguros en redes locales. Scflp l.oob Target fircM« t)e*p 1 « . 166,1.0/24 rvnac>-*V T4-O-F —v w s o v ltf* I V . 168 1.0/2-1 htorti j, S«rucos | WMpOtfpüt Porti / Hotf* Toootogr H o* Otfefe j Scem Port « Proteo* « s « « * Service « verton 192 168.1.37 192.166 1.36 Efflóe&fcd Alegro Porrf agw M tn « v« r 4.07 UPr*>/l .0 (ZVXI.L ZyWAU. 2) 192 168 1.1 fclrw) 19? 168.1.1 m - n |x ] □ Herrn 23 S y :t c h S e c u r it y t . OMnnc Pftatuort) 2 . HADltÍE S r r v r r 11-M-.ÜH2 .1 a Tras re alizar un an álisis de nuestra red ve m o s com o nm ap nos m uestra para la puerta de enlace 1 9 2 .1 6 8 .1 .1 , el m odelo de fab ricante de nuestro router, y los puertos y servicios que ofrece, ftp FTP (2 1 ), telnetTelnet (2 3 ) y http (8 0 ). En n u m erosas páginas web y en las propias del fab ricante a través de su m anual de configuración, podem os en co ntrar listados con las co n traseñ a s por defecto de usuarios de adm inistración telnet y web. Recom endación C o ntro lar el estado de co n exio n es, ev itar protocolos inseg uros como Telnet, y configuraciones y co n traseñ a s por defecto, ya que en caso de que un ata can te interno o extern o pueda a cce d e r a nuestra red o al control de un sistem a im portante, podrá efe ctu ar una configuración no au torizad a, o incluso una denegación de servicio. COMUNICACIONES SEGURAS La m ayoría de las comunicaciones que empleamos en la red como HTTP, FTP o SMTP/POP, no em plean cifrado en las comunicaciones. Aunque existen protocolos que em plean comunicaciones cifradas como SSH a través del puerto 2 2 , SSH, soportando incluso el envío seguro de archivos m ediante SFTP. O tras a lte rn a tiv a s para establecer com unicaciones seguras entre d istin to s niveles son: 140 2 sistem as cifrando las comunicaciones a © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S SSL y TLS: Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) y Transport Layer Security -Seguridad de la Capa de T ransporte- (TLS), su sucesor. Se ejecutan en una capa en tre los protocolos de aplicación y sobre el protocolo de transporte TC P E n tre otros se em plea a través de puertos específicos con: HTTPS , FTPS, SMTP, POP3, etc. IPSEC o Internet Protocol security, es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de In te rn e t (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. Actúan en la capa 3 lo que hace que sea m ás flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y U D P U na ventaja im portante frente a otros métodos que operan en capas superiores, es que para que una aplicación pueda u sar IPsec no hay que hacer ningún cambio. PRÁCTICA 6.4 S SH S SH es un protocolo que perm ite acced er a m áq uin as rem otas y e je c u ta r com and os a través de una red, m ediante una com unicación se g u ra cifrada a tra v é s del puerto 22. Perm ite copiar datos de form a segura (tanto ficheros su eltos com o sim ular se sio n e s FTP cifra d a s), g estio n ar claves m ediante certificad o s para no escrib ir co ntraseñas al co n e ctar a los d ispositivos y tran sfere n cia de datos de aplicacion es por un canal seguro tunelizad o de forma sencilla. En este caso práctico in sta lare m o s un se rvid o r de SSH al cual acced erem o s desde un intérprete de com andos d esd e GN U/Linux y d esd e W indows. 1. Para ía instalació n del se rvid o r S SH en GN U /Linux ab rirem o s la consola y escrib ire m o s lo sig u ien te: áptitude search ssh Con este com ando estam os buscando algún paquete que coincida con nuestra búsqueda. Tras eje cu tar dicha orden nos sald rán todos los posibles paquetes que tengan relación con el nom bre del paquete que hem os introducido an terio rm en te. En la lista de paquetes encontrados, b uscarem os el paquete "opensshse rve r" que se rá et que tengam os que in sta lar en la m áquina que hará de servidor, una vez localizado el nom bre exacto del paquete, escrib irem os en la consola la siguiente orden: aptitude install opensshserver. Una vez instalado el servidor, ya podem os a c ce d e r desde cualq uier m áquina de la LAN o de fuera de ella. 2. Para conectarnos al se rvid o r de ssh que hem os instalado an terio rm en te, cog erem os una m áquina cliente G N U /Linux d istinta a la m áquina en la que está corriendo el se rv id o r de ss h , pero en red con ella. R ealizarem os dicha operación m ediante el siguiente com and o: ssh direccio n_ip (si está dentro de la m ism a red del se rvid o r) o ssh n o m b re_d e_d o m in io (si está en una red diferente a la del servid o r). Al iniciar la conexión nos pedirá la contraseña de un usuario válido en el se rvid o r rem oto. Si la au tenticación de la contraseña es co rrecta, ya podem os realizar cualquier acción en la m áquina rem ota a trav és de la consola. Podemos a p re cia r que el nom bre de la m áquina cliente que ap a re ce en el prom pt ha cam biado por el nom bre de ta m áquina servidora rem ota: Una vez conectad o s, podrem os e je cu ta r com andos como por ejem p lo : lista r los archivos que hay dentro del directorio "hom e" de la m áquina rem o ta: 141 <g> RA-M A S E G U R ID A D Y A LT A D IS P O N IB IL ID A D fre e rid e r jifre e rid e r-d e s k t Archivo Editar yer Terminal Ayuda freerid er@ Se rvid o r-s$h :-$ I s /home frwrrider usuario ____ f reerider@ Servido r-ssh: ~S S Z B logout Connection to 192.168.1.19 c lo se d . fre eríd er@ freerid er-d e skto p :~ S | Una vez finalizad as las accio nes tendrem os que d esco n ectarn o s del se rvid o r ssh m ediante la siguiente ord en : exit. Al e je cu ta r dicha orden verem o s com o nos da una confirm ación en la que nos dice que la conexión con la ip rem ota ha sido cerrad a: 3 . S i querem os realizar la conexión m ed iante un cliente bajo sistem a operativo W indows, em p learem o s el so ftw are específico P u t t y . Es un cliente SSH y telnet, de código abierto, podrem os in teractu ar con la consola de Linux sin necesidad de e s ta r en una m áquina cliente con Linux. Una vez instalado la configuración de la aplicación es sencilla. En la parte su p erior de la m ism a tenem os el cam po "host ñam e (or ip ad d re ss)" en el que tenem os que introducir el nom bre de la m áquina remota o bien su dirección IP. Tras introducirlo p ulsarem os en ""O pen": ’ |0 * w M 1 S e ao n Loggng H T em raí Kettowd 1 X r F e a ii*» fc W nto N Acoearanca Bahamas Tonáaüon B m c o d o ra for >cur PuTTY m — Sp*cfy V * á m r t ^ c n you w m t to coonort (o 22 Hoat fian« jor IP «j6oaa)> Poi CorwecDon rypa B » la * « nog* «ssh m Load a « or ó e k t* a *ored !■— o r Sovgd Sesmera ¡ Sffcctcn C ocui C o m ed ion M s J í Scenga fe o i D *» Proxy 1 T «ir« Lsad S IJ I fr te fib g n ■b SSH Sanai 1 ,_____________ , jj Oosa te n te * en s u A+HSfi N n«r 1 u O rt/ on oeart oad __________________________ Op«n J| 1 Acto seguido, nos ap a rece rá una nueva ven tan a sim ulando una ventana de una consola de com andos. In tro d u cirem o s el usuario de la m áquina rem ota y su co n traseñ a respectiva. Tras introducir los datos de usuario nos ap a rece rá una confirm ación de la conexión al servid o r ssh, pudiendo de este modo eje cu tar com andos rem otam ente. ífW(ír4S«fvicíof ^ - © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S I PRACTICA 6.5 T L S / S S L . P R O T O C O LO S S E G U R O S A m enaza o vu ln erab ilid ad es El softw are Caín & Abel para siste m a s W indows perm ite en caso de realizar un ata q u e MitM, poder an a liza r el tráfico de una red local, id entíñcar los m e n s a je s y extrae r cre d e n cia le s de los protocolos que envían su s m en sajes en texto plano, por ejem p lo en tre los m ás conocidos y em p lead os: FTP, PO P3, SMTP, Telnet y HTTP. flewr Cgrfujif« Toofc tjd -J £ M © Orcode-í | £ U S 5 S Nrtwork Passvnrds «¡*FTP(2) 3 HTTP (ZS82J J Srrffer rnutarp 18/12/2010- 1 18/12/2010- 1 18/12/2010- 1 aa ldap (o) ■Jl POP3 (3) • * 5MB (0) ■ Tgtot (0) g WC (0) 3)TDS<0) ^ Í tNS(O) Recom endaciones En esta práctica verem o s distintos ejem p los de aplicación de protocolos seg uros: H TTPS: siem pre que visitem o s una web en la que enviem os cre d e n cia le s, ve rifica r que se em plea et protocolo https. Para verificar la autenticidad y confiar en la web, los naveg ad o res web obtienen un certificado S S L del sitio web. En caso de querer ad m in istrar una web segura d eberem os o btener un certificado S S L para nuestra w eb, sum inistrad o por una autoridad certificadora extern a de confianza como lo son V erisign, Thaw te, beTRUSTed o ValiCert. En o casio n e s los n avegad ores web dudan de la veracidad de los certificados S S L , en ese caso debem os añadir una excepción de seguridad en caso de confiar en el sitio web. De e se modo el naveg ad or web añadirá dicha excepción y confiará en el sitio para próxim as visitas. Añadir r a r p f M n d e tr g u n i = Esta conexión no (« U lp tfM tilto vo eao drrtu M nn ItA u l * i Imikm . UttwU» j «Itm uüm pijfafcrM {•'JUtrtr cwtfC«dO [ LUM ád artcnto M » w * rtw U a mimmo con r4 p ím w rv. H ld i ¿Qi>¿ debería hacer? |4mti4*d dntofWMU I m M a r t i ««di »MCcaO He m rirA« or ■iw*fi •>->.rnrgu» rwrw » i •«#*«<*) pr» « U rfarcjnto n c ü rír á tro, I *• . ¡ »Ard*J racnrml». Detdte* técnica» Entiendo los rín g o t * l4 t * lo <m >MU toando. ¡w >Vrt/ií»Vn | tM ^O » ~] — «»cxjOQn fe w ipaiiinifi» | ■> / »— rn « io n i» wy/Q«d j | CmxMu ) S E G U R ID A D Y A LT A D IS P O N IB IL ID A D © RA-M A FTP segu ro: la m ayoría de los servid o res y clientes FTP, soportan conexiones seg u ras, cifrad as sobre SSH y T L S / S S L . V eam os como podem os configurar en un servid o r FTP adm inistrad o las opciones de seguridad S S L . La configuración se realizará sobre el servid or FTP gratuito F ile zilla Server. 1 . En p rim er lugar co n fig u rarem o s S S L en O ptions - S S L / T L S se ttin g s. M arcarem os todas las opciones y g e n e ra r certificado con G e n e rate new ce rtifícate. S e le ccio n a m o s la opción de longitud de c la v e , y rellen am os los cam p os para la creación del certificado y se especificará la ruta al certificado. Una vez generado asig n arem os puerto de escu ch a alternativo para las conexiones se g u ras en Listen for S S L /T L S only co n n ectio n s... (p e. el 9 9 0 ). - Gerwal veMr#: Wefcome n*mge iPb | Paiuve rr o d e r e ^ Socurtyteflrtgi Mitce*>r*©ui Adrrr*'r¿«f«c®.rttng GSSSert*** S p w j L t n íi rii r lili....¡i. C SSl/TLSu4trgT™^ J _»J ■I f t lt x M a U n ( l » pa«*»ord: I P P frow»e . | Storrd n - •. TL¿onrcrn>drcrrxxtoo? P £Orr»erpécfSSL/US Ptowenrp»óatectarrMir551^15mode 0*en for 5SlfTLS-orfc ccrrccbons on the fofo«ng pom Or. f^90 A continuación para los usuario s que se deseen conectar m ediante soporte S S L /T L S , debem os de m arca r la casilla Forcé S S L for u ser login en sus opciones de co n traseñ a . 2. En la m ayo ría de c lie n te s FTP, las opciones de configuración de cu e n ta s de usuario FTP, perm iten conexiones seg u ras m edian te SSH y S S L /T L S . <1 Ü ts f o r d e l i t i o * Setecoone el stoo: General Avaru«do Opaone? de tram /era n o* Juego de caracteres ¡ i t+ í siten Ji Servidor: im ito rs I c o de servidor: FTPS - FTP sofcre TIS/SSl irnpftdto Puerto. ¡FTP • F ie lrarefer Protocol |y T P -S 5 M Fie Transfer Protocol Usuario. [f W s -FTP wbr™ TL555l e itf d t o uwano_l Al in te n ta r conectarnos m ed ian te T L S / S S L nos m ostrará una pantalla para a c e p ta r el certificad o del servidor, si confiam os lo acep tare m o s, haciendo que dicha conexión vía FTP sea cifrad as y no viajará n d atos en texto plano. 3 . En caso de no poder configurar las opciones en el servid o r T L S / S S L por disponer de un alojam iento con opciones reducid as, es posible al m enos e m p le ar en la m ayoría de los ca so s, como opción seg ura SFT P a trav és de S S H . En la m ayoría de los ca so s usuario y contraseña se corresponden con los de FTP. © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S l&l PANEL OE CONTROL | TAt T1EN0A ClfflflTH » JUut«narr«o Wm* Oamian ( mal SM HW MyMuttantt Esfvaca* Wat» y Accat« A ccaao S SH (S atu ra Shall) UT-. • uw fjiía i SSHoua M m u n M ii n »tía p * * n a p a ra m ia rU S S H ftvtd a m « «* 0n ai tar«Oorw*ft En :» w o* uu* * rt» O M *ó o «u tontaaaria mtroauxa wna m/anra fcn uno* mmutot a»Ur» datpon©** A K M tU H ltW lf n ia l CtpaoawM» *at UlMafcMkmO»*» ManwM iPaO Impaitanr»; Las (ontraaeAa (¡ma mi uauartO S8H »pa«a n uium ^mnncmM fTP M la resma Si rnodAca la contaaaAa *n acta p fc jin u n & itn 1a mosMkaiÉ >aconraaaAa para al lituano wvooal m * Daaca «m v Saílwat a Satv4ctaa lá rta n in Correo electrónico: en las cu en tas de correo es recom endab le re visa r la configuración y su s opciones para que siem p re em p leen https. Para la configuración de cu e n tas de mail a través de clientes de escritorio alg unos se rvid o re s com o gmail com ienzan a requerir el uso de puertos y protocolos de tran sferen cia seg uros m ediante S S L : Cuenta de C orreo: [email protected]. Datos POP: Servid o r: p op .gm ail.com . U sar S S L : S Í. Puerto: 995. Datos SM TP: S e rv id o r: sm tp .g m a il.co m . U sar T L S / S S L : S Í. Puerto: 4 6 5 ó 58 7 . Recom endación S ie m p re que tengam os que co nfig u rar servicios tanto clientes como se rvid o re s, que requ ieran el uso y envío de co n traseñ a s, es recom end ab le el uso de configuraciones y puertos que transm itan su s m e n saje s cifrados. V PN Una red privada virtual o VPN (Virtual Prívate N etw ork), es una tecnología de red que perm ite una e x te n s ió n de u n a red lo c a l de forma segura sobre una red pública, como Internet. Algunas aplicaciones de dicha tecnología son la posibilidad de conectar utilizando la infraestructura de Internet, dos o m ás sucursales de una em presa, perm itir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de trabajo, etc. P ara haeerlo posible de m an era segu ra es necesario proporcionar los medios para garan tizar la autenticación, integridad y confidencialidad de toda la comunicación: A u ten tica ció n y au torización: se controlan los usuarios y/o equipos y qué nivel de acceso debe tener. In te g r id a d : los datos enviados no han sido alterados, se utilizan funciones resum en o hash, como MD5 y SHA. C on fid en cialid ad : que la información que viaja a través de la red pública solo puede ser interpretada por los destinatarios de la misma. Para ello se hace uso de algoritmos de cifrado como DES, 3DES y AES. N o re p u d io : los m ensajes tienen que ir firmados. Básicam ente existen tres arq u itectu ra s d e co n ex ió n VPN: VPN d e a cceso rem oto: el modelo m ás usado, usuarios o proveedores que se conectan con la em presa desde sitios remotos (oficinas públicas com partidas, domicilios, hoteles, etc.) utilizando In tern et como vínculo de acceso. 145 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA VPN p u n to a punto: conecta ubicaciones rem otas como oficinas, con una sede central de la organización. El servidor VPN, que posee un vínculo perm anente a Internet, acepta las conexiones vía In tern et provenientes de los sitios y establece el túnel VPN. M ediante la técnica de tu n n e lin g se encapsulará un protocolo de red sobre otro creando un túnel dentro de una red. VPN ov er LAN: es el menos difundido pero uno de los m ás poderosos p ara utilizar dentro de la em presa. Em plea la m ism a red de área local (LAN) de la em presa, aislando zonas y servicios de la red interna, a los que se les puede añadir cifrado y autenticación adicional m ediante VPN. Perm ite tam bién m ejorar las prestaciones de seguridad de las redes inalám bricas, haciendo uso de túneles cifrados IPSEC o SSL que agregan credenciales de seguridad del propio túnel VPN. El protocolo estándar que utiliza VPN es IPSEC, pero tam bién trabaja con PPTP, L 2 TP, SSL/TLS, SSH, etc. Dos de las tecnologías m ás utilizadas para crear VPN’s, en realidad son diferentes protocolos o conjuntos de protocolos, P P T P y L2TP: P P T P o Point to Point Tunneling Protocol: es un protocolo desarrollado por Microsoft y disponible en todas las plataform as Windows. Es sencillo y fácil de im plem entar pero ofrece m enor seguridad que L2TP. L 2T P o Lciyer Two Tunneling Protocol: Se tra ta de un están d ar abierto y disponible en la m ayoría de plataform as Windows, Linux, Mac, etc. Se imple m enta sobre IPSec y proporciona altos niveles de seguridad. Se pueden u sar certificados de seguridad de clave pública para cifrar los datos y g aran tizar la identidad de los usuarios de la VPN. PRÁCTICA 6.6 C O N EX IÓ N REM O TA CON VPN En este caso práctico in sta lare m o s un servid o r de VPN en los siste m a s op erativos W indows y GN U /Linux m ediante el program a Logmein Ham achi que perm ite la com unicación entre 2 m áq uin as rem otas m ediante VPN de m anera fácil y sencilla. A cada cliente H am achi se le asigna una dirección de la red 5 .0 .0 .0 Esta dirección es asignada cuando el cliente se autentifica en el sistem a la prim era ve z, y es en ad elan te asociada con la clave de cifrado pública del cliente. M ientras el cliente retenga esta clave , puede au ten tificarse en el sistem a y utilizar esa dirección 1P 5 .X .X .X . La red 5 .0 .0 .0 / 8 es utilizada para e v ita r colisiones con redes IP privadas que podrían e sta r utilizándose en la parte cliente. El bloque de d irecciones 5 .0 .0 .0 está reservado por la 1ANA y no está actualm ente en uso en el dominio de en cam inam iento de In te rn e t, pero no está garantizado que esto continúe así en el futuro. 1. Antes de em p e za r la instalación es necesario re g istra rse en la página w eb de Logmein para tener acceso al instalad or del program a y poder u sar dicha aplicación m ás adelan te. h ttps://secure. logm ein. com/ES/products/hamachi2/do wnload. aspx La aplicación se ofrece de dos m odos, con gestión o sin gestión. En nuestro caso elegirem os la opción "con gestión" para d isfrutar de todas las utilidades de esta aplicación, Acto seguido cre are m o s la cuenta de usuario pulsando ei botón "C re a r cuenta". C re a re m o s la cuenta de usuario con los datos de form ulario requeridos, y con la cuenta activ a, volverem os a en tra r en la web, acced erem o s a nuestra cuenta e irem os a la sección “ p ro d u cís" / "logm ein Hamachi". Una vez dentro de la página de la aplicación, pulsarem os en "get started" para obtener el instalador. Tras esto p ulsarem o s en ''download now" para obtener el instalador. 146 © RA-M A 2. 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S Realizarem o s la in s t a la c ió n , y eje cu tare m o s la aplicación para e m p e z a r a cre a r nuestra red VPI\I. Para ello eje cu tare m o s el program a y pulsarem os en la opción "C re a r una nueva red": Para c re a r la nueva red tendrem os que in sertar un nom bre para la red y una contraseña para ev itar que se añ ad an usuario s a je n o s a nosotros. Tras re llen ar los cam p os, pulsarem o s en "crear". Crear nu rv * r rd é* <fcm tr{f) K>4at»4 traba* U JQka par* Jtxm W»*dv trrt* a dk Cottadl» IZWMi 5« «¿fea par• »«angr 4 aa»to a la r«d 1 fr— j C ft» » lin iff inWm P « a i r r « >BMmirra rrad Qrriwnrdi f fl Una vez cre ad a la red ve rem o s como el m enú principal de Ham achi m uestra d irectam en te la red que acab am o s de cre a r: ! o trM f» T r fceo X Hamarhi' ¿yuta • E l 5.186.10.91 | ¡ g f l FRKTARVl V )1 9 Grupo de trábalo anime Con esto ya d isponem os de un servid or VPN a la e scu ch a de peticiones cliente. 3. Para conectarnos desde otro ordenador en una ubicación distinta de nuestra LAN, e je cu ta re m o s la m ism a aplicación que efectuará el papel de cliente en otro ordenador. Seleccio n arem o s la opción de m enú "Red" y "U nirse a una red existe n te": En la sig u ie n te ve n tan a ten d re m o s que in sertar el id de red que hem os creado an te rio rm e n te y la contraseña. Tras esto pulsarem os en "unirse". De esta forma ya estam os agregados a la red virtu al: 1o q f W i t god g j v+ ñ* _ X A fj.ii 6 1 9 7 4 1 .1 6 3 Q Grupo de trabajo onfcne V w FRQfrWTH. - 1 U 6 .10.91 Una vez conectados de form a segura entre 2 equipos, podem os co m p artir archivos, e je cu ta r aplicacion es de form a com p artida, entre otras opciones, de la m ism a form a que lo haríam os en una LAN. Pulsando con el botón derecho sobre el nom bre del equipo que queram os re alizar la acción, nos m ostrará un m enú con fas opciones disponibles, por ejem plo Explorar, para b uscar archivos y ca rp etas com p artid as. 147 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA 4. C liente GN U/Linux H am achi. Para la instalación d e sca rg a r el paquete que perm itirá in sta lar la aplicación de la web del fabricante. Tras esto descom p rim ir el fichero en una carpeta e instalarlo, m ediante el com ando make install, contenido en la carpeta h am ach i-ve rsio n -ln x. Sin m overnos el m ism o directorio de la carp eta donde hem os descom prim ido todos los ficheros, irem os al directorio tuncfg, para e je cu ta r el clie n te: ,/tuncfg. A continuación g en eram os la inform ación de la cu e n ta: ham achi-init. A rran cam o s el servicio de ham achi con la siguiente orden: ham achi start. Tras esto ponem os el servicio en línea con la sigu iente ord en: ham achi logín. Para añadirnos a la red que hem os creado en w indow s lo harem os de la sig u iente m anera. En p rim er lugar definim os nuestro nom bre a nuestra m áquina con la orden: ham achi set-n ick Linux. Posteriorm ente/ en trarem o s a la red cread a en w indow s: ham achi join n o m b re _d e _re d p assw ord , para nuestro caso nom bre de red: Grupo de trabajo online y co n traseñ a 123456. A continuación nos indicará Joining Grupo de trabajo online . . ok Para a p a rece r conectado en la red virtual utilizarem os la siguiente orden: ham achi go-online n o m b re _d e _ red V erificam os los usuario s de la red y su statu s m edian te: ham achi list. REDES INALAMBRICAS E n los últimos; años ha irrum pido con fuerza, en el sector de las redes locales, las co m u n ica cio n es inalám bricas, tam bién denom inadasivireless. La tecnología inalám brica ofrece muchas ven tajas en comparación con las tradicionales redes conectadas por cable. U na de las principales ventajas es la capacidad de brindar c o n e c tiv id a d e n c u a lq u ie r m o m e n to y lu g a r, es decir mayor disponibilidad y acceso a redes. La in sta la c ió n de la tecnología Inalám brica es sim p le y econ óm ica. El coste de dispositivos inalám bricos domésticos y comerciales continúa disminuyendo. La tecnología inalám brica perm ite que las redes se am plíen fácilmente, sin limitaciones de conexiones de cableado, por lo que es fácilmente escalab le, A pesar de la flexibilidad y los beneficios de la tecnología inalám brica, existen algunos riesg o s y lim itacio n es. U tilizan rangos del espectro de radiofrecuencia (RF) sin c o ste s de licen cia por su transm isión y uso. Estos rangos al ser de uso público están saturados y las señales de distintos dispositivos suelen interferir en tre sí. El área problem ática de la tecnología inalám brica es la s e g u r id a d . Perm ite a cualquier equipo con tarjeta de red inalám brica interceptar cualquier comunicación de su entorno. P ara tra ta r estas cuestiones de seguridad se h an desarrollado técnicas para ayudar a proteger las transm isiones inalám bricas, por ejemplo la en crip ta ció n y la a u ten tica c ió n . A pesar de las siguientes técnicas que se presentan a continuación, y de los problemas propios asociados a las comunicaciones cableadas (fibra, cable de pares, coaxial) como las interferencias y deterioros o daños físicos del m aterial, éstas siguen siendo los medios de acceso físico más seguros que existen en la actualidad. 148 © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S SISTE M A S D E SEG U R ID A D E N WLAN Los sistem as de cifrado empleados para autenticación como encriptación en redes inalám bricas son: S istem a a b ierto u Open System : es decir sin autenticación en el control de acceso a la red, norm alm ente realizado por el punto de acceso, ni cifrado en las comunicaciones. W EP o WLred Equiualent Priuacy o Privacidad Equivalente a Cableado: sistem a estándar diseñado en la norm a básica de redes inalám bricas 802.11. Em plea para la encriptación de los m ensajes claves de 13 (104 bits) o 5 (40 bits) caracteres, tam bién denom inadas WEP 128 o W EP 64 respectivam ente. Existen tam bién dispositivos que perm iten configuraciones de 152 y 256 bits. En cuanto a la autenticación existen 2 métodos: S is te m a a b ie r to u Open system , el cliente no se tiene que identificar en el Punto de Acceso d u rante la autenticación. Después de la autenticación y Ja asociación a la red, el cliente tendrá que te n e r la clave W EP correcta. C laves p recom p artid a, Pre-Shared Keys o PSK. En la autenticación m ediante clave precom partida, se envía la m ism a clave de cifrado WEP para la autenticación, verificando y controlando el acceso de este modo el punto de acceso. Es aconsejable usar la autenticación de sistem a abierto para la autenticación WEP, ya que es posible averiguar la clave W EP interceptando los paquetes de la fase de autenticación. WPA o Wi-Fi P rotected A ccess o A cceso P rotegid o Wi-Fi: creado para corregir las deficiencias del sistem a previo WEP. Se h an realizado 2 publicaciones del están d ar WPA como solución interm edia, y el definitivo WPA2 bajo el están d a r 802.11). Se proponen 2 soluciones según el ámbito de aplicación: WPA E m p r e s a r ia l o W PA-Enterprise (grandes em presas): la autenticación es m ediante el uso de un servidor RADILJS, donde se alm acenan las credenciales y contraseñas de los usuarios de la red. WPA P erson al (pequeñas em presas y bogar): la autenticación se realiza m ediante clave precom partida, de un modo sim ilar al WEP. U na de las mejoras de WPA sobre WEP, es la im plementación del protocolo de integridad de clave tem poral (TKIP - Temporal Key Integrity Protocol), que cam bia cla v es d in ám icam en te a medida que el sistem a es utilizado. Aportando un mayor nivel de seguridad en el cifrado, es posible em plear el algoritm o de cifrado sim étrico AES, m ás robusto y complejo que TKIP, aunque su implementación requiere de hardw are más potente por lo que no se encuentra disponible en todos los dispositivos. Aunque WPA es indiscutiblem ente el sistem a m ás seguro, uno de los grandes problemas que se plantea es la com patibilidad y disponibilidad de las distintas versiones y algoritm os de cifrado del mismo. 149 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A PRÁCTICA 6.7 W EP A ctu alm ente re a liza r a u d it o r ía s w i r e l e s s para m edir el nivel de seguridad de n u estras redes in a lám b rica s es una práctica esencial com o ad m inistrad o r en las corporaciones. E x isten m ultitud de ap licacion es que perm iten m onitorizar y re cu p era r co n traseñ a s de redes in alám b ricas ( airodump, aircrack, e tc .), así como d istribuciones Live (B a ck track , W iñway, W ifislax, e tc .) que las incorporan y disponen de script o aplicacion es que au tom atizan el proceso de d esencriptado de co n traseñ a s. 1. En nu estra práctica vam o s a com probar la vu lnerabilidad de las cla v e s WEP utilizando la distribución Live W iñway 2 .0 que contiene la aplicación M in id w e p - g tk que nos ay u d ará a d esen crip ta r dicha cla ve . Con el sistem a iniciado nos dirigim os al m enú principal - wifiway - su ite aircrack-ng - m inidw ep-gtk. Al ab rir la aplicación nos ap arecerá lo sigu iente: En la colum na de la izquierda tenem os una opción: “w irele ss cards", en la que podem os se leccio n ar la tarjeta de red que d esee m o s en caso de tener 2 o m ás ta rje ta s in sta lad a s en nuestra m áquina. En la m ism a colum na ten em o s las opciones del canal "Channel". Podemos eleg ir en que canal q uerem os h acer el rastreo de redes inalám b ricas. Encryption perm ite se leccio n ar el tipo de encriptación de las redes que se m ostraran en la lista de redes. 2 . A continuación re alizarem o s el escan eo con e! botón "Sean", en la parte su p erio r tendrem os la lista de redes inalám b ricas que capta nuestra tarjeta de red inalám brica. En esta lista se especifica la dirección MAC del punto de acceso , su nom bre, la potencia con que cap tam os la se ñ al, el canal que usa para tran sm itir y el tipo de encriptación. m m itfw c p g tk -3 0 % 0 1 f in ia - X i 0 0 U * 7 4 2 * 5 0 8 _ p ttM íT K ___ 77____13___W E * _ C 0 I B 7 7 CS 7 1 3 A fftanQ Atheros »tfiSk iphvO] Mi » f.ntfYptiO n 24 9 24 0 2 -> N o «cuori X nq J r»$ 4 M c p J ty n * ? • ***** lin ld w ttp - gtk-2C JS 0L 3. il® ' Una vez e sca n e a d a s las red es, seleccio narem o s la red de la que q uerem o s d escifrar su co n trasen a y pulsarem os ei botón "Launch". © RA-MA 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S Dependiendo de la calidad de la señ al, ia distancia al punto de acceso , el tráfico en la red inalám brica por parte de otros equipos conectad os y las ca racterísticas de nu estra tarjeta de red in alám b rica, tendrem os que esp e ra r m ás o m enos tiem po h asta que la aplicación recoja suficien tes p aqu etes de inform ación, en los que se incluyen ve cto res de inicialización o IV s, que les perm itan d escifrar la cla v e de dicha red. 4. La aplicación realizará de form a au tom ática una se rie de acciones para la recogida m asiva de p aq u etes, en el caso de que todo vaya bien, nos m ostrará una ven tan a que contiene un resum en de las acciones re alizad as así com o la clave d escifrada en código A S C II: wlanO Aihcro? «thSV |p>iyOin < n ln i4 ~ * p m u i a g i K D ia lo « AP MAC 00 13F7 42 F5D8 Esstd « ste rile He* key 6173757261 ASCII key osura Key is. »n file AmpvOO 13 F7.42 F5 D8_key V 9 33 1* Aceptar »Stórting mrcroc* ng tú finii k«y l 9 ) ) 17—¿»Startmg axncratfc ng co ftnd key 9 3317—>fcey of (00 13.F7 42 F5 D81 round «173757261 * 27 14 >Slflrting utrcjactc ng lo nnd key ^ 27 14 >Trytng to rimi k ry no« '» 24 il-»A»rcpli»y ng -3 *ucc<iifu>.tr»iecting oow 9 24 51 >A«rpl*y ng 2 p 0841 )ucce%iful.tn}«cfing non» dwrep gtk-20501 m lnldM cp m a iia g a ■KDi li ss Recom endación C onfigurar el nivel de seguridad m ás alto posible, controlar periódicam ente los usuarios au torizados conectad os, y re n o va r periódicam ente las co n traseñ a s. | PRÁCTICA 6.8 W PA Una configuración m ás segura que WEP, la proporciona WPA. Para fam iliarizarno s con la configuración de los puntos de acceso inalám bricos em p learem o s un sim ulad or de configuración del dispositivo T P -LIN K TL-W A501G . Para ello acced erem o s a ia web: http://www.tp-link.com/5imulator/TL-WA501G/userRpm/index.htm, y en su sección G írele s, visu a liza rem o s las opciones de S ecu rity Setting s: 151 © RA-M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D yilh extended Range 1. Vem os en su sección S ecu rity S ettin g s como es posible d eshab ilitar la seg uridad , o elegir en tre WEP, WPA/ WPA2 con servid o r Radius, y WPA/WPA2 - P5K es d ecir con clave precom partida, en las que será posible indicar una clave de cifrado. Entre las opciones WEP, podem os se leccio n ar el m étodo de au ten ticació n : Autom ático, sistem a abierto o sha red key. En las opciones WPA encontram os tanto para la configuración personal com o enterprise, podem os seleccio n ar ¡a versión WPA o WPA2, y el algoritm o de cifrado T K IP o A E S , asi com o el tiem po de actualización dinám ica de la clave (group key update period). Para el caso de WPA con au tenticación m ediante se rvid o r Radius podrem os indicarle la IP de la m áquina y e! puerto del servicio de autenticación. 2. En la configuración de la tarjeta de red de los c lie n t e s in a lá m b r ic o s , debem os esp ecificar las opciones de configuración ad e cu a d as. Vem os a continuación las opciones de configuración WPA de una ta rje ta de red In te l(R ) PRO /W ireless 3945A B G Net. Crear p e rfil inalám brico j Noento dei [ferii PwM nuevo ü 3 OpaoriM gtrm/eàet * O p c io n e s d e s e g u r id a d Opeen*i du C o rtrtia fa (■; pecera! 0 poen** Oo wgmdid OS«gu|iiidM nom «M f W E P W b rt Nfigino W E P - M b te W E P -1 2 9 b«« W P A P e n o m íJ T rjP l V ^ A - P o . k ^ IA E S -C C M P i ConeoMta p®KrW n rjp ^ Ccr#j*»At de tepná» d naiánóoca (ci*** ó» codfccaorini 152 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S © RA-MA PRÁCTICA 6.9 S E R V ID O R DE A U T E N T IC A C IÓ N R A D IU S Una opción m ás se g u ra que p erm ita co n tro la r la au tenticació n de u su ario s se puede re a liz a r m ed ian te la configuración de un servid or Radíus. Radius o Rem óte A uthentication D ial-In U ser S e rv e r, es un protocolo de autenticación y autorización para ap licacion es de acceso a la red o m ovilidad IP. Utiliza los puertos 1812 y 1813 UDP para esta b le ce r su s conexio nes. En esta p ráctica re alizare m o s la instalación y configuración de un se rvid o r Radius bajo G N U /Linux llam ado freerad iu s, para au ten ticar conexiones que provienen de un punto de acceso Linksys W R T54G L. 1. La instalación del paquete se realiza m ed ian te: aptitude install freeradius. Tras la instalación tendrem os que configurar los usu ario s que se au tenticarán en radius. Esta au tenticación se realiza a través del fichero /etc/freeradius/users que contiene, en texto plano, los usuario s que tienen perm itida la autenticación. Algunos usuarios se en cuentran preconfigurados, podrem os añ ad ir las líneas de usuarios que d esee m o s. En dicho fichero introducirem os los usuarios que q uerem os au tentificar y sus re sp ectiv as co n traseñ a s tal y com o m uestra la im ag en : ■ t s, •mm M • » • t u l l í i« • *tt« PP0 *„ r m d mu • IMS, 'n v id Coaprntlo* * Van (9 * 9 • t t u i» m n i!»* for ■«t«r aith • ipect ir i»»ir m h 4 «*st* th* 4m A\t QuOle* turroundlnq \ht raar ,4 teply Mm>— * m un«* \{U*er *••»}* Mm j y»*»—»» *• M»\i MrtMi* • ‘« t i l l , N(IM« M H |* (Iw ^ n t «fctiap * ***»•' íim En nuestro caso introducim os el usuario Juanm a y M acarena con sus resp ectivas contraseñas en texto plano. 2. Ahora tendrem os que configurar los clien tes, es decir, los puntos de acceso se rán los clientes de nuestro servid o r radius. Para introducir la inform ación sobre los clientes (puntos de acceso que solicitarán la verificación de usuarios inalám bricos finales) en la configuración de Radius m odificarem os el archivo /etc/freeradius/clients.conf donde introducirem os la inform ación de las IP de los puntos de acceso que quieran em p lear el servid o r (1 9 2 .1 6 8 .1 .2 en nuestro ca so ), a s í como la contraseña entre punto de acceso y se rvid o r (secret = fútbol), y el nom bre de la red o S S ID (sh o rtn am e = punxos) tal como m uestra la siguiente im agen: :U w t i f í 1U l i*<r*i iMirTaaav l/M ( r r llr M r»J 1M o o IB { 0 • w rti ihortiwar • TfttingUJ J * P'watr ••«twj*» 1 • in tliig U i 3 • prívate iwtwvrw ; irrt if. •« . . wtxt • rwttol 1 " F*-M> Reiniciam os el se rvid o r Radíus m ediante la siguiente orden: service freeradius restart. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA 3 . A continuación config u rarem os el p u n to d e a c c e s o de m anera que la autentificación la realice Radius. En nuestro caso acced em o s a la sección "w ireless se cu rity" del punto de acceso para configurar una clave W PA2enterprise y las d istintas opciones para Radius: F [jV * d T O S e tu r * v «- c Q t+tn*á ? Q 192.168.1.2 Í V rr> Pmujryátm ^wJo» L in k s y s WirtlemG flroodbi Wireless Setup MAielraa Accra« Redi littori« Secuflty Application« *Geming -»- —— . W kcte u Sccurrty SoCcrCy Mode W PA2 E n e rp m t WPA AJ^ortms TKIP-AES - *ADUS5a i»: i«« i RADUSPort 1812 Stor'd Key Wt>9! Kry Rtr+wi* T nccvi 3600 | S»v» Sailings B C«nc«l Ch>n;«< El se rvid o r Radius com o vem os se encuentra disponible en la IP 1 9 2 .1 6 8 .1 .1 9 , la contrasena fútbol, el puerto 1812 y los algoritm os de cifrado T K IP + A ES . 4. Por últim o, solo queda configurar en e l u s u a r io c lie n t e final (ta rjeta de red inalám b rica) la conexión al punto de acceso de m anera que la autentificación pase a Radius. Para la configuración de un cliente w indow s xp tend rem os que b uscar la red m ediante el asiste n te de conexión Inalám brica de W indows (en nuestro caso punxos). S i intentam os re alizar una conexión con el punto de acceso , nos bloqueará la conexión ya que detectará que h ay un servid o r de Radius en la red y el perfil de conexión del cliente no está configurado para autenticación en Radius. Para so lu cio nar e ste problem a en trarem o s en las propiedades del ad ap tad or wireless y nos dirigim os a la sección "redes inalám b ricas", y configuram os una nueva configuración o perfil para el S S ID concreto (en este ca so punxos). En la configuración de la red, en la sección Asociación tenem os que se leccio n ar una autenticación de red "W PA2" y el cifrado de datos "A ES ": p u n x o « |ir u p in t a r l* % Aíooaatín ? ¿utenftcación Conexión yombe do ted |SSID) Ella red i*ouetecnac4sve parato v y j t d e Aytanbcaoón de rod £iiado de dota: B D B 9 H IH H H • v En la pestaña A utenticación se leccio n are m o s las opciones que ap arecen en la im agen siguiente. 154 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S © RA-M A plihxw piopicdailci Atooaoon AlJ*ntaeaón Seiecoonc mta opción pa* proporcaorv» acceso «ienüc*ío a iodei Ethernet m linbnc« 0 H ^ 4 i el con*!oí de acceso a la red medanie fEEE 902 1>í leo daEA P: EAP piotepdo (PEAPJ_______________________________ j gropgdodei j f~| A M í t s k * como equipo cuando la n é c r m * o ó n da eguoo esté djpoobto Q Auionhcar como velado cuando d utuano o la rícrrr^aón de equpo no etlén cfcpcnfcie: Pulsam os el botón de Propiedades y d eseleccionam os la opción que dice “ va lid a r un certificado dei servid o r" En el caso de q uerer dicha opción tend ríam os que habilitar uno en nuestro se rvid o r en /etc/Freeradiusfcerts. Pulsam os el botón "Configurar", y no activarem o s la opción, para que el se rvid o r Radius no acep te au tom áticam ente el usuario y password de inicio de sesión en W indows. Tras esto, guard am os tos cam bios y nos volvem os a conectar al punto de acceso . Ahora nos pedirá el usuario y contraseña para poder autenticarlo en el servid o r Radius. RECOMENDACIONES DE SEGURIDAD EN WLAN Dado que el acceso a redes inalám bricas plantea un punto muy débil de seguridad en redes corporativas algunas recomendaciones para m ejorar la seguridad son: A segurar la adm inistración del punto de acceso (AP), por ser un punto de control de las comunicaciones de todos los usuarios, y por tanto crítico en la red, cambiando la contraseña por defecto. A ctualizar el firm ware disponible del dispositivo para m ejorar sus prestaciones, sobre todo de seguridad. A um entar la seguridad de los datos transm itidos: usando encriptación WEP o WPA/WPA2 o servidor Radius, y cambiando las claves regularm ente. Cambia el SSID por defecto y desactiva el broadcasting SSID. Los posibles intrusos tendrán que introducir m anualm ente el SSID y conocerlo previam ente. Aunque la adm inistración de los clientes se complica ya que deberán conocer el nombre exacto del SSID. Realizar una adm inistración y monitorización minuciosa: D esactivar el servidor DHCP, y asignar m anualm ente en los equipos las direcciones IP. C am biar las direcciones IP del punto de acceso y el rango de la red por defecto. Activar el filtrado de conexiones perm itidas m ediante direcciones MAC. E stablecer un núm ero máximo de dispositivos que pueden conectarse. Analizar periódicam ente los usuarios conectados verificando si son autorizados o no. Desconexión del AP cuando no se use. A ctualizar el firmware dei dispositivo, para evitar vulnerabilidades o a ñ a d ir nuevas funciones de seguridad. 155 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA I PRÁCTICA 6.10 C O N F IG U R A C IÓ N A P S EG U R O V erem os a modo de ejem plo en el sim u lad o r de TP-Link http://www.tp-link.com/simulator/TL-WAS01G/userRpm/ index.htm, com o re a liza r dichas configuraciones: D eshab ilitar el envío del nom bre de la red SS1D : 54M vtirateuAccMéPotf« Wireless Mode Settings M eo» M* T l VASSOIO 0 Dilatile W lietra « . Acre«« Poèti Q SftJM» $9U» i io i i t a t l ,'~>C»eni M odificar el nom bre de usuario y su contraseña por defecto de ad m inistrad or: 54M Wr*»m Acce«« Po.-: r i ttMPtO P a ssw o rd D esh ab ilitar el servid o r DHCP y reasignación de direcciones IP está ticas en una red diferente a la por defecto (n o rm alm en te 1 9 2 .1 6 8 .0 .0 o 1 9 2 .1 6 8 .1 .0 ), esta m o s suponiendo que el punto de acceso no realiza enrutado por lo que no es la puerta de en lace de nu estra red. 1P de configuración del AP 1 9 2 .1 6 8 .2 5 .1 5 1 , la puerta de en lace d eb erá configurarse de forma independiente. T P L IN K 156 wuh extended Range ' © RA-M A 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S Filtrado de MAC: añ ad irem os las MAC de los dispositivos (p reviam en te insp eccion arem os la MAC en las tarje ta s de red inalám b ricas) que querem os perm itir (privilege = ailow ) el acceso a la red. Actualización del firm w are: es posible d escarg a r de la web del fabricante un archivo, o incluso probar algún softw are alternativo como O pew rt, DDWRT o Tom ato. S e recom ienda siem p re re alizar p reviam en te una copia de seguridad del firmware actual. 157 REFERENCIAS WEB Curso abierto con m ateriales y ejercicios sobre Seguridad Avanzada en Redes: http: / / o c l ü . uoc.edu / informático,-tecnologia-y-multimedia / aspectos-avanzados-de-seguridad-en-redes / Course. listing Sitio web sobre seguridad inform ática en m ateria de redes: http:I / www.virusprot.com/ Noticias sobre seguridad en redes. Asociación de internautas: http: / / seguri.dad.internautas.org/ Conexiones inalám bricas seguras y auditorías wireless en: http:/ / w ww.seguridadwirehss.net / Blog especializado en seguridad y redes: http: / / se.guridadyredes.nirc.blog.com / RESUMEN DEL CAPÍTULO A finales del siglo XXy principios del XXI las redes han significado una verdadera revolución tecnológica, a la que m illones de usuarios se h an unido. Nuevos peligros han surgido como la falsificación ispoofing) de identificadores de red y sitios web, ataques de denegación de servicio Dos y DDos y la interceptación del tráfico de red m ediante sniffing con Man in the Middle. En este capítulo se han analizado las diferentes técnicas para evitar dichos ataques en redes corporativas, producidos por atacantes internos. Algunas de ellas son, ap a rte de revisar las configuraciones y contraseñas por defecto de routers y servidores: Em plear protocolos seguros cifrados como SSH, los proporcionados por la capa TLS/SSL y VPN para conexiones entre ubicaciones remotas. R ealizar periódicam ente un análisis del tráfico de red m ediante sniffer y software de detección de intrusos (IDS). E vitar accesos no autorizados a la red corporativa, empleando redes cableadas o en todo caso, dado ei desarrollo de redes wireless, debido a su facilidad de instalación y bajo coste, em plear mecanismos de seguridad como direccionamíento estático, filtrado MAC y sistem as WEP, WPA y WFA2. En grandes organizaciones se recomienda el uso de servidores de autenticación RADIUS. 158 6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S © RA-M A EJERCICIOS PROPUESTOS de red. Si quieres capturar gran parte del tráfico de la red deberás realizar previam ente un ataque MitM a la pu erta de enlace o conectarte a una WLAN. Se recom ienda siem pre que utilices un sniffer configurar las opciones de filtrado p ara m onitorizar solo el tráfico deseado. Busca los filtros necesarios p ara ra stre a r solo los protocolos FTP, HTTP, P 0P 3, etc. 1. Realiza una investigación sobre qué puertos de comunicaciones son más vulnerables, realizando un escaneo de puertos y analizando la información que ofrecen los siguientes enlaces: h ttp:i / w ww.internautas.org/ w-scanonLine.php h ttp :/ / wLvw .upseros.com / portscan.php http.7 / www.kuron.com/utils / portscanner / index.php ¿T ien es c e rra d o s los p u e rto s em p lea d o s frecuentem ente por el m alware? ¿Qué IP visualiza el escáner de puertos? ¿Es tu conexión a In tern et d irec ta, o m ed ian te un ro u ter? C om para la dirección IP de tu tarjeta de red y la que aparece en e¡ escaneo de puertos. ¿Es posible, m ediante obtener las co n traseñ as de protocolos como telnet, HTTP, FTP, SMTP o P 0 P 3 de correo electrónico? ¿Cómo? ¿Qué ventajas ofrece https? ¿Te conectarías a una web de un banco m ediante http? In te n ta acceder a tu correo electrónico vía web (H otm ail, Yahoo, Gmail) ¿es posible descubrir m ediante W ireshark la contraseña? ¿Por qué? ¿Para qué sirven los puertos 23, 13o y 443? ¿Son seguros? 2. A continuación se lista una serie de enlaces que perm iten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior al co n tratad o p o d r ía ser un síntom a de te n e r ocupantes no deseados en nuestra máquina. ¿Son las v elo cid a d es de su bid a y bajada la s esp eradas? h ttp: / / www.adsL4ever.com/test / http: / / www.testdevelocidad.es / http: / / www. interna-utas, org/ test velocidad / http: / / www.adslayuda.com / test-de-velocidad/ R ecuerda que el ancho de banda del a u la es compartido por todos los PC del mismo. Realiza el test de velocidad de m anera individual (sin que nadie en el aula lo realice o esté haciendo uso de Internet). 3. Los packet sniffers se em plean para m o nitor izar el tráfico de una red LAN o WLAN y algunos de ellos son W ire sh ark (a n te rio rm e n te conocido como E thereal), E ttercap, TCPD um p, W inDump, WinSnif'fer, H unt. D arkstat, traffic-vis, KSniífer) y p a ra redes inalám bricas como K ism et o N etw ork Slumbler. Descarga o instala W ireshark en tu equipo, y haz que capture el tráfico que em ite y recibe tu tarjeta 4. C onfigura de form a segura un router Linksys WRT54GL m ediante su web p a ra sim ulación de configuración online: http: / / ui. linksys.com/ files / WRT54GL / 4.30.0 / Setup, htm ¿Es posible c o n fig u rar todos los asp ecto s analizados en el capítulo? 5. Busca información sobre la p in tu ra antiw ifi de EM-SEC Technologies y descubre su principio de funcionamiento. ¿Crees que podría ser útil y seguro? ¿Cómo se im plem entaría? P uede leer sobre dicha p in tu ra en: h t t p : / / w w w .publico.es/ciencias / 2 7 3 9 4 2 /una -pinturaprotege-a-los-navegantes-de-los-intrusos/ versiónim prim ible. 6. Busca información acerca de AlienVault y de las funciones que ofrece. Descárgalo y realiza pruebas e informes de monitorización del tráfico de red ¿Puede realizar funciones de IDS? ¿Es software libre? 7. In v estig a y u tiliza el com ando sep sobre una conexión SSH para el envío seguro de archivos de un equipo a otro. ¿Es posible abrir y utilizar una sesión SSH em pleando cifrado asim étrico con claves RSA? Investiga acerca de cómo hacerlo y realiza la prueba. 159 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D 8 . ¿Es posible realizar MAO spoofing o falsificación de la dirección MAC de una tarje ta de red? Busca cómo se realiza para sistem as GNU/Linux y Windows y pruébalo. © RA-M A 9. Realiza el siguiente test sobrephishing de V erisig n disponible en h ttp s://w w iv .p h isk -n o -p h ish .c o m / es con consejos útiles para reconocer páginas web falsas y realiza un resum en con recom endaciones útiles. ¿Crees ahora que solo garantizando que la web es h ttp s se tra ta de una web confiable? TEST DE CONOCIMIENTOS La configuración de clientes de red en WLAN es m enos compleja si: No se habilita DHCP server en el AP. Se habilita el SS1D broadcast. Se habilita la seguridad WEP, Se habilita la seguridad WPA. Con respecto a SSH: Es un servicio único de GNU/Linux. En Windows se puede em plear el cliente Putty. Es un protocolo que em plea el puerto 23. N inguna de las anteriores. El puerto que no emplea TLS/SSL es: Indique qué sentencia es verdadera: Las redes inalám bricas son más o menos igual de seguras que las cableadas. Las redes inalám bricas nunca serán tan seguras como las cableadas. Las redes cableadas UTP son m ás seguras que con STP. Las redes do fibra óptica son menos seguras que las inalámbricas. El mecanismo de seguridad más robusto en redes inalám bricas es: Open system. WPA2. WPA. W EP E n redes inalám bricas no se recomienda: C am biar el SSID de fábrica. C am biar el password de adm inistrador por de­ fecto. H abilitar el DHCP. Tener claves WEP complejas. 160 22. 990. 995. 443. Frente a ataques MitM una posible solución es: Em plear en trad as ARP dinámicas. E m plear direcciones IP dinámicas. Em plear direcciones IP estáticas. Em plear entradas ARP estáticas. ¿Cuál de estos p ro g ram as no funciona como sniffer? Cain & Abel. Snort. W ireshark. Logmeln. El protocolo están d a r para conexiones VI’N suele ser: P PT P IPSEC. L2TP. SSL/TLS. / Valorar los peligros externos a las redes corporativas y conocer las medidas de seguridad perimetrales para hacerles frente. / Comprender la importancia de los puertos de comunicaciones y su ñltrado mediante cortafuegos o firewall. / Aprender el significado de las listas de control de acceso (ACL) en routers y cortafuegos. / Comprender la importancia y aprender a configurar servidores y clientes proxy. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA Cuando una red corporativa se encuentra interconectada a una red pública, los peligros de ataque a sus servidores, routers y sistem as internos se m ultiplican. L as m edidas de seguridad pcrim etral suponen la p rim era línea de defensa en tre las redes públicas y redes corporativas o privadas. E n tre otras estudiarem os el uso de co rta fu eg o s o firewall destinado a bloquear las conexiones no autorizadas, y de ser v id o re s proxy que hagan de interm ediario entre clientes y servidores finales, perm itiendo el filtrado y m onitorización de servicios. i A n a liz a la n o ticia " C h in o s a p re n d e n a e v it a r el Gran Firewall d e in te rn e t", e n co n tra d a e n : http ://www. bbc. co. uk/mundo/cienc¡a_ tecnologia/2010/03/100320_ china_ in te rn e tco n tro l_ censura_ firew all_jp.shtm l, e in d ic a : • ¿ Q u é e s el gran firewall ? ¿ Q u ié n co n tro la d ich o firewall? ¿ P a ra q u é ? • ¿ Q u é tipo de p a la b ra s y w e b s son c e n s u r a d a s ? ¿ P o r q u é ? • ¿ Q u é p o rc e n ta je y có m o c o n sig u e n e lu d ir el gran firewall? ¿M e d ia n te qué a p lic a c io n e s ? CORTAFUEGOS Un cortafuegos o firewall, es u n a aplicación o dispositivo diseñado para bloquear comunicaciones no autorizadas, perm itiendo al mismo tiempo las que si lo están. La configuración para perm itir y lim itar el tráfico entre diferentes red es o ámbitos de una red. se realiza en base a un conjunto de norm as y reglas. M ediante este mecanismo de defensa podemos m antener la seguridad de alto nivel en una red o en una m áquina. La utilización de un cortafuegos es necesaria cuando queremos proteger determ inadas zonas de nueva red o determ inados hosts, de am enazas que provengan del exterior o, incluso, de am enazas que se provoquen dentro de n u e s tra propia red ya sean por infecciones o ataques. L as características fundam entales de los cortafuegos son: Filtrado de paquetes de red en función de la inspección de direcciones de red: MAC. IP o puerto origen y destino, perm itiendo con este último criterio proporcionar un filtrado según las aplicaciones asociadas a dicho puerto. Filtrado por aplicación: perm ite especificar las aplicaciones y reglas específicas para cada una de ellas. Las d istin tas reglas de filtrado se aplican sobre el tráfico de salida o de entrada en una determ inada interfaz de red. Registro o logs de filtrado de paquetes. 162 © RA-MA 7 ■S E G U R ID A D P E R IM E T R A L PRÁCTICA 7.1 C O N F IG U R A C IÓ N DE C O R T A FU EG O S En siste m a s GN U /Linux, Ip ta b le s es una de las herram ien tas cortafuegos m ás em plead as, que perm ite el filtrado de paq uetes de red así como re a liza r funciones de NAT (NetWork Aüdress Translation - Traducción de Dirección de R ed). No es necesario instalarlo pues viene incorporado en el núcleo de GN U/linux, E s una aplicación que contiene una serie de cad en as de reglas de filtrado en 3 tablas. A tend er al orden de dichas reglas es muy im portante, ya que lee de m anera secuencial las ca d e n a s de reglas. Es decir, com ienza por la prim era y verifica que se cum pla la condición, en caso afirm ativo la ejecuta sin ve rifica r las sig u ientes. Por consiguiente, si la prim era regla en una determ inada tabla es re ch a za r cualquier paq uete, las sig u ientes reglas no se rán verificad as. 1. La estru ctu ra de una orden de iptables sigue el siguiente patrón: iptables -t [tabla] - -[tipo _o p eració n ] -- [cad e n a]-- [re g la _c o n _p a rá m e tro s ] - - [acció n ]. V erem os un ejem plo de com ando para en ten d er su estru ctu ra: iptables -t fílter -A FORW ARD -i ethO -s 1 9 2 .1 6 8 .2 .1 0 0 -p tcp - d p o r t 80 -j A CCEPT. T a b la 7 .1 1 tabla -t filter Tipo de operación -A Cadena FORW ARD R e g la _co n _p a rá m e tro s -i ethO -s 1 9 2 .1 6 8 .2 .1 0 0 -p tcp —dport 80 Acción -j A C C EP T El tipo de operación es añ ad ir una regla (A ), sobre la tabla filter (tabla por defecto de filtrado), y cadena FORW ARD (tráfico en rutad o). La re g ia: aceptar (A C C E P T ) el tráfico TCP cuyo puerto de destino se a el 80 (H TT P ), en el interfaz ethO, con IP origen 1 9 2 .1 6 8 .2 .1 0 0 . 2. Las opciones m ás usad as de iptables so n: iptables - L -L: listar las cad en as de reglas de una determ inada tabla (por defecto filter). -F: elim ina y reinicia a los valores por defecto todas las cadenas de una d eterm in ad a tabla. -A: añ ad ir cadena de regla a una d eterm inada tab la. -P: añ ad ir regla por defecto, en caso de que no cum pla ninguna de las ca d e n a s de regla definidas. Para siste m a s en los que no se haya definido an teriorm ente reglas para Iptab les el resultado de e je cu ta r el com ando iptables -L tiene que se r sim ila r a perm itir todo el tráfico. 3. Existen tres tab las incorporadas, cada una de las cu ales contiene cie rtas ca d e n a s predefinidas: Filter tab le (Tabla de filtro s): E sta tabla es la responsable del filtrado (e s decir, de b loquear o perm itir que un paquete continúe su cam in o ). Todos los paquetes pasan a tra v é s de la tabla de filtros. Contien e las sig u ientes cad e n as predefinidas y cualq uier paquete pasará por una de ellas: INPUT chain (C a d en a de ENTRADA) — Todos los p aq u etes destinados a este sistem a atraviesan esta cadena (tam bién denom inada LO C A L_IN P U T o ENTRA D A _LO C A L). 163 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA OUTPUT chain (C a d en a de S A LID A ) — Todos los paquetes cread o s por este siste m a atraviesan esta cadena (tam bién denom inada LO C A L„O U TPU T o S A U D A _L O C A L ). FORW ARD chain (C ad en a de R E D IR E C C IÓ N ) — Todos los p aq u etes que pasan por este sistem a para s e r en cam inados a su destino recorren esta cadena. Nat table (Tabla de traducción de direccion es de red) — Esta tabla es la responsab le de configurar las reglas de traducción de d irecciones o de puertos de los paq u etes. C ontiene las sig u ientes cadenas redefinidas: PREROUT1NG chain (C ad en a de PR ER U TEO ) — Los paquetes en tran tes pasan a trav és de esta cadena an te s de que se consulte la tabla de enrutado. PO STRO U TIN G chain (C a d en a de P O SR U T EO ) — Los paquetes sa lie n te s pasan por esta cadena d esp ués de hab erse tom ado la decisión de enrutado. OUTPUT chain (C ad en a de S A L ID A ). Mangle table (Tabla de destrozo) — Esta tabla es la resp onsab le de a ju sta r las opciones de los p aq u etes, com o por ejem plo la calidad de servicio. Todos los p aqu etes pasan por esta tab la. Está diseñada para efectos avan zad o s, y contiene todas las cad e n as predefinidas an terio rm en te. A la hora de definir una orden de iptables podrem os se leccio n ar ia tabla a la que va d estinada dicha orden m ediante el p arám etro - t : iptables - t [nat | fllter | m angle ] 4. Los m odificadores o parám etros m ás usuales en las reglas de iptables son los sig u ientes: T a b la 7 .2 -i In te rfaz de entrada ( e t h 0 ,e t h l(e t h 2 ...). -o In te rfaz de salid a ( e t h 0 ,e t h l,e t h 2 ...) . —s p o r t Puerto de origen (puede indicarse el nom bre o el núm ero de puerto del protocolo, p .e j: http u 80). —dport Puerto destino (puede indicarse el nom bre o el núm ero de puerto del protocolo, p .e j: http u 8 0 ). -p £1 protocolo del paquete a com probar, tcp, udp, icmp ó al!. Por defecto es all. -j Especifica el objetivo de la cadena de reglas, o sea una acción. —lin e - n u m b e r s C uando listam os las reg las, agrega el núm ero que ocupa cada regla d entro de ia cadena. S. Las a ccio n es que esta rán siem pre al final de cada regla (d esp u és de - j) que d eterm inará que h acer con los paq uetes afectados por la regla pueden se r: A CC EPT: Paquete paquete aceptado. R E JE C T : Paquete paquete rechazad o. S e envía notificación a través del protocolo ICMP. DROP: Paquete paquete rechazad o. Sin notificación. M ASQ UERA D E: E n m asca ram ien to en m ascaram iento de la dirección IP origen de form a dinám ica. Esta acción es solo válida en la tabla NAT en la cadena postrouting. 164 © RA-M A 7 ■S E G U R ID A D P E R IM E T R A L DNAT: En m asca ram ien to en m a sca ram ien to de la dirección destino, m uy conveniente para re-enrutado de paquetes. SNAT: E n m asca ram ien to en m ascaram ien to de la IP origen de form a sim ila r a m asq u erad e, pero con IP Fija. Ejem p los prácticos R e alizare m o s la configuración de un cortafuegos cm ed iante un script que d efin a: Enrutam iento con NAT y registro o log de paquetes FORW ARD y PR ER O U T IN G . S e crea un registro en log/iptables.log /var/ para ten e r un control de lo que entra y sale de nuestro cortafuegos. Reglas que perm ita el acceso a los protocolos HTTP, DNS y FTP en In te rn e t, pero solo a dos direcciones Ip d eterm inad as desde una red local (1 9 2 .1 6 8 .2 .1 0 0 y 1 9 2 .1 6 8 .2 .1 1 4 ), todos los dem ás equipos no tendrán acceso . Redirección del tráfico web en ei puerto 80 por el puerto 3128 (P ro xy). V erem os su utilidad en el sig u iente apartado. #! /bin/bash # borrar todas las reglas existentes, iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # Aceptar el tráfico desde loopback iptables -A INPUT -i lo -j ACCEPT # Habilitar logs de todo lo que entra por FORWARD iptables -A FORWARD -j LOG — log-prefix 'IPTABLESFORWARD : ' #Permitimos acceso a los puertos 8Ci (web) , 20 -21 (ftpFTP), 53 (dn s-tcp y ud] # a los equipos: 192.168.2. 100 y 192.168. 2.114 iptables -A FORWARD -i ethO -s 192. 168 .2 .100 -P tcp --dport 80 -j ACCEPT iptables -A FORWARD -i ethO “3 192. 168 .2. 114 -P tcp --dport 80 -3 ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .2. 100 -P tcp — dport 20 :21 -j ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .óO .114 -P tcp — dport 20 :21 -j ACCEPT iptables -A FORWARD -i ethO -s 192 .168 .2 .100 -P udp — dport 53 ~j ACCEPT iptables -A FORWARD -i ethO - s 192. 168 .2. 100 -P tcp — dport 53 "j ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .2. 114 -p udp — dport 53 "j ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .2. 114 -P tcp — dport 53 ACCEPT #Cerramos los puertos bien conocidos (1-1024). iptables -A FORWARD -i ethO -p tcp --dport 1:1024 -j DROP iptables -A FORWARD -i ethO -p udp — dport 1:1024 -j DROP #Hacemos log de todo lo entra por el PREROUTING iptables -t nat -A PREROUTING -j LOG — log-prefix 'IPTABL E S P R E R O U T I N G : ' SRedirección de puerto 80, hacia el Proxyproxy, puerto 3128. iptables -t nat -A PREROUTING -i ethO -p tcp --dport 80 -j REDIRECT — to-port 3128 ^Enmascarar mediante NAT, todo el tráfico (la IP origen de los #paquetes) de la red interna por la IP de la tarjeta de red externa o pública. iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ethl -j MASQUERADE # Habilitamos enrutamiento entre tarjetas de red de nuestro equipo. echo 1 > /proc/sys/net/ipv4/ip_forward IFin del script 165 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-MA Una v e z ejecutad o el script podem os ve r el resultado de la configuración, m ediante el com and o: iptables -n L . 0 9 0 root ^usuario-desktop: home usuario Aichivo Ertit.il ^ ft Terminal Ayiyla rootftusuarlo-deskto p^hon e/u suauo« lp ta tile s ni i t u t INPUT f p o lliy ACCEPT) targ et prot opt source 0 00 ACCEPT a ll • 0 . 0 .0 .0 / 0 - .a. . /G Chau FORWARD i p o licy ACCEPT targ et prot opl source a l l - - O .O .O .fi/0 LOG p r e fix IPTABLESFORKAflD : ACCEPT 192.168.2. 1 *° ACCEPT tcp - 192.168.2 ACCEPT tcp - • 192.168.2. ACCEPT tcp 192.168.2. ACCEPT udp - 192 .168.2. ACCEPT tcp 192 .168.2. ACCEPT 192 .168.2. udp - ACCEPT tcp - 192 .168.2. DROP tcp - • 0 . 0 . 0 , 0/0 DROP udp — 0 .0 .0 0 /0 100 114 100 114 lea 100 114 114 Cf-air OUT PUT (p o lic y ACCEPT 1 target prot opt source ro o tftusu ario-deskto p:/ho»e/usuaao« | HI d e s tin a tio n e .9 .o .o /e LOO flag s 0 leve 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 . 0 .0 .0 / 0 0 .0 .0 .0 / 0 e . o . e . e /e o .o .fl.e /o tcp tcp tcp tcp udp tcp Udp tcp tcp Udp d p t:80 d p t:80 dpls:20:21 dpts:20:21 d p t:S3 d p t:53 d p t:S3 d pt:53 d p ts : 1: 1024 d p t S :l:1 0 2 4 d e s t in a tio n II Por otro lado para ve r las reglas PRERO U TIN G y PO STRO U TIN G de la tabla NAT: iptables - t nat -n L . Para ve r com o se hacen efectivas las reglas de iptables, si in ten tam o s acced er a sitios web desde el equipo configurado con IP 1 9 2 .1 6 8 .2 .1 0 0 , ve rem o s com o resuelve los nom bres de dominio com o tvivw.googye.es y accede sin problem as. En caso de intentar a cced er a una web desde un equipo de la red pero con IP no perm itida (e j: 1 9 2 .1 6 8 .1 .5 0 .), no tendrá acceso a la navegación ya que se bloquea todo el tráfico hacia In te rn e t de cualq uier dirección que no sea las acep tad a en las reglas. PRÁCTICA 7.2 A R C H IV O S LOG La herram ienta iptables por sí sí sola no realiza registros de cada una de las conexiones que filtra. E s posible hab ilitar esta función realizand o una se rie de configu raciones en distintos a rch iv o s de m anera que queden registradas todas las en trad as y salid as de nuestro cortafuegos. Para ello an teriorm ente hay que definir la creación del registro a través de la acción - j log en las reglas de iptables, pudiendo añ ad ir un prefijo a cada entrada en el log para poder identificar los paq uetes de form a m ás sencilla, m ediante - -log-prefix. Por ejem plo en la práctica an te rio r hem os configurado: iptables -A FORW ARD -j LOG --log-prefix 'IPTA BLESFO R W A R D : ' iptables -t nat -A PRERO U TIN G -j LOG --log-prefix 'IP T A B LE S P R ER O U T IN G : ' Hacem os log de todo lo que filtra FORW ARD y PRERO U TIN G . 1. Para hab ilitar el log en p rim er lugar vam os al archivo de configuración del sistem a de logs del núcleo que se encuentra en la ruta /etc/rsyslog.d/50-defau¡t.conf y añad im os lo sig u iente: kern, warning /var/log/iptables.log © RA-M A 7 ■S E G U R ID A D P E R IM E T R A L o• • g *50-d«Vao!t c c n f ( e ft T iyfclog.d) • g e rii! j *ín * ^¿Omnla* W ^üesAace- ^ •V>d é faite onf » » 0 O c fiu ll ru les for rsysloQ For aor« Information vtç rsyslo g.co o f(5) and /etc/ rs y s lo g conf standard log f il e s • F ir s t auth.autnpriv • *. * ; autb, authpMv.none <cro n .• daeaon • kern. • log by f a c i li t y /vir/loç/âuth log ■ /vn/loçAyslo g / « r / lo ç / c r » n .l 09 /ïüf/loj/diCT'on tog /var/lo g /kïfn .lo g /viiV log /tpr log -/v a r/lo g / u ll.to g 7v*r/log/user log K ---- B. mtr.»_________ äeni.wKtlUg jjjjg / W / b l / l p U k < a .l En los sis te m a s GN U /Linux generan m e n sa je s con diferentes niveles de prioridad, de m enor a m enor son: debug, info, notice, waming, warn, err, error, crit, alert, emerg y panic. Con la línea an teriorm ente m encio n ad a, se añade a iptables.log cualq uier registro del tipo w arning (nivel 4 ), asociad os norm alm ente a filtrado de p aq u etes de red. Una vez introducida la configuración an terior reiniciam os el servicio rsyslog, aunque dependiendo de la versión del kernel es posible que sea necesario re in icia r el sistem a por com pleto: /etc/init.d/rsyslog stop /etc/init.d/rsyslog start Una vez reiniciado el se rvicio podem os o b servar que se ha creado el archivo de log m ed ian te: cat /var/tog/ iptables.log A m edida que se filtren p aquetes se irán añadiendo registros a e ste archivo. Los logs de iptables es posible tam bién verlos en /var/log/messages, el porqué de cre a r el archivo "iptables.log" es debido a que en este archivo solo se alm acenan erro res a p artir de nivel 4 m ientras que en el archivo "m essag e s" se alm a cen a cu alq u ier error, ind iferentem ente del nivel de error, y por tanto a la hora de buscar un registro de iptables es m ucho m ás costoso. 2. Hasta aqu í tenem os la configuración del log de iptables pero ahora vam os a e xp licar que contiene un registro del m ism o. Para ello, introducim os la sentencia anterior "cat /var/log/iptables.log" y vem o s que ap a rece algo sim ila r a lo sig u iente: i 9 O ~iptAbte% lo q (Soto l« ic tu fa | ( va i lo g l * •</ r Oec 21 l ì Ob usuarlo desktop Kernel ( table e ntries 1024 lorder 9, 4096 byte?) Dec 21 91:15:05 usuano desktop kernel: ( Link ILMKC) enabled at I KO lfl Oec 21 91.15:95 usuar lo -desktop kernel: ) Link iLJKfi) enabled at IRQ 11 Dec 21 91:12:95 usuario-desktop kernel: | ' resource for EISA slo t 4 I Dec 21 91:15:95 usuano desktop kernel- | version 1 I Oec 21 91 15:95 usuario-desktop kernel I 6:779:293 Dec 21 91:15:95 usuar lo -desktop kern el: | 32x/32x na/tor»2 tray ^ 9.528230) DQuot cache has« 9.552047) ACPI PCI Interrupt 9.605369] ACPI : PCI Interrupt o 7999211 Cannot allo cate 9.7053001 registered M skstats 0 7959*4) fiagic ouster 1.199211) s r t : s c s iJ- a K drive 1 12*474! ) :5 é .t r -e 0« 00 9K»192.160 1.1 Pt M WÊÊ M V M » SP7*520 Dec 21 01.15:05 usuori o -desktop k e rn e l: I L in k ILMKA] enabled a t IRO 5 Dec 71 01.15:05 u s u a rio 'd e skto p kernel I i t »to ptano * 2 4774941 ACPI. PCI Interrupt 9.15W70] p ll* 4 safcus Antfto de ta U M kio t - K Col 2)9 INS 167 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A A nálisis de un registro de su ceso s del archivo iptables.log La inform ación se ordena de izquierda a derecha siguiendo al modelo O S I de abajo hacia arrib a, prim ero lo referido a en lace de datos (¡face, MAC), luego a red (dirección IP, T O S ) y por ultimo de transp orte (puerto, A CK , e tc .). S e dará un breve detalle de cada cam po ya que hay inform ación que podría no e sta r p resente dependiendo de la cadena dentro de la que se realizo el registro de algunos de los protocolos que intervienen en el caso. D ec 2 1 : es el m es y el día del registro. (21 de d iciem b re). 1 0 :3 1 :4 1 : es la hora en la que se añadió el registro al archivo de log. U suario-desktop : es el nom bre de la m aquina que realiza el log. kern el: [ 4 0 8 1 .6 1 7 7 4 6 ]: es el código del log del núcleo. IPTA B LESFO R W A R D : e s el prefijo que hem os añadido en la sentencia de ¡ptables para d iferenciar los registros que provienen de iptables de cualq uier otro registro. IN = ethO O U T= : interfaces de red por la cual entró la tram a y por la cual va a salir. MAC: inform ación que m aneja la capa MAC (Media A ccess Control, junto a LLC conform an la capa de en lace de d atos). S e concatenan los 6 bytes de la dirección MAC destino con los 6 de origen y com o se trata de un d atag ram a IPv4 el código es 0 8 0 0 . S R C y D ST: IP origen y destino. LEN : longitud total del d atag ra m a , hace referencia al cam po LT de la cabecera IP (del bit 17 al 32) y no al cam po IH L (longitud de la ca b e ce ra , del bit 5 al 8). T O S y PR EC : cam po tipo de servicio de la cabecera IP, por lo general es 00 y con PREC (precedencia)OxOO. TT L y ID : tim e to live (tiem po de vid a) y el cam po ID utilizado para re a rm a r fragm entos. PROTO, S P T y DPT: en este caso , protocolo de transporte y puertos de origen y destino. El valor de PROTO se obtiene del cam po protocolo de la cab ecera IP. El S P T y DPT son algoritm os de control. T IP O S D E C O R TA FU EG O S En general, para establecer las diferencias en tre los distintos cortafuegos atendem os a la flexibilidad y la facilidad de configuración de los mismos, así como la capacidad de manejo de tráfico. U na clasificación posibles es por la u b ic a c ió n en la que se encuentre el firew all: F íre w a lls b a sa d o s en servid ores: consta de una aplicación de firew all que se instala y ejecuta en un sistem a operativo de red (NOS), que norm alm ente ofrece otra serie de servicios como enrutam iento, proxy, DNS, DHCP. etc. F íre w a lls dedicados: son equipos que tienen instalado una aplicación específica de cortafuegos y, por tanto, trabajan de forma autónom a como cortafuegos. F íre w a lls in te g ra d o s : se integran en un dispositivo hardw are para ofrecer la funcionalidad de firewall. Como ejemplos encontram os switches o roulers que integran funciones de cortafuegos. F íre w a lls p erson ales: se instalan en los distintos equipos de la red de forma que los proteja individualm ente de am enazas externas. Por ejemplo en un equipo doméstico el cortafuegos preinstalado en sistem as Windows. 168 © RA-M A 7 ■ S E G U R ID A D P E R IM E T R A L Las arq u itecturas de cortafuegos m ás im plem entadas son: S cr e e n in g router: como frontera entre la red privada y la red pública se encuentra un router que realiza tareas de filtrado. D ual H om ed-H ost: como frontera se dispone un equipo servidor que realizará tarcas de filtrado y enrutam iento m ediante al menos 2 tarjetas de red, esto perm itirá una mayor flexibilidad en la configuración e instalación de aplicaciones de seguridad. S creen ed H ost: combina un router como equipo fronterizo exterior y un servidor proxy que filtrará y perm itirá añadir reglas de filtrado en las aplicaciones más empleadas. Veremos el uso y configuración de servidores proxy en un apartado posterior. S creen ed -su bn et: m ediante la creación de una subred interm edia, denom inada DMZ o zona d esm ilita riza d a , entre la red externa y la red privada interna, perm itirá tener 2 niveles de seguridad, uno algo m enor en el cortafuegos m ás externo y uno de mayor nivel de seguridad en el cortafuegos de acceso a la red interna. I PRÁCTICA 7.3 C O N F IG U R A C IÓ N R O U T E R -F IR É W A L L La m ayoría de los routers poseen opciones de configuración de cortafuegos o reglas de filtrado, ve rem o s estos asp ecto s a 2 niveles dentro los productos de la em presa C is c o . L in k s y s , es la división para el hogar y pequeñas e m p re sas, entre sus productos en contram os el router W R T54G L con una web para sim ulación de configuración Online: http://ui. linksys.com/fHes/WRT54GL/4.30. O/Setup.htm Entre otras opciones disponem os de opciones de configuración básica de cortafuegos (opción Security - Firewall), así com o una configuración m ás avan zada (opción A ccess Restrictions) donde podem os habilitar 10 políticas de acceso independientes, por ejem p lo habilitar el tráfico a d eterm inad as horas, para determ inado tipo de tráfico (p uertos-protocolos de ap licación ), equipos y sitios web. 169 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A Para el caso de los routers C IS C O de gam a media y alta, es posible configurar listas de control de acceso o A CL, listas de condiciones que se aplican al tráfico que viaja a través de una interfaz del router y se crean según el protocolo, la dirección o el puerto a filtrar. Existen dos tipos de A CL: A C L estándar, donde solo tenem os que esp ecificar una dirección de origen. A CL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino, ofrecen un m ayor control. V eam os un ejem plo de ACL están d ar: Una A C L e stá n d a r solo filtra la dirección origen, donde ésta puede se r una dirección de host, de red o un rango de d ireccio nes. Con la com paración se p erm ite o deniega el acceso. La configuración se hace en modo de configuración global, y luego se hace la asignación de la A C L a la interfaz de red que corresp ond a, ya sea a la entrada o a la salida del tráfico en dicha interfaz. La sin ta x is com pleta del com ando A CL estándar, para routers C IS C O bajo sistem a operativo propietario C IS C O IO S , es la sig u iente: R o u ter(co n fig )# a cce ss-líst n u m e ro _A C L d e n y|p e rm it d ire c c ió n _a _filtra r m a sca ra _w ild ca rd D onde: n ú m ero _A C L es un núm ero que va del 1 al 99 o del 1 3 0 0 -1 9 9 9 , y la m áscara de w ildcard se obtiene com plem entando la m ásca ra de su b red , es d ecir si la q uerem os ap licar sobre una red de clase C , la m áscara w ildcard se rá 0 .0 .0 ,2 5 5 com p lem entaria de 2 5 5 .2 5 5 .2 5 5 .0 . R c w Ih 1 _ '» 1 6 * M I ¡ 192 16* 15 I No h » r a n o a ú n Í1>S « 5 ÍS 5 0 roum 7 w iw k i ' i a z i M t &2 m m m y u n s ís a o R o u la O * 1 « 2 ie a in Ito tM y ftr a c o C n 'W 18« 11.’ J S S ÍS 5 „ 'M 0 Tom ando en cuenta la topología de la im agen, para cre ar una A CL en Router 1 que solam ente perm ita los paquetes de la red 1 9 2 .1 6 8 .1 6 .0 : R o u te rl(c o n fig )# a c ce ss -list 1 perm it 1 9 2 .1 6 8 .1 6 .0 0 .0 .0 .2 5 5 R o u te rl(c o n fig )# interface SerialO R o u te rl(c o n fig -if)# ip -access-g roup 1 in La explicación de esta A CL e s que com o es una A C L estándar, se configura lo m ás cerca del destino ( Routerl ), la dirección a filtrar e s una dirección de red de cla se C, por lo que la m áscara wildcard es 0 .0 .0 .2 5 5 ya que verifica la red y no verifica la parte de host. L a s re g las A C L se verifican como en el cortafuegos iptables, hasta que se cum pla una condición, en caso de no ser a s í, im plícitam ente hay una linea al final de la A CL que deniega todo lo d em ás: R o u te rl(c o n fig )# a c c e ss-list 1 deny any, la cual no nos afecta en este ejem p lo para el funcionam iento que d eseam o s de la A CL. D esp ués se asig na en la interfaz de red que corresponda, para eso debe seg uir la ruta que seguiría el paquete al tratar de e n tra r a Routerl. La dirección de red a filtrar proviene de Router2, por lo que la trayecto ria sería salir de Router2 por su interfaz SO y en trar a Routerl por la interfaz SO, lo cual la hace la interfaz en la que se debe configurar, ju sta m e n te a la entrada (in ). 170 © RA-M A 7 ■S E G U R ID A D P E R IM E T R A L I PRÁCTICA 7.4 C O N F IG U R A C IÓ N DE C O R T A F U E G O S CON EN TO RN O G R Á F IC O La m ayoría de los siste m a s op erativos p erso n ales disponen de cortafuegos p reinstalad os, com o e s el caso de los siste m a s W indows. S u s funciones han ido aum entando en las últim as ve rsio n es com o W indows Vista y W indows 7, y en su s version es de servid or como W indows 2003 y 2008 han proliferado los en torn os de gestión de seguridad en redes como M icrosoft In te rn e t S e cu rity and A cceleration S e rv e r (IS A S e rv e r) y M icrosoft Forefront T h re at M anagem ent G atew ay (Forefront TMG). En nuestro caso, utilizarem os la aplicación Kerio W inroute Firew all para g estio n ar la seguridad del tráfico en tran te y saliente de nuestra red. 1. En prim er lugar, d escarg arem o s el softw are desde la siguiente d ire cció n : www.kerio.com. Tras d escarg a r el eje cu tab le que instalará el firewall, eje cu tare m o s el instalador. E s recom endable d esactiva r el Firewall que viene por defecto en W indows para e v itar conflictos. En un m om ento de la instalación, el program a d etectará si hay algún conflicto con el siste m a . En caso de se r a sí, tend rem os que d eshabilitar dichas opciones que presentan conflictos con el program a seleccionándolos en el m ism o cuadro de diálogo. Tras esto, nos pedirá un nom bre de usuario y una co ntraseña para la adm inistración del firewall com o ad m inistrad or. Por últim o, pulsarem os en el botón in sta lar para e m p e z a r la instalación del Firewall en el sistem a operativo. A la hora de in sta lar el softw are Kerio W inroute firewall se aplica una configuración que bloquea todo el tráfico de In te rn e t por lo que tendrem os que re alizar m ás adelan te una configuración básica para p erm itir aquellas conexio nes que necesitem os. 2. Term inada la instalación, podem os iniciar el program a de adm inistración "Kerio Adm inistration consolé" que nos perm itirá re alizar la configuración de nuestro Firewall. Como todo program a de ad m inistración, este nos pide que nos conectem os a un host (podrem os configurarlo re m o tam en te o en lo c a M o c a lh o st) con el usuario y la contraseña definida en la instalación para poder ad m in istra r el softw are. K m Aorrumtintion Comete a B O Afctwo Eritar Ver Herrarwn!® Ayuda O Marcadores no están crotepdoe Una vez logueados, el Firewall nos ejecuta un asisten te que nos p erm ite re a liza r una configuración básica del m ism o. En prim er lug ar tendrem os que indicarle la forma en la que este se conecta a la red seleccionando "Un único enlace de Internet - p ersistente" ya que es la configuración m ás sencilla. 171 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A Acto seguido, nos pedirá que seleccionem os la ¡nterfaz por la que se conecta a la red. D ependiendo de las in terfaces que se conectan tendrem os que se leccio n ar una ¡nterfaz para la opción que hem os elegido o tan tas como haya co nectad as para las opciones de "m últiples en laces a Internet" El sig u ien te paso es el que bloqueará o perm itirá cierto tráfico a In te rn e t según los protocolos que necesitem o s ya sea para la visualización web, transferencia de arch ivo s m ediante FTP, etc. Seleccio n arem o s la segunda opción de la pantalla que dice “ p erm itir el acceso solo a los sig u ien te s se rvicio s" ya que tendrem os un control exhaustivo de las ap licacion es que perm itim os la conexión. De la lista que nos ap a rece seleccio narem o s los protocolos cuyo tráfico estará perm itido. R ealizarem o s una configuración sencilla perm itiendo solo el protocolo http y DNS para la naveg ación por In te rn e t. Todos los d em ás protocolos quedarán bloqueados. Polfee» ufarte •p*gr» 4 dt 7 Soecoone ri ravvi * que tJM d rrstrnpr e acceso a tntrntt de tas u u ro t Or U LAN PcnMBr d acceso a todo« be w vtooi (w> In U d o n « / ♦ Per*4r d acceso a6o a b i »pachtes ter <>ccs Sentoo ^rotocob 0 HTTP TCP □ «n»STGP □ FIJ> TO> □ SHTV TCP 0 0*6 TO>«*> □ P0P3 TO’ O TCP □ Tdurt TtJ> Purrtodecr^en Cuatguera Cuafcueva Cuáquera Cuatoaera Cua*OL*ra Cuáquera CuñtoMwa Cuakuera Puerto di desano «0 443 21 25 53 1» H3 23 Configurados los sen/icios que querem os perm itir, podem os se leccio n ar o no la opción para que cree una se rie de reglas en el firewall que perm itan la adm inistración del m ism o de m anera rem ota m edian te VPN. 3. R ealizarem os una prueba básica para v e r que el firewall funciona correctam ente. Para ello nos conectarem os m ed ian te FTP a una m áquina rem ota o de nuestra m ism a red, si el Firewall funciona co rre cta m e n te no nos d eja rá conectarnos al se rvid o r FTP, pero sí nos perm itirá la navegación web. 4 . Si posteriorm ente q uerem os perm itir la conexión m ediante FTP al se rvid o r local, irem os a la sección "configuración" y pulsam os en el apartado "política de tráfico". En este apartad o se m uestran las reglas que regulan el firewall, añ adirem os el servicio FTP a las exce p cio n e s pulsando en las filas "Acceso a In te rn e t (NAT)'' y "Tráfico del Firewall", en la casilla de se rvicio s con el botón derecho se leccio n am o s “editar servicios". Ardwo Ayuda Kfrto WmRoute i Política de tráfico CoadiQMraoón ■Pinte* faces 0 - i - - T i T T ^ jp ^ Bin } md » ín te r Horabrt Cnger» Oes»« (a h tM l >«| Todos tof denles • ’ o d M iw to i» í “*• ^ntíev,\xiri i • Fresal Acoón Regr Traducnár Servoo ♦ jF le a d o de cammoo pSerrtdorDMCP -*»6 0 T rtlo b a i i: ¡ J Defooorct Taúla de m u í— ente * Accasane bd 0 y hr •« Regatm lojkj * ^ CuBt *9 *9 * r*Cfa B m a «sta reefe etc* r^ l. ■ Todos &rcfcs r _ j— 4» C:jatoaeia O HTTP ** Ih iM n o ty g n ip M Ostlt*do LJÍialb HoojtM oro rééco <* Custeaera v Cua*o^era Cuatquva X S eleccio n am o s del desplegable "agreg ar" el servicio que q u erem o s añ ad ir a las excep cio n es, en nuestro caso FTP, y pulsam os en aceptar. 172 © RA-M A 7 ■S E G U R ID A D P E R IM E T R A L DMZ Cuando se realiza el diseño de una red es im portante determ inar qué equipos ofrecerán servicios de carácter público y por tanto será accesibles desde el exterior de n uestra red corporativa y qué equipos deben ser invisibles desde el exterior para m an ten er un cierto nivel de seguridad en las comunicaciones internas. Surge de esta diferenciación el concepto de zon a d esm ilita riza d a o DMZ (dem ilitarized zone) o red perim etral. Se tra ta de una red local que se ubica en tr e la red in tern a d e u n a o rg a n iza ció n y una red ex tern a , generalm ente In tern et, donde se ubican los servidores HTTP, DNS, FTP y otros que sean de carácter público. Internet H abitualm ente, una configuración DMZ es u sar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red in tern a y el otro a la red externa. E sta configuración ayuda a prevenir configuraciones erróneas accidentales que perm itan el acceso desde la red ex tern a a la in tern a. E ste tipo de configuración tam bién es llam ado cortafuegos de subred m onitoreada íscre en ed -su b n et firewaLl). Por lo general, la p o lític a d e s e g u r id a d p ara la DMZ es la siguiente: El tráfico de la red externa a la DMZ está autorizado y a la red interna está prohibido. El tráfico de la red in tern a a la DMZ está autorizado y a la red externa está autorizado. Norm alm ente el DMZ host está separado de In tern et a través de uu router y un cortafuegos, o se encuentran integrados. Es aconsejable que en el cortafuegos se abran al exterior únicam ente los p u ertos d e los ser v ic io s que se pretende ofrecer con los servidores disponibles en la DMZ. 173 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © RA-M A PROXY Un servidor proxy o representante es una aplicación o sistem a que gestiona las conexiones de red, sirviendo de interm ediario en tre las peticiones de servicios que requieren los clientes, como http, FTP, irc, telnet. ssh, etc., croando así una m em oria caché de dichas peticiones y respuestas por parte de los servidores externos. La finalidad de este tipo de servidores es poder servir más rápidam ente a sus usuarios en conexiones siguientes que hayan sido solicitadas y respondidas previam ente, sin tener que acceder rem otam ente de nuevo a los servidores externos. La m ayoría de los servidores proxy tam bién añaden fu n cio n e s de control y autenticación de usuarios, y reglas de filtrado de los contenidos solicitados, así como funciones de registro de logs. E n tre las grandes ventajas de un servidor proxy se encuentra la mejora de velocidad de respuesta a peticiones, ya que si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché, guardar la respuesta de una petición para d a rla directam ente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido. P ara evitar contenidos desactualizados, los servidores proxy actuales, se conectan con el servidor remoto para com probar que la versión que tiene en caché sigue siendo la m ism a que la existente en el servidor remoto. TIPOS, CARACTERÍSTICAS Y FUNCIONES PRINCIPALES Dependiendo del tipo de tráfico que circulará por una red necesitarem os un proxy que cum pla con las necesidades d el tráfico, ya sea para acelerar la descarga de contenidos para no sobrecargar la salida a In tern et o para autenticación de usuarios. En función de las características de cada tipo de proxy podemos clasificarlos de la siguiente m anera: P ro x y ca c h é Web: se tra ta de un proxy para una aplicación específica como el acceso a la web. M antienen copias locales de los archivos m as solicitados y los sirven bajo dem anda, reduciendo la baja velocidad y coste en la comunicación con Internet. El proxy caché alm acena el contenido en la caché de los protocolos HTTP, HTTPS, incluso FTP. P roxy NAT: integración de los servicios de traducción de direcciones de red y proxy. P roxy tran sp arente: norm alm ente, un proxy Web o NAT no es tran sp aren te a la aplicación cliente: debe ser configurada para u sar el proxy, m anualm ente. Un proxy tran sp aren te combina un servidor proxy con NAT (Network Address T ranslation) de m anera que las conexiones al puerto 80 típicam ente, son redi rígidas hacía el puerto del servicio proxy. P roxy anónim o: perm iten aum entar la privacidad y el anonim ato de los clientes proxy, m ediante una activa elim inación de características identificativas (dirección IP del cliente, cabeceras From y Referer. cookies, identificadores de sesión...). P roxy inverso: un reverse proxy es un servidor proxy instalado en una red con varios servidores web, sirviendo de interm ediario a las peticiones externas, suponiendo una capa de seguridad previa, gestión y distribución de carga de las d istin tas peticiones externas, gestión de SSL o como caché de contenidos estáticos. P roxy abierto: acepta peticiones desde cualquier ordenador, esté o no conectado a su red. En esta configuración el proxy ejecutará cualquier petición de cualquier ordenador que pueda conectarse a él, realizándola como si fuera una petición del proxy. Por lo que perm ite que este tipo de proxy se use como pasarela para el envío masivo de correos de spam , muchos servidores, como los de IRC o correos electrónicos, deniegan el acceso a estos proxys a sus servicios, usando norm alm ente listas negras (blacklist). Tras conocer los distintos tipos de proxy pasarem os a in stalar y configurar uno. 174 © RA-M A 7 ■S E G U R ID A D P E R IM E T R A L PRÁCTICA 7.5 C O N F IG U R A C IÓ N DE P R O X Y . G E S T IÓ N DE C A C H É, LO G , C L IE N T E S Y F IL T R O S W E B . En la siguiente práctica, ap re n d e rem os a in sta lar y configurar los p arám etros fund am entales de un servid o r Proxyproxy, así como los clientes que hagan uso de él. 1. En siste m a s GN U/Linux Squíd es el se rvid o r Proxy proxy por excelen cia, debido a su potencia y estab ilidad. E m p e za rem o s por in sta la r Squid m ediante el com ando: apt-get install squid3. En la instalación de Squid nos crea un archivo de configuración del Proxy proxy por defecto en /etc/squid3/ squid.conf. En este fichero podem os config urar cualq uier parám etro del Proxyproxy. No o bstan te, nosotros cre are m o s un fichero de configuración propio con los parám etros n e cesario s para que el Proxy proxy funcione com o filtro de contenidos. Por este m otivo, harem o s una copia del archivo de configuración que se instala por defecto de tal m anera que tengam os una copla de seguridad del archivo en caso de fallo. E jecu ta rem o s la sig u iente se n te n cia: cp /etc/sq uid3/sq u id .conf /etc/sq uid3/sq uid.conf.old 2. M odificarem os el fichero eje cu tan do la sentencia " gedit l etc! squid3¡squid.conf". El contenido del archivo de configuración: m i Ate f * - ^ <4*0 roo» X jvpurjaetroi generales «ffcafcre del proxy v is ib le hostnaae servidor proxy tpoerto de escucha del proxy http port 112 8 •Dirección de la caché de squid ir e l taaafo de la ais«a cache d ir ufs /var/spool/souldJ ?••• 16 cache ae« 12 NI aaxiaua object v i/e in oe®cry 256 MB •Dirección de los registros de squid access log /var/log/tquidl/access.log cache log /var/log/squldl/cache.log # L ista s de control de acceso ^ acl acceso src 0 ot acl nopermitidas i¿rl re?e* ’ /etc/s^uldl/nopermitidas* acl nowebs dttdoaain V etc/w idl/n o w ebs* acontrol de http access http access http access acceso deny nopera í tid a l deny rowetH allow acceso IfrttD piano » Ancho dc >a tatoiacJOn | • in 1 P arám etro s g en erales: alm acenam ien to cach é, nombre y puerto A continuación vam os a e xp licar los parám etros que hem os m odificado en el fichero de configuración Squid. conf: # Parámetros generales ffNombre del proxy visible_hostname servidor_proxy E ste será el nom bre del proxy que m ostrará a los clientes proxy cuando Squid detecte una página o una palabra no p erm itid a: © R A -M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D #puerto de escucha del proxy http_port 3128 #Direccion de la caché de squid y el tamaño de la misma cache_dir ufs /var/spool/squid3 2000 16 256 cache_mem 32 MB m a x i m u m _ o bject_size_in_memory 256 MB C a ch e _d lr: determina el tipo de sistema de almacenamiento en caché que utilizará Squid (ufs recomendado), así como la dirección de la caché (/var/pool/squid3), tamaño de la caché (2000 MB), número de directorios y subdirectorios de la caché (16 y 256). El parámetro C a ch e _m e m : determina la cantidad de memoria ram que será utilizada como caché. Un valor entre 8 y 32 megas es lo recomendable, pero dependerá de la cantidad de memoria que tengamos en el sistema. M a x im u m _ o b je c t_ s iz e _ in _ m e m o ry . : Se se indica que los ficheros descargados con un tamaño mayor del indicado (en kilobytes) no se guardaran en el disco duro. Por defecto 4 megas. A rc h iv o s de log Continuando con nuestro scrip t nos encontramos con los siguientes parámetros: ^Dirección de los registros de squid access_log /var/log/sq u i d / a c c e s s .log cache log /var/log/s q u i d / c a c h e .log Las rutas anteriores serán las direcciones donde se almacenaran los logs de acceso al proxy y de caché. Ejemplo de /var/log/squid/access.log: C0 9 root<¿u?u«fk> d t'fc to |i A /th r.o W a t \m Home u *u « lo TKtnliVAl A rfula BY4AC wr«6k4ÁC WTXKMAC*rltW A C M f ftf A 4 4 ¿ vr» * t 4AC wí 64Aí » r« t 44AÍ mtW H4A( wrH* C4Af wrM r>;4ACMrMrft4A(vrnCk4Mvrf«»g4AC«rfYY.U¿yUii0Alfc/Vr<KT0vniNg js u s u *rto DIRECr/74. U 1 .2 S Ù .M t* * t / j4 * A S c r ip ! ]? « 9 6 1 6 4 i.;? 7 W 19? 16« 1.16 TCP* HISS/264 116 GF? M ip / / c t i e n t s l googlc r • -/g e n e r iti u xu*ria D IR K T /74. m . J i e /4 t * ( t / M s l 98164.1 4 i5 16/ 192 166 1 16 TCP M lt& /:A 4 44)1 ¿* ! h t l f / / * * gooqlc e s /c s i ’ u s u a rio 0 1 A K T /7 4 .U 5 2W .63 l.11) ? « 1644. 376 1 192 166 1 16 TCP H1T/J06 7 1 U « T h tlp / / t i g s U lle.CO e /iftA g e i» u su a rio 6 0 » / M 4 * /)p c q 129?981644 Ì 76 « 19? 166 1 16 TCP «EN H IT/J66 716) 6€T h ttp //1 3 gstO ttC CO M/iftéQes? u u * r i o MMF/ .« w jc /jp rs j El contenido de dicho fichero son todas las webs, ips, fechas, etc., a las que se acceden y cuyas peticiones pasan a través de squidSquid. En este fichero también aparecen aquellas peticiones que son denegadas debido a han sido bloqueadas mediante la configuración del Proxyproxy. Con la captura anterior del registro del archivo access. log, pasaremos a analizar detalladam ente cada uno de los conceptos que componen un registro: 1292981643.277 80 192.168.1.16 TCP_MISS/204 310 GET h ttp ://clien tsl.g oo gle .es/ge ne ra te _ ,204 usuario DIRECT/74.125.230.74 te xt/h tm ! 1292981643.277 indica la fecha del acceso. La fecha está en form ato de epoch (la cantidad de segundos transcurridos desde 00:00:00 UTC 1-1-1970). 80 corresponde con el tiempo de respuesta. Es posible que el tiempo sea 0 puesto que posiblemente sean páginas a las que se les ha denegado el acceso y por tanto no hay una respuesta. 192.168. 1.16 corresponde con la dirección ip IP que ha producido esta petición. ” TCP_ M ISS/204" es el protocolo utilizado, en este caso TCP, "M ISS/204" es el significado de que el archivo que se intenta descargar no está en la caché y por tanto la petición tiene que salir a Internet para ser descargada. 176 7 ■ S E G U R ID A D P E R IM E T R A L © R A -M A Otras opciones son TCP_MEM_HIT": el archivo si se encuentra en la caché de squid Squid o "TCP_DENIED" se ha bloqueado la petición ya que incumple alguna regla del Proxyproxy. 310: el peso del archivo, en bytes. El método de envío del archivo es el significado de "POST" o “ GET". El siguiente parámetro es la propia dirección del archivo en cuestión o la web a la que queremos acceder. DIRECT/74.125.230.74 es la dirección del destino a fa que le hacemos la petición. Por último, tenemos el tipo de contenido que estamos realizando con la petición, "te xt/h tm l". Tras analizar el log( podemos continuar con la explicación de los distintos parámetros que permiten configurar Squid. A u te n tic a c ió n de u s u a rio s La autenticación de usuarios es otra opción que ¡mplementa Squid. A través de este servicio, podemos solicitar un usuario y una contraseña para poder tener acceso al Proxyproxy, y por tanto los servicios como navegación web. De esta manera, podemos acotar qué usuarios tendrán acceso al Proxy y quiénes no y, de aquellos que tengan acceso, podemos tener un control de qué peticiones realiza. Los siguientes parámetros son los que permiten configurar el sistema de autenticación: #Autenticación auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/claves auth_param basic children 5 auth_param basic realm Squid proxy-caching web Server auth_param basic credentialsttl 2 hours acl passwd p r o x y a u t h REQUIRED Explicaremos cada línea detalladamente: La primera línea indicamos el módulo que vamos a usar para la autenticación de los usuarios que se encuentra en " / usr/lib/squid3/ncsa_auth" así como el fichero que contiene las contraseñas de los distintos usuarios que habrá que generar más adelante con la creación de los distintos usuarios /etc/squid3/claves. La segunda línea índica el número de procesos (5) de autenticación que se va a llevar a cabo: auth_param basic children 5 La tercera linea determina el mensaje que aparecerá en la ventana que solicite el usuario y la contraseña: auth_param basic realm Squid proxy-caching web Server La cuarta línea el tiempo que tardará el Proxy en volver a solicitar de nuevo la clave a cada usuario:\auth_ param basic credentialsttl 2 hours Las últimas dos líneas hacen referencia a la creación de una lista de control a través de la cual activamos la solicitud de autenticación de los usuarios: acl validación proxy_auth REQUIRED Con estos parámetros hemos term inado de configurar la autenticación en el Proxy pero ahora hay que añadir los distintos usuarios que tendrán acceso al Proxy. Hay que diferenciar los usuarios del sistema con los usuarios del Proxy ya que son totalm ente distintos y no tienen ninguna relación. Para añadir los nuevos usuarios lo haremos a través del comando htpasswd de la siguiente manera: htpasswd -c /etc/squid3/claves nom bre_usuario_nuevo S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A Siguiendo el comando anterior, podemos realizar el siguiente ejemplo: htpasswd -c /etc/squid3/claves pepe Tras ejecutar el comando anterior no pedirá ia contraseña del usuario "pepe" que tendremos que introducir en la consola: ? f f too* s tn u a r io d v ftk to fi Arctaro fa lla r w h o m a m u a rto Im w w d s^vtí» ro o t9 u iu 4 rio 4 « * k to p ./* o * e /u * u d rio« h t u t iM ú - c /e tc /& q u u tJ /c U v < r* Pece (M itw ord H e -tfp e ncm password: -«ddtng p o i •.•or d fo r u t * r Pepe ( o o tfc s u jr io 6e s tro 0 :/hoae/(A U «rio« | B| ■ F iltro s w e b m e d ia n te lis ta s de c o n tro l de acceso Las listas de control de acceso nos permiten definir distintos parámetros para conceder o denegar accesos a nuestro Proxy. Estas listas actúan como un filtro ante las distintas peticiones que pasan por Proxy de manera que podemos acotar que peticiones podrán atravesar nuestro Proxy y cuáles de ellas deberán ser bloqueadas ya que incumplen las expectativas de funcionamiento que realiza nuestro Proxy. La estructura de una ACL es la siguiente: Acl nom bre_de.JaJista tipo_de_filtrado parám etros_deLtipo_de_.fiItrado A continuación, definimos tres tipos de filtros distintos: # Listas de control de acceso acl acceso src 0 .0 .0 .0 /0 .0 .0 .0 acl nopermitidas url_regex “/etc/squid/noperm itidas" acl nowebs dstdomain ''/etc/squid/now ebs" La primera lista de acceso que hemos definido (acceso) permite escuchar todas las peticiones procedentes de todas las direcciones IP que se comuniquen con el Proxyproxy. Con este parámetro podemos acotar que parte de una red queremos que pase por el Proxy, si fuera necesario. Un ejemplo distinto al anterior sería el perm itir solo las peticiones procedentes de la red 172.26.1.0: acl acceso src 172.26.1.0/255.255.0.0 La segunda lista de acceso es la que define el filtrado de contenido. Esta lista nos permite añadir al archivo '''/etc/ squid3/noperm itidas" todas las palabras que queremos que sean filtradas con el fin de bloquear el acceso a las webs que contengan este tipo de palabras: acl nopermitidas url_regex "/etc/squid/noperm itidas" La tercera lista de acceso contiene las webs a las que el Proxy no perm itirá el acceso. De igual modo que la lista que filtra el contenido, esta lista también permite añadir al archivo " / etc/squid3/now ebs“ todas las URL de las webs que queremos bloquear. acl nowebs dstdomain "/etc/squid/now ebs" Las acl por si mismas no hacen nada, ya que solo definen que lista realizará que tipo de filtrado. Por ello, es necesario perm itir o denegar las diferente ACLs. ífcontrol de acceso http_access allow all http_access deny nopermitidas http_access deny nowebs 178 © RA M A 7 ■ S E G U R ID A D P E R IM E T R A L Como vemos, en la primera Ifnea estamos permitiendo todas las peticiones que provienen de cualquier punto de la red a la que se conecta el Proxy. La segunda línea bloquea la lista llamada "noperm itidas" la cual contenían las palabras no perm itidas en una búsqueda. La tercera línea bloquea la lista llamada "nowebs" que contenían las URL de las webs a las que queremos bloquear el acceso. Tras esto, hemos term inado de configurar el fichero de configuración de Squid pero aún tenemos que crear un fichero para introducir las webs que no están permitidas. Para ello, ejecutaremos la siguiente sentencia en la consola: gedit /etc/squid3/nowebs El contenido de este fichero serán las direcciones webs de las páginas que vamos a bloquear. El contenido de la siguiente imagen es un ejemplo de cómo podría ser: nowebs l.elcrsquidB ) - g e d it 0 O O Archivo Editar VW Buscai Herran ' « M i Do-.,-n?n Abrir * Guardar W Deshj nowetos X t TUENTI www.Tuenti.co« www .tuenti.es h ttp :/ /t u e n ti.c o n h ttp : / / t u e n t i. e s # YOUTUBE] www.youtube.coa www.youtube.es h ttp ://y o u tu b e .c o « h ttp ://y o u tu b e .e s Texto piano * Ancho de la Cabul Del mismo modo, tendremos que crear el fichero que contenga el contenido que también queremos prohibir. Ejecutamos en la consola la siguiente sentencia: gedit/etc/squ id3 /n op erm itid a. A continuación, mostramos una imagen de nuestro fichero “ nopermitidas": 9 1 1 ¿ a- n o p e rm itid a s ( o tc /s q u ld j) A b rir T MI GlMMdrti g e d it wm — — nopermitidas X |Tuenti Youtube Sexo Va lo tenemos todo configurado y lo últim o que tenemos que hacer es reiniciar el Proxy para que se efectiva la nueva configuración. Ejecutamos la siguiente sentencia en la consola: Service squid3 restart. Para otras versiones de la distribución Ubuntu/ es posible ejecutar la siguiente sentencia: /e tc /in it.d /s q u id 3 restart. 179 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A C o n fig u ra c ió n de c lie n te p ro x y Por últim o, solo queda configurar los clientes para que las conexiones sean filtradas por el proxy. Para ello en el navegador web del cliente tendremos que introducir la dirección 1P y puerto de nuestro Proxy para que navegue a través de él. En caso de tener varios navegadores web disponibles, debemos realizar dicha configuración en todos ellos. ( o n t iijii r / i c t ó n d e c o n e x ió n C c n ftg jir prones pora d acceso a Intorno* O SfrnpfO“* C 1 Autodetect« conhgireoon d d proxy para esta red £ Usar la ccr/iguraoón gel proxy del »sterna 0 Conñguaoón njanuaf del proxy: Progy HTTP. 192.168.1.17 guerto: 3128 I Ufcar d momo proxy para todo usar pro para. locahost, 127.00. J E»empio: rnoMs.org. .net.ru:. 192.168.1.0/24 URL para la corhguraodn automittea dd proxy: I Acedar | Canedar Ayyda Sin embargo, tenemos otra forma de hacer el p ro x y " tra n s p a r e n te " al usuario. Para esto es necesario que el servidor Proxy, además de Proxy, tiene que actuar como un router, A la máquina que aloja el Proxy y hace las funciones de ro u te r le llegan dos conexiones, una de la LAN y otra que conectará con la puerta de enlace de nuestro servidor. En la configuración IP del cliente tendremos que poner como puerta de enlace la dirección ip IP del Proxy para que el cliente tenga acceso a la red a través del Proxy sin tener que configurar nada en el navegador del cliente. Para ello, añadimos añadiremos en iptables del servidor: iptables -t nat -A PREROUTING -i ethO -p tep --dport 80 -j REDIRECT —to -p ort 3128 En este caso, ethO es la interfaz conectado a la red local. Todo lo procedente de esta interfaz con puerto de destino 80 nos lo va a redireccionar al puerto 3128, que es donde tendremos el servidor squid escuchando peticiones. A u te n tic a c ió n de c lie n te s p ro x y Solo nos queda probar el funcionamiento del Proxy. En cualquiera de los 2 casos anteriores, antes de realizar cualquier petición el Proxy nos solicitará nuestro usuario y nuestra contraseña para poder acceder al Proxy: Id e n t if ic a c ió n r e q u e r id o X El pro»y 192.168.1.17:3128 esta soéctando un nombre de usuano y una contraseto. B fto o á ce : “5qud proxy-cachno wab Server* O Nomtxe de usuario: Fece Contraseña' .... | 180 Aceptar , Cancelar 7 ■ S E G U R ID A D P E R IM E T R A L © R A -M A Una vez autenticados en el Proxy, podemos navegar bajo las restricciones del mismo. Probaremos dichas restricciones intentando entrar en una web no permitida. Para ello intentaremos entrar www.tuenti.com desde el navegador web de algún cliente: • . ftvc/oot tum* (om i , I t t c * Thtiw juoTrd » • *r a * c*.vid»«tb4 rr.r.f-J - — - g*9«u * W *« **3 * M' r * " ' LRROR Tlu 1requerí ed URL could not lie relricvcd The fbflovTOf m o r wat cacoartcrcd vAdc tr v « * to rrtnrvr áte U R L fc«r * tpnaj n A « f n Draicd. Aí c o i coaool coatipsaboo prorats yo« rrqoeai froa b a n | «Ion td Mrtn d a r Pleaie coiuct yow lenice prtntda f yon tcci tha ft ía:cn rct Yoqr C(Kbf «dm nJrafex n u rttu it f g (k& a*rd San. 2S No* 2010 23 5649 GMT by w id o e jaoocv 0 STABL£19) Como vemos en la imagen, el Proxy detecta que la URL introducida no tiene permitido el acceso y bloquea la petición del cliente. Si la petición es bloqueada por el Proxy el cliente verá en su navegador una pantalla de error y el m otivo dei error, en el caso anterior se trata de un acceso denegado. REFERENCIAS WEB Compieta información práctica sobre ipiables: http: / / w w w .kriptopolis.org I iptables-0 Listado de cortafuegos personales: http: / / www. infospyware. com / cortafuegos / Configuraciones prácticas de cortafuegos: http: / / www. pello, in fo l filez / firew all / iptables.htm l Confi guraciones de en ru t a miento, proxy y cortafuegos para GNU/Linux: h ttp : / / w w w.ite.educacion.es / fo rm acion /m ateriales / 85 / cd/R E D E S _ L IN U X / fram es / fram eset_14.htm l Configuraciones de enrutam iento para Windows: h ttp: / / www.ite.educacion.es / form acion/ materiales 1851 cd!R E D E S_W 2000/ fram es/ frameset_enridamiento.htm Configuraciones de funciones de cortafuegos, proxy-caché y servidor VPN para Windows, m ediante ISA Server: h ttp : / / w w w .ite.educacion.es/ formacion / m ateriales 1 8 5 /c d / R E D E S_W 2000 / fra m es/ fram eset_isa.htm 181 © R A -M A S E G U R ID A D Y A L T A D IS P O N IB IL ID A D RESUMEN DEL CAPÍTULO La conexión a redes públicas por parte de organizaciones potencia las am enazas y ataques a los routers de acceso, servidores, incluso a ¡os sistem as internos que poseen información confidencial. Para ev itar este tipo de ataques es necesario disponer de m edidas adicionales de seguridad en el perím etro de la organización. E n tre otras se h an estudiado en este capítulo. E nm ascaram iento de direcciones IP in tern as o privadas m ediante NAT. F iltra d o de puertos, aplicaciones asociadas e in ten to s de acceso a los sistem as m ed ian te c o r ta fu eg o s o firew a lls tan to en los sistem as perim etrales como en los personales. Dentro de los cortafuegos perim etrales hemos visto las distin tas opciones que ofrecen desde routers para pequeñas organizaciones, así como configuraciones de servidores con funciones de enrutado y cortafuegos integradas. Filtrado de usuarios permitidos, sitios web y búsquedas no autorizadas, m ediante servidores proxy. E stos servidores perm iten la m onitorización y el alm acenam iento de accesos a determ inados servicios como http, perm itiendo m ejorar la seguridad y el rendim iento de los mismos. En la mayoría de los casos se i n te g r a n con otros servicios como enrutam iento, NAT y cortafuegos. EJERCICIOS PROPUESTOS 1. U tiliz a los sig u ien tes em uladores de ro u ters inalám bricos D-Línk, y realiza una com parativa entre las opciones de configuración de cortafuegos, proxy y DMZ. h ttp : / IsiL pport.dlink.com /em ulators Ídw l2 1 0 0 ap h ttp :l / su pport.d lin k .co m /ern u la to rs / diG04 reve 2. Realiza la m isma configuración de cortafuegos que e n la práctica 38 (configuración de cortafuegos), para los routers anteriores, ¿es posible realizar todas las opciones? 3. Realiza la m isma configuración de filtrado proxy d e p a la b ra s y sitios web que en la p ráctica 42 182 (configuración de proxy), para los routers anteriores, ¿es posible realizar todas las opciones? 4. Investiga sobre la aplicación Webmin como inteifaz web para la gestión de servidores bajo GNU/Linux. D escarga e in stala la aplicación, y el com plem ento p a ra la configuración de S q u id . R ealiza la m ism a configuración que en la práctica 42 (configuración de proxy) m ediante la interfaz web de Webmin. 5. P ara sistem as Windows se encuentra disponible el servidor proxy W inGate. D escarga e in stala la aplicación y realiza una configuración sim ilar a la realizada p ara S qu id ¿Cómo podemos ver los logs generados? ¿Qué opciones de filtrado web posee? 7 ■ S E G U R ID A D P E R IM E T R A L © R A -M A 6 . La configuración y m antenim iento de listas negras (blacklist) de sitios web que querem os restrin g ir en n u estra organización puede llegar a ser una tarea tediosa. P ara ello es posible descargar archivos de sitios web poco recom endables o que pertenecen a listas negras de sitios web de confianza y añadirlos a la configuración de nuestro servidor proxy S quid. Puedes encontrar archivos con listas negras en sitios web como urlbLacklist.com. D escarga el archivo de blacklist y anéxalo a la configuración de S q u id . 7. ím plem enta una DMZ con un servidor FTP en el aula e intenta acceder a su contenido desde un equipo ubicado on el exterior del aula. Deberás configurar 2 cortafuegos con diferentes niveles de seguridad y dejando la red DMZ con el servidor FTP en medio. TEST DE CONOCIMIENTOS Iptables: Es un conjunto de reglas de routers. Es equivalente a las ACL en Windows. Em plea características de un firew all de Zone Alarm. Se tra ta de un cortafuegos basado en reglas de filtrado. Los cortafuegos son elementos: H ardw are. Software. Pueden ser software y hardw are. N inguna de las anteriores. S q u id como proxy tra n sp a re n te recibe peticiones En un servidor con cortafuegos iptables que realiza funciones de e n ru ta d o ún icam en te, la opción h ab itu al es: INPUT. FORWARD. OUTPUT. N inguna de las anteriores. El archivo donde se alm acenan los log-s de iptables es: ¡var/loghptables Iog. Ietchn.it .d/rsyslog. /var/l ogts quid/a cce ss.Iog. fvar/log/squid/caclie Iog. En S q u id url regex es una opción: De control de acceso a determ inadas web listadas en un archivo. De control de acceso a determ inadas palabras reservadas Listadas en un archivo. P ara reg istrar sucesos de intento de acceso al proxy. De control de acceso a los buscadores webs que incluyan palabras reservadas. norm alm ente en el puerto: 80. 53. 8080. 3128. Un cliente que utiliza S qu id como proxy transparente, envía peticiones norm alm ente al puerto: 80. 53. 8080. 3128. La integración de un servidor proxy y cortafuegos se denomina: Screening router . Dual Homed-Host. Screened Host. Screen edsu bn et. 18; ó \ / Analizar las distintas configuraciones de alta disponibilidad. / Valorar la importancia de realizar on buen análisis de riesgos potenciales en sistemas críticos y adoptar medidas para paliar sus posibles consecuencias. / Aprender las diferencias, ventajas e inconvenientes entre los sistemas de almacenamiento redundante (RAID) y conocer sus opciones de configuración y prueba. / Conocer las opciones de configuración y administración de balanceo de carga entre distintas conexiones de red. / Realizar configuraciones de alta disponibilidad de servidores mediante virtualización de sistemas operativos. S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A SOLUCIONES DE ALTA DISPONIBILIDAD Como vimos en el capítulo 1, a lta disponibilidad se refiere a la cap acid ad de q ue a p lic a c io n e s y d a to s se e n c u e n tr e n o p era tiv o s p ara lo s u su a r io s a u to riza d o s en todo m om en to, d eb id o a su ca rá cter crítico. Las em presas con la m ás alta, disponibilidad deben ser más tolerantes a fallos, disponer de sistem as redundantes p a ra los componentes críticos de su negocio y tener una mayor inversión en el personal, procesos y servicios para ase g u rar que el riesgo de inactividad en las em presas sea m ínim o. En cuanto a las so lu c io n e s adoptadas en sistem as de a lta d isp o n ib ilid a d , la b a se de las m ism as las estudiam os e n el capítulo 2 m ediante soluciones de seg u rid a d p asiva, aunque para sistem as en los que es necesario un m ayor n iv e l d e seg u rid a d encontramos: R ed u n d a n cia en d isp o sitiv o s h ard w are, posibilitando en caso de fallo, la continuidad del servicio. Como ejemplos encontram os duplicados en equipos servidores, fuentes de alim entación (ver la figura siguiente) o dispositivos de red redundantes que no perm itan cortes de sum inistro o caídas de conectividad. R ed u n d an cia, d istrib u ció n y fiab ilid ad en la g e stió n d e la in form ación . Se d eb e p rocu rar q ue la in form ación p u ed a ser recu p erad a en el m om en to q u e se n e c e site , esto es, evitar su pérdida o bloqueo, bien sea por ataque, m ala operación accidental o situaciones fortuitas o de fuerza mayor. Las técnicas que se estu d iarán son: Sistem as RAID de alm acenam iento. Centros de procesam iento de datos de respaldo, garantizando copias de seguridad en d istin tas ubicaciones geográficas. R ed u n d a n cia en la s com u n ica cio n es. Hoy en día la mayoría de las grandes em presas disponen de una red de oficinas conectadas en tre si por red, y los servicios requeridos de las m ism as deben estar siem pre operativos. P ara ello las em presas poseen en ocasiones diferentes conexiones de red independientes, para en caso de fallo de alguna de las líneas, disponer de alternativas. Como caso práctico estudiarem os el b a la n ceo de carga. R ed u n d a n cia y d istrib u ció n en el p rocesad o. Los sistem as de clustering o agrupam iento de sistem as servidores perm iten escalar la capacidad de procesamiento. In d e p e n d e n c ia en la a d m in istr a c ió n y c o n fig u r a c ió n d e a p lic a c io n e s y s e r v ic io s. M ediante la v irtu a liza ció n hoy en día podemos ofrecer de forma independiente servidores dedicados soportados bajo una m ism a m áquina. A continuación veremos algunas de las propuestas m ás empleadas. 186 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A LTA D IS P O N IB IL ID A D i Analiza la noticia “ V irtu a liza ció n , cloud y unificación del CPD, principales tendencias tecnológicas para 2011", disponible descargándote el m aterial adicional del libro y cuya fuente es: h ttp ://w w w . com put'm g. e s /T e n d e n c ia s /2 0 1 1 0 1 03004 2/IN F R A E S T R U C T U R A S -V irtu alizad on -clo ud -yu n ific a cio n -d e l-C P D -p rin cip a le s-te n d e n c ia s -te c n o lo g ic a s -p a ra -2 0 1 1 .a s p x . C ontesta a las siguientes preguntas: • ¿Qué es el cloud c o m p u tin g ? ¿Qué porcentaje y de qué países p rincipalm ente están utilizá nd olo actualm ente? • ¿Qué p o rcen ta je de servidores en producción se estim a te n e r virtua liza do s en los p róxim os 3 años, por parte de los responsables de tecnologías de inform a ción (IT) en España? ¿Cuáles son las principales barreras y preocupaciones en ese sentido? RAID RAID (Re.dund.ant A rray o f Independent Disks), o conjunto redundante de discos independientes, originalm ente e ra conocido como R edu n dan t A rra y o f Inexpensive D isk s , (conjunto redundante de discos baratos) y hace referencia a un sistem a de alm acenam iento que usa m últiples discos duros entre los que distribuye o replica los datos. La distribución de datos en varios discos puede ser gestionada por: H ard w are dedicado: requiere al menos una con trolad ora RAID esp ecífica , ya sea como u n a tarje ta de expansión independiente o integrada en la placa base, que gestione la adm inistración de los discos y efectúe los cálculos de paridad (necesarios p ara algunos niveles RAID). Softw are: el sistem a operativo gestiona los discos del conjunto a través de u n a controladora de disco (IDE/ ATA, Serial ATA (SATA), SCSI, SAS o Fibre Channel). H íb rid o s: basados en softw are y hardw are específico: m ediante controladoras RAID hardw are b aratas o controladora de disco sin características RAID, pero el sistem a incorpora una aplicación de bajo nivel que perm ite a los usuarios construir RAID controlado por la BIOS. La opción hardw are suele ofrecer un m ejor ren d im ien to y hace que el soporte por p arte del sistem a operativo sea m ás sencillo. Las im plem entaciones basadas en hardw are suelen soportal' sustitución en caliente Uiot sw a p p in g ), perm itiendo que los discos que fallen puedan reem plazarse sin necesidad de detener el sistem a. Las co n fig u ra cio n es o n iv e le s RAID están d ar y com únm ente usados son: RAID 0 o d ata striping: conjunto dividido, distribuye los datos equitativam ente en tre dos o más discos sin información de paridad que proporcione redundancia, no es redundante. Se usa norm alm ente para increm entar el rendim iento, aunque tam bién para crear un pequeño número de grandes discos virtuales a p a rtir de un gran núm ero de pequeños discos físicos. 187 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A RAIDO Al A3 AS A7 A2 A4 A6 A8 RAID 1 o d ata m irroring: conjunto en espejo. Crea una copia exacta (o esp ejo) de un conjunto de datos en dos o m ás discos. Un conjunto RAID 1 solo puede ser tan grande como el más pequeño de sus discos. Increm enta exponencialm ente la fiabilidad respecto a un solo disco en caso de fallo de uno de los discos. Al escribir, el conjunto se com porta como un único disco, grabando la misma información en todos sus discos constituyentes. RAID 1 Al A2 A3 A4 A1 A2 A3 A4 R AID 5: co n ju n to d iv id id o con p a rid a d d istribuida: usa división de datos a nivel de bloques distribuyendo la información de paridad entre todos los discos miembros del conjunto. Al añadir la información de paridad distribuida entre los distintos discos, en caso de fallo de alguno de ellos, será posible recuperar su información a p a rtir de la contenida en el resto de discos. RAID 5 ha logrado popularidad gracias a su bajo coste de redundancia. G eneralm ente, se im plem enta con soporte hardw are para el cálculo de la paridad, aunque es posible realizarlo m ediante opciones del sistem a operativo. AMO 5 Otros niveles RAID menos empleados son RAID 2, 3, 4 y 6 . M uchas controladoras perm iten a n id a r n iv e le s RAID, es decir, que un RAID pueda usarse como elem ento básico de otro en lugar de discos físicos. Los RAID anidados se indican norm alm ente uniendo en un solo número los correspondientes a los niveles RAID usados, añadiendo a veces un + entre ellos. Por ejemplo, el RAID 10 (o RAID 1+0) consiste conceptualm ente en m últiples conjuntos de nivel 1 alm acenados en discos físicos con un nivei 0 encima, agrupando los anteriores niveles 1 . Al an id ar niveles RAID, se suele combinar un nivel RAID que proporcione redundancia con un RAID 0 que a u m e n ta el rendim iento. Con estas configuraciones es preferible ten er el RAID 0 como nivel más alto y los conjuntos re d u n d an tes debajo, porque así será necesario reconstruir menos discos cuando uno falle. Así, el RAID 10 es preferible al RAID 0+1. 188 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A LTA D IS P O N IB IL ID A D RAID O-t-1 1-RADO 1 HAOO RAID 10 RAJO 0 f I PRÁCTICA 8.1 CONFIGURACIÓN DE RAID MEDIANTE SOFTWARE RAID 1 es utilizado para garantizar la integridad de ios datos: en caso de fallo de un disco duro, es posible continuar las operaciones en el otro disco duro sin ningún problema. Para definir este nivel de RAID tendremos que tener al menos dos discos duros de la misma capacidad quedando, de los dos, solamente uno accesible por parte de los usuarios del sistema operativo. En esta práctica realizaremos un RAID de nivel 1 mediante software en los sistemas operativos Windows XP y Ubuntu 10.04 LTS. Para realizarla será necesario tener al menos 2 discos duros del mismo tamaño, se puede realizar la prueba con máquinas virtuales que posean varios discos duros del mismo tamaño. R AID en W in d o w s XP Por defecto en Windows XP Professional no viene activado la opción para hacer RAID por lo que tendremos que activarla siguiendo los siguientes pasos: Para activar el RAID en Windows XP Profesional tendremos que editar tres archivos del sistema operativo que están en las siguientes direcciones (suponiendo que Windows lo tenéis en la partición C): C:\WlNDOWS\SYSTEM32\dmconfig. dll C: \ WINDOWS \SYSTEM32\dmadminn. exe C: \ WIN DO WS\SyS TEM32\drivers\dmboot. sys 1. Lo primero que necesitaremos será un editor hexadecimal, por ejemplo podemos utilizar el programa "xvi32". Una vez lo tengamos instalados, copiaremos los ficheros a C :\ (por ejemplo) para editarlos ahí. Lo podemos editar en hexadecimal o modificando la cadena que representan los valores hexadecimales. A continuación mostraremos los cambios que tendremos que hacer: Editaremos (en form ato cadenas de texto) el archivo dmconfig.dll con xv¡32: Antes: LAN MANNT.... SE RVERNT... .WINNT... Después: LANMANNT,... WINNT........SERVERNT Editaremos el archivo dmadm in.exe con xvi32 y pondremos: Antes: servernt.... lanm annt....ProductT Después: w in n t........lanmannt....ProductT 189 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © RA MA Editaremos el archivo dmboot.sys con xv¡32: O en cadena de texto: Antes: t.T.y.p.e...WINNT...SERVERNT.... Después: t.T.y.p.e...SERVERNTWINNT........ 2. Después tendremos que sustituir los archivos originales por los modificados, pero no lo podemos hacer directam ente en el Windows porque este los volvería a sustituir por los originales. Así que tendrem os que usar la consola de recuperación arrancando con un cd de instalación de Windows XP o arrancando en modo prueba de fallos y sustituyendo los archivos modificados. Para ello: Introducim os un cd de instalación de Windows XP y arrancamos desde el mismo, esperamos que se inicie el asistente y elegimos la opción "recuperar una Instalación de Windows XP usando la consola de recuperación", presionando la tecla R. Tras esto, nos aparecerá una lista de las instalaciones de Windows que ha detectado en los discos duros. Le damos al número que deseemos modificar. Luego nos pedirá la contraseña del adm inistrador de ese Windows. Una vez estamos en la consola, suponiendo que los archivos m odificados los dejamos en la raíz del C :\ tendrem os que escribir las siguientes ordenes: » >>copy C :\dm config.dll C:\WINDOWS\SYSTEM32\ >>copy C :\dm adm in.exe C:\WINDOWS\SYSTEM32\ copy C :\dm boot.sys C:\WINDOWS\SYSTEM32\DRIVERS\ Por últim o escribimos "e x it" y el equipo se reiniciará. Con esto ya tendremos activadas las opciones para hacer RAID 1 en Windows XP Professional. 3. Ahora vamos a configurar el RAID 1 con los siguientes pasos, una vez reiniciado Windows normalmente: Presionamos el botón derecho en Mi PC y seleccionamos Administrar, luego vamos a Almacenamiento y dentro de él a A d m in is tra c ió n de discos. Ahora en la lista de los discos duros, en cada fila a la izquierda tendremos un recuadro que pondrá el tipo de disco (Básico, Dinámico) y el tamaño entre otras opciones. Con el botón derecho sobre ese recuadro y pulsamos Convertir en dinámico, en los discos que deseemos crear nuestra unidad RAID 1. ................................ J || Arch*o ftcoón ■ 190 BZ3 «aai_L: VfeCfCara K rjti* ■I © R A -M A 8 « C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D A continuación, presionamos el botón derecho en el espacio no particionado y seleccionamos N uevo vo lu m e n . Se iniciara el asistente y le damos al botón Siguiente. Ahora nos aparecerá la lista de los tipos de volúmenes que podemos crear (Simple, Distribuido, Seccionado, Reflejado, Raid-5), a diferencia de antes ya nos aparece el tipo R e fle ja d o (que es el que nos interesa). Seleccionamos Reflejado equivalente a RADI 1 y le damos al botón Siguiente. Nos aparecerá una ventana en la que tendremos que a ñ a d ir a la zona d e S e le c c io n a d o lo s dos discos. Para añadir alguno, tendremos que seleccionarlo en la zona de Disponible y darle al botón Agregar. Una vez que tengamos los dos añadidos le daremos al botón Siguiente. ,i. r,- A‘~i.i i .Ti Udta , i . « i S rle c c io M i d iicO i Pueda »ekcoorvir kn dtcos y •Habtoc* «I Umafo de d»co este vetunen Sefacoone Im «focos drámcos g j» gu«e láism y h*}* d e eo Agiegar Qaponbb ¿efecoonada T arrufo lotd dei vofcjnen en neQéb^tt |MB| M4mrk>eaveoo <fepon£ie w i M8 2047 Seleccione U cenbdad de ff»p*co en M8 2017 “ En la siguiente ventana elegiremos la letra que queramos para la partición con RAID l y presionaremos el botón Siguiente. Tras esto, elegiremos el formato de la partición, la etiqueta de la partición, marcamos dar form ato rápido y le damos al botón Siguiente. Por últim o nos mostrará un resumen de la configuración y le daremos al botón Finalizar. Ahora nos mostrará, en las particiones en RAID, un mensaje que indicará Volviendo a sincronizar con un porcentaje. Esto significa que se están sincronizando los dos discos duros. Tendremos que esperar a que acaben y muestre correcto para poder usar nuestra partición en RAID. Ok ¡IflMIHi l i l i l í « ¡£*3ariMbr«cttn*<«0jp«Ooc4) fc H m a .e ru .A ln U '» .A »«* — r«eo«a£r Tpq 1 rartiov. bémo WVS ( { ) W V « n*ger\ InAMco NT») ; C»racto rSefe*^- 19951 Vetante « *nc ¿.COGI | «rt «,VOB I.9JC» X *tr» T5X «X T w * m i * *»rur«n , (.uno No <r* 50% lUMrtMbcányTum m mymrt mXt /»$é ** 9 4» <**co* J | ^MCoir<l^4dcrM Umo V.99& [rptrttU tfftv o 1 Ortimr» 7.® «a <r^ S.«úlKTF5 ■Aio tro r.QCtth-rrV t m o n a « ( év,, i O ÍO ixo/ Dnlmo Í.OOCM [f\pcriU* RAID (L J J lD B tW O C*©ÍD) t> to m a ta 191 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D órehrvo ¿(Sobo Ver © R A -M A Favor*« (jerrament*5 IV Búsqueda Ayytáa Carpetas 03. Dfrctdón ^ M PC Nombre Espacio Ifcre Tipo U nidades de d is to du ro Ver nformocdn dei sistema ¿3 o quitar program« 0 * CamUar ^r»a corfigivacjón ^ Dccototal(C) Deco local 5.99 O 4,54 GB hzm h D«co local 1.99 GB 1,96 GB Onpovit « y « ro n akjiocm am écnto extrotbie ^ i- .¿Uw daddeC D(D:) Unidad òe CD Mfcstoosdered i Ï Mb documento* i Documentos compartidos ^ Panel de control RAID ( I : ) Disco local Setenta de archivos. N7FS Espaoolbre: 1,98 GB Tamaño total: 1,99 GB 4. Ya esta todo hecho, tenemos nuestra partición de datos con RAID 1. Si queremos asegurar que funciona, podemos hacer lo siguiente: apagamos el ordenador y desconectamos uno de los discos duros que tienen una de las dos particiones en el RAID 1. Encendemos el ordenador. Creamos un fichero en ¡a partición del RAID 1 y volvemos a apagar el ordenador. Conectamos de nuevo el disco duro que habíamos desconectado y volvemos a encender el ordenador. Le damos al botón derecho a Mi PC y seleccionamos Adm inistrar. Luego vamos a Almacenamiento y dentro de él a Administración de discos. Veremos que en las dos particiones del RAID aparece el mensaje E rro r de re d u n d a n c ia . Seleccionamos el disco duro que habíamos desconectado, en el recuadro de la izquierda donde aparecen datos suyos le damos al botón derecho del ratón y seleccionamos R e a c tiv a r disco. Ahora aparecerá un mensaje en las dos particiones del RAID 1 que indicará "Regenerando" con un %. Entonces empezará la reconstrucción de los datos. Esperamos a que a finalice y ponga Correcto. R A ID en G N U /L in u x La configuración del RAID en Linux la haremos bajo la distribución Ubuntu. La podremos hacer fácilmente gracias a la aplicación "utilidad de disco" que integra la nueva versión de Ubuntu para particionar y dar form ato a los dispositivos de almacenamiento. 1. En prim er lugar iremos a Sistema - Administración - Utilidad de Disco. Para iniciar la configuración del RAID 1 pincharemos en Archivo - Crear - Conjunto RAID... Se iniciará un asistente que nos perm itirá seleccionar el tipo de RAID que deseamos configurar así como las unidades de disco que intervienen en el RAID. En nuestro caso seleccionaremos como nivel de RAID "Espejo - (RAID 1)", introduciremos un nombre para el conjunto "Raid Espejo" y justam ente abajo seleccionaremos los dos discos duros que formarán el RAID: 192 © RA M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D Crear un con|unto RAI O I I G en eral NtvH def RAID COflMrdQ e ta rjo w i p a lia d f t o p t v o m Im tm c m « M h j> / m O m iÉ i p v á *pvti/ • lm ( 4 * f u m HUD I p w M n to p o rt» / g u r M n m o i wxt d h c o i aw n fl« W mbfr do-: con|i»>to Raid Espejo U m a iV ) del cofi|unto D is c o s S* c r t a r l u ro ptftxiöM Jr ohco dura a« a .i ca 4 ) GB O c tf u tt no Qocdm« rUMirut mmc dnponaat -o Ota«, duro d . « .i ca V U W » i » « parUUD» j » A * " t m u v > u n to íy u n fo <*r ■».3 0 8 f x t f j u n R A i O i e n í tincas p u H e -C /w fe* S¡ todo está correcto, pulsaremos en "C rear" y nos pedirá que introduzcamos la clave de Adm inistrador tanto para crear las particiones en los discos como para crear el RAID por software. Una vez creado el conjunto RAID nos aparecerá el conjunto de la siguiente manera: ># Raid Espejo (Conjunto RAJD-1 da 4,3 GB) f dcv mdO¡. u tilid a d da discos OttJKMitzvtR ila aimaCjHtatnranfo I A lm M C M m tv n ta lo c a l ^ A d a p ta d o r d a e q u ip o PATA tvpejo 4RAID 1. tx r^ c DI k o d u ro d e B.6 GB O tic o d u ro d a 4,3 GB Ratf tipejo Sin partK tonar FircutJmaove 4 3 GB í 42 SJ 5 5 1 1 0 4 t*le-.> ñ rtitx ronzando £ m fcwarei conjunto RAID ¿ Formatea* borrar ei con|is*o RAJO ComprotMr H con|unf o r Edrtar componente? Dive o d u ro d a 4,3 GB . D4»po«INvo« m u ltld lic o Prueba de rendimiento Aíev/mtíO 4.306 (479)551104 bytw) Formatear volumen Tras crear el conjunto el sistema resincroniza ambos discos duros para replicar la información. 2. Una vez terminada la resincronización, tendremos que particionar el volumen del Raid Espejo para crear una partición que sea utilizable por el sistema. Para particionar el volumen pulsamos en "form atear volumen": 193 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A Seleccionaremos el tipo de sistema de archivos e introduciremos un nombre para el nuevo volumen. Pulsaremos en "Form ato": 3. Al pulsar nos pedirá la confirmación. Tras esto solo nos queda m ontar la unidad para que sea visible y poder usarla con normalidad. Pulsaremos en “ m ontar volumen". Montada la unidad, nos aparecerá el icono en el escritorio del sistema del nuevo volumen “ Raid 1" que acabamos de configurar. La manipulación del volumen “ Raid 1" es igual que si fuera un disco duro simple por lo que podemos cortar, pegar, mover, renombrar, etc., dentro del mismo. BALANCEO DE CARGA U n balanceador de carga es un dispositivo ya sea hardw are o software que se dispone conectado a un conjunto de servidores de m anera que a sig n a y rep arte la s p e tic io n e s que provienen de los clientes a los distintos servidores a los que se conecta dicho dispositivo. Estos dispositivos aplican una serie de algoritmos, como el conocido Round Robín, para re p a rtir la carga de forma equilibrada. La utilidad de estos dispositivos radica en poder re p a rtir la carga y excluir aquellas conexiones de destino que se en cu en tren caídas en un momento determ inado de m anera que un cliente cuya dirección IP de su servidor DNS se en cu en tre caída, el balanceador de carga detectará que esa dirección IP se encuentra inactiva (.el servidor no escucha la s peticiones ya sea por fallo en hardw are o en software del servidor) y las peticiones cuyo destino se dirigen a.I servidor caído se redireccionarán a otro servidor DNS que haya conectado al dispositivo encargado del balanceo de la carga. E ste sistem a tam bién es m uy útil a la hora de u n ifica r d os o m ás c o n e x io n e s con salida hacia In tern et en una s o la . Al in stalar un balanceador de carga al que se conecten varias líneas de Internet, podemos re p a rtir la carga de s a lid a a In tern et entre las líneas, pudiendo definir que cantidad de peticiones saldrán por una línea y que cantidad p o r otra, dependiendo por ejemplo de su velocidad y fiabilidad. 194 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D I PRÁCTICA 8.2 BALANCEO DE CARGA En la siguiente práctica estudiaremos como configurar mediante software balanceo de carga mediante ta b la s de e n ru ta m ie n to en sistemas GNU/Lintix y mediante K e rio W in ro u te bajo Windows. B a lan ceo d e ca rg a m e d ia n te ta b la s d e e n ru ta m ie n to G N U /L in u x Nuestra práctica la realizaremos en la distribución Ubuntu, realizando balanceo de carga entre dos líneas ADSL de diferentes velocidades. La carga de las lineas según la configuraremos en proporción 2-1, es decir, por cada 2 peticiones a la linea rápida de ADSL saldrá 1 petición por la línea lenta de ADSL. Esta proporción se puede variar según nuestra necesidad ya que si disponemos de dos ADSL de la misma velocidad lo lógico será balancear la cargar al 50%. En esta práctica necesitaremos una máquina con tres interfaces de red de las cuales: una se conecta a la LAN y las otras dos a las distintas líneas de ADSL. El esquema puede ser el siguiente: Empezaremos definiendo las direcciones IP de cada una de ias tarjetas de red que contiene nuestra máquina que realizará el balanceo de carga: Ip router ADSL 1 (rápida): 192.168.1.1/24 Ip router ADSL 2 (lento): 192.168.2.1/24 Servidor con balanceo de carga: e th l (conectado a router ADSL1): 192.168.1.2/24 eth2 (conectado a router ADSL2): 192.168.2.2/24 ethO (será la nueva puerta de enlace de la LAN): 192.168.3.1/24 1. Empezamos a configurar las 3 interfaces del servidor. Para ello nos dirigimos a Sistema - Preferencias Conexiones de red. 2. Mediante un term inal definiremos dos tablas de enrutam iento distintas que emplearemos para cada una de las líneas de ADSL: # echo 200 a d s ll >> /e tc/ip ro ute 2 /rt_tab les # echo 201 adsl2 > > /e tc/ip ro ute 2 /rt_tab les 3. Ahora nos centramos en la tabla de enrutam iento del ADSL1. La siguiente configuración define que la red 192.168.1.0/24 es la red conectada a la interfaz e th l que tiene una dirección IP 192.168.1.2 y que los paquetes con la salida a In te rn et serán enrutados por la tabla a d s ll. Podemos comprobar que la configuración ha sido introducida mediante "ip route show table a d s ll": ip route add 192.168.1.0/24 dev e th l src 192.168.1.2 table a d sll íp route add defauit vía 192.168.1.1 table a d s ll C # # root ¿ u tu a rlo 'd e tk to p : hom * uiuarJo rootçusuario desktop /ho«e/uiu»tlo* . 1 6 8 .1 2 table athU roolím uauo HfiHoe /bgae/u'.uarioa d i 11 root*»miarlo deiktoo /N »e/uiuarío« 192.168 1.0/24 de» e th l »coi* Unk defauli vía 192.168 1.1 dev ethl roottuiuano desHoo /noite/muario» ip toute 192.168 1.8/2« dev e th l it c 192 IP roule add eetault irla 192.108 11 table a ip toute sto~ tib ie adsll sr< 192 168.1.2 | 195 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A 4. Del mismo modo introducimos las sentencias pertinentes para la configuración de la tabla de la línea ADSL2: ip route add 192.168.2.0/24 dev eth2 src 192.168.2.2 table adsl2 ip route add default via 192.168.2.1 table adsl2 5. Tras d efin ir cada una de las tablas de enrutam iento de los ADSL tendrem os que definir la tabla de enrutam iento principal para que los paquetes sean enrutados correctamente. La configuración individual de las tablas anteriores es para cuando el tráfico está en una de las dos subredes de salida y se necesita saber como enrutarlo. Las sentencias para configurar la tabla principal son las siguientes: ¡p route add 192.168.1.0/24 dev e th l src 192.168.1.2 ip route add 192.168.2.0/24 dev eth2 src 192.168.2.2 Mediante ip route show, veremos el resultado configurado. 6. Tras configurar la tabla principal tendremos que definir las reglas de enrutado. Esto sirve para aplicar las reglas almacenadas en cada una de las tablas cuando se cumple que vienen de las ips correspondientes: ip rule add from 192.168.1.2 table adsll ip rule add from 192.168.2.2 table ads!2 7. La últim a sentencia es la más importante de toda la configuración ya que es la que d e fin e el b a la ce o de ca rg a. Con esta sentencia to que indicamos son las rutas por defecto que tiene que seguir los paquetes cuando su destino no esté dentro de nuestra red con el añadido que en función de la carga saldrá por una puerta de enlace o por otra: ip route add default scope global nexthop via 192.168.1.2 dev e th l w eight 2 nexthop via 192.168.2.2 dev eth2 weight 1 Weight 2 y weight 1 son los pesos asignados a cada interfaz de red, son modiñcables. En el supuesto caso de tener más líneas ADSL conectadas al balanceador de carga habrá que definir el balanceo de carga para cada línea de ADSL adicional que conectemos. 8 . Hasta aquí tenemos listo el balanceador de carga pero es im portante no olvidar habilitar el enrutam iento entre las tarjetas de red para que las peticiones que provienen de la LAN sean transferidas a Internet. iptables -t nat -A POSTROUTIIMG -s 192.168.1.0/24 -o e th l -j MASQUERADE iptables -t nat -A POSTROUTIIMG -s 192.168.2.0/24 -o eth2 -j MASQUERADE echo 1 > /p ro c/sys/n et/ipv4 /ip_forw ard 9. Para visualizar que el balanceador realiza su tarea correctam ente tenemos a nuestra disposición la herramienta Ip tr a f. Esta herramienta nos perm ite tener un control de aquellas conexiones que están activas y un contador de paquetes de cada una de las interfaces, entre otras opciones. Para instalarla: apt-get install iptraf Una vez instalada la ejecutamos iptraf. Una vez abierta la herramienta nos dirigimos a la sección "General interface statistics": 196 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D En dicha sección tendremos las estadísticas de paquetes que transitan por cada una de fas interfaces de red de nuestro balanceador de carga. Si visualizamos los resultados veremos que del total de los paquetes que provienen de la LAN (ethO) gran parte han salido a Internet por la interfaz e th l que corresponde con el ADSL rápido mientras que una parte más pequeña de los paquetes han salido por la interfaz eth2 que corresponde con el ADSL lento; e o • ro o t á u s u a rio -d e s k to p : «hom e/usuario IPTraf lo ethO e th l e th 2 >46 54126 3S499 12335 54226 36489 12335 Û 9 546 ô 0 6 S d.Ofl kbtt 923,00 kbit A.89 kbit B a lan ceo de carga m e d ia n te K erío W in ro u te (W in d o w s ) A continuación, realizaremos el balanceador de carga por software en el sistema operativo Windows 7 mediante el programa K e rio W in ro u te . En el capítulo 7 vimos su uso configurando un cortafuegos personal. Realizaremos la misma configuración de red que para GNU/Linux, en las 3 interfaces de red necesarias. Podemos iniciar el programa de adm inistración "Kerio A dm inistraron consoie" que nos perm itirá realizar la configuración de nuestro balanceador de carga. Como todo programa de adm inistración, nos pedirá que nos conectemos con el usuario y la contraseña definida en ta instalación para poder adm inistrar el software. Una vez logueados, el programa ejecuta un asistente que nos permite realizar una c o n fig u ra c ió n básica del mismo. S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A 1. En dicha configuración tendremos que seleccionar la opción "M últiples enlaces de In te rn et - Balanceo de carga de tráfico" Toe oe coneoón a Irteme? • ptgn* 2 de 7 Setetoone cono é ir rv»al n conectado a Internet: Tras esto, tendremos que seleccionar que interfaces serán afectadas por el balanceo de carga, Pulsaremos el botón "agregar". En la ventana que nos aparece tendremos que escoger los adaptadores de red que tienen conexión con Internet. Así mismo, podremos configurar el ancho de banda de cada enlace. La siguiente pantalla del asistente permite realizar la configuración de cortafuegos mediante bloqueo o filtrado de protocolos. A continuación en la configuración de VPN, en la que deseleccionaremos todas la opciones. Si tuviéram os algún servidor en la LAN que quisiéramos que fuera visto desde Internet, en la siguiente pantalla tendríamos que introducir la dirección IP y el servicio que estarían activos en dicho servidor. En caso contrario, tendríamos que saltar dicha pantalla. Por últim o, terminaremos la instalación pulsando el botón "Finalizar" del asistente. 2. Tendremos que configurar un aspecto fundamental para activar el balanceo de carga. Nos dirigimos a la sección "configuración" y entramos en “ políticas de tráfico". En esta pantalla nos mostrará todos los permisos y restricciones que tienen los servicios. En la regla de "Acceso a Internet (NAT)" tendremos que m odificar el tipo de traducción que realiza. Para ello, pulsaremos con el botón derecho sobre el campo "Traducción" de dicha regla y seleccionaremos "E ditar traducción". V Ifrtjfeoil Cco:o4i 4c VcTr.C f * l te r o ItfnAaut» | ( o í O» Kerto WmRoute ítr c v a l . Configuración * Política de tráfico VÍ*oibaditMoi S exo 0 BtnOndtfi'umitr ®Cj^edodecor^r-»úo ^ 8 / j T afra ov «orwtar*enso ■ i * N p. tf ■ j 5 U m n o t y grupo» - & ÍU ad o Acocn Rflp? Traducobn HA’ H É H r» ' li ✓ ’ o w ot ^ ’ m m c t a r t a »**• * " oíos i r e « ^ ^OpoomMntidis v a i'» * *000» »**• i* ¡ c« n V j e > 4> "rw «S «5» C uéojva f s to arinco 1------------------------ 1 + C u to * ’ « Cjéojm r» ✓ •> Cuatoar» s En la ventana de configuración de la traducción tendremos que seleccionar la opción "Realizar balanceo de carga por conexión (m ejor rendimiento)". © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D 3<*TC«3 01 C y tiy » » • ÎM > » por 1M '* *)ar pe~ «>->c»i -oí- - M r r » ~ y o r - * 3 O 9» 9 9 sm rnor v í t r ■■■■S^T>0) '.g ro a n « '-■caá» w • n r « x * » r a « » r » a j 3» r t n » ! uTUMr« •W M eM Tei aisano 3. Si ahora empezamos a realizar peticiones y nos vamos a las estadísticas de la salida a Internet veremos como la carga se balancea entre ías dos interfaces. Para ello nos iremos a la sección "Estado" y pincharemos en "Estadísticas". En dicha pantalla nos iremos a la pestaña "Estadísticas de la rnterfaz" y veremos como la carga que proviene de 1a LAN se está balanceando entre las interfaces con salida a Internet. ----id « 1CoaAyufBOúa Estadísticas £*•61 j r i d ’ » JC .w a .trfimJi •**»■* :*•«:« (itM fc U » ■ J w n o p w a is r w : ie w e de lelem et O ra te * deoendeew iW n íliw fc *tç»3ctn 0 9 0 jm r e c a v i '» »ttó» prt » y » r <fle lili fi’irtivi rt -e-arl-m « E T M « K il9 i« r)H u Uü * Qpar*» r . r a a i • C c r» » c r 0* árw «caí M "un*iír- M V n tK « 2 )■ o-r. »- « r t io c « < «a ltfJU.14 »744 117 7 « M in a !» « t t 'C n , » « m i • :v»:- 31* *>S « .1 3 9 4 «híamo -2«**: 9*3 ■lì SM.:«■ mjm:4 *7**9 S&7<9 »?<« «J3«4 < H )tt t4 Í3 W < 1 Ü 7 I4 H7 7 4 )T«H HJÎ4 ÍT««J 04« VIRTUALIZACIÓN La virtualización perm ite la ejecución sim ultánea de distintos sistem as operativos sobre una aplicación ejecutada y soportada bajo un equipo y un sistem a operativo determinado. Perm ite realizar una abstracción de los recursos de un sistem a, creando una capa entre el hardw are de la m áquina física y el sistem a operativo de la m áquina virtual. E sta capa de software maneja, gestiona y arb itra los cuatro recursos principales de un ordenador (CPU, Memoria, Red, Almacenamiento) y así podrá rep artir dinám icam ente dichos recursos entre todas las m áquinas virtuales que se estén ejecutando en un momento determ inado. De modo que nos perm ite tener varios ordenadores virtuales, con distintos sistem as operativos, ejecutándose sobre el mismo ordenador físico. El software de gestión de m áquinas virtuales se distribuye por em presas como M icrosoft (V irtual PC), VMWare (VMWare) u O racle (Virtual Box). 199 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A U na vez in stalada la aplicación de gestión de m áquinas virtuales, el proceso p ara poder ejecutar distintos sistem as operativos se resum e en: C rear y configurar los recursos hardw are que darán soporte a la instalación de un determ inado sistem a operativo. U na vez creada la m áquina virtual soporte, in stalar m ediante una im agen ISO o un CD/DVD de instalación el sistem a operativo. A rrancar y utilizar el sistem a operativo, pudiendo in stalar aplicaciones, guardar datos de forma independiente al sistem a operativo que soporte el software gestor de m áquinas virtuales. Sucesivam ente podemos ir modificando configuraciones creadas, creando y ejecutando distintas m áquinas virtuales independientes dentro del gestor de m áquinas virtuales. PRÁCTICA 8.3 CREACIÓN DE MÁQUINAS VIRTUALES En la siguiente práctica estudiaremos como instalar, configurar y usar, bajo Windows 7, la aplicación de gestión de máquinas virtuales VMWare Server. Para la instalación de VMware Server tendremos que descargar, en prim er lugar, el paquete instalador de la web oficial de VMware: http://w w w .VM w are.com /es/ . Para poder descargar los instaladores de VMware es necesario registrarse en la web. Podemos realizar el registro antes de elegir el producto en la sección "Cuenta" presente en la página principal de la web o de manera instantánea cuando elegimos la descarga de un producto, en nuestro caso VMware Server, rellenando el form ulario de registro. Para los usuarios que tengan cuenta en la web, solo tendremos que introducir los datos necesarios para autenticarnos. Una vez logueados en la web, nos aparecerá una ventana en la que tenemos tanto los seriales de cada uno de los productos de VMware Server como los links de los instaladores. En nuestro caso copiaremos el serial (Licensing) y descargaremos de forma manual el paquete VMware Server 2 for Windows Operating Systems. In s ta la c ió n V M w a re S e rv e r 2 .0 .2 en W in d o w s 7 1. Una vez descargado el instalador lo ejecutarem os en el sistema operativo y se iniciará el asistente de instalación. En la instalación podemos m odificar el directorio donde se almacenarán las máquinas virtuales así como el nombre de la máquina, Host, y los puertos a través de los cuales accederemos a la administración web. En un momento de la instalación nos pedirá que introduzcamos el nombre de usuario (necesario para la adm inistración web), el nombre de la compañía y el número de serie: 2. Una vez reiniciado el equipo podemos encontrar todos los componentes de VMware en el menú de inicio. Podemos arrancar el programa desde los accesos directos (VMware Server Home Page) o entrar en un navegador web e introducir las siguientes direcciones para acceder a la adm inistración web: h ttp :// <D irección_ip> .8222 h ttp s :// <D¡rección__ ¡p > :8333 200 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D ff t o w M ht« lr*e#rwti#e W Í4C4II • O * trJÉÉ 1/ cntcx j ' 0 lU o jn I n f u i t r ^ « « a m < ■ - p (* «f >ktti - j togrt* >Ufn« ‘ uw»-*c I | 9 Q - i | l4o*= r iziry&t Kt» * 3« Una vez introducido nombre de usuario y contraseña configurados en la instalación, en la parte derecha de la pantalla tenemos las distintas opciones para crear o añadir máquinas virtuales o Datastores. En la parte central tenemos un resumen de las características de nuestro H o s ty de las máquinas virtuales que vayamos creando, cuyo listado aparece en la izquierda, que nos permite tener un control acerca del uso de la CPU, la cantidad de RAM consumida, espacio en disco y conexiones de red. La parte inferior hace referencia a un registro de actividades en las máquinas virtuales. Se registran cuando se inicia una máquina virtual, cuando se detienen, cuando se modifican, etc. -O ? - » —-(» *> J f * c*461 tí • 0 ü i .«t *, 1Jiua’ •. 21«*' • Q - «r » 5*9»^» »» ; 3 in sa n o PC r^ n i. •«* *-•**» . Tu* ~ - * * n « >r * '’a 1 O ) Cvá t.r-n utu*~«-PC H«nala(tunir Kodel § Fnxc»«ort Jr-«HC' Cc-«ÍTM- ? CPU HOS 3 M 3G «i : c *\j B it. 60 MKl 0 Heinory s:i.$3m s UMfC *» » » Dai A iin n ri C«0«alf :».« sa » H SC*» U 1* G* C’N Atu* M*cl Hcfw orki P'K* »©o «jo Ti í * 3r»i«*d i «c*C rt, HAT Sw.1 .mr«Jí WTMtJ * >;• t ‘ lU f f t y b» 201 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A Creación de una nueva máquina virtual en VMware Server. 3. Para la creación de una máquina virtual nueva nos dirigimos a la opción "Create virtual Machine" en el cuadro de la derecha de la pantalla. A continuación, nos aparecerá un a s is te n te que nos perm itiré configurar los aspectos básicos de nuestra máquina virtual. En prim er lugar nos pide que configurem os ei nom bre de la máquina v irtu a l y la ubicación donde se almacenará. En nuestro caso, vamos a crear una máquina virtual para instalar el sistema operativo Freenas para posteriormente realizar una serie de pruebas como servidor ÑAS (analizado en el Capítulo 2). La siguiente pantalla del asistente hace referencia al tip o de s is te m a o p e ra tiv o que vamos a instalar en la máquina virtual y la versión de dicho sistema operativo. Puesto que Freenas es una versión de FreeBSD, seleccionaremos "O ther operating systems" y en la versión elegimos "FreeBSD (32-bits)". A continuación, tendremos que definir la cantidad de m e m o ria RAM y el numero de procesadores (hilos) que usará nuestra máquina virtual. En nuestro caso, elegimos 256 MB de memoria RAM y una CPU. Debemos tener en cuenta que los recursos hardware que configuremos serán consumidos de la máquina física en la que se ejecute. Por lo que el ajuste de la memoria RAM suele ser un parámetro lim itador ya que no es posible ejecutar simultáneam ente tantas máquinas virtuales como se desee. ■ I V H w « # rr l u i r . is tr u c t u r e W e b A c ie v » ( u \ u * i r i o a i ? / . 0 . 0 . 1 ) A p p k c a t^ o r In v rn to rv V ir tu a l M a c h a r * ¿ d m im s T ra tra n ti *e »p ______________ *1 --------------- n r __________________________________ í V i*ru a i A p p W v c e _________ _____________________ X fgggj Nam e a r d lo c a t o r G uest O perating S yste m Ic c 'e a s ic g a v irtu a l m achine s m e m o ry aR ocatior can im p ro v e cs p e rfo -m a rc e but m a y also im pact oche** -u n n r.g applications. S ilt : 256 _ MB R e c o m m e n d e d S l i e (256 MB> R e c o m m e n d e d M in im u m (32 MB) The guest c p e 'a tir g syste m m a y r o t s ta 't up belovt th is size R e c o m m e n d e d M a x im u m (8 1 9 2 M3) Mem ory sn apping m a y occur above tb*s S're P ro c e s s o r s S elect th e rum be«’ c f processors c a re fu lly We do n o t -e co m m e rd re c o r fig u n rg tK s valu e a fte r trfc a lk rtg th e g u e st o p e 'a b n g system . D dck I N ext I O k «I Posteriormente se definirá si la máquina virtual usará un nuevo d is c o d u ro virtual o uno existente por ejemplo de otra máquina virtual. Ya que nuestra máquina es completamente nueva, elegimos la opción "Create a new virtual disk". Al elegir la opción de disco virtual nuevo tendremos que definir el tamaño del disco y la ubicación del mismo. En esta misma sección también podemos modificar ef adaptador de nuestro disco duro y el número del dispositivo que usará. Tras definir el disco duro, tendremos que configurar el a d a p ta d o r de red que usará la máquina virtual. Para definirlo pulsaremos en "add a network adapter". Las opciones que nos aparecen en cuanto al adaptador de red son bastante sencillas ya que la configuración de los adaptadores de red estará gestionada por la herramienta "Manage Virtual Networks" que veremos con más profundidad en la siguiente práctica. © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D Podemos elegir tres modos de funcionamiento de nuestro adaptador de red ya sea modo Bridged, modo Host-only o modo NAT (la configuración la realizaremos más adelante). En nuestro caso, seleccionaremos el modo Bridged, ya que la máquina virtual se encontrará en red con la máquina física y el resto de equipos de la red de ésta. En este modo debemos asignarle una configuración 1P dentro de la máquina virtual a su adaptador de red. Activaremos la opción de "connect at power on", para que esté activa cuando arranquemos nuestra máquina virtual. La in s ta la c ió n de n u e s tra m á q u in a v ir tu a l es posible realizarla de dos modos, bien sea a través de una imagen .ISO o a través de la unidad de CD/DVD del Host host físico. En nuestro caso añadimos una imagen ISO por lo que pulsamos en "Use an ISO Image". Al elegir que queremos instalar la máquina virtual a través de una imagen ISO nos aparecerá una pantalla en la que tendremos que seleccionar la ubicación de la imagen ISO dentro del Datastore que tenemos configurado, es decir, la imagen ISO tiene que estar ubicada en la misma carpeta que contiene las máquina virtuales. Del mismo modo que la unidad de CD/DVD configurada anteriorm ente, podemos seleccionar el adaptador y el número de dispositivo que utilizará. Podemos hacer lo mismo si queremos usar una unidad de Floppy Disk, en nuestro caso, no integraremos esta unidad en nuestra máquina virtual. Del mismo modo podemos utilizar dispositivos USB conectados en la máquina Host host para tener acceso desde la máquina virtual. En nuestro caso, tampoco integraremos esta opción. Por últim o, el asistente nos da un resumen de la configuración que acabamos de realizar. Si estamos de acuerdo podemos pulsar el botón "finish" para term inar de definir la máquina virtual. C reate Virtual Machine P ao*» Name and Location Guest Operating System Memory and Processors Hard Disk Properties Network Adapter Properties 1 CD DVD Drive Properties Floppy Drive X Ready lo C om plete Please verify that your new virtual machine is configured correctly. Name: Freenas Location: [standard] Guest Operating System: FreeBSD (32-bit) Memory: 2S6 MB 1 Processors: : Hard Disk: 8 GB Network Adapter: Using "Bridged1 CD/DVD Drive: ( USB Controller: Lsirg [s:ard a ,'d]'FreeNAS-i386-LiveCD-... No M ore H a rd w a re | USB Controller Hele Pene' or your n e* . prtua' machire rtev* Ya tenemos nuestra máquina virtual creada, ahora solo tenemos que arrancarla e instalar el sistema operativo como si de una máquina normal se tratara. Lo veremos jun to con el funcionamiento en la práctica 47 (servidor ÑAS virtuafizado). La creación de máquinas virtuales permite realizar copias de seguridad y restauración de las mismas de forma muy sencilla. Las distintas máquinas virtuales creadas se encuentran accesibles en la carpeta que hallamos configurado (norm alm ente C: / Virtual Machines). 203 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A I PRÁCTICA 8.4 CONFIGURACIÓN DE RED DE MÁQUINAS VIRTUALES Los m od os d e fu n c io n a m ie n to que podremos asociar a cada tarjeta de red virtual, en cada máquina virtual son: B rid g e o puente permite conectar la máquina virtual a la red que usa el equipo anfitrión. Conecta el adaptador de red de la máquina virtual, con el adaptador "físico" o real del equipo. Es la opción más empleada. H o s t-o n ly permite al sistema anfitrión comunicarse con los sistemas invitados de las máquinas virtuales instaladas en el equipo. Las máquinas virtuales sólosolo pueden comunicarse directamente con el sistema host físico y las máquinas virtuales que también son miembros de la misma red. NAT permite realizar NAT entre las máquinas virtuales y la red externa a la que pertenece el host físico. Permite por tanto la conexión a una red externa en aquellos casos en que únicamente se dispone de una dirección IP, que usa el anfitrión. Por ejemplo se puede conectar una máquina virtual a Internet a través del adaptador de red del equipo anfitrión. Se emplea para aislar la comunicación exterior con las máquinas virtuales. Como hemos comentado anteriorm ente, tenemos una herramienta instalada que nos permite configurar ciertos aspectos de las distintas formas de funcionamiento de los adaptadores de red en ías máquinas virtuales. Esta herramienta se llama "Manage Virtual Networks" y la podemos encontrar en Inicio - todos los programas Vmware - Vmware Server - Manage Virtual Networks. Si abrimos la herramienta nos muestra una pantalla en la que tenemos seis pestañas de configuración: fS . *u.l ü xrr’arj J*U?~JC£b rO yQ | a yv '«ong ] -*e | ¡ \VT | fv t * • o4fou- y»**!n*t>© ra. use t * © *«' pac« ©f IT« edtcr to c w g « 1N 1 s*t3ng> o4 *otP n«b>orics. mX **o t c » tó to tm and rx re .*cua¡tíe&>«r« yj-.M-etO .syiet: (Hoíí-oH») yS.'-vea(SAT) S o v jfj Ujotk: DKP ~5rOjeC» tr » .a n ix a t» c*3Kr>mt ■ _______________ * prr ele rcfrxxV tf-*red *o*! jwdío^*rev*hotítP«»a» 192-168.50 0 &2Í4&.U80 Emcwc La primera pestaña “ Sum m ary" hace referencia a un resumen de los adaptadores virtuales que están funcionando con VMware así como de la descripción de cada adaptador, subred en la que está trabajando y si tiene activo o no el servicio DHCP que integra la misma herramienta para los modos NAT y Host-only. La siguiente pestaña "Autom atic Bridging" permite controlar y configurar un puente de red entre el adaptador VMnetO con el adaptador de red físico del host. La tercera pestaña "Host Virtual NetWork Mapping" permite definir, configurar y desactivar distintos adaptadores de red virtuales que podemos asociar a una máquina virtual y que se comportarán, para las distintas máquinas virtuales configuradas en un mismo modo, como un switch virtual interconectando a las distintas máquinas virtuales. Dependiendo del m o d o de fu n c io n a m ie n to que tenga cada uno de ellos podemos observar como podemos configurar distintas opciones. 204 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D En el caso de VMnet8, el funcionamiento que tiene por defecto es para realizar NAT, por lo que en dicho adaptador podemos configurar la subred propia en la que trabaja, un servidor DHCP para que asigne las direcciones IP en las máquinas virtuales configuradas con este adaptador y otros aspectos de configuración de NAT como las opciones para la puerta de enlace virtual, así como el port forwarding (en caso de tener acceso a servidores en la máquina virtual desde el exterior), DNS y Netbios. En la sección "Host Virtual Adapters" muestra una lista de los adaptadores de red que se han creado en el Host host físico a través de VMware, por defecto VMNet 1 (Host-only) y VMNet8(NAT). Mediante esta sección podemos añadir, habilitar, deshabilitar y elim inar adaptadores según las necesidades. En la sección "DHCP" tenemos lo referente al funcionamiento del servidor DHCP en cada uno de los adaptadores, de manera que podemos iniciar, pasar y reiniciar el servidor o configurar cualquier parámetro del servidor en cada uno de los adaptadores. So—'* 7 1 | Ha* Vrtj» Mtfwa* Ujpprs I Ha« idacun O^CP |HVT J Mi .k r' jív :o V* « ^C r V»6»' ^oto®Wj-íj Vni “« f o r t i « « * « c o r * a r * > C P s e - <t Ot¡CP ------trtU *'«!w or« StfiTf! 192 168. 50 0 192.168.133 0 :ss 2S5 o 255:55.255 0 -‘Mcpecri »Tretl .■mea .íw 1 X P w m lc » ----------------------------------------------------- S«r.xesto»: Sfii Se*- ce 'fO JO f | 5t2P Por último, en la sección "NAT" podemos seleccionar que adaptador de red realizará las funciones de NAT así como iniciar, parar y reiniciar el servicio. Como vemos, VMware tiene una gran cantidad de configuraciones posibles en función de las necesidades que tengamos. VIRTUAL!ZACIÓN DE SERVIDORES U na de las aplicaciones más comunes de la virtualización es poder independizar la adm inistración de servidores bajo una misma m áquina física. Las ventajas de disponer de servidores virtual izados frente a servidores físicos son las siguientes; A horro de costes: podremos adquirir un solo servidor, aunque m ás potente, y no tener que comprar más servidores sino solam ente ir creándolos en el gestor de m áquinas virtuales. También perm ite ahorro en el coste de m antenim iento y en el de personal, además de ahorrar espacio. C re c im ie n to m á s flexible: instalar un nuevo servidor es mucho más sencillo y rápido frente a hacerlo con un servidor físico. A d m in istració n sim p lificad a: desde la consola del gestor de m áquinas virtuales podemos au m en tar o reducir los recursos para una determ inada m áquina, reiniciarla, in stalar parches o sim plemente borrarla en caso de problemas. 205 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A A p ro v ech a m ien to de a p lic a c io n e s an tiguas: una de las ventajas de la virtualización es la posibilidad de conservar aplicaciones que funcionan en sistem as antiguos y aun así m odernizar la in fraestructura informática de la em presa. Esa aplicación puede “sobrevivir” en una m áquina virtual independiente sin que haga falta conservar el ordenador antiguo. C en tra liza ció n d e tareas d e m an ten im ien to: podemos realizar copias de seguridad de un solo golpe de todas las m áquinas, program ar actualizaciones y otras actividades desde el gestor de m áquinas virtuales. También podemos centralizar otras funciones. D ism in u y e tiem pos de parada: una ventaja im portante, solucionar problem as o realizar copias de seguridad son ta re a s que se realizan en mucho menos tiempo. Por ejemplo, se puede clonar una m áquina y seguir dando servicio m ientras se realiza m antenim iento de la m áquina virtual de producción como actualizaciones. M ejor g estió n de recursos: se puede au m en tar la memoria o alm acenam iento de la m áquina huésped para au m en tar los recursos de todas las m áquinas virtuales a la vez, por lo que se aprovecha mucho mejor las inversiones en hardware. B a la n ceo d e recursos: es posible asignar un grupo de servidores físicos para que proporcionen recursos a las m áquinas virtuales y asignar una aplicación que haga un balanceo de los mismos, otorgando m ás memoria, recursos de la CPU, alm acenam iento o ancho de banda de la red a la m áquina virtual que lo necesite. I PRÁCTICA 8.5 SERVIDOR ÑAS VIRTUAL Como vimos en el capítulo 2 existen diversos modelos de almacenamiento DAS, ÑAS y SAN. En esta práctica veremos la instalación de un servidor ÑAS (F re e n a s) en VMware Server. Usando la configuración anterior de la máquina virtual, vamos a instalar el sistema operativo Freenas en nuestra máquina virtual, con el propósito de tener un servidor FTP disponible en una red local. Para ello seleccionaremos la máquina virtual creada previamente y pulsaremos sobre el botón "play" ubicado en la parte superior de la pantalla. ^ = e B = ¿ ¿ •te s t** «*.*.* ™ u * ■ 1 * J iJ T p i f r tc * ( t ln r « « t* r v _______________ 1 V » « » - « C anM T»*«i fv « - n » s u t« « N r l m w ace 0 9r«x r i f t o n Pow er S iilo O 1 X I «3M1 C C u c tl OS 0 M em ory ¡ S í M0 VM «are Toola 0 MB Ho«»» (MS V irtu a l M *rtS*ere Vermiai* V I 'M ñ 7 W i> n*n>e IT A d d 'c tte « Mee Conm adi n« n3 «« rc 9 3 r% * iflì * Memer, H | h m 3í u : c$c s ! ; c > 2 M Mfi i x u ti r• I SOH* Or VI r 'N A M 206 fis o c a u I.u * -3 i w w r jt n Cc—c * * — *t : : . y .c • SS 2S>M © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D Una vez iniciada la máquina, nos dirigim os a la pestaña "consolé" para entrar en el modo gráfico de la máquina virtual. Como vemos, VMware nos advierte que es necesario un p lu g -in p ara p o d e r v is u a liz a r la m á q u in a v ir tu a l. Pulsaremos en "install Plug-in" para descargar dicho plugin e instalarlo. Automáticam ente, se descargará el plugin desde el servidor que ejecuta VMware el cual tendremos que instalar. Tras la instalación del plugin será necesario volver a entrar en el navegador web ya que el asistente de instalación lo cerró para aplicar los cambios. Una vez dentro de la administración web y ubicados en la pestaña "consolé" de la máquina virtual podemos pulsar el ratón en cualquier lugar para que se abra la ventana que nos permitirá visualizar la máquina virtual. Tnt *» ^ Acto seguido se abre una ventana nueva en la que podemos visualizar la máquina virtual y esperamos a que cargue completamente Freenas. En las opciones que nos da Freenas para adm inistrar el sistema operativo elegimos la opción 9 "Install/U pgrade to hard drive/flash device, etc." para in s ta la r el s is te m a o p e ra tiv o . ••«irts u w ra tu n H /..* i r a v ú l o t i «< Htn* li HM M Sil CKT ;>81» f u r 1M tC» /H tt'i »HIH by ( U l u l a r lo c K n V Lo • f rn « iia « u ru f i i r í «cas it A re s * t.'ir y tf« fa « | 7» Robu»« «vitan H ) S ln it 4 o w n c \ r e t it n OI tuu 1« 11 ta la r a auntu-r nJn <ii li«ril 4 r Iw 'íla a H A n v lt* «ilc t il En el asistente elegimos la opción 3 "Install 'fu ll' OS on HDD + DATA + SWAP partition''. Tras esto, seleccionamos la unidad de CD/DVD donde se realizará la lectura del sistema operativo para su instalación (VMware Virtual IDE CDROM Drive). Del mismo modo seleccionamos el disco duro en el que queremos realizar la instalación. Introducim os el tamaño de la partición dei sistema operativo y de la partición SWAP. Tras la configuración empezará la instalación. Reiniciaremos la máquina una vez terminada la instalación para arrancar el sistema operativo instalado en la máquina virtual. 207 © R A -M A S E G U R ID A D Y A L T A D IS P O N IB IL ID A D A d m in is tra c ió n de FreeNAS Freenas es un sistema operativo que se a d m in is tra vía w e b por lo que podremos realizar su configuración rem otam ente desde un equipo de la red. En este caso lo haremos desde el propio host físico. Una vez arrancado el sistema operativo en la máquina virtual, lo prim ero será verificar su configuración de red. En nuestro caso habíamos configurado la tarjeta de red de la máquina virtual en modo Bbridge, esto permite configurar manualmente o asignada mediante DHCP una dirección IP en red con la máquina física. Para nuestro ejemplo hemos configurado en la tarjeta de red dentro del sistema operativo FreeNas con la 192.168.1.250/24, en red con la máquina física 192.168.1.2/24. Una vez comprobemos que existe conectividad entre máquina física y virtual (por ejemplo realizaremos ping entre las 2 máquinas), abriremos un cliente web en la máquina física e introduciremos en el navegador la siguiente dirección IP, que será la asignada manualmente anteriorm ente: h ttp ://1 9 2 .168.1.250 O O 192.168.1.2SO' Uumm ( Pawwd logm Introducim os el usuario "adm ín" con la contraseña "freenas" para acceder al adm inistrador web. *- c ___________ 192.168.12S0 O FreeNAS System» M p tw n rk D KIc\ i C w vkw A xcpss s i . i l in . H o*tn« ro r frxftM.bcd V enan 0.7.2 Voband« (rw w on 55* 3) D iv q n n s tic s rHtdr on SU Hoy l « W 5 8 0 7 M IC O S VenaM rr—aSD 7 >Rft£ASt-p3 { f i a c r i JWS06) M ttfo rm OQ6AJcrby«<R)Cor«OM)2CPüM OO#í I » « 21 ttw xlM *) 3 MCondC«) CPU l e n p o a t w r •1.0 fU J I r r tjW K T n » n c CPU UMQC llr tp 0*c 2 * 1 * 0 * 49 UTC 2010 S y ifp m tím e un— i A c ív .*ir w J á t o i :_______________ _ j o * ftemocy u n y m lo td iv r r tQ r t a 08. 0 . « . 0.01 Onk i p j t r u u g r No dak c x H tfj ed - l llX g f Una vez dentro, instalaremos un servicio FTP, y crearemos un cliente llamado Pepe con contraseña Pepe. 208 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D Para iniciar el servicio FTP nos iremos a la sección "Services" y seleccionamos "FTP". H a b ilita m o s el s e rv ic io activando la casilla "enable" de la parte superior derecha. Del mismo modo habilitamos la opción “ Only allow authenticated users. Anonymous logins are prohibited." «- C Q 192.16& 1.250 .It li ] } i TCP port to ) HiDiiliei oí ilic n h r u n runbcr of flmdUneous cfcrts. Mah . f « v i . per 1P m JCKJUI I2 1 Karrsjm runber o# ccm ccro nt par IP t d j m i (0 m u^vntod). 1 h \v * n jn fu rb o at eAo«ed pewvcrd lim ro tit tx fc rt dfccomec&on <00 H u u n «Je a m n secondi. P m n i root bgn Spoeto* trfietfwr t • jfowed to b g r «s superuser (roo«) drf«hr. AroTMno^a uw ri cr+y Only tk m enonymots usart. Use t f v on o pJbfc FTP *te nCh no remote FTP eccess to reaí eccointi . I0c4 users or*r Tras habilitar las funciones pulsaremos en el botón "Save and restart" al final de la página. Ahora crearemos el usuario Pepe. Para ello nos dirigimos a la sección "Access" y entramos en "users and groups" Pulsaremos en el símbolo " + " para a ñ a d ir un u s u a rio . Introducirem os los datos necesarios para el usuario como el nombre, la contraseña, el grupo primario que será FTP y directorio Home. Y r fie e M i local ■A£c«i|Us*> 3 3 192.166.1 250. ■• 3 i _ u s * n _ '* X f t p User p*SS«*»ord 1001 User runanc id. Shafl notogr» w Th» uncr'j bgn jhel Pm iM iy yrcNJp fia Set tfw «ccourt s prnory grocp COtNv 9 v«n 7 0 4 1 « tnn hr. deemon _ <Me* ftp guest ■ M man network nobody Set « ü to r d gro£> meróerih«» for this atxcxr* Note: OH<*dr(or ta e *f* ró -á ó on the Mee) to »ebet end dosdea y o io i Noe» 4roctory U*w portS Add •fixttmfpto* _ — Cnter the pechiothehomedrectory <rf that user. Leeve thè hdd arrety to use deieJt petti /mrt —! Grart access to the user portai. O ra ri Tras esto pulsamos en Add, Para aplicar los cambios tendremos que pulsar el botón "apply changes" del menú principal de usuarios y grupos. Ya tenemos todo configurado, ahora solo queda probarlo, accediendo al servidor FTP con la cuenta de usuario Pepe desde una máquina de la red local, con un diente FTP. En este caso para probarlo lo haremos mediante un navegador web. S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A Podremos acceder al directorio personal de Pepe para poder almacenar y descargar archivos desde el servidor rem oto alojado en una máquina virtual. REFERENCIAS WEB Descripción de cl us ter de alta disponibilidad: h ttp ;/ / w w w .lin iip s.co m I ìq -n o d e / 1 19 Información práctica sobre RAID, dispone de un enlace a un em ulador del funcionamiento de sistem as RAID de Intel: h ttp :/ / w w w .adm inso.es / w ik i!in d e x .p h p /2 .3 .2 ._Configuracione$_RAJD Configuración de cluster de alta disponibilidad bajo Windows Server: http: / / w w w .bujarra.com / ?p=2290 Configuración de cluster de alta disponibilidad bajo GNU/Linux: http: / / w w w .alcancelibre.org/ sta tie p a g e s/ index.ph p/ como-cluster-heartbeat-centos Software de virtùalización VMWare: www. umware. com l e s i Software de virtù alización V irtual Box de Oracle: h ttp :/ / w w w .virtualbox.org / Software de virLualización Virtual PC de Microsoft: http: / / w w w .m icrosoft.com / w in d o w s/ virtu a l-p c/ 210 © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A LTA D IS P O N IB IL ID A D RESUMEN DEL CAPÍTULO En este capítulo hemos analizado y profundizado en distintas configuraciones de alta disponibilidad. Las nuevas necesidades de los usuarios y las em presa exigen alta disponibilidad de los servicios más críticos. La mejor forma de asegurar la d isp o n ib ilid a d de nuestros equipos y los servicios que ellos sum inistran de m anera fiable (99,999%) y sin interrupción las 24 horas del día du ran te siete días a la sem ana, es d u p l icar de todos sus componentes críticos y la disposición del software y hardw are necesarios para que los elem entos redundantes actúen cooperativamente. Algunas de las soluciones que hemos analizado en este capítulo son: R ed u n d a n cia y co n tro l d e er ro re s en el alm acen a m ien to : m ediante sistem as RAID. Los m ás com únm ente empleados RAID 1 (conjunto en espejo) y RAID 5 (conjunto dividido con paridad distribuida). B a lan ceo d e carga: gestionando y controlando las peticiones de comunicación a distintos servidores redundantes. Como ejemplo de aplicación hemos visto, en el caso de ten er d istin tas conexiones de red que puedan ser solicitadas como una única. V irtu alización : perm ite realizar bajo un mismo sistem a físico la adm inistración de distintos sistem as operativos. Simplifica e independiza la configuración, instalación, realización de copias de seguridad y restauración de servidores de red. 211 © R A -M A S E G U R ID A D Y A LTA D IS P O N IB IL ID A D EJERCICIOS PROPUESTOS 1. Busca las distintas soluciones que presenta Dell de fuente de alim entación redundantes. M ediante el análisis de un m anual describe su modo de conexión, configuración y funcionam iento. ¿En qué casos consideras que puede ser u n a buena opción? ¿C uántas tarje ta s de red debe ten er tu sistem a físico? ¿Qué configuración de red has empleado para las tarje ta s de red en la m áquina virtual? ¿Qué dirección IP disponen sus tarje ta s de red? ¿Qué puerta de enlace tendrá? 2. In stala el software de virtualización Virtual Box. Crea u n a m áquina virtual U buntu que trabaje en modo NAT. Instala en la m áquina virtual un servidor web y configura los aspectos de NAT necesarios para que sea accesible dicho servidor web desde el exterior de la m áquina física. 6 . M onitoriza el tráfico filtrado por el cortafuegos y 3. P ara facilitar el manejo de las m áquinas virtuales y su interacción con la m áquina física en VirtualBox es posible in stalar el complemento GuestAdditions. In stálalo y com prueba sus opciones. ¿Qué nuevas fu n c io n e s p e rm ite y m ejora? ¿E x iste alg ú n equivalente en VTVTWare Server? 7. Realiza una copia de seguridad de la m áquina virtual creada anteriorm ente y configura otro equipo para que la ejecute con norm alidad. ¿En qué tiempo se ha realizado el respaldo de los servicios? ¿Crees que es un m étodo m ás eficaz que re a liz a r u n a imagen de disco o partición, con un sistem a operativo com pletam ente configurado? Realiza la prueba. 4. R ealiza m ediante virtualización con 4 discos duros bajo G N U /Linux una configuración y prueba de RAID 5. ¿Cómo es posible recuperar la información de uno de los discos en caso de pérdida? 5. C onfigura u n servidor m ediante una m áquina v irtu al de alta disponibilidad que disponga de los servicios de enrutado, filtrado proxy y cortafuegos adecuado al tráfico de tu clase, perm itiendo tan solo el acceso web a los sistem as del aula y perm itiendo el acceso únicam ente a un servidor web ubicado en la misma. e) proxy, y realiza un informe en el que indiques: Equipos con conexión, períodos y servicios de acceso. R anking de los 5 sitios web m ás visitados. 8 . D escubre e im plem enta a lta disponibilidad y balanceo de carga en un servidor web m ediante Apache y Tomcat con la ayuda del siguiente artículo: h ttp : / / w w L u .a d ic to a a ltr a b a jo .c o m /tu to r ia le s / t utoriales-ph p ?pagin a =apa che_tomcat_ba lanceo. 9. Realiza la instalación y configuración de VMware S erver sobre u n a distribución GNU /Linux como Debían. © R A -M A 8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D TEST DE CONOCIMIENTOS ¿Qué sistem a RAID controla paridad? RAIDO. RAID 1. RATD 5. RAID 10. La configuración de red (bajo VMWare) que perm ite c re a r una red de m áquinas v irtu a le s privada, d istin ta e independiente de la red a la que pertenece la m áquina fisica es: H ost-only. B ridge. NAT. Ninguna de las anteriores. La adm inistración de los servicios de virtualización (bajo VMWare) se suele realizar m ediante: Aplicación de escritorio. Correo electrónico. FTP. Servicio web. A los sistem as de máximo nivel de alta disponibilidad se les tolera una inactividad anual de: 5 minutos. 10 minutos. 15 minutos. no se les perm ite ningún minuto. Bajo sistem as Windows podemos realizar balanceo de carga con la aplicación: VirtualBox. Kerio Winroute. V irtual PC. W inGate. Bajo siste m as G N U /Linux qué aplicación nos perm ito m onitorizar la actividad de las d istin tas tarjetas de red: Iptraf. Iproute. Iptables. Show_ip_route. El balanceo de carga no perm ite realizar: De 4 conexiones a In tern et tener 2 conexiones de igual velocidad. De 1 conexión a In tern et tener 2 conexiones de igual velocidad. De 2 conexiones a In tern et tener 1 sola conexión de velocidades sum adas. N inguna de las anteriores. 213 • • • tr a m / Conocer la normativa española en m ateria de seguridad informática, / Analizar la normativa y aplicaciones de la LOPD, en m ateria de seguridad de los datos de carácter personal. / Analizar la normativa y aplicaciones de la LSSICE, en m ateria de comercio electrónico y actividades empresariales vía Internet. / Valorar la importancia de la normativa como reguladora de derechos y obligaciones a ciudadanos y empresas. S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A El último punto que abaren la seguridad inform ática, cubre el resto de aspectos vistos h asta el momento: seguridad física y lógica, alm acenam iento de los datos, comunicaciones y criptografía, es la norm ativa legal. En este tem a verem os la norm ativa desde dos puntos de vista, la Ley Orgánica de Protección de Datos (LOPD), que pretende proteger el uso de datos de carácter personal por parte de em presas y profesionales, y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que regula ciertos aspectos de las web que realicen actividades económicas, como publicidad, venta online, etc., así como las notificaciones comerciales electrónicas, como SMS o correos electrónicos publicitarios. LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD) La protección de datos de carácter personal es una m ateria que ha tomado im portancia en los últim os años, fundam entalm ente a raíz de la aprobación de la Ley O rgánica 15/1999 d e P ro tecc ió n de D atos d e C arácter P er so n a l (LOPD), convirtiéndose en una obligación a cum plir por las em presas si no quieren e sta r expuestas a sanciones por la A g en cia E sp añ ola d e P ro tecció n de D a to s (AGPD). La LOPD ha adquirido una gran im portancia debido a que equipara y convierte el derecho a la protección de los ciatos personales en un d erech o fu n d a m en ta l de la s p erson as. El derecho fundam ental al que hacemos referencia tiene una estrecha relación con el derecho a la intim idad y al honor, encuadrándose todos ellos dentro del art. 18 de la Constitución. Este nuevo derecho fundam ental adopta la denom inación de libertad inform ativa o autodeterm inación inform ática, protegiendo el “control que a cada una de las personas le corresponde sobre la información que les concierne personalm ente, sea íntim a o no, para preservar el lib re desarrollo de la personalidad”. La LOPD establece una serie de ob lig a c io n es destinadas a la protección de los datos personales contenidos en fic h e r o s a u to m a tizad os o in form atizad os, com o e n no a u to m a tiza d o s o en p ap el, que poseen em presas v A dm inistraciones Públicas, y que son tratad as por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, cam pañas de m arketing, etc. A Analiza la noticia "M uchos bancos incum plen la LOPD en m ateria de videovigilancia", encontrada en h ttp ://b lo g .c y s ia .c o m /2 0 0 9 /0 7 /la -b a n c a -y -la -lo p d /, e indica: • ¿Qué requisitos deben cu m p lir las grabaciones de seguridad en relación al cu m p lim ien to de la LOPD? • ¿Es necesario p ed ir el co nse ntim ien to de las personas film adas? ÁMBITO DE APLICACIÓN DE LA LOPD U na de las principales dudas que se encuentran los em presarios y profesionales con respecto a la LOPD es la determ inación de q u é fich er o s o d a to s d e ca r á c te r p erso n a l tratados, se encuentran am parados por la norm ativa. 216 © R A -M A 9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A La LOPD establece su ám bito de aplicación en el artículo 2, al establecer que “la presente Ley Orgánica será do aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratam iento, y a toda m odalidad de uso posterior de estos datos por los sectores público y privado”. Así, para la determ inación de qué concretos ficheros o datos de carácter personal entran dentro del ámbito de aplicación de la LOPD debemos tener en cuenta tres conceptos: D ato d e cará cter personal: cualquier información concerniente a personas físicas, identificadas o identificables; es decir, toda inform ación num érica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, tratam iento o transm isión concerniente a una persona física identificada o identificable. F ic h e ro : conjunto organizado de datos de carácter personal, cualquiera que sea la forma o m odalidad de su creación, alm acenam iento, organización y acceso. T ratam iento: operaciones y procedimientos técnicos de carácter autom atizado o no, que peí-mi tan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS U na vez h a n sido localizados y determ inados los ficheros de datos de carácter personal se procederá a la notificación de los mismos a la Agencia Española de Protección de Datos p ara su inscripción. Las com unidades autónom as de M adrid, C ataluña y País Vasco, poseen regulaciones y agencias propias. La Agencia Española de Protección de Datos, a través de su página web Lvww.cigpd.es (en el apartado "Canal del Responsable de ficheros - Inscripción de ficheros”), ofrece los fo r m u la r io s que deben ser utilizados para la notificación de ficheros, p ara efectuar la notificación en soporte papel, como para efectuarla por In tern et (con certificado digital) o soporte magnético. El p ro ced im ien to establecido para la modificación y supresión de ficheros inscritos en la Agencia Española de Protección de Datos, es el mismo que el indicado para la creación de ficheros. Como principal diferencia entre dichos procedim ientos, encontram os la necesidad de contar con el có d ig o d e in sc r ip c ió n ya otorgado por la Agencia Española de Protección de Datos en el momento de la inscripción del fichero, para poder efectuar cualquier modificación del fichero inscrito, o bien para la supresión del mismo. 217 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A TRATAM IENTO D E LOS DATOS La LOPD establece una serie de lim ita c io n e s al tra ta m ien to de los datos; lim itaciones fijadas para g aran tizar un uso adecuado, lícito, no excesivo y con las debidas m edidas de seguridad que im pidan la alteración, pérdida o tratam ien to no autorizado de los datos. E n la m ayoría de los supuestos, la volu n tad se m a n ifiesta a tra v és d el c o n se n tim ie n to y, en los casos en los que operan excepciones legales al consentim iento, el afectado m anifiesta su voluntad a través de su derecho de oposición al tratam iento de los datos. La re co g id a d e los d atos es una operación previa al tratam iento; por ello, la recogida de datos no suele p lan tear problem as en referencia al consentim iento del afectado puesto que si éste nos proporciona los datos, se entiende que existe un consentim iento implícito (un acto consciente de voluntad). Pero, lo que sí es im portante en la recogida es proporcionar al afectado una serie de informaciones o elem entos fijados por la ley en el derecho de información (art. 5 de la Ley), para que el afectado pueda sum inistrar o no sus datos con el p len o c o n o cim ie n to d el a lca n ce d el tr a ta m ie n to q u e se va a realizar. La información que habrá de proporcionarse es: El titu la r del fichero. Las finalidades del tratam iento. El carácter obligatorio de las respuestas. Los derechos y la posibilidad de ejercerlos. La dirección y tas condiciones para ejercitar tales derechos. El interesado siem pre podrá ejercer los derechos que le concede la Ley (impugnación de valoraciones, acceso, rectificación, cancelación y oposición) y p od rá re v o ca r el c o n sen tim ien to dado al tratam iento de sus datos o m an ife sta r su oposición parcial a dicho tratam iento. Además, la Ley establece una serie de principios específicos para el tr a ta m ie n to d e lo s d a to s por p arte del responsable del fichero; principios y o b lig a c io n es im p u e sta s para g a ra n tiza r su correcto tratam ien to , c o n se r v a c ió n , a cceso y d estru cción . I PRÁCTICA 9.1 FORMULARIO LOPD Un e je m p lo de la in fo rm a c ió n a p ro p o rc io n a r al in te re s a d o a través de una cláusula LOPD para un fo r m u la r io de re co g id a de d a to s podría ser la siguiente: ”De conformidad con la Ley Orgánica 15/1999 de Protección de Datos Personales y a través de la cumpl¡mentación del presente formulario, Vd. p resta su consentim iento para el tratam iento de sus datos personales facilitados, que s e rá n incorporados al fichero “XXXXXXX”, titularidad de la EMPRESA XXX. inscrito en el Registro G eneral de la A gencia Española de Protección de Datos, cuya finalidad es la gestión fiscal, contable y adm inistrativa de la relación c o n tractu al, así como el envío de información comercial sobre nuestros productos y servicios. 218 9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A © R A -M A Igualm ente le inform am os que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en dicha Ley a través de c a rta certificada, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección; EMPRESA XXX. D epartam ento de Atención al Cliente LOPD. C/XXXXXX n° X. 46000 Localidad. Los campos señalados con * son obligatorios. A m odo d e e je m p lo podem os v e r lo s t é r m i n o s le g a le s d e l r e g is t r o ' m o m iu r 1 1 C .inal C lie n te f* ilv in te r n e t- ' C25S38I p a ra a c c e s o a c lie n t e s M o /llla l lr c f o * _ [\A movistar H <y1 Jmonm.r e n la z o n a e x c l u s r ulano y re cib iré * 1« c o n tra ic i |cU moW iU> r e c o m e n d a b le f o r m u la r io s que r e lle n e m o s al A v is o (« g a l En cum plim ianto da la Lay Orgánica 13/1999. do 13 do d>ciembra, da Protacoón da D a to i da Ceiéctar Parsonal. conforma ai art. 3 f«lats»o al daracho da inform ación an la »acogida do datos. Talefónica Móviles Esparta S.A.U. (T M l). 1a inform al La raspuaste al cue*t>onano a t voluntaria. Es obligatorio cum plim entar todo* los datos solicitados en al cuastionano. a axcepdón dal e-m all que e i opcional (an al cas o da no d iip o n e r dal nrusmo). antTiiTo m o v íjt*( E s s ie m p r e X¡ cjnatdent» mjvW«- «JJi^cda/tcnlrcfcf/CClJ.CWjutfc • U r m ó v il léfntM» |C~ m o v is t a r . Lo* datos de carácter parsonal que facilita en acte cuestionario an tu condición de titu la r del contrato do le (moa Junto a lo * obtenidos durant« ’a vigencia da la piestaoón dal sarvioo serán m du id o t an ficheros inform atitados titularidad de T alafónka MOvilas Esperte 8.A.U. .ras pona »ble dal tratem lanto y dastinatana de los datos a in/orm aaón.con domicilio an i« v i|t ( f M | fw calla Ronda de le Comunicaoón s/n. Ed'fioo Sur 3- 28050 Madud. para le gestibn del sarvicio y con la finalidad de anvierle informaciones publicitarias u ofartas vía postal. parsonaliradas o no. da productos y sarvloos de __ telacom uniceoonas. Si u rta d no da ie a ova aste trata m ie n to sa realice con (leer térmnos legates |» finalidad Indicada diríja atento a la d<recoón da T M l, llam a al teléfono I Gratuito 4407 o entre an la o ir tn a va b i v*n» rro m tA f.e r. A jim iim o . Sarvl ¿ingiéndosa por asento a Telafónlca Móvilas CipaKa S A Ref O atoi an la 1 o tada dirección utCad podré ajarota» lo« daracbos da accoro, rectificación. 1 cancalaoòn y o p o iio ó n pravistos an la Lay. -o r.o soy «1 titula* < m enos r e v is a r que e s ta s c lá u s u la s se in c lu y e n en lo s t é r m in o s de io s c o n tra to s o y a c e p te m o s . NIVELES DE SEGURIDAD La LOPD y el Reglam ento de Medidas de Seguridad (RD 994/1999), establecen la obligación de establecer una serie de m edidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, m edidas que habrán de adoptarse/im plem entarse por la em presa o profesional que alm acene estos datos. E n tre estas m edidas se incluye la elaboración de un D ocu m en to d e S egu rid ad en el que se detallarán los d a to s alm acen ad os, las m ed id a s de segu rid ad ad op tad as, así como las p erso n a s que tie n e n acceso a eso s datos. La ley identifica tres niveles de m ed id a s d e seg u rid a d , BÁSICO, MEDIO y ALTO, los cuales deberán ser adoptados en función de los distintos tipos de datos personales (datos de salud, ideo logia, religión, creen cías, infracciones adm inistrativas, de morosidad, etc.). El reglam ento ha establecido los niveles de seguridad de forma acum ulativa; es decir, que al nivel de seguridad Medio se aplicarán las medidas de seguridad del nivel Básico. 219 © R A -M A S E G U R ID A D Y A L T A D IS P O N IB IL ID A D Tabla 8.1 TIPO DE DATOS MEDIDAS DE SEGURIDAD OBLIGATORIAS ✓ Nombre ✓ Documento de Seguridad ✓ Apellidos ✓ Régimen de funciones y obligaciones del personal ✓ Direcciones de contacto (tanto físicas como electrónicas) ✓ Teléfono (tanto fijo como móvil) ✓ Otros J Registro de incidencias ✓ Identificación y autenticación de usuarios ✓ Control de acceso ✓ Gestión de soportes ✓ Copias de respaldo y recuperación ✓ Comisión infracciones penales ✓ Comisión infracciones adm inistrativas ✓ Información de Hacienda Pública ✓ Inform ación de servicios financieros ✓ Ideología ✓ Religión ✓ Creencias ✓ Origen racial ✓ Salud ✓ Vida ✓ Medidas de seguridad de nivel básico ✓ Responsable de Seguridad ✓ Auditoria bianual ✓ Medidas adicionales de Identificación y autenticación de usuarios ✓ Control de acceso físico ✓ Medidas de seguridad de nivel básico y medio ✓ Seguridad en la distribución de soportes ✓ Registro de accesos ✓ Medidas adicionales de copias de respaldo El órgano de control del cumplimiento de la norm ativa de protección de datos dentro del territorio español, con c a rá c te r general, es la Agencia Española de Protección de Datos (AEPD). Las sanciones tienen una elevada cuantía, siendo E spaña el país de la Unión Europea que tiene las sanciones m ás altas en m ateria de protección de datos. Dichas sanciones dependen de la infracción cometida y se dividen en: Las sa n c io n e s le v e s van desde 601,01 a 60.101,21 € Las sa n c io n e s graves van desde 60.101,21 a 300.506,05 € Las sa n cio n e s m uy graves van desde 300.506,05 a 601.012,10 € Pese al elevado im porte de las sanciones, existen m achas em presas en E spaña que todavía no se han adecuado a la m ism a, o lo han hecho de forma parcial o no revisan de form a periódica su adecuación; por lo que resulta esencial el m antenim iento y revisión de la adecuación realizada. 220 © R A -M A 9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M A T IC A I PRACTICA 9.2 NORMAS DE LA ORGANIZACIÓN feocr rt» Eia á' f’ro tu c d td ri ú* Inicio d» « ntdn interat tir t U si» del « _| > ^9 i« o « n di M/t»«* - _J C a r/y in tn dt « N m 3 ^ I Ctri^pj/aot*\ó» M»MUdrfr«do X M id o C a rl^i« )» Oí A«C* i abcJ * Jvro* da co—rdoi I j^<iWvi«ú4nA»M«f( • J Orwcnv» «• txiMk 4»nl n M td i «»MUdrfnA) I» «(¿dorada i l ex DrtfiAC«!« J o p a c rM d i » • d»bt « d m d n u g tto i « i « c u ¿2 Cortftpuraatodiuau»« «■ C jM 9 J M d n d i« /iM ri _J C iW i^ n r o* wM jw _J PWtfiM «tiras****« se* g0§(n■ On?<dj6*U tane* 4afrvfc 4 catt lOnrKxdetM ri » H <Sm ntfco . C**at4Uda g Q ln o o 4 > m 0 n rt« « iM r w w » jn » l« K » n r t ^ r f « SJlTBL * I W i r t * « 9 K i*a « M M rM iiw > ita u M O (« « ggVwo<)»icaúrtrt«MSM: tfcJt? M n w « p« a ta uauarot %» rtm tm W » H » x(4 i« 7 n d '> )rc s rK r En el caso de Windows veremos como al inicio del sistema podemos incluir un mensaje y será necesaria la aceptación del mismo para continuar. Ayudará a recordar tas n o rm a s y re c o m e n d a c io n e s de s e g u rid a d de n u e s tra o rg a n iz a c ió n , haciendo de este modo que sean conocidas por todos los usuarios. Ejecutamos gpedit.msc para la configuración de directivas de grupo, y en el apartado Configuración de equipo / Configuración de Windows / Directivas locales / Opciones de seguridad, pulsaremos sobre las directiva de in ic io de se sió n in te ra c tiv o : te x to de m e n s a je para los u s u a rio s q u e in te n ta n in ic ia r una sesión así como in ic io de se sió n in te ra c tiv o : títu lo de m e n s a je p ara los u s u a rio s q ue in te n ta n in ic ia r una se sió n, y añadiremos el texto y título que deseemos. LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO (LSSICE) La L SSI, le y 34/2002 de 11 de ju lio , d e S erv icio s de la S ocied ad d e la In form ación y d e C om ercio E lectr ó n ic o (LSSICE) tiene como objeto la regulación del régim en jurídico de los se r v ic io s de la so cied a d d e la in fo rm a c ió n y de Ja co n tr a ta ció n p or vía electró n ica . E ntiende por “servido de la sociedad de la inform ación”, toda actividad que cumple con los siguientes requisitos: Recibe una con Ira prestación económica. La actividad se realiza a distancia (no presencial). Por medios electrónicos o telemáticos. A petición individual del d estinatario del servicio. Como aplicación práctica de la LSSICE por parte de la A dm inistración, siem pre que se pueda p ercib ir un in g reso eco n ó m ico (independientem ente de la cuantía) a tra v és de un m edio telem ático, como por ejemplo u.n sitio web, esta actividad en tra en el ám bito de aplicación de esta Ley. 221 S E G U R ID A D Y A LTA D IS P O N IB IL ID A D © R A -M A E N T O R N O S WEB Según el a r tíc u lo 10.1 de la LSSICE, el prestador de servicios de la sociedad de la información e sta rá obligado a disponer de los medios que perm itan, tanto a los destinatarios del servicio como a los órganos com petentes, acceder por medios electrónicos, de forma perm anente, fácil, directa y gratu ita, a la siguiente in fo rm a c ió n : 1. Su n om b re o d en o m in a ció n social; su re sid e n c ia o d o m icilio o, en su defecto, la dirección de uno de sus establecim ientos perm anentes en E spaña; su dirección de correo electrónico y cualquier otro dato que perm ita establecer con él una comunicación directa y efectiva. 2. Los d a to s d e su in sc rip ció n e n el R eg istro M ercan til. 3. El n ú m ero d e id e n tific a c ió n fisca l que le corresponda. 4. P re cio s d el servicio. De acuerdo con el artículo 39 de la LSSICE, por la comisión de infracciones se im pondrán las siguientes sa n cio n es: a) Infracciones muy graves, m u lta d e 150.001 h a sta 600.000 eu ros. La reiteración en el plazo de tres años de dos o m ás infracciones m uy graves, podrá d ar lugar, a la prohibición de operar en España, d u ra n te un plazo máximo de dos años. b) Infracciones graves, m u lta d e 30.001 h a sta 150.000 euros. c) Infracciones leves, m ulta d e h a sta 30.000 eu ros. I PRÁCTICA 9.3 LSSICE WEB Veamos un ejemplo de cómo cum plir con el artículo 10.1 de la LSSI: 1. Para el caso de un autónom o: se deberá incluir un link a pie de página, de todas las páginas de la web, con el título "Inform ación Legal", "Datos LSSI", o similar, los siguientes datos: Nombre y Apellido, Domicilio: Calle(C.P.) Localidad, DNI/CIF, Emailemail, Teléfono. Sobre la obligación de incluir el te lé fo n o se entiende este como "cualquierotro dato que perm ita establecer con él una comunicación directa y efectiva". 2. Para el caso en que se trate de una empresa, se deberá incluir un a v is o le g a l - LSSI o similar, con las C o n d icio n e s G e n e ra le s de Acceso y u tiliz a c ió n del s itio w eb . COMUNICACIONES COMERCIALES E n tre otros aspectos, la LSSICE regula, en sus artículos 19 a 22, el envío de co m u n ica cio n es co m erc ia le s por v ía e lec tró n ica . Es por ello que en este apartado nos centrarem os en los supuestos de aplicación de la LSSICE más com unes: el envío de correos electrónicos y SMS-MMS. 222 © RA MA 9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M À T IC A En todos estos supuestos, la LSSICE pretende im pedir la proliferación del fenómeno conocido como sp a m , para ello se exigen una serie de r e q u isito s para el en vío d e co m u n ica cio n es co m erc ia le s e le c tr ó n ic a s y que e x ista u n c o n se n tim ie n to exp reso. El a rtícu lo 21.1 prohíbe de forma expresa el envío de comunicaciones comerciales electrónicas (por correo electrónico u otro medio equivalente), que no h u b ieran sid o p reviam en te so lic ita d a s o a u to riza d a s ex p re sa m en te por su d estin atario (persona física o jurídica). U na vez obtenido el consentim iento previo y expreso p ara el envío de la comunicación comercial, el m en saje en v ia d o d eb erá cu m p lir co n los sig u ie n te s r e q u isito s inform ativos: Identificar de forma clara el nombre de la persona física o jurídica en nombre de la que envía el m ensaje publicitario. Incluir en el comienzo del mensaje la palabra “P u b licid a d " (en los correos electrónicos ) o “Publi" (especialm ente en los SMS). F acilitar al receptor del m ensaje la posibilidad de revocar el consentim iento de una forma sencilla y gratu ita. La LSSICE prevé en su apartado segundo, que no será n e c e sa r io e l c o n sen tim ien to p rev io d el recep to r del m ensaje cuando los d a to s h u b iera n sid o o b ten id o s d e form a lic ita en el m arco d e u n a rela ció n co n tra ctu a l p rev ia , y que las com unicaciones versen sobre productos o servicios sim ilares a los inicialm ente adquiridos o contratados y que sean de la propia em presa, organización o profesional. La LSSICE establece en su artículo 38 el apartado de infracciones y establece como una infracción leve el envío de comunicaciones comerciales sin el cum plim iento de alguno de los requisitos recientem ente analizados (sanción h asta 30.000 €). En el caso de que se envíen tr es o m ás co m u n ica cio n es comerciales a un mismo destinatario en el plazo de un año, sin cum plir con los requisitos establecidos, la infracción p asaría a ser considerada como grave (m ulta de 30.001 a 150.000 €). PRÁCTICA 9.4 LOPD y LSSICE EN EL CORREO ELECTRÓNICO En los correos electrónicos que las empresas envían a sus dientes o usuarios debe de incluirse una cláusula o pie de página con la P o lítica de p riv a c id a d , a modo de ejemplo: Política de privacidad. En cumplimiento de la LOPD 15/1999 y de la LSSI-CE 34/2002 se INFORMA que los datos de carácter personal que se facilitan, incluido su correo electrónico, y que resultan necesarios para el envío de la información solicitada, se incorporarán a un fichero automatizado cuya titularidad y responsabilidad viene ostentada XXXX. Al rem itir el interesado sus datos de carácter personal y de correo electrónico a XXXX, expresamente se AUTORIZA la utilización de dichos datos a los efectos de las comunicaciones periódicas, incluyendo expresamente las que se realicen vía correo electrónico, así como otras ofertas de servicios, inform aciones o productos relacionados con la actividad institucional que se desarrolla. El interesado podrá ejercitar respecto a sus datos los derechos de acceso, rectificación, cancelación y oposición enviando un correo electrónico a la siguiente dirección electrónica XXXX solicitando, en su caso, (1) Que se le rem itan por la misma vía sus datos personales que obran en los ficheros de XXXX a los efectos de su consulta o su posible rectificación o bien (2) Que se cancele y/o revoque la autorización para la recepción de comunicaciones, debiendo notificar a XXXX la efectiva rectificación y/o cancelación de los datos de carácter personal de su fichero. 223 S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A REFERENCIAS WEB Sitio web de la agencia española de protección de datos: w w w .agpd.es Web con noticias sobre la LOPD y LSSICE: www. leydeprotecciondedatos. com. Noticias sobre denuncias de LOPD: http: I / todonoticiaslopd.com / Guía práctica de Microsoft p ara adaptación a la LOPD: ht t p. II www. microsoft. com I bus in ess I sm b /es-es / g u ia s / lopd I home.m spx INTECO - sobre la LSSICE: http: / 1cert.inteco.esIFormacion / Legislación/Ley_d£_Servicios_de_la_Sociedad_de_la_Inform ación / Página web del M inisterio de Industria, Turism o y Consumo sobre la LSSICE: http: / / www.rnityc.es / d g d s i/ Issi / Paginas / 1ndex.aspx / RESUMEN DEL CAPÍTULO En este capítulo hemos analizado la norm ativa que regula derechos y obligaciones con respecto a dos aspectos fundam entales: La Ley Orgánica de Protección de Datos (LO PD ) pretende proteger el uso de datos de carácter personal de los ciudadanos, en la recogida, tratam iento y eliminación de los mismos m ediante ficheros, que realizan em presas y profesionales. El organismo que verifica, controla y sanciona los aspectos de dicha ley es la Agencia Española de Protección de Datos, aunque Madrid. C ataluña y País Vasco poseen sus propias agencias. La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), regula ciertos aspectos de los servicios electrónicos, como sitios web que realicen actividades económicas, como publicidad, venta online, etc., así como las notificaciones comerciales electrónicas, como SMS o correos electrónicos publicitarios. E stas leyes de reciente creación, 1999 LOPD y 2002 LSSICE, suponen un inicio en la regulación norm ativa de la inform ática y sus aspectos de seguridad, garantizando los derechos de las personas y ciudadanos, evitando abusos sobre la privacidad de los datos personales, y ofreciendo un nuevo marco que dé tran sparencia a las operaciones comerciales a través de las redes de telecomunicaciones, y especialm ente a través de Internet. 224 © R A -M A 9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A EJERCICIOS PROPUESTOS 1. Explica por qué crees que surge la norm ativa de protección de datos en España. ¿Crees que Los datos personales son em picados en ocasiones con un fin deshonesto? ¿Crees que los medios de comunicación protegen la intim idad de las personas? 2. Busca cómo se realiza la notificación de ficheros por In te rn e t o por soporte magnético, y explica el proceso. ¿Cuál es el medio recomendado por la AGPD para la notificación de ficheros? 3. Extrae tres noticias de http: / / todonoticiaslopd. co m í y explica exactam ente qué ha ocurrido, qué tipo de incum plim iento se h a realizado y la sanción propuesta (nivel y cuantía). ¿Qué datos y qué nivel de protección poseen los datos de carácter personal mal empleados? 4. E n su artículo 19, la LOPD indica con respecto al control de acceso físico íart.19): exclusivam ente el personal autorizado en el Documento de Seguridad podrá te n e r acceso a los locales en donde se encuentren ubicados los sistem as de información con datos de carácter personal. ¿Qué tipos de m edidas deberíam os de tom ar para cum plir con la norm ativa? Realiza algunas recomendaciones técnicas. 5. Busca al menos 2 web españolas, que no cum plan con la LSSI, explica por qué lo has deducido, y otras 2 que sí, indicando cómo has encontrado su aviso legal y qué indica éste con respecto a la LSSI. 6. B usca a lg u n a n o ticia de in fra cció n por incum plim iento de la LSSI, por com unicación comercial, qué sanción se le impuso y cuáles fueron los motivos. ¿Qué tipo de infracción se cometió? ¿Ante qué organism o se interpuso la dem anda? ¿Crees que la sanción es proporcionada? Explica tus motivos. 7. Analiza las preguntas frecuentes o FAQS de la web del M inisterio de Industria, Turism o y Comercio, en relación a la LSSI: h ttp : / / w w w .m ityc.es / d g d s i / Issí / faqs ¿Qué acción se puede realizar si nos envían sparrií ¿A qué organism o se puede reclam ar? R evisa en su web el aviso legal, ¿cumple la A dm inistración con la LSSI? ¿E stá obligado a ello? 22! S E G U R ID A D Y A L T A D IS P O N IB IL ID A D © R A -M A TEST DE CONOCIMIENTOS ¿En qué año aparece la LOPD? 1990. 1995. 1999. 2004. Indica cuáJ de los siguientes datos y archivos no está sujeto a la LOPD: Archivo con base de datos de m úsica en mi casa. Ficha de inscripción en papel con datos de un centro polideportivo. A puntes en papel sobre un cliente en un restau ­ rante. F acturas em itidas con datos de clientes de un taller mecánico. L a LOPD afecta a ficheros: Solo en soporte electrónico. Solo en soporte electrónico pero estructurados. Tanto en soporte papel como electrónico. Solo en soporte papel. E l organismo que regula y supervisa la protección de datos personales en los ficheros de em presa es: Asociación E spañola de Profesionales del Diseño(AEPD). A gencia E sp añola de Protección Personal (AEPP). Agencia de Protección de D atos Españoles (APDE). Agencia E spañola de Protección de Datos (AGPD). 226 En caso de solicitarm e una entidad datos relativos a salud, las m edidas de seguridad que deberá adoptar internam ente en sus ficheros serán de nivel: Bajo. Medio. Alto. No los puede reg istrar si no es un centro san i­ tario. ¿En qué año aparece la LSSICE? 1990. 2002 . 1999. 2004. La LSSICE no regula aspectos como: El precio de los SMS. La información legal sobre los webmaater. La publicidad a través del correo electrónico El comercio electrónico. La LSSICE no regula aspectos como: El precio de los SMS. La información legal sobre los webm aster. La publicidad a través del correo electrónico. El comercio electrónico. Material adicional El m aterial adicional de este libro puede descargarlo en nuestro portal Web: h ttp ://w w iv .ra -m a .e s. Debe dirigirse a la ficha correspondiente a esta obra, dentro de la ficha encontrará el enlace para poder realizar la descarga. Dicha descarga consiste en un fichero ZIP con una contraseña de este tipo: XXX-XX-XXXX-XXX-X la cual se corresponde con el ISBN de este libro. Podrá localizar el núm ero de ISBN en la página 2 (página de créditos). P ara su correcta descompresión deberá introducir los dígitos y los guiones. Cuando descomprima el fichero obtendrá los archivos que com plem entan al libro para que pueda continuar con su aprendizaje. INFORMACIÓN ADICIONAL Y GARANTÍA RA-MA EDITORIAL g arantiza que estos contenidos han sido sometidos a un riguroso control de calidad. Los archivos están Ubres de virus, para comprobarlo se han utilizado las últim as versiones de los antivirus líderes en el mercado. RA-MA EDITORIAL no se hace responsable de cualquier pérdida, daño o costes provocados por el uso incorrecto del contenido descargable. Este m aterial es gratuito y se distribuye como contenido com plem entario al libro que h a adquirido, por lo que queda term inantem ente prohibida su venta o distribución. 22 ', índice Alfabético Símbolos 3JDES, 1 1 1 ,1 1 2 ,1 2 7 ,1 3 2 ,1 4 5 8 0 2 .l l i , 149 A ACL, 82, 8 3 ,8 4 ,1 6 2 ,1 7 0 ,1 7 8 ,1 8 1 ,1 8 3 ,1 8 6 . A ctualización, 20, 21, 29,31 A dm inistración, 6 6 ,1 2 8 ,1 3 2 ,1 8 7 , 224, 225 A dw are, 9 2 ,1 0 2 ,1 0 8 AEPD, 220 AES, 1 1 1 ,1 1 2 ,1 1 3 ,1 1 5 ,1 2 7 ,1 3 2 ,1 4 5 ,1 4 9 ,1 5 2 ,1 5 4 , 155 A gencia E sp añ o la de Protección de Datos, 216, 217, 2 1 8 ,2 1 9 ,2 2 0 AGPD, 224,225 A lta disponibilidad, 21 A nálisis forense, 28 A n tim alw are, 9 ,1 0 ,1 5 ,2 3 ,2 8 , 29, 32,66. 9 0 ,9 3 ,9 4 ,9 5 , 1 0 0 ,1 0 2 ,1 0 3 ,1 0 5 ,1 0 8 ,2 2 4 A ntispyw are, 95 A ntivirus, 29,31, 90, 9 5 ,1 0 0 ,1 0 3 ,1 0 8 A RP Poisoning, 134,136 A taq u e de diccionario, 67 A taq u e de fu erza b ru ta, 67 ,1 1 6 A u d ito ría de seguridad, 27 A utenticación, 12, 6 7 ,1 2 1 ,1 5 4 ,1 5 5 ,1 7 7 ,1 8 0 ,1 8 1 AVR, 53 B otnet, 26, 90, 91,224 B row ser hijacker, 103,108 Bugs, 25 c CCTV, 34,51. 224 C entro de respaldo, 4 7 ,4 8 C entros de procesam iento de datos, 47,186 C ertificado digital, 60, 6 4 ,1 0 8 ,1 2 3 ,1 2 5 ,1 2 7 ,1 2 8 ,1 2 9 , 132,136,217 César, 109,110,111 chgrp, 83,84 c h m o d ,8 3 ,84 chown, 83, 84 Cifrado, 3 8 ,4 1 ,6 9 ,1 0 8 ,1 0 9 ,1 1 1 ,1 1 5 ,1 1 6 ,1 1 7 ,1 2 2 C ifrado asim étrico, 1 1 8 ,1 2 0 ,1 2 7 ,1 3 2 ,1 5 9 ,1 6 2 C ifrado híbrido, 117,127,132 Cifrado sim étrico. 1 1 2 Clave, 1 4 ,6 7 ,1 0 8 ,1 0 9 ,1 1 0 ,1 1 1 ,1 1 2 ,1 1 5 ,1 1 6 ,1 1 7 , 1 1 8 ,1 1 9 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 3 ,1 2 5 ,1 2 7 ,1 2 8 ,1 2 9 ,1 3 2 , 1 4 4 ,1 4 5 ,1 4 6 ,1 4 8 ,1 4 9 ,1 5 0 ,1 5 1 ,1 5 2 ,1 5 4 ,1 5 5 ,1 7 7 , 1 8 1,193,194 Clave asim étrica, 117 Clave pública, 1 1 5 ,1 1 6 ,1 1 7 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 3 ,1 2 5 Clave privada, 1 1 5 ,1 1 7 ,1 2 0 ,1 2 1 ,1 2 2 Clave sim étrica, 109,117 j C lickers, 92 Cloud com puting, 186,187 C lustering, 186 B C onfidencialidad, 1 2 ,2 9 ,3 2 ,1 1 7 ,1 4 5 Backdoor, 15,25, 9 1 ,9 7 ,1 0 2 ,1 0 8 C ontraseña, 6 7 ,6 9 ,8 4 , 8 6 ,1 2 8 ,1 3 2 ,1 5 5 ,1 5 9 ,1 6 2 B ackup, 35, 6 0,62 C o n traseñ as seguras, 84,86 B alanceo de carga, 9,10, 2 3 ,4 8 ,1 8 6 ,1 9 5 ,1 9 6 ,1 9 8 ,1 9 9 , C ontrol de acceso, 48,49, 60 2 1 2 ,2 1 3 ,2 1 6 Cookies, 92 B astidor, 49 Copia de seguridad, 2 9 ,3 1 ,3 5 ,6 0 ,1 2 8 ,1 3 2 B io m etría, 49, 50 60 CPD, 3 4 ,4 7 ,4 8 ,6 0 , 62,63 BIOS, 7 1,73 Blow fish, 42, 4 4 , 1 1 1 ,. 1 1 2,127,132 C redenciales, 49 229 © R A -M A S E G U R ID A D Y A L T A D IS P O N IB IL ID A D FTP, 2 9 ,3 1 ,4 2 ,4 3 ,4 4 , 9 3 ,1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 2 , C rim ew are, 9 2 ,1 0 2 ,1 0 8 C rip to an alisis, 108 1 4 3 ,1 4 4 ,1 4 5 ,1 6 5 ,1 6 6 ,1 7 2 ,1 7 3 ,1 7 4 ,1 8 3 ,1 8 6 ,2 0 6 , C rip to g rafía, 108., 109,1 1 .2 ,1 1 6 ,1 1 7 ,1 2 0 ,1 2 2 ,1 2 6 , 216 2 0 8 .2 0 9 .2 1 0 .2 1 3 .2 1 6 .2 2 4 . C rip to g rafía sim étrica, 111,117 F u erz a b ru ta , 26, 224 C ron, 38,41 G D G estor de arran q u e , 75, 77 DAS, 3 6 ,6 0 ,6 1 , 206,210. getfacl, 84 D a ta center, 47 GPG, 1 1 2,117,118,120. DDoS, 2 6 ,2 2 4 G rayw are, 92 D E S, 4 2 ,4 4 ,1 1 1 ,1 1 2 ,1 2 7 ,1 3 2 ,1 4 5 G reyw are, 9 2 ,1 0 5 ,1 0 8 D iccionario, 26, 224 G usano, 25, 90, 92 D iferencial. 36 H D iffie-H eüm an, 11 7,127,132 D irectiv a de bloqueo de cuentas, 68 H acker, 24,47 D irectiv a, 68 H ash, 115,121 D irectiv a de co n traseñ as, 68 H igh Availability, 21 D isponibilidad, 1 2 ,2 9 ,3 2 ,4 8 Hoax, 26, 9 2 ,1 0 2 ,1 0 8 ,2 2 4 D istribución Live, 74, 7 7 ,7 8 ,8 0 ,8 1 HTTP, 139,224. DM Z, 1 3 7 ,1 69,173, 182,183,186 HTTPS, 1 2 3 ,1 2 5 ,1 3 6 ,1 3 9 ,1 4 1 ,1 4 3 ,1 4 5 ,1 4 6 ,1 4 8 , D N Ie, 1 2 2 ,1 2 3 ,1 2 5 ,1 2 6 ,1 2 7 ,1 2 8 ,1 2 9 ,1 3 2 1 5 9 .1 6 0 .1 6 2 .1 7 4 .2 0 0 .2 0 3 .2 2 4 . D N S, 139,224. D N S spoofing, 135,136 I DoS, 2 6 ,1 3 2 ,2 2 4 DSA, 1 1 7 ,1 1 8 ,1 2 0 ,1 2 7 ,1 3 2 IDEA, 111, 112,127,132 D SS, 117 Identificación, 67 D u a l Hom ed-H ost, 169,183,186 IDS, 1 3 6 ,1 3 7 ,1 3 8 ,1 5 8 ,1 5 9 ,1 6 2 Increm ental, 36 E Infostealers, 9 2 ,1 0 2 ,1 0 8 E F S , 1 3 ,1 4 ,1 5 ,1 1 3 ,1 1 5 Ingeniería social, 2 6 ,9 2 ,2 2 4 E lG am al, 1 1 2 ,1 1 7 ,1 1 8 ,1 2 0 ,1 2 7 ,1 3 2 In teg rid ad , 1 2 ,2 9 ,3 2 ,1 1 7 ,1 2 1 ,1 4 5 E steg an o g rafía, 128,132 Interceptación, 132 E x p lo its, 19,21 Interrupción, 132 IPSEC, 141,1 4 6 ,1 6 0 ,1 6 2 F F abricación, 132 ISO 27001, 27, 29 ISO 27002, 27 FakeAV, 94 J F iltra d o de direcciones MAC, 155 F írew a li, 2 9 ,3 1 ,1 3 9 ,1 6 2 ,1 6 8 ,1 7 1 ,1 7 2 ,1 7 3 ,1 8 1 ,1 8 3 , Joke, 9 2 ,1 0 2 ,1 0 8 186. F ir m a digital, 8 3 ,8 4 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 5 fn m t, 12 6 ,1 2 8 ,1 3 2 230 K Keyloggers, 9 2 ,1 0 2 ,1 0 8 © R A -M A ÍN D IC E A L F A B É T IC O L L2TP, 14 6 ,1 6 0 ,162 La mm er, 24 LDAP, 67 Log, 7 1 ,1 6 6 ,1 6 8 Login, 67 LOPD, 23, 2 1 6 ,2 1 7 ,2 1 8 ,2 1 9 , 224, 225,226 LSSI, 2 2 1 , 222 , 223, 224, 225 L SSIC E , 2 1 6 ,2 2 1 ,2 2 2 ,2 2 3 ,2 2 4 M ; I ; : ; i ! I ; ; i P in za am perim étrica, 54 P K 3 ,125,127,132 P O P 3 ,1 3 9 ,1 4 1 ,1 4 3 ,1 4 5 ,2 2 4 . Potencia ap a ren te, 54 Potencia real, 54 PPTP, 1 4 6,160,162 Proxy, 9 ,1 0 ,2 3 ,1 6 2 ,1 6 5 ,1 6 6 ,1 6 8 ,1 6 9 ,1 7 4 ,1 7 5 ,1 7 6 , 1 7 7 ,1 7 8 ,1 7 9 ,1 8 0 ,1 8 1 ,1 8 2 ,1 8 3 ,1 8 6 ,2 1 2 ,2 1 6 Proxy abierto, 174 Proxy anónim o, 174 Proxy caché Web, 174 P roxy inverso, 174 Proxy NAT, 174 P S K .1 4 9 ,152 pw stealer, 9 2 ,1 0 2 ,1 0 3 ,1 0 5 ,1 0 8 M alw are, 1 0 ,1 1 ,1 5 ,1 7 , 20, 2 1 , 25,26, 29,31, 3 2 ,3 5 ,4 1 , ¡ 6 6 , 9 0 ,9 2 ,9 4 ,9 5 , 9 6 ,9 7 ,9 8 ,9 9 ,1 0 0 ,1 0 2 ,1 0 3 ,1 0 4 , ! 1 0 5 ,1 0 8 ,1 5 9 ,1 6 2 ,2 2 4 i M an in th e m iddle, 133 M BSA, 18, 21 R M D 5 ,71, 7 7 ,7 9 ,8 1 ,1 1 5 ,1 1 6 ,1 4 5 I Rack, 49 M etasploits, 19,21 RADIUS, 1 4 9 ,1 5 3 ,1 5 8 ,1 6 2 M inucia, 50 ; RAID, 186,187,188 M itM , 1 3 3 ,1 3 4 ,1 3 6 ,1 4 3 ,1 4 5 ,1 5 9 ,1 6 0 ,1 6 2 R C 5 ,111,127,132 M odificación, 132 ; Red zombie, 90,91 MTTF, 22 í R e s ta u ra r S istem a, 41 M TTR, 22 ; R ijndael, 4 2 ,4 4 ,1 1 1 : R oguew are, 2 5 ,9 0 ,9 2 ,9 4 ,1 0 2 ,1 0 8 N i Rol, 84,86 NAS, 3 6 ,6 0 ,6 1 ,2 0 6 ,2 1 0 : R ootkit, 15 NAT, 1 6 3 ,1 6 4 ,1 6 5 ,1 6 6 ,1 7 2 ,1 7 4 ,1 8 2 ,1 8 6 ,1 9 8 ,1 9 9 , ; R ootkit h u n ter, 15 2 0 3 ,2 0 4 ,2 0 5 ,2 1 2 ,2 1 3 ,2 1 6 . ; R ound Robin, 194 N essus, 18,21 : RSA, 4 2 ,4 4 ,1 1 7 ,1 2 7 ,1 2 9 ,1 3 2 ,1 5 9 ,1 6 2 N etB IO S, 139,224 i i N ets ta t, 139 N ew bie, 24 N m ap, 17,21 No repudio, 1 2 ,2 9 ,3 2 ,, 117,1 2 0 ,1 2 1 ,1 4 5 P PAM, 70 P assw ord, 4 9 ,6 0 ,6 3 P assw o rd cracking, 26, 224 P ecera, 48 PGP, 1 1 2 ,1 1 7 ,1 2 7 ,1 3 2 . P h arm in g , 2 6 ,1 3 3 ,1 3 6 ,2 2 4 P h ish in g , 1 0 ,1 1 ,2 6 ,2 9 ,3 2 ,9 0 ,9 2 ,1 0 2 ,1 0 3 ,1 0 8 ,1 3 3 , 160,162, 224 i ! i ; i í ; ; ; i : • s SAI, 34, 5 2 ,5 3 ,5 4 ,6 0 ,6 2 , 63,224 SAI O FF-LIN E, 53 SAI O N -LINE o de DOBLE CONVERSION, 53 SAI O N -LIN E o LIN E INTERA CTIV E, 53 SAN, 3 6 ,6 0 ,6 1 ,2 0 6 ,2 1 0 Scam , 10,11, 26, 9 2 ,1 0 4 ,1 0 8 ,2 2 4 S creened H ost, 169,183,186 S creened-subnet. 169,183,186 S creening router, 169 Script-K iddies, 24 S eguridad activa, 28 S eguridad física, 2 8 ,4 7 ,6 6 , 216 231 © R A -M A S E G U R ID A D Y A L T A D IS P O N IB IL ID A D S eg u rid ad lógica, 2 8,66 S eg u rid ad pasiva, 28 S erp e n t, 113,115 S erv id o r de autenticaciones, 67 setfacl, 84 SFC , 15 SHA, 71, 7 9 ,8 1 ,1 0 8 ,1 0 9 ,1 1 5 ,1 4 5 S hell hijacker, 103,108 S h o u ld e r surfing, 26,224 S m a rtC a rd , 49 ,1 2 2 SM TP, 1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 3 ,1 4 5 ,2 2 4 . Sniffing, 26,132, 224 S p am , 1 0 ,1 1 ,2 5 ,2 6 , 9 2 ,1 0 2 ,1 0 3 ,1 0 4 ,1 0 8 ,1 2 8 ,1 3 2 , 1 7 4 .2 23.224, 225. Spoofing, 2 6 ,1 3 3 ,1 3 4 ,1 3 6 ,2 2 4 S pyw are, 1 0 ,1 1 ,2 9 ,3 2 , 92, 95,102,108. S Q L Inyection, 104,108 S S H ,2 1 ,2 3 ,1 1 7 ,1 2 7 ,1 3 2 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 2 .1 4 4 ,1 4 5 , 1 4 6 .1 5 8 .1 6 0 .1 6 2 .2 2 4 . S SL , 2 3 ,4 2 ,4 4 ,1 1 7 ,1 2 7 ,1 3 2 ,1 4 1 ,1 4 3 ,1 4 4 ,1 4 5 ,1 4 6 , 1 5 8 ,1 6 0 ,1 6 2 ,1 7 4. S u stitu ció n , 1 0 8 ,1 09,110, 1 1 1 , 187 T T ab nabbing, 133 T ar, 3 8 ,4 1 T eln e t, 1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 3 ,1 4 5 ,2 2 4 T exto plano, 1 4 ,8 1 ,1 0 8 ,1 1 0 , 111, 112,127,132,143, 1 4 4 ,1 4 5 ,1 5 3 ,1 5 5 T R IP , 1 4 9 ,1 5 2 ,1 5 4 ,1 5 5 T L S, 2 3 ,1 1 7 ,1 2 7 ,1 3 2 ,1 4 1 ,1 4 4 ,1 4 5 ,1 4 6 ,1 5 8 ,1 6 0 , 162. 232 TPC, 125 T ransposición, 1 0 8,110,111 Troyano, 25, 90, 9 1 .9 2 ,1 0 3 ,1 0 8 T ru eciy p t, 38,41 Tw ofísh, 113,115 u UBCD, 72, 75,80 UPS, 34, 52,224 V VAF, 51 Vatios, 54 V irtualización, 9,10, 23,1 8 6 ,1 9 9 , 205, 206,2 1 0 ,2 1 2 , 213,216 V irus, 2 5 ,4 7 ,9 0 , 9 1 ,1 0 0 ,1 0 3 ,1 0 8 VPN, 2 3 ,1 4 5 ,1 4 6 ,1 4 7 ,1 4 8 ,1 5 8 ,1 6 0 ,1 6 2 ,1 7 2 ,1 8 1 . 198,199. V ulnerabilidad, 2 7 ,2 9 ,3 1 ,9 1 ,9 2 w W aanaber, 24 WEP, 1 4 9 ,1 5 0 ,1 5 1 ,1 5 2 ,1 5 5 ,1 5 8 ,1 6 0 ,1 6 2 . W ireless, 148,158 WLAN, 5 1 ,1 4 9 ,1 5 5 ,1 5 9 ,1 6 0 ,1 6 2 WPA, 1 4 9 ,1 5 1 ,1 5 2 ,1 5 5 ,1 5 8 ,1 6 0 ,1 6 2 . W PA -E nterprise, 149 X X .5 0 9 ,123 La p re sen te obra e stá dirig id a a los e stu d ia n te s del Ciclo F orm ativo de G rado S u p erio r de Administrât de Sistemas Informáticos en Red (ASIR), en concreto p a ra el Módulo Profesional Seguridad y ¿ Disponibilidad. A lo largo del libro se a n aliza la seg u rid ad in fo rm ática y la a lta d isponibilidad desde d istin ta s perspecti com pletando de este modo u n a visión global de la m a te ria , p a ra no d e ja r n in g ú n aspecto vulnere principios y terminología, seguridad pasiva, copias de seguridad, seguridad física y lógica, softi antim alware, criptografía de la información y las comunicaciones¡ seguridad en redes corporal atendiendo especialm ente a su seg u rid ad p e rim e tra l, configuraciones avanzadas de alta disponibilidt norm ativa en m ateria de seguridad informática. El enfoque del libra es em in e n tem e n te práctico, d u ra n te el desarro llo de los capítulos se re a liz a n u n 1 de 51 p rácticas. E n los capítulos se incluyen recom endaciones p a ra d e sa rro lla r u n a com pleta labor c A d m in istra d o r de sistem as, adem ás de activ id ad es y ejem plos, con la finalidad de fa c ilita r la asim ila de los conocim ientos tra ta d o s. Así m ism o, se incorporan te s t de conocim ientos y ejercicios p ro p u esto s con la fin alid ad de com probar los objetivos de cada capítulo se h a n asim ilado correctam ente. WWW E n la pág in a w eb de Ra-M a (www.ra-m a.es) se e n c u e n tra disponibl m a te ria l de apoyo y com plem entario. ra-ma e 788499 640 891 Ra-Ma*