I
Seguridad y Aita Disponibilidad JESUS COSTAS SANTOS
SEGURIDAD Y ALTA DISPONIBILIDAD 0 Jesús Costas Santos © De la edición: Ra-Ma 2011 MARCAS COMERCIALES. Las designaciones utilizadas por las em presas para dist inguir sus productos (hardware, software, sistem as operativos, etc.) suelen ser m arcas registradas. RA-MA ha intentado a lo largo de este libro distinguir las m arcas comerciales de los térm inos descriptivos, siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario. RA-MA es m arca comercial registrada. Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. Sin embargo, RA-MA Editorial no asum e ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. E sta publicación tiene por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para el editor ninguna forma de asistencia legal, adm inistrativa o de ningún otro tipo. En caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un profesional competente. Reservados todos los derechos de publicación en cualquier idioma. Según lo dispuesto en el Código Penal vigente ninguna parte de este Libro puede ser reproducida, grabada en sistem a de almacenamiento o transm itida en forma alguna ni por cualquier procedimiento, ya sea electrónico, mecánico, reprográfieo, magnético o cualquier otro sin autorización previa y por escrito de RA-MA; su contenido está protegido por la Ley vigente que establece penas de prisión y/o m ultas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica. Editado por: RA-MA Editorial Calle Jaram a, 3A, Polígono Industrial Igarsa 28860 PARACUELLOS DE JARAMA, Madrid Teléfono: 91658 42 SO Fax: 91 662 81 39 Correo electrónico;
[email protected] Internet: w w w .ra-m a.es y w w w.ra-m a.com ISBN: 978-84-9964-089-1 Depósito Legal: M-24.265-2011 Maquetación: Antonio García Tomé Diseño de Portada: Antonio G arcía Tomé Filmación e Impresión: C losas-Or coy en, S.L. Impreso en España
índice IN T R O D U C C IÓ N ............................................................................................................................................................................ 7 C A P ÍT U L O 1. P R I N C IP IO S D E S E G U R ID A D Y ALTA D IS P O N IB IL ID A D .........................................................9 1.1 IN TRO D U CCIÓ N A LA SEGURIDAD IN FO R M Á TICA ...............................................................................................10 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y D IS P O N IB IL ID A D ...................................................... 11 1.2.1 A lta d isp o n ib ilid ad ........................................................................................................................................................ 21 1.3 ELEM EN TO S VULN ERA BLES EN EL SISTEM A INFORMÁTICO: HARDWARE, SOFTWARE Y DATOS................................................................................................................................. 22 1.4 AM ENAZAS................................................................................................................................................................................ 24 1.4.1 A m enazas provocadas por p e rs o n a s ......................................................................................................................... 24 1.4.2 A m enazas físicas y lógicas............................................................................................................................................24 1.4.3 Técnicas de a ta q u e ......................................................................................................................................................... 25 1.5 P R O T E C C IÓ N ...........................................................................................................................................................................26 1.5.1 A u ditoría de seguridad de sistem as de info rm ación ............................................................................................ 27 1.5.2 M edidas de seg u rid a d ....................................................................................................................................................28 1.6 REFERENCLAS W E B .............................................................................................................................................................. 29 R ESU M EN D EL C A PÍTU LO ........................................................................................................................................................ 29 EJE R C IC IO S P R O P U E S T O S ....................................................................................................................................................... 30 T E S T DE C O N O C IM IE N T O S......................................................................................................................................................32 C A P ÍT U L O 2. S E G U R ID A D P A S IV A ....................................................................................................................................33 2.1 P R IN C IPIO S DE LA SEGURIDAD PASIVA.................................................................................................................... 34 2.2 COPIAS DE S E G U R ID A D .....................................................................................................................................................35 2.2.1 Modelos de alm acén de dato s .................................................................................................................................... 36 2.2.2 Recom endación sobre el tipo de copia a efe c tu a r................................................................................................... 37 2.2.3 R ecuperación de d a to s ...................................................................................................................................................44 2.3 SEGURIDAD FÍSICA Y A M B IEN TA L...............................................................................................................................47 2.3.1 C entros de Procesado de D atos (C P D )..................................................................................................................... 47 2.3.2 Ubicación y acondicionam iento físico .......................................................................................................................48 2.3.3 Control de acceso físico ................................................................................................................................................ 49 2.3.4 S istem as b io m é tric o s ................................................................................................................................................... 50 2.3.5 Circuito C errado de Televisión CCCTV)................................................................................................................... 51 2.4 SISTEM AS DE ALIM ENTACIÓN IN INTERRUM PIDA (SAI)................................................................................... 52 2.4.1 Tipos de S A I.....................................................................................................................................................................53 2.4.2 P otencia n e c e s a ria ......................................................................................................................................................... 53 2.5 R EFE R EN C IA S W E B ..............................................................................................................................................................60 R E S U M E N D E L CA PÍTU LO ........................................................................................................................................................ 61 E JE R C IC IO S P R O PU E ST O S .......................................................................................................................................................62 TEST DE C O N O C IM IE N T O S ......................................................................................................................................................64
3
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
C A P ÍT U L O 3. S E G U R ID A D L Ó G IC A ................................................................................................................................. 65 3.1 P R IN C IP IO S DE LA SEGURIDAD LÓ G IC A ................................................................................................................... 66 3.2 CONTROL DE ACCESO L Ó G IC O ....................................................................................................................................... 67 3.2.1 Política de c o n tra s e ñ a s ................................................................................................................................................. 67 3.2.2 C ontrol de acceso en la BIOS y gestor de a rra n q u e ...............................................................................................73 3.2.3 C ontrol de acceso en el sistem a o p erativ o ................................................................................................................77 3.3 PO LÍTICA DE USUARIOS Y G R U PO S..............................................................................................................................82 3.4 R EFE R E N C IA S W E B .............................................................................................................................................................. 84 R E SU M E N D E L C A PÍTU LO ........................................................................................................................................................ 85 E JE R C IC IO S P R O P U E S T O S ....................................................................................................................................................... 86 T E S T DE C O N O C IM IE N T O S ...................................................................................................................................................... 87 C A P ÍT U L O 4. S O F T W A R E A N T IM A L W A R E .....................................................................................................................89 4.1 SOFTW ARE M A LIC IO SO ......................................................................................................................................................90 4.2 CLA SIFICACIÓN D EL MALWARE.....................................................................................................................................91 4.2.1 M étodos de infección......................................................................................................................................................92 4.3 PR O T EC C IÓ N Y D E S IN F E C C IÓ N .....................................................................................................................................94 4.3.1 C lasificación del softw are a n tim a lw a re ................................................................................................................... 94 4.3.2 L a m ejor h e rra m ie n ta a n tim a lw a r e .......................................................................................................................100 4.4 R E FE R EN C IA S W E B ............................................................................................................................................................102 R E S U M E N DEL C A PÍTU LO ......................................................................................................................................................102 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................103 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................104 C A P ÍT U L O 5. C R IP T O G R A F ÍA ............................................................................................................................................107 5.1 P R IN C IP IO S DE C R IPT O G R A FÍA .................................................................................................................................. 108 5.2 TIPO S DE ALGORITM OS D E C IF R A D O ...................................................................................................................... 109 5.2.1 C riptografía s im é tric a ................................................................................................................................................ 111 5.2.2 C rip to g rafía de clave a s im é tric a ............................................................................................................................. 115 5.2.3 C riptografía h íb r i d a ................................................................................................................................................... 117 5.2.4 F irm a d ig ita l................................................................................................................................................................. 120 5.3 CER TIFIC A D O S D IG IT A L E S ........................................................................................................................................... 122 5.3.1 T erceras p a ite s de confianza.....................................................................................................................................125 5.3.2 D ocum ento N acional de Iden tid ad electrónico (D N Ie )..................................................................................... 125 5 .4 R E FE R EN C IA S W E B ........................................................................................................................................................... 126 R E S U M E N D EL C A PÍTU LO ......................................................................................................................................................127 E JE R C IC IO S P R O P U E S T O S .................................................................................................................................................... 128 T E S T DE C O N O C IM IE N T O S ................................................................................................................................................... 129 C A P ÍT U L O 6. S E G U R ID A D E N R E D E S C O R P O R A T IV A S .................................................................................... 131 6.1 AMENAZAS Y A T A Q U E S ................................................................................................................................................... 132 6.1.1 A m enazas e x te rn a s e in te r n a s .................................................................................................................................136 6.2 SISTEM AS DE D ETEC C IÓ N DE INTRUSOS (ID S)...................................................................................................137 6.3 R IESG O S PO T EN C IA LE S E N LOS SERV ICIO S DE R E D ...................................................................................... 139 6 .4 COM UNICA CIONES SEG U R A S...................................................................................................................................... 140 6.4.1 V P N ................................................................................................................................................................................. 145
4
© RA-MA
INDICE
6.5 R E D E S IN A LÁ M B R IC A S....................................................................................................................................................148 6.5.1 S istem as de seguridad en W LA N .............................................................................................................................149 6.5.2 Recom endaciones de seg u rid ad en W L A N ........................................................................................................... 155 6.6 R E FE R E N C IA S W E B ............................................................................................................................................................158 R E SU M E N D EL C A PÍT U L O ...................................................................................................................................................... 158 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................159 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................160 C A P ÍT U L O 7. S E G U R ID A D P E R IM E T R A L ....................................................................................................................161 7.1 C O R TA FU EG O S..................................................................................................................................................................... 162 7.1.1 Tipos de c o rta fu e g o s....................................................................................................................................................168 7.1.2 DM Z..................................................................................................................................................................................173 7.2 PRO XY........................................................................................................................................................................................174 7.2.1 Tipos, ca racterísticas y funciones p rin c ip a le s ......................................................................................................174 7.3 R EFE R EN C IA S W E B ............................................................................................................................................................181 R E SU M E N D EL C A PÍTU LO ...................................................................................................................................................... 182 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................182 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................183 C A P ÍT U L O 8. C O N F IG U R A C IO N E S D E ALTA D IS P O N IB IL ID A D ................................................................... 185 8.1 SO LU CIO N ES DE ALTA D ISPO N IBILID A D ................................................................................................................ 186 8.2 R A ID ...........................................................................................................................................................................................187 8.3 BALANCEO DE CA RG A ......................................................................................................................................................194 8.4 VIRTUALIZACIÓN................................................................................................................................................................ 199 8.4.1 V irtualización de servidores......................................................................................................................................205 8.5 REFEREN CIA S W E B ............................................................................................................................................................210 R ESU M EN D EL CA PÍTU LO ......................................................................................................................................................211 E JE R C IC IO S P R O PU E ST O S .....................................................................................................................................................212 T E S T DE C O N O C IM IE N T O S ....................................................................................................................................................213 C A P ÍT U L O 9. N O RM A TIV A L E G A L E N M A TER IA D E S E G U R ID A D IN F O R M Á T IC A ............................. 215 9.1 LEY ORGÁNICA DE PR O TEC C IÓ N DE DATOS (LO PD ).........................................................................................216 9.1.1 Á m bito de aplicación de la L O P D .............................................................................................................................216 9.1.2 Agencia E spañola de Protección de D atos ........................................................................................................... 217 9.1.3 T ra ta m ie n to de los d a to s ........................................................................................................................................... 218 9.1.4 N iveles de se g u rid a d ................................................................................................................................................... 219 9.2 LEY DE SERV ICIOS DE LA SOCIEDAD DE LA INFORM ACIÓN Y DE COM ERCIO ELEC TR Ó N IC O (L S S IC E )................................................................................................................................................................................... 221 9.2.1 E n to rn o s W eb................................................................................................................................................................ 222 9.2.2 C om unicaciones com erciales.................................................................................................................................... 222 9.3 R E FE R E N C IA S W E B ........................................................................................................................................................... 224 R E SU M E N D E L C A PÍTU LO ......................................................................................................................................................224 E JE R C IC IO S P R O P U E S T O S .....................................................................................................................................................225 T E S T DE C O N O C IM IE N T O S ................................................................................................................................................... 226 M A T E R IA L A D IC IO N A L ......................................................................................................................................................... 227 ÍN D IC E A L F A B É T IC O .............................................................................................................................................................229
5
Introducción E ste libro surge con el propósito de acercar al lector a los aspectos m ás im portantes que encierra la seguridad inform ática y los relativos a g aran tizar alta disponibilidad en los sistem as críticos, ante las crecientes am enazas sobre los sistem as informáticos, donde cada vez contenemos m ás valiosa información. Con la reform a curricular de formación profesional, enm arcada en la Ley Orgánica do Educación (LOE), los ciclos formativos de la familia profesional de Inform ática y Comunicaciones poseen como contenido transversal la m ateria de seguridad inform ática, debido a la creciente dem anda de personal cualificado para su adm inistración. Con tal propósito, puede servir de apoyo tam bién para estudiantes del las Ingenierías Técnicas. Hoy en día, existen muchos usuarios y profesionales de la Inform ática que discuten las ventajas e inconvenientes de la utilización de un determ inado sistem a operativo, antivirus o cortafuegos como solución única a los problem as de la seguridad informática, no entendiendo que en esta m ateria ha de trab ajarse en todos los frentes posibles. Aquí no hay preferencia por ningún sistem a en particular, ni se in ten ta com pararlos para descubrir cuál es el mejor de todos, sino enriquecer los contenidos al exponer sus principales características, manejo y métodos para conseguir la máxima fiabilidad de los sistem as. A lo largo del libro se analiza la seguridad inform ática y la alta disponibilidad desde d istintas perspectivas, con un total de 51 p rácticas, p ara com pletar una visión global de la m ateria y no dejar ningún aspecto vulnerable: P r in c ip io s b á sic o s y problem ática de la Seguridad y Alta disponibilidad. Capítulo 1. S eg u rid a d p asiva, analizando soluciones de copia de seguridad y seguridad física y am bienta) en ios sistem as informáticos. Capítulo 2. S egu rid ad lógica. Gestión de usuarios, privilegios, contraseñas y actualizaciones de sistem as y software. Capítulo 3. S o ftw a re d e seg u rid a d antim alware. Capítulo 4. C rip tografía en comunicaciones y protección de la información. C apítulo 5. S eg u rid a d en re d e s corp orativas, atendiendo a las am enazas in tern as y estudiando los fundam entos de comunicaciones seguras, con especial atención a inalám bricas. Capítulo 6. S eg u rid a d p erim etra l m ediante configuración de cortafuegos y proxy. Capítulo 7. C o n fig u racion es a v an zad as de alta d isp o n ib ilid a d , como redundancia en el alm acenam iento m ediante RAID, balanceo de carga, vírtualización de servidores. C apítulo 8. N o rm a tiv a leg al en m ateria de seguridad inform ática. LOPD y LSSICE. C apítulo 9. Uno de los objetivos de este Libro es dam os a conocer las innovaciones en ataques y vulnerabilidades m ás actuales en m ateria inform ática, haciéndonos m ás prevenidos y aprendiendo a realizar acciones totalm ente seguras. Para ello se presentan en cada capítulo n o tic ia s d e a ctu a lid a d relacionadas con la tem ática del mismo, que perm itan la reflexión y el conocimiento de nuevos avances.
7
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
P ara todo aquel que use este libro en el entorno de la enseñanza (Ciclos Formativos o Universidad), se ofrecen varias posibilidades: utilizar los conocimientos aquí expuestos p ara inculcar aspectos genéricos de la seguridad inform ática y alta disponibilidad o sim plem ente centrarse en preparar a fondo alguno de ellos. Ra-Ma pone a disposición de los profesores una guía didáctica para el desarrollo del tem a que incluye las soluciones a los ejercicios expuestos en el texto. Puede solicitarla a
[email protected], acreditándose como docente y siem pre que el libro sea utilizado como texto base para im partir las clases.
8
• • • /
Analizar la problemática general de la seguridad informática.
/
Conocer los principios sobre los que se sustenta.
/
Conocer el significado de alta disponibilidad.
/
Identificar las principales vulnerabilidades, ataques y medidas de seguridad a adoptar sobre los sistemas.
/
Diferenciar la seguridad física y lógica, y la pasiva de la activa.
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
Con la proliferación de la inform ática en todos los ám bitos de la vida, el núm ero de usuarios y profesionales de inform ática ha crecido exponencialm ente en los últim os años, del mismo modo que las necesidades de comunicación y com partición de recursos en red. L as dos nuevas problem áticas que subyacen de esta nueva realidad son, por un lado asegurar los sistem as y la información que disponemos, y por otro poder tener acceso a los servicios el mayor tiempo posible, sin interrupciones y con un cierto nivel de calidad, siendo la base para el estudio de la seguridad inform ática y la alta disponibilidad respectivam ente.
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Las tecnologías de la información y la comunicación (TIC), y concretam ente la inform ática, se ha instalado en todos los ám bitos de la sociedad: sanidad, educación, finanzas, prensa, etc., siendo cada vez m ás útil e im prescindible para el desarrollo de su s actividades cotidianas. Del mismo modo que se extiende el uso de la informática, la seguridad inform ática debe ten er una im portancia cada vez mayor, teniendo en cuenta que el funcionamiento correcto de sus sistem as depende en gran medida, de protegerlos como el mayor de sus tesoros.
La seguridad informática consiste en asegurar que los recursos del sistema de información de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, solo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Los p rin c ip a les ob jetivos de la seguridad inform ática por tanto son: Detectar los posibles problemas y am enazas a la seguridad, m inim izando y gestionando los riesgos. G aran tizar la adecuada utilización de los recursos y de las aplicaciones de los sistem as. L im itar las pérdidas y conseguir la adecuada recuperación del sistem a en caso de un incidente de seguridad. C um plir con el marco legal y con los requisitos im puestos a nivel organizativo. D u ran te el desarrollo del libro, veremos que el conjunto de vulnerabilidades, am enazas, ataques y m edidas de seg u rid ad han ido aum entando y modificándose con el tiempo, sien d o n ece sa rio esta r al d ía en esta m ateria. P a ra ello harem os uso de diversas noticias de actualidad y reflexiones sobre las mismas. La comunidad de usuarios y profesionales en m ateria de seguridad inform ática m antienen al día al resto de u su ario s m ediante noticias y post en blogs y webs especializadas. Sírvase como ejemplo el blogv repositorio de blogs de seg u rid ad inform ática disponible en la web del Instituto Nacional de Tecnologías de la comunicación S.A. (en adelante INTECO), sociedad anónim a estatal adscrita a la S ecretaría de Estado de Telecomunicaciones y para la Sociedad de la Inform ación: http ; / / www. inteco.es/ blog / Seg u rid a d ! Observatorio / BlogSeguridad
10
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
i La seguridad informática lleva asociada un conjunto de palabras, en muchos casos nuevos términos en inglés. A lo largo del libro y en los artículos de actualidad se irán repitiendo, por lo que es recomendable ir construyendo nuestro glosario de términos con palabras como pharm ing, tabnabbing, malware, sniffíng, spoofing, phishing, scam, spam, botnet, spyware, keylogger, etc. Te proponemos que leas un artículo de actualidad, que podrás encontrar descargando el material adicional y en la web www.securitybydefault.com /2010/01/origen-y-evolucion-del-efraude.htm l, en et cual deberás identificar palabras relacionadas con conceptos de seguridad informática que no conozcas y realizar un glosario de términos con sus definiciones. Comenta en grupo las siguientes cuestiones: •
¿Has recibido alguna vez un intento de phishing mediante correo electrónico de tipo spam ? ¿Podrías indicar algún ejemplo?
•
Realizar un debate en el que se analicen las más conocidas am enazas existentes en la actualidad y qué tipo de medidas de prevención prelim inares se podrían tomar.
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo está siempre presente, independientem ente de las m edidas que tomemos, por lo que debemos hab lar de niveles de seguridad. La seg u rid a d ab so lu ta n o e s p o sib le y rn adelante entenderem os que la seguridad inform ática es un conjunto de té c n ic a s encam inadas a obtener a lto s n iv e le s d e seg u rid a d en los sistem as informáticos. Podemos entender como seguridad una característica de cualquier sistem a que nos indica que ese sistem a está Libre de todo peligro, daño o riesgo, y que es, en cierta m anera, infalible. Como esta característica, particularizando p ara el caso de sistem as informáticos, sistem as operativos o redes de computadores, es muy difícil de conseguir (según la m ayoría de expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de fiab ilid ad , probabilidad de que un sistem a se comporte tal y como se espera de él. Por tanto, se habla de tener sistem as fiables en lugar de sistem as seguros.
El experto Eugene H. Spafford cita en su frase célebre: "el único sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio que está enterrada en cemento, rodeada de gas nervioso y de un grupo de guardias fuertemente armados. Aún así, no apostaría mi vida en ello".
11
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
A grandes rasgos so entiende que m antener un sistem a seguro (o fiable) consiste básicam ente en garantizar tres aspectos: confidencialidad, integridad y disponibilidad. C on fid en cialid ad : cualidad de un mensaje, comunicación o datos, p ara que solo se entiendan de m anera comprensible o sean leídos, por la persona o sistem a que esté autorizado. Comprende por tanto la privacidad o protección de dicho m ensaje y datos que contiene. I n te g r id a d : cualidad de mensaje, comunicación o datos, que perm ite comprobar que no se ha producido m anipulación alguna en el oingtnal, es decir, que no h a sido alterado. D isp o n ib ilid ad : capacidad de un servicio, de unos datos o de un sistem a, a ser accesible y utilizable por Los usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la información pueda ser recuperada en el momento que se necesite, evitando su pérdida o bloqueo. H ay que tener en cuenta que, tanto las am enazas como los m ecanismos para contrarrestarlas, suelen afectar a ta ta s tres características de form a conjunta. Así por ejemplo, fallos del sistem a que hacen que la información no sea accesible pueden llevar consigo una pérdida de integridad. G eneralm ente tien en q u e e x istir los tr es a sp ecto s d e s c r ito s para q u e h aya segu rid ad . Dependiendo del entorno en que un sistem a trabaje, a sus responsables les in teresará dar prioridad a u n cierto aspecto de la seguridad. Por ejemplo, en un sistem a m ilitar se antepondrá la confidencialidad de los datos alm acenados o tran sm itid o s sobre su disponibilidad. En cambio, en un servidor de archivos en red, se priorizará la disponibilidad fre n te a la confidencialidad. En un entorno ba ncario, la faceta que más ha de preocupar a los responsables del sistem a es la integridad de los datos, frente a su disponibilidad o su confidencialidad: es menos grave que un usuario consiga leer el saldo de otro que el hecho de que ese usuario pueda modificarlo. Ju n to a estos tres conceptos fu ndam entales se suelen e stu d ia r conjuntam ente la a u te n tic a c ió n y el n o re p u d io . A u ten tica ció n : verificar que un documento ha sido elaborado (o pertenece) a quien el docum ento dice. Apficado a la verificación de la identidad de un usuario en inform ática, cuando el usuario puede ap o rtar algún modo que perm ita verificar que es quien dicc ser, se suele realizar m ediante un usuario o Login y una contraseña o password. N o rep u d io o irren u n cia b ilid a d : estrecham ente relacionado con la autenticación y perm ite probar la participación de las partes en una comunicación. Existen dos posibilidades: No rep u d io en origen: el em isor no puede negar el envió. La prueba la crea e) propio em isor y la recibe el destinatario. No rep u d io en destino: el receptor no puede negar que recibió el m eusaje porque el em isor tiene pruebas de la recepción. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Si la autenticidad prueba quién es el autor o el propietario de un documento y cuál es su destinatario, el no repudio prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino). Al grupo de estas características y objetivos de la seguridad se les conoce como CEDAN, nombre sacado de la inicial de cad a característica. La relación de los mismos se presenta en la figura siguiente.
12
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
En la imagen superior se ilustra cómo se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicam ente, así si no existe el de nivel interior, no puede aplicarse el exterior. De esta m anera, la d isp o n ib ilid a d se convierte en el p rim er re q u isito d e segu rid ad , cuando existe ésta, se puede disponer de co n fid en cia lid a d , que es im prescindible para conseguir in tegrid ad , imprescindible para poder obtener a u te n tic a c ió n y, por último, el no rep u d io, que solo se obtiene si se produce previam ente la autenticación. A continuación verem os tre s casos prácticos a modo de ejem plo sobre confidencialidad, in teg rid ad y disponibilidad.
PRÁCTICA 1.1 CONFIDENCIALIDAD En esta práctica guiada estudiaremos cómo se puede asegurar la confidencialidad de los datos en sistema Windows, mediante la encriptación de archivos y carpetas. La confidencialidad o privacidad de datos es uno de los aspectos críticos de la seguridad, por esto Microsoft incluyó a partir de su sistema Windows 2000, y posteriores, el método de archivos encriptados conocido como EFS (Encrypted File System) que cumple este propósito. Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema. Permite a los archivos administrados por el sistema operativo ser cifrados en las particiones NTFS en donde esté habilitado, para proteger datos confidenciales. EFS es Incompatible con la compresión de carpetas. El usuario que realice la encriptación de archivos será el único que dispondrá de acceso a su contenido, y al único que se le permitirá modificar, copiar o borrar el archivo, controlado todo ello por el sistema operativo. Amenaza o vulnerabilidad Como veremos en capítulos posteriores, en un sistema personal es posible obtener el acceso al sistema de ficheros si podemos arrancar desde una distribución USB o CD/DVD Uve, o incluso acceder al sistema local como administrador, realizando una escalada de privilegios, teniendo de este modo permisos para acceder al sistema de ficheros por completo y por tanto incluso a carpetas restringidas por el sistema operativo. Para evitar la
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
apertura, lectura o modificación de información privada bajo sistemas Windows podemos utilizar las opciones de encriptación EFS. Proceso de encriptación Para probarlo podemos crear un archivo de texto plano (no cifrado) con una información confidencial en su Interior. En primer lugar seleccionaremos el archivo (o carpeta) a encriptar y con el botón derecho accederemos a la ventana de Propiedades. En su pestaña General pulsaremos sobre Opciones Avanzadas y en Atributos de compresión y cifrado marcaremos la opción de Cifrar contenido para proteger datos. Mota: En caso de no tener habilitada dicha opción deberá ejecutar gpedlt.msc (editor de directivas de grupo) y habilitar la directiva local, Directiva de equipo !ocal\Conñguración de Windows\Configuración de seguñdad\ Directivas de clave púb¡ica\Sistema de cifrado de archivos. Gpedit no se encuentra preinstalado en las versiones Home de los sistemas operativos Windows.
tiitU M é» n V * t
W V t»
: *rrtt*iteot*r$w¿r*m tn i n n a i
--j Nrwffr «r>«3>4i Mfci t e w n je a t« f *rfngp«raicA i«H bw di latita» * nti»«r r -fra*» 1Ceeener cartende o e • ^ qn • eeeeoo en * 6»
!
- 'CJim
CWolKM»Qc^o
| HayiM
|
Cf jái ___ I
topoanM—xtúrn ]
| Carcdm j
Verificaciones 1. Si accedemos con otro usuario al sistema que tenga permisos para acceder a todo el sistema de archivos, por ejemplo desde una cuenta de tipo administrador (distinta a la que ha cifrado el archivo), podemos ver que ei nombre del archivo nos aparecerá en color verde y, al intentar acceder a él, nos indicará acceso denegado. Igualmente si intentamos modificar el archivo para que deje de estar cifrado y aplicamos los cambios nos indicará error al aplicar los atributos. Aunque no es posible leer ni modificar su contenido, sí es posible borrarlo.
2. El archivo cifrado no es portable o copiable a una unidad externa ya que el sistema operativo pierde el control sobre su cifrado. En caso de intentar enviarlo a unidad USB nos indicará lo siguiente.
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
A rc h ir o c if r a d o
•*
Swthn-oYiomwx)nf«rno«pued»ropw6wnwm
OJC pan)« d
Carado
*V*0» owtr «te«ñor y c o r i n m , oc«nc«Ur
i
Onéf
1 ( Cwbr lofl* j | Cw i Ib
)
Una recomendación más, no comprimir los archivos cifrados ya que dejan de estarlo. 3. En caso de tener acceso al sistema de archivos con un arranque desde una distribución modo Uve (en nuestro ejemplo Ubuntu), montando la partición correspondiente (en este caso el punto de montaje/mnt/ win) podremos borrar el archivo, pero no se nos permitirá ni copiarlo ni leer la información contenida. Si hemos comprimido el archivo en zip desde Windows, sí podremos acceder a su contenido confidencial. g
root-aufauntu >mntm)n/Oocuni«nu and SM tlnflt/adm lrvU rritorto 4rrr.*>
£n( v
yrr
’ermr.,;
.
n
« I
Ayuda
rootSubontu:/«nt/Kin/Docuacnti and c a t : Ipforaaclon con fid en cial,t«t: rootiíulXjniu:/»rl/»in/00Cu»eMs and cp: no s r puede abrir -informador roo(«iu»>umii:/iint/win/Oocu»en{i and
Selting i/ad ^ ln/Eicritorioa cat infor»acion\ confidenctai.1«! - ■ Peralto denegado Seu irg i/nd iiiri/Escritorlo a cp infoiw cion \ confidencial t it /haneMnfo.c«t I con fid en cia l.txt- para lectura. Peralto denegado SetUngs/adiiirVEicritoM oa l l J
L
f
r
.
...
rooteuburtu:/ant/xln/Oocuacnti and S em n 9 s/ed « ln /ticrlto rio * ra inforaacionx c o n fid e n c ia l.u t rooteubuntu: /nnt/vln/Oocu»eflts and Sem ngs/ad«ln/Escritorioa Is
root&jbuniu./nr.t.’Mln/Oocimenu and Seu in g i/a d a ln /ticrH o rlo » [¡ ■ \ l BK11ÁT £rrn.vo
6 Nuevo
fcdiUr
yer
Atirv
gu-vor
_ GuartUr
herramienta*
H impomir
Documento*
R A^ula
inform acíoficonfídem inl./lp &rcr»vador f a u r
o
Nuevo
información conftdenctal.txt O
„ Abrir
yw
%yda
*
Extraer ®
*g n t found [ Mot found [ Hot found
'shared libraries' checks for preloading variables tor preload file ID LIBRARY PATH variable
Performing file properties checks Checking for prerequisites /bin/bash /bin/cat /bin/chaod /bln/chown /btn/cp /bin/date /bm/df /bin/daesg /bln/echo
[ I 1 I I 1 1 1
OK OK OH OK OK OK OK OK I OK 1 OK
] 1 | ) ] ) | I
I ]
Comprueba, entre otros aspectos, las cadenas y atributos de los comandos o ejecutables del sistema, la existencia de archivos rootkits, etc. Una vez finalizado nos dará un informe completo con las advertencias y posibles archivos sospechosos encontrados.
PRÁCTICA 1.3 DISPONIBILIDAD Identificar y analizar la disponibilidad de servicios o servidores, puertos abiertos y versiones de sistemas operativos que los soportan, supone la información base para el estudio de las innumerables vulnerabilidades de los sistemas en red. De este modo se podrán tomar medidas frente a estos puntos débiles de nuestros sistemas. Nmap ("mapeador de redes") es una herramienta de código abierto para exploración de red y auditoría de seguridad. Utiliza paquetes IP para determinar qué equipos se encuentran disponibles en una red, qué servicios ofrecen y medíante qué aplicaciones (nombre y versión de la aplicación), qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando, así como otras características. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monítorízación del tiempo que los equipos o servicios se mantiene activos. Amenaza o vulnerabilidad Para las versiones de software de servidores y de los sistemas operativos es posible buscar posibles vulnerabilidades existentes: wvjw.securityfocus.com. Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se puede buscar información sobre las versiones de los productos de distintos fabricantes e incluso descargar exploits de verificación.
SEGURIDAD Y ALTA DISPONIBILIDAD
© RA-MA
ovt
(P*goi ofttl l / »«Stt J■■»(>li tm*r*
Ven tor:
M m ocot
litlr
S ÍM T ih .
V k m ío c :
S*o d V o»w y
||
-
S t a r t h Uv CVE
CYE;
1StilCW I1 M uftlplv V u n d o r T IS P ro lo c o l H u iito n R o n * g o lia t Ion HwcuiHy V u ln a ra b iltty h ttp /* w « r *m¿r*y1t>zut ct«T\Axl/~)bV2) M ic ro so ft W ln d o m U vor A c c e i v C on trol (l)A C ) n y p o t t l o c a l P rtviin g o f t c a l a t k i i i Vuln«ro*»il!ty
M tcroiu ft O u tlook F Un A U a c Jim ertf DefU al Of K w rv Jt» VuinurdbMKy
M tcro to n Officw Art O raw ln q R a c o n l R a m o ta C od o l n o ctli ion V o ln o ra tilllly
rcc //w»wtaeuitvfocufc&nAnt+Mtt Ejemplo de búsqueda de vulnerabilidades por fabricante, en este caso Microsoft. www.nessus.org. Aplicación que detecta vulnerabilidades, tanto para sistemas y aplicaciones de Windows como GNU/Linux. En su última versión Nessus4 funciona como servidor web.
Microsoft Baseline Securíty Analyzer (MBSA) es una herramienta diseñada para analizar el estado de seguridad según las recomendaciones de seguridad de Microsoft y ofrece orientación de soluciones específicas. Sirve para detectar los errores más comunes de configuración de seguridad y actualizaciones de seguridad que falten. En la siguiente imagen, a modo de ejemplo, vemos el resultado de un análisis en el cual se analizan aspectos como: Sistema de ficheros. Recomendado NTFS por su mayor nivel de seguridad. Cuentas de usuario. Analiza si poseen contraseñas y son seguras. Actualizaciones. Analiza si el sistema posee las últimas actualizaciones que previenen de vulnerabilidades actuales. Cortafuegos activo y configurado. Número de cuentas de administrador.
18
© RA-MA
1 ■PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
i " M icrosoft lio t tlin c S c c u n ty A n a ly/er 7.1
Microsoft
^ Baseline Security Analyzer
Scoro
Issue
Result
1
F U & r to m
(J%sWe to d e te rra n e the He ly stem o n fu©d dnvesO 4) w as te a m e d How to corract tN*
**
Local Acícüx* Password Tc*t
Soma user accounts (7 of 7) h a v t biar*. or unp la passw ord%t or coufcj not ba arw#y?ed was se am e d to co riv .t
r
¿V/omeüc I t- ls f «
Update* « e not a u to m a tic a l do»*rtoadedor r o ta te d c n t t a s c o r n e r "•Wxat m t s e a m e d No*» to corract rtw
O
In co rro tte U pdatw
No rc o irc W e softw are update w t i K W t f Mere found a n * w a »canned
O
Windows F f íw il
Window* F a e w a l* n o t r o ta te d or corfi>**td property, or o not avalafelc on tfw version of W Wow*.
o
/i u * « Account
The 'i u r « a c c o u n t« not d e a b b d on th e c e n p i n . VHhtf ««at te a m e d
*
A d m tr M o r t
No more tKan 2 AAnnrUrator* « « f $FECHADIR/fecha-backup-completo tar -cf $BACKUPDIR/CTS_$DSEM.tar $DIRECTORIOS H Backup incremental diario - sobrescribe semana anterior # Obtiene fecha del último backup completo, opcion newer. else N U E V O = " - - n e w e r = 'cat $ F E C H ADIR/fecha-backup-completo‘ " tar SNUEVO -cf $ B A C K U P D IR/ID_$DSEM.tar $DIRECTORIOS fi Cuando tengamos el script retocado a nuestro gusto le damos permisos de ejecución y lo copiamos a la carpeta /usr/bin, por ejemplo:
chmod u+x backup-script cp backup-script /usr/bin/ Después bastará con hacer que el script se ejecute cada día mediante cron, por ejemplo a las 3 de la mañana, para que no nos moleste mientras trabajamos con el PC.
crontab -e escribiremos en la tabla: 0 3 * * * /usr/bin/backup-script
40
© RA-MA
2 ■SEGURIDAD PASIVA
Para determinar la fecha del último backup completo y poder hacer así el backup ¡ncremental, se utiliza un fichero de texto con la fecha en cuestión, denominado Fecha-backup-completo, que se actualiza cada domingo. La primera vez que se ejecute el scrípt se creará un backup completo en vez de incremental diario, sea el día que sea, ya que ese archivo todavía no existe. Lo que debemos hacer es ejecutar el script, invocando el script (sin esperar a la ejecución automática con cron) la primera vez para realizar el backup completo y después crear este fichero con la fecha actual. Podemos crear dicho fichero Fácilmente así:
echo "date +%d-%b' > /home/Backups/fecha-backup-completo Sustituyendo /home/Backups/ por la ruta pertinente. Si queremos restaurar el sistema lo único que debemos hacer es entrar a un terminal, loguearnos como root y, situados en el directorio raíz o punto donde queramos, restaurar el backup e introducir estos comando:
cd / tar -xf ruta_del backup_que_que r e m o s _ r e s u t a u r a r .tar WINDOWS En Windows existen varias utilidades del sistema para realizar copias de seguridad. Los archivos del sistema se almacenan en la carpeta Windows por defecto en la instalación. De las recomendaciones más habituales a la hora de poder realizar copias de seguridad para restaurar el sistema operativo son: Realizar una instalación del sistema operativo diferenciando 2 particiones una con suficiente tamaño para el sistema operativo y aplicaciones a instalar, y otra dedicada a datos de usuarios. Una posible restauración o sobreinstalación del sistema operativo no afectará a la partición independiente de datos de usuario. No guardes información relevante en las carpetas facilitadas por el propio sistema operativo como Mis Documentos, Escritorio, etc., ya que son carpetas que, en caso de tomar la decisión de sobre instalar el sistema operativo, no te asegura su continuidad tal y como estaban, ya que vuelve a configurarlas. Realizar una vez instalado y conFigurado el sistema, controladores, sus aplicaciones fundamentales estables, y configurado, puntos de restauración, que permitan en un momento determinado de inestabilidad volver a dicha configuración anterior conocida y estable.
Windows posee 2 herramientas interesantes para realizar copias de seguridad y puntos de restauración, en Inicio/Todos los programas/Accesorios/Herramientas del sistema. Por un lado, Copia de seguridad para generar backups de los archivos origen deseados, con un formato específico .bkf, en un soporte como dispositivos de aimacenamiento externos. Estos archivos de backup se pueden restaurar a partir de la propia herramienta. El asistente proporcionado facilita la tarea para crear tus copias de seguridad. Por otro, Restaurar Sistema permite crear puntos de restauración así como restaurar anteriores, con la finalidad de guardar o restablecer la configuración de nuestro equipo en un momento determinado. En caso de tener un problema de configuración por causa de un programa o cambios inesperados o indeseados producidos por malware, podremos volver a una la configuración en la que nuestro equipo funcionaba correctamente, y por precaución creamos un punto de restauración, configuración en la que nuestro equipo funcionaba correctamente. El propio sistema crea sus propios puntos de restauración, pero es recomendable crear unos cuando vamos a realizar un cambio importante de software o hardware en nuestro equipo.
41
© RA-MA
SEGURIDAD Y ALTA DISPONIBILIDAD
I PRÁCTICA 2.2 COPIAS DE SEGURIDAD CON APLICACIONES ESPECÍFICAS Las herramientas propias del sistema poseen funcionalidades óptimas y suficientes en la mayoría de los casos, pero vamos a analizar varias herramientas que pueden resultar de interés para usos específicos como disponer de opciones como distintos algoritmos de cifrado, contraseñas, compresión, gestionar copias remotas, etc. Windows En el caso de Windows existen muchas aplicaciones de gestión de copias de seguridad pero las opciones que permite tas analizaremos con la herramienta Cobian Backup. Cobian Backup es un programa gratuito, multitarea, capaz de crear copias de seguridad en un equipo, unidad extraíble, red local (carpetas compartidas o ubicación de servidor) o incluso en/desde un servidor FTP. Soporta conexiones seguras mediante SSL. Se ejecuta sobre Windows y uno de sus grandes fuertes es que consume muy pocos recursos y puede estar funcionando en segundo plano. Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria, semanal, mensual o anualmente, o en un tiempo especificado. Hace copias completas, incrementales y diferenciales. Soporta compresión ZIP, Zip64 o SQX. Además ofrece la opción de proteger todas las funciones del programa por contraseña. Existe la opción de cifrar sus ficheros usando 4 métodos diferentes de cifrado fuerte: RSA-Rijndael (1024-256bits), Blowfish (128-bits), Rijndael (128-bits) o DES (64-bits). Estos y otros algoritmos se clasificarán en el capítulo 5 de criptografía. También pueden definir eventos disparados antes o después de la copia, como por ejemplo provocar el cierre de un determinado programa que utilice un fichero que se va a copiar y hacer que, una vez finalizada la copia, se vuelva a iniciar. La aplicación permite generar distintas tareas de ejecución programadas en tiempo, en cada una de las cuales podremos indicar principalmente una serie de características, tras pulsar el botón de Tarea nueva (reloj), podremos configurarle paso por paso: General: Nombre nombre y tipo de copia completa, incremental o diferencial. X
■knet^
Ow«
•
0 H o u re tonbr«
^Ddjacm j^Avinuds
i« « «
______
T jr M n j * *
Qncm [^iln d u f «ubárcctcnc*
rnpéju
uwndo led*»
QUMrbvc« » rm r n f á
V («.. CoAjMJtton MMim
D«T* • ( llM M « k
• ter« tf 11« m InWf finn
I Unuerv {> K * . r C«rtf » • « I»
Otr»-* La configuración de arch ¡vos/carpetas origen (pestaña path), destino (destination), tipo de copia, compresión y temporización es sencilla e intuitiva, pudiendo realizar backups programados o en el momento.
RECUPERACION DE DATOS ¿Podemos recuperar archivos borrados definitivam ente de nuestro sistem a? E n el caso de haber sido víctima de un a taq u e o haber sufrido un accidente como corte de sum inistro eléctrico o fallo de hardw are, la recuperación de archivos en disco lo intenta. C uanto menor tiempo y modificaciones de disco tran sc u rra n entre el borrado o accidente y nuestro in ten to de recuperación, mejor será nuestro resaltado. Por ejemplo, cuando en un sistem a de ficheros de u.n sistem a operativo se borra un fichero de un medio de alm acenam iento (disco duro,pendriue USB, cinta, etc.), marca aquellas posiciones que ocupaba dicho fichero en el dispositivo como libres, para poder alm acenar nueva información, pero no las borra. Los datos perm anecerán en esas posiciones hasta que se sobrescriban con nueva información. Por lo que es posible recuperarlo m ediante alguna h erram ien ta software.
I
PRACTICA 2.3 RECUPERACION DE DATOS Existen diferentes soluciones que realizan el rastreo de información marcada como borrada en un medio de almacenamiento y que puede ser recuperable. Windows Recuva es una aplicación de archivos borrados para sistemas Windows, permite seleccionar el tipo de archivo y en qué unidades buscar archivos que están borrados o no visibles directamente en la unidad.
44
2 ■SEGURIDAD PASIVA
© RA-MA
InUemrm Hw rt* «Oblo» vttvw u4»fm urta gtf—ca
"D g ru R M iM Mc*b • eflli? be »xíw ei de fom«fc» careodoi» d o ru iw tw de Cfft». o a w b i rtf*»w tr«i r
«ido* kM M á*< r.
í «0MM í
o
■0
1«
2«
tx
volata «te er*M »
a — 3
•0
1*0 ----- r30
2«
130
X>
«
«0
IT * rj %
100*
% 2» V V 22
«,- C «O V A 50 Wi 730 v rSAÍMMT-130 JIJAMOS rs -
A Éi ÉDpmMMI □ P S A S ttM T 230 e n CO M I
G
r u p o
d e
s a l i d a
1 P i p o d e batería & é«co« Montare
__ | G rupo d e « r tr a d a
C o m erte de f è d a
G ráfico . 0
__ I O u p c d e nfcrm *c*¿n OH c q u p g
P o rtá rte le de c arg a d e s a ld a
0
«
SO
ra
V o la r d a &*ida
0
00
100
24Q
1 O \ o o d a Q uarte
1 Otro 10 upo d e atar m ee
Valor i
3
too 1201___________
un . _ 4 - — ia %
1
222, V
1
_ J L ai • d e O s p c t f M » de to red Par *rwcfto« Valor
Nombra C a rpe reaJ d e vaftda F racuencia d e aafeda
1
V o ie p m è n n o de tafea»
I ________
W tAm mirwno Oto tálete
U id e d e i « |W 106 VA
C a rpa d e s a ld a a paro-fe
sb ttt 9 Í0 V ;ie v
PRÁCTICA 2.5 CÁLCULO ENÉRGETICO DE SAI ENERGY STAR es un programa voluntario de etiquetado para ta eficiencia energética iniciado por la Agencia de protección del medio ambiente estadounidense (EPA) en 1992. La Comunidad Europea, a E Z2E 2 ; través de un acuerdo celebrado con e! gobierno de ios Estados Unidos, participa en el programa ENERGY STAR para los equipos ofimáticos (European Councíl Decisión). El etiquetado ENERGY STAR representa los requisitos de eficacia energética que cualquier fabricante respetuoso con el medio ambiente debe cumplir. Con esta etiqueta podremos elegir los modelos de los equipos ofimáticos con mayor eficiencia energética y que mejor se adapten a nuestros criterios de rendimiento. En la web www.eu-energystar.org podemos encontrar información y consejos sobre las ventajas que supone la compra del equipo ofimático más eficiente desde el punto de vista energético, qué configuración de ahorro de energía resulta más ventajosa y cómo sacarle el máximo rendimiento. Posee también una interesante aplicación de cálculo estimado de consumo energético para usuarios particulares y empresas. A continuación se muestra una tabla resumen de consumos medios aproximados de dispositivos ofimáticos en modo encendido o activo: Podemos concluir que los sistemas con pantalla integrada y multifunción consumen aproximadamente menos del 50% que sus equivalentes con pantalla separada o componentes (escáner, impresora, etc.) separados. A modo de ejemplo plantearemos el siguiente supuesto práctico: La empresa Scripting S.L. nos contrata para dímensionar tanto sus armarios de servidores y comunicaciones, como sus SAIs en un entorno de oficina: En la entrevista con el responsable de IT nos indica: "Disponemos de 2 PCs de escritorio con sus monitores, 2 portátiles, 1 impresora láser, 1 escáner, 1 servidor para backup con un monitor para su configuración, 1 panel de parcheoy 1 dispositivo multifunción router inalámbrico. Estamos interesados en poder poner los equipos principales de nuestra empresa en un armario de 19"" que tenemos de unos 100 cm de alto. Nuestras instalaciones no sufren demasiadas subidas, bajadas ni cortes de electricidad, pero queremos prevenir posibles eventualidades".
2 ■S E G U R ID A D P A S IV A
© RA-M Ä
Tabla 2.6
20
40
PC escritorio
75 W
30x 35
Portátil
32 W
40
X
30
Im p reso ra lá se r
180 W
20
X
10
Router inalám brico
0,1 A lectura de pinza am p erim étrica
Monitor
30 W Fu en tes de alim entación 600 W, consum o m edio 3 0 %
X
3 2x 35 4 8 .2 6
X
8 ,88
S erv id o r
4 8 .2 6
X
4 ,4 4
Panel de parcheo
32
X
10
D atos 1 U = 1 ,7 5
E scá n e r
2,3 A lectura de pinza am p erim étrica
1" = 2,54 cm . S A I ofertada por el proveedor APC 8 0 0 VA con 6 to m a s de backup y filtrado y 2
to m as con filtros de b aja d as y picos de tensión, disponibles en m odelos offüne, ¡nline u oniine, tanto versión rack, de ocupación 1 U, com o para so b rem esa, C o n testarem o s a las sig u ientes cu e stio n e s:
Tipo de SA I seleccio nada ( on-line, in-line u off-line). Ju stifica la resp u esta. La m ejor opción en relación calidad precio su ele se r la S A I ¡nline, en caso de ten e r m u ch as alteracion es en el su m inistro eléctrico, y n e cesita r una disponibilidad m ayor de los siste m a s por las ca ra cte rística s de la em p resa, o ptaríam os por la opción oniine. Tan solo para usuarios dom ésticos se recom iend a la opción offline.
D iferenciar dispositivos según ubicación: O ficina: 2 PCs y 2 m onitores, 2 portátiles, 1 im presora, 1 escáner.
Consum o de equipos conectados a S A I (W ): O ptarem os por una S A I de so b rem esa ¡nline. A la S A I conectados a batería para backup solo serán necesario s los 2 PCs y 2 m onitores. Por tanto el consum o será de ( 75 + 30 ) x 2 = 210 W -> 210 x 1,4 = 294 VA ap ro xim ad am ente. Si se recom ienda que la S A I debe e sta r al 6 0 % de carga 294 x 100/60 = 490 VA, por lo que las S A I ofertada por APC (8 0 0 VA) será su ficien te. Los 2 portátiles llevan su propia batería no es necesario tenerlos conectados a la S A I. La im presora y el e scá n e r se conectarán a las 2 conexiones de filtrado disponibles. A rm ario o rack : 1 servidor, 1 monitor, 1 router, 1 panel de parcheo. Para el arm ario disponible: ¿ E s posible ubicar los equipos m ás críticos en el arm ario disponible por la em p resa? 1 U = 1,75 x 2 ,54 = 4 ,4 4 cm de altu ra. Recordam os el ancho norm alizado son 19" = 19 x 2 ,54 = 4 8 ,2 6 cm . El arm ario en total dispone de 100 cm / 4 ,4 4 cm/U = 2 2 ,5 2 U por tanto tan solo dará cabida a 22 U. A rm ario o rack\ De ancho norm alizado y por tanto atornillables d ire cta m e n te: 1 se rvid o r (8 ,8 / 4 ,4 = 2 U), 1 panel de parcheo ( 4 ,4 / 4 ,4 = 1 U ), en b an d ejas independientes se p a ra d a s: 1 m onitor (3 5 /4 ,4 = 7 ,9 5 por tanto 8 U) y 1 router (1 0 /4 ,4 = 2 ,2 7 por tanto 3 U ).
59
© RA-MA
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
En total serán n ecesario s 2 b an d ejas de ocupación 1 U cada una, m ás 1U para la SA I, m ás 14 U para el resto de equipos = 17 U.
Consum o de equipos conectados a S A I (W ) : O ptarem os por una S A I de rack in-line. A la S A I conectados a b a te ría p ara backup solo se rá n n e c e s a rio s el se rvid o r, router y 1 m onitor. Por tan to , el co n su m o re sp e c tiv a m e n te s e rá de (0 ,3
x
6 0 0 W + 0 ,1 A
x
23 0 V + 30 W) = 233 W ^ 233
ap ro xim ad am en te. Si se recom ienda que la S A I debe e s ta r al 6 0 % de carga 3 2 6 ,2 por lo que las SAI ofertada por APC (8 0 0 VA) será suficiente. El panel de parcheo e s un elem ento pasivo no conectado a red eléctrica.
REFERENCIAS WEB Soluciones de almacenamiento para empresas HP: http:/ / welcome.hp.com/ country / es/es 1smb/'storage, html Soluciones de almacenamiento y copia de seguridad Dell: http:// www.dell.es / Empresa dedicada a copias de seguridad remotas: http: / / www.copiadeseguridad.com/ Blog de seguridad informática. Copias de seguridad: http: / / www.bLoginformatico.com/etiqaeta / copias-de-seguridad Almacenar» iento de datos en Internet Idrive: http: / / Luww.idrive.com
Seguridad física. Red - Iris: http: / / www.rediris.es/cert/doc/unixsec/node7.html Sitio web sobre SAI: http: / / www.newsai.es / Catálogo, manuales y documentación de SAJ: http:/ / www.apc.com/es/ Noticias y medidas de seguridad para CPD: http: / / www.seguridadcpd.com/ Soluciones técnicas para el control de acceso físico: http:/ / www.accesor.com/ Soluciones técnicas de biometría: http: / / www.bionietriaaplicada.com/
60
x
x
1 ,4 = 3 2 6 ,2 VA
100/60 = 5 4 3 ,6 6 VA,
RA-MA
2 ■S E G U R ID A D P A S IV A
RESUMEN DEL CAPÍTULO En este capítulo hemos analizado los principios de la seguridad pasiva para intentar minimizar el impacto y los efectos causados por accidentes. Por un lado, después de ver en el Capítulo 1 que el elemento fundamental a proteger en un sistema son los datos, hemos analizado: Modelos de almacenamiento según el volumen de información y tamaño de la organización: DAS, ÑAS y SAN. La importancia, como recomendación transversal en seguridad informática, de una adecuada política de gestión de copias de seguridad de !os datos críticos de una organización, analizando tipos (completa, incrementa! y diferencial), temporización, cifrado y comprensión, así como redundancia y distribución geográfica de las mismas. Las posibilidades de recuperar datos perdidos o borrados, mediante software específico. En cuanto a las medidas relativas a la seguridad física se han estudiado: Ubicación y acondicionamiento de centros de procesamiento de datos (CPD) y de respaldo, atendiendo a aspectos como: Refrigeración y protección frente a incendios e inundaciones. Control de acceso físico, con medidas como la biometría, armarios de seguridad y circuitos cerrados de televisión (CCTV) para controlar robos y sabotajes. SAI - UPS o generadores autónomos, dimensionados para proporcionar energía eléctrica estable en caso de fallos o alteraciones de suministro.
© RA-M A
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
EJERCICIOS PROPUESTOS 1 . Realiza una tabla comparativa en la que compares el tamaño en Gigabytes (GB), precio del dispositivo, y divide el precio/capacidad o tamaño en GB para obtener el precio por cada GB de distintas memorias comerciales: memoria RAM, disco duro a 5400 y 7200 rpm, CD, DVD, cinta de backup , memorias y discos duros USB. ¿Cuál es la memoria más barata? ¿Cuál es la más rápida? ¿Crees que las memorias de estado sólido o flash sustituirán a los discos magnéticos como el disco duro? Busca y comenta algunos sistemas informáticos que hayan sustituido el disco duro por memorias de estado sólido. 2. Busca información comercial en HP o Dell sobre sistemas de almacenamiento en cinta. ¿Crees que hoy en día se siguen utilizando? ¿Cuáles suelen ser sus aplicaciones? ¿Por qué crees que se siguen empleando? ¿Cuál es el coste por MB? Busca una unidad lectora/grabadora de cinta y una cinta e indica su coste. 3. Busca una empresa que se dedique a recuperar los datos de fallos físicos de discos e indica sus precios y servicios ofertados. ¿Te parecen caros los servicios de recuperación de datos? ¿Cuáles son los principales fallos, recomendaciones y precauciones que se deben tener con los discos duros? 4. Para realizar copias de seguridad en Internet hemos visto que existen sitios FTP gratuitos como Dropbox, Idrive o Mozy, existen otras empresas especializadas en backup remoto de pago. Analiza qué servicios ofrecen y a qué precios, las empresas www. copiadciiegiiridad.com y www.perfectbackup.es. 5. Para garantizar un espacio seguro de nuestras copias de seguridad podemos optar por contratar los servicios de empresas que realicen la recogida y custodia de copias de seguridad ¿Qué servicios y precios ofrecen empresas como www.csabe.corn y www. copiasegura.com?¿Qué normativa deben cumplir con respecto a seguridad informática? 6 . Realiza una comparativa de distintas aplicaciones de software de copia de seguridad analizando las
62
opciones que permiten respecto a: tipo (completa/ i n ere mental/diferencial) y temporización de copias, origen y destino de copias (opciones de alojamiento remoto), compresión, algoritm os de cifrado y contraseñas. Ejemplos para Windows: Cobian, U ranium Backup, Backup4all, Fiabee, FBackup, etc., y para GNU/Linux: Fwbackups, Rsync, Bacula, Amanda, Simple Backup, DupLicity, Backup PC, Suite Simple Backup, Back in time, etc. 7. Dentro de las herramientas de copia de seguridad encontramos herramientas específicas de realización de copia exacta, clonado o imágenes de disco, que permiten la restauración exacta de una determinada partición de disco. Indica algunos ejemplos de software de clonado de discos ¿Cómo se guardará la copia de seguridad por ejemplo para una partición que ocupe 40 GB? ¿Se realiza en un único soporte? 8 . En ocasiones para poder restaurar la configuración de un equipo es interesante tener una copia de seguridad de nuestros controladores. Realiza una copia de seguridad de los controladores o drivers de tu equipo mediante alguna aplicación específica como DriverM ax o similar. Valora ventajas e inconvenientes de este tipo de software en función de las opciones que permite realizar. ¿Qué utilidad puede tener una copia de seguridad de tus drivers? ¿Es posible siempre recuperarlos, incluso teniendo el lisLado de dispositivos? ¿Y en caso de no tener dicho listado? 9. Análisis de mejoras de un CPD en una solución real. Lee y analiza el siguiente caso real “Solución integral de CPD altam ente seguro para Supermercados Condis”, en la fuente web: http:/ / www.abast.es/ cs_ condis_cpd.shtml. ¿Qué se considera un “traslado en caliente”? ¿Cuáles eran los riesgos que corrían y que podrían poner en peligro su anterior CPD? ¿Qué es una auditoría? ¿Quién lomó la decisión de cambio? ¿Cómo se podrían resumirlas soluciones adoptadas por la empresa en los distintos ámbitos? ¿Las SAIs y el resto de sistemas se encuentran en la misma sala? ¿Por qué?
© R A MA
10 . Busca información referente al lector de huella dactilar y el software asociado Fm gerprint Logon Manager, que HP integra en sus portátiles y contesta las siguientes preguntas como entrada en tu blog: ¿Cuáles son las ventajas de usar el lector de huellas digitales para iniciar sesión en un equipo? ¿Cómo es el proceso de configuración software del lector de huellas digitales? ¿Qué precauciones o recomendaciones de uso se recomiendan a la hora de emplear el lector de huella? ¿Se puede iniciar la sesión en Windows con el lector de huellas digitales? ¿Es compatible con otro tipo de sistemas operativos? ¿Se puede usar un dedo diferente para iniciar sesión en el PC? ¿Es posible que varios usuarios inicien sesión con el lector de huellas digitales en el mismo PC? 11 . Para evitar robos en espacios públicos, o aulas, existen una serie de soluciones de seguridad física como: arm arios de seguridad con llave, carritos móviles para equipos informáticos, cables de seguridad para portátiles y llaves y candados para equipos y periféricos. Encuentra un armario y sus características en dimensiones para que dé cabida a un siuitch, panel de parcheo, PC (sobremesa con funciones de servidor) con monitor, teclado, ratón y SAL En primer lugar, deberás elaborar una lista con las dimensiones de cada componente para poder hacer una estimación del espacio necesario en el armario. ¿Qué precio y en qué distribuidor has encontrado dicho armario? ¿Qué características tiene la puerta y la llave de dicho armario, crees que seria totalmente seguro? Explica tus razones. 12. A través del distribuidor www.senfor.com podrás encontrar un conjunto de soluciones de seguridad para aulas de ordenadores. Diseña una solución con presupuesto, que permita dar seguridad a un aula como la que dispones, en la que se quiera tener también 15 ordenadores portátiles. 13. Busca en la web de alguna empresa que facilite soluciones de control de accesos a CPD, como por ejemplo www.zksoftwnre.es , encuentra y explica las diferencias existentes, entre los terminales de presencia (con tarjeta identificad ora), terminales de huella dactilar, y terminales con código y password. Analiza y explica cómo funciona el software de control de accesos, para una empresa con cientos de empleados.
2 ■S E G U R ID A D P A S IV A
14. Si tu equipo no dispone de lector de huella, existen diversos periféricos que permiten el control del PC únicamente mediante la utilización de la huella registrada de usuario. Investiga acerca de los precios y características de periféricos como teclado, ratón, disco duro o memoria USB o incluso lector de huella USB independiente, así como las opciones de software que existen, como eNDeSS. ¿Qué niveles de acceso controla dicho software? Realiza una tabla resumen con precios y características. 15. Analiza las características y el funcionamiento del sistema BioCloser de reconocimiento de voz. Explica su principio de funcionamiento y para qué se puede emplear. 16. Busca información acerca del control de acceso Biopassword y descubre su principio de funcionamiento probándolo a través de su demo. ¿Cuál es el principio de funcionamiento? ¿Qué parámetros mide? ¿Crees que podría ser útil este sistema como control de acceso biométrico? 17. Diseña una infraestructura de cám aras de vigilancia 1P inalám bricas, con 4 cám aras que permita controlar la planta de un edificio. Indica los equipos necesarios aparte de las cámaras, espacio de almacenamiento necesario y períodos de realización de copias de seguridad. Crea una tabla con el coste de la instalación desglosado con cada uno de sus coro ponentes así como la mano de obra de instalación y configuración. ¿Qué leyes se apLican sobre la filmación de vídeo en espacios públicos y en privados? A modo de resumen, ¿qué precauciones y recomendaciones se deben tomar a la hora de realizar grabaciones de seguridad? Busca alguna noticia sobre la implantación de cámaras de seguridad en las vías públicas de las ciudades y qué tipo de controversias ba originado. 18. Encuentra una SAI para todos los sistemas de tu aula, sirviéndote y ajustando los consumos de los equipos en base a las estimaciones de Energy Star, y teniendo como máximo una carga del 70% de la potencia máxima suministrada por la batería. Justifica tu respuesta e indica tipo, número y tipos de tomas, potencia suministrada en VA, etc. En caso de no encontrar una SAI con suficiente capacidad, realiza una división de la carga entre distint as SAI. Es necesario disponer una SAI para un portátil o un notebook? ¿Por qué? ¿Qué función realiza el transformador de corriente del portátil? ¿Y las celdas de baterías? 63
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
TEST DE CONOCIMIENTOS Las medidas de seguridad biométricas: Permiten el acceso a un sistema mediante contraseña asimétrica. Emplean la biología paira medir parámetros de seguridad. Emplean características biológicas para identifi car usuarios. Son el fundamento de la identificación mediante certificado digital. Las SAIs: Permiten conectarse ininterrumpidamente a la red eléctrica. Suministran corriente eléctrica frente a cortes de luz. Son dispositivos de almacenamiento de alta dis ponibilidad. Son pro .gramas que permiten mantener confi dencialidad. Los armarios o bastidores para albergar sistemas no poseen: Profundidad variable. Ancho fijo.
Ai tura múltiplo de 1 U. Profundidad fija. El sistema biométrico más fiable y seguro es: Reconocimiento de voz. Huella dactilar. Iris. Escritura y firma.
64
de:
La pinza amperimétrica sirve para realizar medidas Voltaje (V). Potencia aparente (VA). Corriente eléctrica (A). Potencia real (VV).
En caso de tener una instalación CPD crítico con un suministro eléctrico muy fluctuante, el tipo de SAI a utilizar es: Online o doble conversión. Offline. Inline. Línea interactiva. Si el espacio que disponemos para realizar copias de seguridad es limitado éstas deben ser: Completas. Incrémentales, Diferenciales. Completas + Diferenciales. El sistema biométrico mas empleado por su relación fiabilidad/coste es: Reconocimiento de voz. Huella dactilar. Iris. Escritura y firma. En los sistemas GNU/Linux para realizar copias de seguridad autom atizadas no se emplea el comando: Bkp. Crontab. Tar. Gzip.
/ / / /
Profundizar en aspectos de seguridad lógica. Valorar la importancia del uso de contraseñas seguras. Restringir el acceso autorizado en el arranque, sistemas operativos, ficheros, carpetas y aplicaciones. Analizar las ventajas de disponer el sistema y aplicaciones actualizadas. Garantizar el acceso restingido de los usuarios a datos y aplicaciones, mediante políticas de seguridad.
S E G U R ID A D Y A LT A D IS P O N IB IL ID A D
© RA-M A
PRINCIPIOS DE LA SEGURIDAD LÓGICA El activo más importante que se poseen las organizaciones es la inform ación, y por lo tanto deben existir técnicas más allá de la seguridad física que la aseguren, estas técnicas las brinda la seguridad lógica. La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a Los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo. A los largo de los capítulos 3 (seguridad en el acceso lógico a sistemas), 4 (software antimalware), y 5 (criptografía), veremos algunos de los métodos fundamentales. Algunas de las principales amenazas que tendrán que combatir los administradores de sistemas son el acceso y m odificaciones no autorizadas a datos y aplicaciones. La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de acceso a los recursos informáticos, basados en )identificación, autenticación y autorización de accesos.
Como principio básico de seguridad lógica en la configuración de sis te m a s: todo lo que no está perm itido debe e sta r prohibido.
i A lo la rg o d e e s te c a p ítu lo v a m o s a c o m p ro b a r la im p o rta n c ia d e e m p le a r c o n t ra s e ñ a s fu e rte s y la r e s p o n s a b ilid a d q u e t ie n e n so b re el co n tro l d e la s m is m a s los d e s a r r o lla d o r e s d e s o ftw a re y a d m in is tra d o re s d e s is te m a s . Para ello s e p ro p o n e la le c tu ra d el a rtíc u lo “ U tiliza n d o m a p a s co m o c o n t ra s e ñ a s d e a c c e s o , un a n u e v a id ea de se g u rid a d in fo rm á tica ", fu e n te : http://noticias.lainform acion.com /ciencia-y-tecnologia/ tecnología-general/u tilizando-m a pas-com o-contrasenas-de-acceso-una-nueva-idea-de-seguridad inform atica_Kt8uDQyuXZu27JJbyXmVr4 /. S e p ro p o n e c o m e n t a r en g ru p o la s s ig u ie n te s c u e s t io n e s : •
¿ Q u é longitud d e c o n tra s e ñ a p re s e n ta e s te n u evo m éto d o ? ¿ Q u é código de c a r a c t e r e s u tiliz a ?
•
¿ Q u é m e c a n is m o s y h e rra m ie n t a s m alware elude ? ¿ Q u é m e to d o lo g ía s e p o d ría e m p le a r p ara o b te n e r la c o n t ra s e ñ a ?
•
¿ Q u é p re c a u c io n e s d e b e ría m o s d e to m a r a la ho ra d e r e g is t r a r n u e s t r a s c o n t r a s e ñ a s ? ¿ Y e s p e c ia lm e n t e en re d e s s o c ia le s ?
66
© RA-MA
3 ■S E G U R ID A D L Ó G IC A
CONTROL DE ACCESO LÓGICO El control de acceso lógico es la principal línea de defensa para la mayoría de los sistemas, permitiendo prevenir el ingreso de personas no autorizadas a ta información de los mismos. Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificación y autenticación. Se denomina identificación al momento en que el usuario se da a conocer en el sistema; y autenticación a la verificación que realiza el sistema sobre esta identificación. Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de ahí a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina single login o sincronización de passwords. Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas. Es el caso de servidores LDAP en GNU/Linux y Active Directory sobre Windows Server. Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes son: Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto más corta, más sencilla de obtener probando combinaciones. Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario o conjunto de palabras comunes. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable. Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas, de esta forma so bloquea el sistema automáticamente después de un número de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de protección es el mecanismo empleado en las tarjetas SIM que se bloquean automáticamente tras tres intentos fallidos al introducir el código PIN. A continuación veremos criterios para establecer políticas seguras de contraseñas. POLÍTICA DE CONTRASEÑAS Las contraseñas son las claves que se utilizan para obtener acceso a información personal que se ha almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales, etc.). Para que una contraseña sea segura se recomienda: Longitud mínima: cada carácter en una contraseña aumenta exponencialmente el grado de protección que ésta ofrece. Las contraseñas a ser posible deben contener un mínimo de 8 caracteres, lo ideal es que tenga 14 caracteres o más. 67
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
Combinación de caracteres (letras minúsculas y mayúsculas, números y símbolos especiales): cuanto más diversos sean los tipos de caracteres de la contraseña más difícil será adivinarla. Para un ataque de fuerza bruta que intenta encontrar contraseñas generando todas las combinaciones posibles, si empleamos una contraseña de 5 caracteres en minúscula para el idioma español que posee 27 caracteres diferentes, tendría que probar 275 = 14 348 907 combinaciones a probar. En caso de emplear mayúsculas y minúsculas el número de combinaciones se multiplicaría siendo (27 x 2) 5 - 525 = 380 204 032 combinaciones a probar. Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar, a fin de evitar contraseñas poco seguras, se recomienda: No incluir secuencias ni caracteres repetidos. Como “12345678”, “222222 ”, “abcdefg”. No utilizar el nombre de inicio de sesión. No utilizar palabras de diccionario de ningún idioma. Utilizar varias contraseñas para distintos entornos. Evitar la opción de contraseña en blanco. No revelar la contraseña a nadie y no escribirla en equipos que no controlas. Cambiar las contraseñas con regularidad.
I PRÁCTICA 3.1 CONFIGURACIÓN DE CONTRASEÑAS SEGURAS Todas las recom endacion es an teriorm ente citad as están m uy bien cuando se conocen y se llevan a cabo, pero, ¿no se ría m ejor opción e v ita r que los usuarios tengan co n traseñ as inseg uras o débiles y que no se cam b ien nunca? V eam os que opciones de configuración sobre el control de co ntraseñas poseen los siste m a s operativos.
Windows Las d ire ctiva s de cuentas nos perm iten configurar el com portam iento que van a ten e r é sta s ante una serie de su ce so s. La im portancia de una correcta configuración de e sta s d irectivas radica en que desde ellas vam o s a poder controlar de una forma m ás eficiente la form a de acced er a nuestro ordenador. En p rim er lugar, acced em o s a !a ventan a de D irectivas de seguridad de cuentas, m ed iante la ejecución del com ando gpedit.msc o desde el Panel de control / Herramientas administrativas / Directivas de seguridad local.
Una vez en la ventana de las D irectivas de seguridad local nos encontram os a la izquierda con va ria s d irectivas. T ratarem o s la D ire ctivas de cuentas. Como podem os ver, en este grupo de d irectivas tenem os dos subgrupos,
D ire ctiva de co n traseñ as y D irectiva de bloqueo de cu en tas. Vam os a v e r qué podem os h acer en cada uno de ellos:
68
3 * S E G U R ID A D L Ó G IC A
© RA-M A
D irectiva de co n traseñ as:
• tti
tf
*o ó n
ilM
9
C *T P rf
omtM
T H H
M tA c u v k U a • J 0»HtN« b u fa l ^ i q W ■*«*• * i li Ktrtxmrnfm • _ | C««3*M ¿t rtft» p jt* . Q £ v^r> « « i te car* « A
4
• _ J tf* iO ,K * - « l> K » l
mémm
^A^.aV4
Dentro de las directivas de contraseña nos en contram os con una serie de d irectivas com o:
A lm acenar co n traseñ a usando cifrado reversib le para todos ios usuarios del dominio. Forzar el historial de co n traseñ as: Estab lece estab lece el núm ero de co n traseñ as a recordar, los usuarios no pueden utilizar la m ism a co n traseñ a cuando ésta c a d u c a .. S e recom iend a un valo r mínim o de 1.
Las co n traseñ as deben cum p lir los requerim ientos de com plejidad: S e se recom ienda habilitar esta opción, la cual obliga para n u eva s co n traseñ a s: 6 ca ra cte re s com o m ínim o. C o ntener ca ractere s de al m enos tres de las cinco c la se s sig u ien te s: M ayúsculas, m inúsculas, dígitos en base 10, ca ra cte re s no alfanum éricos (por ejem p lo : !, $, # o % ), otros ca racte re s Unicode. No co nten er tres o m ás ca ra cte re s del nom bre de cuenta del usuario.
Longitud m ínim a de la con traseñ a. Vigencia m áxim a de la co n traseñ a: E stab le ce estab lece el núm ero de días m áxim o que una contraseña va a esta r activa.
Vigencia m ínim a de la co n traseñ a: Estab lece estab lece el núm ero de días m ínim os que una contraseña va a esta r activa. Si es m ayor que 0, los usuarios no pueden cam b iar repetid am ente las co n traseñ a s para eludir la configuración de directiva Forzar el historial de co n traseñ a s con el fin de utilizar su contraseña original.
D irectiva de bloqueo de cu e n tas: Duración del bloqueo de c u e n ta s: Estab ie cee stab le ce, en m inutos, el tiem po que una cuenta debe p erm an ecer bloqueada.
R estab lecer la cuenta de bloqueos desp ués de: E sta b le ce e sta b le ce , en m inutos, el tiem po que ha de p asar para re sta b lecer la cuenta de bloqueos.
Umbral de bloqueos de la cuenta: E stab lece estab lece el núm ero de intentos fallidos para bloquear el acceso a una cuenta.
Recom endaciones: fr Configuración de seguridad local Archivo
O
Acata
B
Ver
Ayuda
c? S C§
^ C a rfijiod ón de «egu8506416640 bytes 255 heads. 63 secto rs/track. 7113 cylinders Units = cylinders of 16665 • 512 * 8225290 bytes Bisk Id e n t ifie r : 0«cfce28df Oevlce Boot /dev/sda1 /dev/sda2 • /4ev/sda3 /dcv/KU5 foot -.if : * 1»
Start 1 U 5004 SOW
End 10 5002 7112 7112
Blochs BQ293* 40580198 16458592* 16458561
Id ÓC Í 7
System D ell U t ilit y HPFS/NTFS #95 E xt'd UBA» HPFS/NTFS
roobjfet: » cd . . r o o t T t ; * p«rt rooti'ot: * cd m l/ ro o tle t: » Is 'i c b ’Ot: root d :
• okdir win » count -t n tfs /dev/sdc>2 /■nt/win «1
Recom endación C onfig urar el arran q u e para que siem p re se realice en prim er lugar desd e el disco duro donde estén instalados los siste m a s op erativos y configurar con contraseña el setup de la B IO S para e v ita r m odificaciones no auto rizad as en la secuencia de arran q u e.
72
© RA-M A
3 ■S E G U R ID A D L Ó G IC A
CONTROL DE ACCESO EN LA BIOS Y GESTOR DE ARRANQUE BIOS (Basic Input/Output System): es el nivel más bajo de software que configura o manipula el hardware de un ordenador de manera que cada vez que iniciamos el ordenador este se encarga de reconocer todo el hardware que contiene el ordenador y controlar el estado de los mismos. En la BIOS podemos configurar cualquier parámetro referente al hardware, de qué dispositivo arrancará en primer lugar o parámetros más comprometidos como el voltaje que se le suministra al núcleo del microprocesador. Por este motivo tendremos que proteger nuestra BIOS de manera que solo un Administrador o un usuario responsable puedan cambiar los valores de la configuración. Según la versión y la marca de la BIOS podemos configurar la seguridad del mismo de distintas formas. Estableceremos una clasificación sobre los niveles de seguridad que suele tener: Seguridad del sistem a (system): en cada arranque de la máquina nos pedirá que introduzcamos una contraseña que previamente se ha configurado en el BIOS. En caso de no introducirla o introducirla incorrectamente, el sistema no arrancará. Seguridad de configuración de la BIOS (setup): en este apartado se suelen distinguir dos roles apLicables: Usuario (solo lectura) y Administrador (lectura/modificaciones).
PRÁCTICA 3.3 CONFIGURANDO CONTRASEÑA EN LA BIOS En toda la explicación de esta actividad nos b asarem o s en una B IO S concreta del fab ricante AM I( por lo que es recom endable reconocer qué tipo de BIO S estam os m anejando (Aw ard, Phoenix, etc.) y co n su ltarla web del fabricante de la placa base para obtener el m anual que contiene los pasos detallados para la configuración de la seguridad.
Proceso de asignación de co n traseñ as E n trare m o s en el setup de nuestra B IO S (norm alm ente pulsando en el principio del a rran q u e , tras p ulsar el botón de encendido la tecla Su p r o F 1 2 ) y nos dirigirem os a la sección "secu rity" para poder configurar las co n traseñ a s. En esta sección nos en co n trarem o s con una serie de opciones para ca m b ia r o borrar las co n traseñ as. E sta s son:
Change supervisor password: crear, cam bia o elim ina la contraseña del Adm inistrador. Change user password: cre a r o cam b iar la contraseña del usuario. Clear user password: elim ina la contraseña del usuario.
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
S e le ccio n a re m o s "chang e su pervisor passw ord" para cre ar la nueva co ntraseña del A dm inistrador, introducirem os la co n traseñ a dos v e ce s y p ulsarem os en "OK". Tras definir la co ntraseña del adm inistrador, la vista de la sección "secu rity " cam b ia. Ahora nos en co ntrarem o s con m ás opciones que las que se m ostraban por defecto en esta sección, com o:
User access level' define el nivel de acceso que tendrá el usuario. Estos niveles pueden v a ria r en tre: No access (sin a cce so ), View only (solo le ctu ra ), Limited (m od ificar con lim itacio n es) y Full Access (todos los p erm isos).
Password Check'. e ste parám etro perm ite configurar cuando querem os que la B IO S pida la contraseña tanto al A dm inistrador como al usuario norm al. La opciones son:
Setup\ la co ntraseña se pedirá en el inicio del asisten te de configuración de la B IO S . Always: la petición de la co n traseñ a se realizará en cada arranq ue de la m áquina. Ahora ca m b iarem o s las opciones del usuario norm al ya que por defecto tiene pleno acceso a la B IO S . En nuestro caso los config u rarem os para que solo pueda visu a liza r la B IO S . Para ello, se leccio n arem o s "U se r A ccess Level" y m a rca re m o s la opción "View Only". Por últim o, configurarem os para que siem p re que se inicie la m áquina nos pida la co n traseñ a , m ediante la opción "Passw ord C h eck " lo podrem os configurar seleccionan do el parám etro "a lw a ys":
Pit I n
iM u . im r il
S u p e r v is o r P assw ord U ser P a ra m rd
P llu rT '
Change S u p e r v is o r P a s s u o rd U ser A ccess L e v e l C hange U s e r P a ssw o rd C le a r U s e r P assw ord
UIÜS SETUP U T IL IT Y IttMit. S S it O T J f
1
Kk L
1
n s ta I n i Im U lIr d
t U l r u O n ly ]
S e t u p ’ C h eck p a s s w o rd w h ile in v o k in g s e t u p . A lw a y s : C h eck p a s s w o rd u h i l e in v o k in g s e tu p .< w e ll u s o n e a ch b o o t .
Con esto ya tenem os configurada la seguridad de nuestra B IO S para e v itar a cceso s no d eseados a la B IO S y al arran q u e del siste m a . Una ve z configurada la seguridad de los usuario s, podem os reiniciar nu estra m áquina para ve rifica r que nos pedirá la contraseña en el arranq ue de la B IO S :
Enter CIIHREMT Passuord :
In tro d u cirem o s la co ntraseña y podrem os inicializar nu estra m áquina sin problem as.
R ecom endaciones C ab e d esta car que la seguridad de la B IO S es m uy vu lnerab le ya que existen va ría s form as para re se te a r ta B IO S, y vo lve r a sus valo re s de fábrica y por tanto que las co n traseñ as d esap a rezcan . Una de ellas es quitando la pila de la placa base, o a través de la conexión del jumper C LR _C M O S que suelen trae r junto a la pila. A ve ce s con un sim p le candado que aseg u re la apertura de la torre y no perm ita el acceso a la placa b ase es su ficien te. O tra form a para re setea rla es con una distribución Live como U ltím ate Boot CD for W indows, o con el PC arrancado b ajo W indows, e je cu ta r una aplicación como cm o s_p w d , que encuentran y borran las co n traseñ a s.
74
© RA-M A
3 ■S E G U R ID A D L Ó G IC A
Im ag e n del m enú de UBCD con las h e rram ien ta s de password para re cu p era r y borrar el password de la B IO S . E s im portante cuidar la fortaleza de la contraseña de la B IO S a se r posible que sea de )a m ayor longitud posible (su e le s e r dependiendo del m odelo entre 6 y 10 ca ra c te re s), y que contenga m ayú scu la s, m inúsculas y núm eros para h a c e r m ás difícil la obtención de la contraseña por p ersonas no d ese a d a s. Del m ism o modo es recom endable que el adm inistrad or no publique, ni escriba de form a visib le su contraseña y la ren u eve periódicam ente.
| PRÁCTICA 3.4 CONTRASEÑA EN EL GESTOR DE ARRANQUE Cuando tenem os instalado varios siste m a s operativos en disco duro, para se leccio n ar con qué sistem a arrancarem os se em plea un gestor de arranque. Unos de los m ás populares y em p lead o s con siste m a s operativos GN U /Linux es GRUB.
A m enaza o vulnerabilidad D espués de realizar la B IO S las com probaciones de hardw are y dar paso al arranque de los dispositivos configurados (Boot S e q u e n ce ), es posible visu a liza r el m enú de arranq ue de GRU B pulsando la tecla E S C , siem pre que lo tengam os instalado (por defecto en distribuciones com o Ubuntu) y no se m uestre.
I■ »[i Lwm'UMvnmmmMm IJbMntM, kt’ rm'l » - O l í Uifi I HHfKtrv I OI Hitr o y w í « l In g v y a tim v U im lU M i H W HW M X f
1______________________
___________________ x h iih
u a lr y
d OS. lo r
•
O
Is
to od|< tlw»
c o t» « i» 4
141.»
La opción de recovery m ode bajo siste m a s GN U/Linux tiene un propósito de recuperación en caso de fallo del siste m a , pero puede se r utilizada en tre otras accio nes para recu p era r y m odificar co n traseñ a s de ad m inistrad or ( root) o incluso acced er a inform ación del disco duro.
75
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Vem os dentro del m enú de recuperación como es posible a cced er a una consola con privilegios de root. Perm itiría e je c u ta r com andos de cam bios de co ntraseña sin conocer la an terio r com o: passwd root. Otra opción si tuviéram os restringida la opción de recup eración, se ría editando alguna de las en tra d as del m enú, pulsando la tecla e, y en la línea kernel m odificar el final de la m ism a su stitu ir el texto desde "ro" incluido, por
¡n¡t=/b¡n/bash. Si arran ca m o s d esp ués de la edición, desde esta opción este cam bio e je cu ta rá en el arran q u e una shell con perm isos de root, teniendo control total sobre el siste m a . P roceso de asignación de contraseña a GRUB Com o recom endación se propone:
A ñad ir contraseña en crip tad a al m enú de edición es d ecir im posibilitar la edición por cu a lq u ie r usuario no autorizado. ■Mfufeantti.-t i n « 3 ir* j d rv tc r» te g u e it BIOS d r iv e s T h u w a tu b u n tv - i f r d l t /hoot/Qrufe/aewu. U t
ftrtfrrt»
**
Vann*
may
te te • li
AyytlJ
I m m u l BAS* l i k e li n e e d it in g i t w p p o r tH th e tin t w on j. TAB I» » !» p e t t ib le '» ( n o re a lly th e U r * t « n tiy (te fin e d i c c a p le c ie n t Anywhere « I m TAB l i m the pi c o a p le tio m o f ■ d e v ic e /f ile r a a e . 1
•e hiddenaenu
Petted- ••••• gruh> «JVc r/p t.
i f Hide» th e aew i by d c le u lt | ( m t fSC te tee th e eenui |
F**rypted: *ll7f&5t/M»Y«rtO/ijP .’ grrhO» i^rís»
• P r e tty t o ìo u r t '• c o lo r cyer/H lw e « A lte /b lu <
q iu t> Q
»* p e ttw o rd I '
«d V | »M w d
• I f u*«d in thè f i r t t ir t t lo r of a amu T ile .e d itin g
'»
control leetuj witry c^ltqr
*nG l
lir e )
«l JOd entri
• cowwnd * lo c k ‘ e . f . p e tiu o rd to p te c re t
11 #
I>etword «JS i 0
p attuir«
ilig iM * /w w /ik í*iQ r» i« M ritu o e /
A ñad ir encriptada co ntrasena en modo de recuperación. n¡
d e v lc e t to g tie tt 1 1 « « r iir e t. T h ll aey te ke i « M jfc u n tu :*l g e d it J b o o t/g n jb /a e m i.ls t
0 érrhrt«
tuca«
fi*
alunmacufeunlv Jwrnwai
V jM
Id le
6 Muevo
/r *
J . .
Aftnr
&XJlI>-MAOC«M
R«9f»rV*J> KttY_CU fi*tK !
V* « 1
fopatyV*» MTrv.LCH^_MAO«NC\SOrrw«AC'Moo^Wrd}«MSGjfwVVwMn\Acr>'4)mk*««:t>ooicarAg MtXY.CIJRf**«! _USf R'¿OTTWARE
Vn oc-fi\r.yJmmS^jUtOtD
H^_CURR(M1.immSOaWAW\MaOKA\Wn4m«\CiMrA>«wn> J >oleM\Sfi£^MMA«9 dirToah A«9«fev
| 96
MtfY.lOOL.MACH1ME VvOFTWAR*; 'JNác-iNHr» , W ntoM NT
II Cwr ]
im
V«i
p)6ood ¡O)
Batf piOcod a (1) 0«*3 [0|
I ’■+ I
4 ■S O F T W A R E A N T IM A LW A R E
© RA-M A
Las 3 ultim as en trad as restituyen valo re s correctos del registro. JÜ M jh *.u rliy1 rt'Ant* M.ilar.wr
M a liu a re b y te s’ AobmAem
c u iw im
Rapata
Lata óe-r** **»
m an ai pia ato
^ U itu n t* I r a n 0 te M w v lo i ^ l i m i t « Traca 4 0
Herreraertes Ubc^oÓn
CoMndo
y¡
*C'\Ardwoí de programaKyfcerLr*.\Pot*e»DVD\... "C:Wct*vo4 de progreme\Cy to n 04 T>it parto# r tv ic jn r tiK fc ito r w v 'r tf «a po eu i « r tn n tM t «iok>ad*rf»r. vtiK > pl ar p e -is t*rctu sfig th tE SUrl SMrt*>P«9r. 5««ah6«r and *>♦» kvutíMl loN M rt ro • ta « t«* t page tftm • ry rtw * r«toot M o . • tX i M» b» th«£ car rtx¡ vcv*rai p * t i d yo* ffUtm.
Inf«cttdhwoéi ••geatc r t W C i r v«S
(
nrd n: C-Wogre»
h
n tá* 8 ( M id
(Anón l«*ao »tQrtry »
}
02-mo *^SartD*erto^-e* 04 04 04 0« 04
- H l**.
[Aá&iK+*itr-Sc+KlL*ntm )'C'rrajrw nFén‘lM * * \P » * * '9 tyl»*á"Vt»+3* j L
fr t
- H1M\ Vtvn ¡Adob«A#í«3*C \Praor*»««\Cai»wFteVW oe»V*P»^l 0\Adab*A£V r>«* •M U4 [Butfcb] C jo t r a r * 5te*A5UCe®jfcü» • t* M lK flogo#f]C:y^ogr««nn\wtritoMiSCMA5UU\SCnjriot#Y.*»* • * m . IP v r [KeeAftec : docuaentocesar rootaaluwio■ I aptop :/hone/alumno/Documentos/Confidencial# cat docuaento cesar Hvwh dufklyr frqwlhqh Iqirupdflrq uhohydqwh b gdwrv gh Iqjuhvrv shulrglfrv Sdvvl: a m r d o d Sdvv2: Lqjuhvrv
hwf
root@alumno-laptop:/hoae/aluano/Docunentos/Confidencial» |
Com o vem os el com ando tr perm ite re alizar una sustitución ca rá cte r a carácter. M ediante tu b e ría s o pipes se han incorporado m ayú scu la s y caso s lím ite como son los ca ra cte re s 'x', 'y' y vz'. 2.
Otro ejem plo donde se su stitu yen las vo cales por ca ra cte re s esp ecia le s de puntuación, a-*b->etc. Archivo
Editar
yer
Terminal
Ayuda
root@ubuntu:/ho«e/alumno/Docuaentos/Confidencial» cat documento | tr [aeiou] r [AEIOU] I > docuaento sustitución root@ubuntu:/hoae/alumno/Oocuaentos/Confidencial« cat documento sustitución st :rch,v. c.nt. n l: .nf.n»:c,.n r l v:nt P:ssl: J.k.:l:
| ti'
P :S S 2 : ,n g r s . s _tc
root@uburtu:/ho«e/aluiwio/Docuaentos/Confldencial» cat documento Este archivo contiene la información relevante Passi: jokoala Pass2: In g re so s
etc root@ubunt u :/hoae/aluono/Documentos/Confidencial* |
3.
Por otro lado, com o ejem plo de algoritm o de transposición, p asarem os a un scrípt denom inado transposición, sh un docum ento en texto plano, y palabra a palabra y c a rá cte r a carácter, irá dándole la vu elta, colocando de esta form a cada ca rá cte r en una posición diferente pero sin m odificarlo.
110
©
RA-M A
5 ■C R IP T O G R A F ÍA
i------- . » vUhM. í / m »o
( A ta r
y rr
Jtvrmnal
------- - ■ * r /«
rootfutuniu /ho*/alurv)/C)QcueertosZContJdmciaL* transpon clon. *h docuarolo root*ubw«tu /ho«*/alu«no/Dounru:/TMryaluBno/t>ocuamtc^i/Cnofiden1M(M 201« U-15 uld Jesús Costas Santos (Generación de claves para cifra d o asiae t r lc o l '
clave DSA de 1924 b it s , ID S0196EF4. creada e l 7016 12-13 se fuerza salid a con armadura A SCII. C ertificado de revocación creado. Por favor consérvelo en un sedlo que pueda esconder; s i alguien consigue acceso a este ce rtificad o puede usarlo para in u t iliz a r su clave. Es inteligente ía p rla ir este c e rtific a d o y guardarlo en otro lugar, por s i acaso su ardió resulta iaposlble de le e r. Pero precaución: ie l slsteaa de íapresión de su Boquina podría alw cenar los datos y hacerlos accesibles a o tras personasl root(iubuntu:/hoae/a\uano/Oocuaentos/Confidenciale gpg taport revocación.ase gpg: clave Í019B6F4: "Jesús Costas Santos (Generación de claves para cifrado asimétrico) * ce rtificad o de revocación 1aportado gpg Cantidad to tal procesada: 1 gpg: nuevas revocaciones de claves: 1 gpg; 3 dudosa(s) necesarias, i coapleta(s) necesarias, aodelo de confianza pop gpg: n iv e l: 9 valid e z: 1 tim ada: 9 confianza: 9 -, 8q. 9n. 9a. 9 f. lu root£ubuntu:/hoae/ali*vio/l>ocuaentos/Confidenclol# cat revocación.ase BÉGIH POP PUBLIC KEY BIOCK........... Versión: GnuPG v i . 4.9 (fM IA Jm ix) Co—rn t ; A revocation c e rt ifíc a te should fo lio * lEk£IB£CAAlcFAk9]KosCHOHACgkQKvUSV9CvvTB>ACgioKCx3SnXltOSkuwnwÍl Et7WCycAnJf4*0ulQ3F0pu2íPftpdpaJCbkU -44 ?n ----- LHD POP PUBLIC KTY BlOOC........... roottubuntu:/hoae/aluano/Docuaentos/Confideftciala gpg -k t root/ . gnupg/pubring. gpg pub Í9240/»198£F4 2919-12-15 (revocada: 2919 12-13) uid Jesús Costas Santos (Generación de claves para cifrado asiaetrico )
Com o vem o s en la Figura an te rio r al listar el listado de cla ve s, m uestra la fecha de revocación. El últim o paso es com unicar a los servid o res de cla ve s que nuestra cla ve ya no es válid a, con la o rden : gpg —k e y se rv e r N om breD elServidor --se n d -k e ys C la v e lD . Tras re alizar dicha operación podem os b uscar y v e r el estad o del certificado en el se rvid o r público de certificados.
S e a r c h r e s u lt s fo r 'je su s
co sta s’
loot von Tied) Se rvrr - Get Arrfuvo Efftt* £
Hijfon*
Uarcadom Mtrramtercat
0*?a*7c4*35dl0tJirta ••. iñojfíl* r\i**ò* a
« hnp.'/pgprertnves in7l4*sAoo»tup»of>*get&sejrth».to2Af2C4t5i0109
v
,|Q *
' MAsviSitadov'- ^Oetl/ngStarteo ..'Lates* Mea^i-nes*
P u b lic K ey S e r v e r -- G et " 0 x 2 a e 2 c 4 e 5 5 d l0 b e f 4 " rtX l««) j»yx*A O Vl» tfO ftT *T p.tb riCAwa4o
Iqufw inai rie t r f l lindo* 'le fio yihoo i frr cartftado | I i l r
[urt»4»trrocaoiJn I | g^diodo ] Itepo«»««da«a?sttad
A
A nno r [rVcr^anon Oí ta dma piMta ód * 4*0 álQcrtmo 0* U dava pübkca M «usto
Om p i H u M m * - U m cm tm mtn
dtf aui lo M carffKato ftatenreor«* ^fcncai da cartfkads ldertf acador di obm C? S3 lt)
U lu o o n da ki d a * da cwrttcado
___
P**Ua # W k t * n —r 9-m i—r«>J hr»*/ c
oi^ctisoco oia72xnD
anuu&m
|
/ t&iiw»fMXH
.
134
liS«» H- »wn l!\
i»*
|
O»
|
C ro l
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Para re a liza r un ataqu e ARP Poisoning o de en ve n en am ien to ARP, se le ccio n am o s la p estaña inferior APR, y p ulsarem os el botón su p erio r + . Seleccio n arem o s de los equipos de nu estra LAN, por qué equipo querem os hacernos p asar (colum na izq uierda) y en qué equipos q uerem os infectar su tabla ARP (colum na d e re ch a) con una entrada de nuestra MAC asociad a a la IP del equipo a suplantar. En este caso el equipo por el que nos harem os p asar se rá la puerta de en lace (1 9 2 .1 6 8 .0 .1 ) , ya que la m ayoría del tráfico irá dirigido a este equipo. C : \ D o n m r iit o
m u! S o t t in 'ja \< ftd n tfiX ir p
I n t r r Í A . ' . 192 .1 611 .» .1 1 D i r e c c ió n IP 1 9 2 .1 6 8 .f t. 1
C :\D o c iu ia n t v « m i S e t t in(jt> V A d « ifi> a rp I n t e r i n e : 1 9 2 .16U .(J. 11 D ir e c c ió n IT 1 9 2 .IC H .11.1 1 9 2 .1 6 8 . I t . Iff
¥
«
H *2 D ir e c c ió n f i e l e « M T 2 4 -4 1 2% -MU-2H
Tipt» d in A n lc o
*
Mw2 D ir e c c ió n ( i - l e « M HU 1 B - d « -2 2 - V « -* 5
I ip o d Í¿ M Ío i d in iír i ic o
1 Podemos ve r el an tes y desp ués de dicho envenenam iento en uno de los equipos infectados: 1 9 2 .1 6 8 .0 .1 1 . En prim er lugar la MAC de la puerta de en lace o router era 0 0 - 2 4 - d l- 2 5 - 0 0 - 2 0 , a continuación d esp u és de re alizar el en venen am ien to disponem os de 2 en trad as con la m ism a MAC, del equipo que va a recib ir todo el tráfico que vaya dirigido a la puerta de enlace. Medíante esta técnica es posible m onitorízar el tráfico que va dirigido al router y rastre ar protocolos no seguros como FTP, HTTP, POP, SMTP, Telnet o FTP, y de esta forma obtener cre d e n cia le s.
PHARMING Es posible re alizar una inserción en las tab las locales de nom bres de dom inio, posibilitando un redireccionam iento a una IP con una web falsa. Seleccion and o la pestaña inferior APR, y la opción APR-D N S podem os c re a r en trad as de nom bres de dominio con IP falsas.
a a
-j * © s* » £* + j ¿
Dtodert
HKwwri
W I« I , /
O e&m | 0
fiK a o J e
|E
• o t ii
CCCU |*H'
5Ç75T E3 AP*cur PuTTY m — Sp*cfy V * á m r t ^ c n you w m t to coonort (o
22
Hoat fian« jor IP «j6oaa)>
Poi
CorwecDon rypa B »
la * «
nog*
«ssh
m
Load a « or ó e k t* a *ored !■— o r Sovgd Sesmera
¡ Sffcctcn C ocui C o m ed ion
M s J í Scenga fe o
i
D *» Proxy
1
T «ir«
Lsad S IJ I fr te
fib g n ■b SSH Sanai
1
,_____________ ,
jj Oosa te n te * en s u A+HSfi N n«r
1
u O rt/ on oeart oad
__________________________ Op«n
J| 1
Acto seguido, nos ap a rece rá una nueva ven tan a sim ulando una ventana de una consola de com andos. In tro d u cirem o s el usuario de la m áquina rem ota y su co n traseñ a respectiva. Tras introducir los datos de usuario nos ap a rece rá una confirm ación de la conexión al servid o r ssh, pudiendo de este modo eje cu tar com andos rem otam ente.
ífW(ír4S«fvicíof ^ -
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
I PRACTICA 6.5 T L S / S S L . P R O T O C O LO S S E G U R O S A m enaza o vu ln erab ilid ad es El softw are Caín & Abel para siste m a s W indows perm ite en caso de realizar un ata q u e MitM, poder an a liza r el tráfico de una red local, id entíñcar los m e n s a je s y extrae r cre d e n cia le s de los protocolos que envían su s m en sajes en texto plano, por ejem p lo en tre los m ás conocidos y em p lead os: FTP, PO P3, SMTP, Telnet y HTTP.
flewr Cgrfujif« Toofc tjd -J £
M
©
Orcode-í | £
U S
5 S
Nrtwork
Passvnrds «¡*FTP(2) 3 HTTP (ZS82J
J Srrffer rnutarp 18/12/2010- 1 18/12/2010- 1 18/12/2010- 1
aa ldap (o) ■Jl POP3 (3) • * 5MB (0) ■ Tgtot (0) g WC (0) 3)TDSdrcrrxxtoo? P £Orr»erpécfSSL/US Ptowenrp»óatectarrMir551^15mode
0*en for 5SlfTLS-orfc ccrrccbons on the fofo«ng pom
Or.
f^90
A continuación para los usuario s que se deseen conectar m ediante soporte S S L /T L S , debem os de m arca r la casilla Forcé S S L for u ser login en sus opciones de co n traseñ a .
2. En la m ayo ría de c lie n te s FTP, las opciones de configuración de cu e n ta s de usuario FTP, perm iten conexiones seg u ras m edian te SSH y S S L /T L S .
aconraaaAa para al lituano wvooal m *
Daaca «m v Saílwat a Satv4ctaa lá rta n in
Correo electrónico: en las cu en tas de correo es recom endab le re visa r la configuración y su s opciones para que siem p re em p leen https. Para la configuración de cu e n tas de mail a través de clientes de escritorio alg unos se rvid o re s com o gmail com ienzan a requerir el uso de puertos y protocolos de tran sferen cia seg uros m ediante S S L : Cuenta de C orreo:
[email protected]. Datos POP: Servid o r: p op .gm ail.com . U sar S S L : S Í. Puerto: 995. Datos SM TP: S e rv id o r: sm tp .g m a il.co m . U sar T L S / S S L : S Í. Puerto: 4 6 5 ó 58 7 .
Recom endación S ie m p re que tengam os que co nfig u rar servicios tanto clientes como se rvid o re s, que requ ieran el uso y envío de co n traseñ a s, es recom end ab le el uso de configuraciones y puertos que transm itan su s m e n saje s cifrados.
V PN Una red privada virtual o VPN (Virtual Prívate N etw ork), es una tecnología de red que perm ite una e x te n s ió n de u n a red lo c a l de forma segura sobre una red pública, como Internet. Algunas aplicaciones de dicha tecnología son la posibilidad de conectar utilizando la infraestructura de Internet, dos o m ás sucursales de una em presa, perm itir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de trabajo, etc. P ara haeerlo posible de m an era segu ra es necesario proporcionar los medios para garan tizar la autenticación, integridad y confidencialidad de toda la comunicación: A u ten tica ció n y au torización: se controlan los usuarios y/o equipos y qué nivel de acceso debe tener. In te g r id a d : los datos enviados no han sido alterados, se utilizan funciones resum en o hash, como MD5 y SHA. C on fid en cialid ad : que la información que viaja a través de la red pública solo puede ser interpretada por los destinatarios de la misma. Para ello se hace uso de algoritmos de cifrado como DES, 3DES y AES. N o re p u d io : los m ensajes tienen que ir firmados. Básicam ente existen tres arq u itectu ra s d e co n ex ió n VPN: VPN d e a cceso rem oto: el modelo m ás usado, usuarios o proveedores que se conectan con la em presa desde sitios remotos (oficinas públicas com partidas, domicilios, hoteles, etc.) utilizando In tern et como vínculo de acceso.
145
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
VPN p u n to a punto: conecta ubicaciones rem otas como oficinas, con una sede central de la organización. El servidor VPN, que posee un vínculo perm anente a Internet, acepta las conexiones vía In tern et provenientes de los sitios y establece el túnel VPN. M ediante la técnica de tu n n e lin g se encapsulará un protocolo de red sobre otro creando un túnel dentro de una red. VPN ov er LAN: es el menos difundido pero uno de los m ás poderosos p ara utilizar dentro de la em presa. Em plea la m ism a red de área local (LAN) de la em presa, aislando zonas y servicios de la red interna, a los que se les puede añadir cifrado y autenticación adicional m ediante VPN. Perm ite tam bién m ejorar las prestaciones de seguridad de las redes inalám bricas, haciendo uso de túneles cifrados IPSEC o SSL que agregan credenciales de seguridad del propio túnel VPN. El protocolo estándar que utiliza VPN es IPSEC, pero tam bién trabaja con PPTP, L 2 TP, SSL/TLS, SSH, etc. Dos de las tecnologías m ás utilizadas para crear VPN’s, en realidad son diferentes protocolos o conjuntos de protocolos, P P T P y L2TP: P P T P o Point to Point Tunneling Protocol: es un protocolo desarrollado por Microsoft y disponible en todas las plataform as Windows. Es sencillo y fácil de im plem entar pero ofrece m enor seguridad que L2TP. L 2T P o Lciyer Two Tunneling Protocol: Se tra ta de un están d ar abierto y disponible en la m ayoría de plataform as Windows, Linux, Mac, etc. Se imple m enta sobre IPSec y proporciona altos niveles de seguridad. Se pueden u sar certificados de seguridad de clave pública para cifrar los datos y g aran tizar la identidad de los usuarios de la VPN.
PRÁCTICA 6.6 C O N EX IÓ N REM O TA CON VPN En este caso práctico in sta lare m o s un servid o r de VPN en los siste m a s op erativos W indows y GN U /Linux m ediante el program a Logmein Ham achi que perm ite la com unicación entre 2 m áq uin as rem otas m ediante VPN de m anera fácil y sencilla. A cada cliente H am achi se le asigna una dirección de la red 5 .0 .0 .0 Esta dirección es asignada cuando el cliente se autentifica en el sistem a la prim era ve z, y es en ad elan te asociada con la clave de cifrado pública del cliente. M ientras el cliente retenga esta clave , puede au ten tificarse en el sistem a y utilizar esa dirección 1P 5 .X .X .X . La red 5 .0 .0 .0 / 8 es utilizada para e v ita r colisiones con redes IP privadas que podrían e sta r utilizándose en la parte cliente. El bloque de d irecciones 5 .0 .0 .0 está reservado por la 1ANA y no está actualm ente en uso en el dominio de en cam inam iento de In te rn e t, pero no está garantizado que esto continúe así en el futuro. 1. Antes de em p e za r la instalación es necesario re g istra rse en la página w eb de Logmein para tener acceso al instalad or del program a y poder u sar dicha aplicación m ás adelan te.
h ttps://secure. logm ein. com/ES/products/hamachi2/do wnload. aspx La aplicación se ofrece de dos m odos, con gestión o sin gestión. En nuestro caso elegirem os la opción "con gestión" para d isfrutar de todas las utilidades de esta aplicación, Acto seguido cre are m o s la cuenta de usuario pulsando ei botón "C re a r cuenta". C re a re m o s la cuenta de usuario con los datos de form ulario requeridos, y con la cuenta activ a, volverem os a en tra r en la web, acced erem o s a nuestra cuenta e irem os a la sección “ p ro d u cís" / "logm ein Hamachi". Una vez dentro de la página de la aplicación, pulsarem os en "get started" para obtener el instalador. Tras esto p ulsarem o s en ''download now" para obtener el instalador.
146
© RA-M A
2.
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Realizarem o s la in s t a la c ió n , y eje cu tare m o s la aplicación para e m p e z a r a cre a r nuestra red VPI\I. Para ello eje cu tare m o s el program a y pulsarem os en la opción "C re a r una nueva red": Para c re a r la nueva red tendrem os que in sertar un nom bre para la red y una contraseña para ev itar que se añ ad an usuario s a je n o s a nosotros. Tras re llen ar los cam p os, pulsarem o s en "crear".
Crear nu rv * r rd é* 4at»4
traba*
U JQka par* Jtxm W»*dv trrt* a dk Cottadl»
IZWMi 5« «¿fea par• »«angr 4 aa»to a la r«d 1
fr—
j
C ft» »
lin iff inWm P « a i r r « >BMmirra rrad Qrriwnrdi f fl
Una vez cre ad a la red ve rem o s como el m enú principal de Ham achi m uestra d irectam en te la red que acab am o s de cre a r: ! o trM f» T r fceo
X
Hamarhi' ¿yuta
• E l 5.186.10.91 | ¡ g f l FRKTARVl V )1
9 Grupo de trábalo anime
Con esto ya d isponem os de un servid or VPN a la e scu ch a de peticiones cliente. 3.
Para conectarnos desde otro ordenador en una ubicación distinta de nuestra LAN, e je cu ta re m o s la m ism a aplicación que efectuará el papel de cliente en otro ordenador. Seleccio n arem o s la opción de m enú "Red" y "U nirse a una red existe n te":
En la sig u ie n te ve n tan a ten d re m o s que in sertar el id de red que hem os creado an te rio rm e n te y la contraseña. Tras esto pulsarem os en "unirse". De esta forma ya estam os agregados a la red virtu al:
1o q f W i t god g
j
v+ ñ*
_
X
A fj.ii
6 1 9 7 4 1 .1 6 3
Q Grupo de trabajo onfcne
V
w FRQfrWTH. - 1 U 6 .10.91
Una vez conectados de form a segura entre 2 equipos, podem os co m p artir archivos, e je cu ta r aplicacion es de form a com p artida, entre otras opciones, de la m ism a form a que lo haríam os en una LAN. Pulsando con el botón derecho sobre el nom bre del equipo que queram os re alizar la acción, nos m ostrará un m enú con fas opciones disponibles, por ejem plo Explorar, para b uscar archivos y ca rp etas com p artid as.
147
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
4. C liente GN U/Linux H am achi. Para la instalación d e sca rg a r el paquete que perm itirá in sta lar la aplicación de la web del fabricante. Tras esto descom p rim ir el fichero en una carpeta e instalarlo, m ediante el com ando
make install, contenido en la carpeta h am ach i-ve rsio n -ln x. Sin m overnos el m ism o directorio de la carp eta donde hem os descom prim ido todos los ficheros, irem os al directorio tuncfg, para e je cu ta r el clie n te: ,/tuncfg. A continuación g en eram os la inform ación de la cu e n ta: ham achi-init. A rran cam o s el servicio de ham achi con la siguiente orden: ham achi start. Tras esto ponem os el servicio en línea con la sigu iente ord en: ham achi
logín.
Para añadirnos a la red que hem os creado en w indow s lo harem os de la sig u iente m anera. En p rim er lugar definim os nuestro nom bre a nuestra m áquina con la orden: ham achi set-n ick Linux. Posteriorm ente/ en trarem o s a la red cread a en w indow s: ham achi join n o m b re _d e _re d p assw ord , para nuestro caso nom bre de red: Grupo de trabajo online y co n traseñ a 123456. A continuación nos indicará Joining Grupo de trabajo online . . ok Para a p a rece r conectado en la red virtual utilizarem os la siguiente orden: ham achi go-online n o m b re _d e _ red V erificam os los usuario s de la red y su statu s m edian te: ham achi list.
REDES INALAMBRICAS E n los últimos; años ha irrum pido con fuerza, en el sector de las redes locales, las co m u n ica cio n es inalám bricas, tam bién denom inadasivireless. La tecnología inalám brica ofrece muchas ven tajas en comparación con las tradicionales redes conectadas por cable. U na de las principales ventajas es la capacidad de brindar c o n e c tiv id a d e n c u a lq u ie r m o m e n to y lu g a r, es decir mayor disponibilidad y acceso a redes. La in sta la c ió n de la tecnología Inalám brica es sim p le y econ óm ica. El coste de dispositivos inalám bricos domésticos y comerciales continúa disminuyendo. La tecnología inalám brica perm ite que las redes se am plíen fácilmente, sin limitaciones de conexiones de cableado, por lo que es fácilmente escalab le, A pesar de la flexibilidad y los beneficios de la tecnología inalám brica, existen algunos riesg o s y lim itacio n es. U tilizan rangos del espectro de radiofrecuencia (RF) sin c o ste s de licen cia por su transm isión y uso. Estos rangos al ser de uso público están saturados y las señales de distintos dispositivos suelen interferir en tre sí. El área problem ática de la tecnología inalám brica es la s e g u r id a d . Perm ite a cualquier equipo con tarjeta de red inalám brica interceptar cualquier comunicación de su entorno. P ara tra ta r estas cuestiones de seguridad se h an desarrollado técnicas para ayudar a proteger las transm isiones inalám bricas, por ejemplo la en crip ta ció n y la a u ten tica c ió n . A pesar de las siguientes técnicas que se presentan a continuación, y de los problemas propios asociados a las comunicaciones cableadas (fibra, cable de pares, coaxial) como las interferencias y deterioros o daños físicos del m aterial, éstas siguen siendo los medios de acceso físico más seguros que existen en la actualidad.
148
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
SISTE M A S D E SEG U R ID A D E N WLAN Los sistem as de cifrado empleados para autenticación como encriptación en redes inalám bricas son: S istem a a b ierto u Open System : es decir sin autenticación en el control de acceso a la red, norm alm ente realizado por el punto de acceso, ni cifrado en las comunicaciones. W EP o WLred Equiualent Priuacy o Privacidad Equivalente a Cableado: sistem a estándar diseñado en la norm a básica de redes inalám bricas 802.11. Em plea para la encriptación de los m ensajes claves de 13 (104 bits) o 5 (40 bits) caracteres, tam bién denom inadas WEP 128 o W EP 64 respectivam ente. Existen tam bién dispositivos que perm iten configuraciones de 152 y 256 bits. En cuanto a la autenticación existen 2 métodos: S is te m a a b ie r to u Open system , el cliente no se tiene que identificar en el Punto de Acceso d u rante la autenticación. Después de la autenticación y Ja asociación a la red, el cliente tendrá que te n e r la clave W EP correcta. C laves p recom p artid a, Pre-Shared Keys o PSK. En la autenticación m ediante clave precom partida, se envía la m ism a clave de cifrado WEP para la autenticación, verificando y controlando el acceso de este modo el punto de acceso.
Es aconsejable usar la autenticación de sistem a abierto para la autenticación WEP, ya que es posible averiguar la clave W EP interceptando los paquetes de la fase de autenticación. WPA o Wi-Fi P rotected A ccess o A cceso P rotegid o Wi-Fi: creado para corregir las deficiencias del sistem a previo WEP. Se h an realizado 2 publicaciones del están d ar WPA como solución interm edia, y el definitivo WPA2 bajo el están d a r 802.11). Se proponen 2 soluciones según el ámbito de aplicación: WPA E m p r e s a r ia l o W PA-Enterprise (grandes em presas): la autenticación es m ediante el uso de un servidor RADILJS, donde se alm acenan las credenciales y contraseñas de los usuarios de la red. WPA P erson al (pequeñas em presas y bogar): la autenticación se realiza m ediante clave precom partida, de un modo sim ilar al WEP.
U na de las mejoras de WPA sobre WEP, es la im plementación del protocolo de integridad de clave tem poral (TKIP - Temporal Key Integrity Protocol), que cam bia cla v es d in ám icam en te a medida que el sistem a es utilizado. Aportando un mayor nivel de seguridad en el cifrado, es posible em plear el algoritm o de cifrado sim étrico AES, m ás robusto y complejo que TKIP, aunque su implementación requiere de hardw are más potente por lo que no se encuentra disponible en todos los dispositivos. Aunque WPA es indiscutiblem ente el sistem a m ás seguro, uno de los grandes problemas que se plantea es la com patibilidad y disponibilidad de las distintas versiones y algoritm os de cifrado del mismo.
149
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
PRÁCTICA 6.7 W EP A ctu alm ente re a liza r a u d it o r ía s w i r e l e s s para m edir el nivel de seguridad de n u estras redes in a lám b rica s es una práctica esencial com o ad m inistrad o r en las corporaciones. E x isten m ultitud de ap licacion es que perm iten m onitorizar y re cu p era r co n traseñ a s de redes in alám b ricas ( airodump, aircrack, e tc .), así como d istribuciones Live (B a ck track , W iñway, W ifislax, e tc .) que las incorporan y disponen de script o aplicacion es que au tom atizan el proceso de d esencriptado de co n traseñ a s. 1.
En nu estra práctica vam o s a com probar la vu lnerabilidad de las cla v e s WEP utilizando la distribución Live W iñway 2 .0 que contiene la aplicación M in id w e p - g tk que nos ay u d ará a d esen crip ta r dicha cla ve . Con el sistem a iniciado nos dirigim os al m enú principal - wifiway - su ite aircrack-ng - m inidw ep-gtk. Al ab rir la aplicación nos ap arecerá lo sigu iente: En la colum na de la izquierda tenem os una opción: “w irele ss cards", en la que podem os se leccio n ar la tarjeta de red que d esee m o s en caso de tener 2 o m ás ta rje ta s in sta lad a s en nuestra m áquina. En la m ism a colum na ten em o s las opciones del canal "Channel". Podemos eleg ir en que canal q uerem os h acer el rastreo de redes inalám b ricas. Encryption perm ite se leccio n ar el tipo de encriptación de las redes que se m ostraran en la lista de redes.
2 . A continuación re alizarem o s el escan eo con e! botón "Sean", en la parte su p erio r tendrem os la lista de redes inalám b ricas que capta nuestra tarjeta de red inalám brica. En esta lista se especifica la dirección MAC del punto de acceso , su nom bre, la potencia con que cap tam os la se ñ al, el canal que usa para tran sm itir y el tipo de encriptación.
m m itfw c p g tk -3 0 % 0 1 f in ia
-
X
i
0 0 U * 7 4 2 * 5 0 8 _ p ttM íT K ___ 77____13___W E * _ C 0 I B 7 7 CS 7 1 3 A fftanQ Atheros »tfiSk iphvO]
Mi
» f.ntfYptiO n
24 9 24 0 2 -> N o «cuori
X
nq J r»$ 4
M c p J ty n * ?
• ***** lin ld w ttp - gtk-2C JS 0L
3.
il® '
Una vez e sca n e a d a s las red es, seleccio narem o s la red de la que q uerem o s d escifrar su co n trasen a y pulsarem os ei botón "Launch".
© RA-MA
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Dependiendo de la calidad de la señ al, ia distancia al punto de acceso , el tráfico en la red inalám brica por parte de otros equipos conectad os y las ca racterísticas de nu estra tarjeta de red in alám b rica, tendrem os que esp e ra r m ás o m enos tiem po h asta que la aplicación recoja suficien tes p aqu etes de inform ación, en los que se incluyen ve cto res de inicialización o IV s, que les perm itan d escifrar la cla v e de dicha red.
4. La aplicación realizará de form a au tom ática una se rie de acciones para la recogida m asiva de p aq u etes, en el caso de que todo vaya bien, nos m ostrará una ven tan a que contiene un resum en de las acciones re alizad as así com o la clave d escifrada en código A S C II:
wlanO Aihcro?
«thSV |p>iyOin
< n ln i4 ~ * p m u i a g i
K D ia lo «
AP MAC 00 13F7 42 F5D8 Esstd « ste rile He* key 6173757261 ASCII key osura Key is. »n file AmpvOO 13 F7.42 F5 D8_key
V 9 33 1*
Aceptar
»Stórting mrcroc* ng tú finii k«y
l 9 ) ) 17—¿»Startmg axncratfc ng co ftnd key 9 3317—>fcey of (00 13.F7 42 F5 D81 round «173757261 * 27 14 >Slflrting utrcjactc ng lo nnd key ^ 27 14 >Trytng to rimi k ry no« '» 24 il-»A»rcpli»y ng -3 *ucc.tr»iecting oow 9 24 51 >A«rpl*y ng 2 p 0841 )ucce%iful.tn}«cfing non»
dwrep gtk-20501
m lnldM cp m a iia g a ■KDi
li ss
Recom endación C onfigurar el nivel de seguridad m ás alto posible, controlar periódicam ente los usuarios au torizados conectad os, y re n o va r periódicam ente las co n traseñ a s.
| PRÁCTICA 6.8 W PA Una configuración m ás segura que WEP, la proporciona WPA. Para fam iliarizarno s con la configuración de los puntos de acceso inalám bricos em p learem o s un sim ulad or de configuración del dispositivo T P -LIN K TL-W A501G . Para ello acced erem o s a ia web:
http://www.tp-link.com/5imulator/TL-WA501G/userRpm/index.htm, y en su sección G írele s, visu a liza rem o s las opciones de S ecu rity Setting s:
151
© RA-M A
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
yilh extended Range
1. Vem os en su sección S ecu rity S ettin g s como es posible d eshab ilitar la seg uridad , o elegir en tre WEP, WPA/ WPA2 con servid o r Radius, y WPA/WPA2 - P5K es d ecir con clave precom partida, en las que será posible indicar una clave de cifrado. Entre las opciones WEP, podem os se leccio n ar el m étodo de au ten ticació n : Autom ático, sistem a abierto o
sha red key. En las opciones WPA encontram os tanto para la configuración personal com o enterprise, podem os seleccio n ar ¡a versión WPA o WPA2, y el algoritm o de cifrado T K IP o A E S , asi com o el tiem po de actualización dinám ica de la clave (group key update period). Para el caso de WPA con au tenticación m ediante se rvid o r Radius podrem os indicarle la IP de la m áquina y e! puerto del servicio de autenticación. 2.
En la configuración de la tarjeta de red de los c lie n t e s in a lá m b r ic o s , debem os esp ecificar las opciones de configuración ad e cu a d as. Vem os a continuación las opciones de configuración WPA de una ta rje ta de red In te l(R ) PRO /W ireless 3945A B G Net.
Crear p e rfil inalám brico
j Noento dei [ferii PwM nuevo ü 3
OpaoriM gtrm/eàet
* O p c io n e s d e s e g u r id a d
Opeen*i du C o rtrtia fa
(■;
pecera!
0 poen** Oo wgmdid
OS«gu|iiidM nom «M f W E P W b rt
Nfigino W E P - M b te W E P -1 2 9 b«« W P A P e n o m íJ T rjP l V ^ A - P o . k ^ IA E S -C C M P i ConeoMta
p®KrW n rjp ^
Ccr#j*»At de tepná» d naiánóoca (ci*** ó» codfccaorini
152
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
© RA-MA
PRÁCTICA 6.9 S E R V ID O R DE A U T E N T IC A C IÓ N R A D IU S Una opción m ás se g u ra que p erm ita co n tro la r la au tenticació n de u su ario s se puede re a liz a r m ed ian te la configuración de un servid or Radíus. Radius o Rem óte A uthentication D ial-In U ser S e rv e r, es un protocolo de autenticación y autorización para ap licacion es de acceso a la red o m ovilidad IP. Utiliza los puertos 1812 y 1813 UDP para esta b le ce r su s conexio nes. En esta p ráctica re alizare m o s la instalación y configuración de un se rvid o r Radius bajo G N U /Linux llam ado
freerad iu s, para au ten ticar conexiones que provienen de un punto de acceso Linksys W R T54G L. 1.
La instalación del paquete se realiza m ed ian te: aptitude install freeradius. Tras la instalación tendrem os que configurar los usu ario s que se au tenticarán en radius. Esta au tenticación se realiza a través del fichero /etc/freeradius/users que contiene, en texto plano, los usuario s que tienen perm itida la autenticación. Algunos usuarios se en cuentran preconfigurados, podrem os añ ad ir las líneas de usuarios que d esee m o s. En dicho fichero introducirem os los usuarios que q uerem os au tentificar y sus re sp ectiv as co n traseñ a s tal y com o m uestra la im ag en :
■ t
s,
•mm M • » •
t u l l í i« • *tt« PP0 *„ r m d mu • IMS, 'n v id Coaprntlo* * Van
(9 * 9
• t t u i» m n i!»* for ■«t«r aith • ipect ir i»»ir m h 4 «*st* th* 4m A\t QuOle* turroundlnq \ht raar ,4
teply
Mm>— * m un«*
\{U*er *••»}*
Mm j y»*»—»» *• M»\i MrtMi* • ‘« t i l l , N(IM« M H |* (Iw ^ n t «fctiap * ***»•' íim
En nuestro caso introducim os el usuario Juanm a y M acarena con sus resp ectivas contraseñas en texto plano.
2. Ahora tendrem os que configurar los clien tes, es decir, los puntos de acceso se rán los clientes de nuestro servid o r radius. Para introducir la inform ación sobre los clientes (puntos de acceso que solicitarán la verificación de usuarios inalám bricos finales) en la configuración de Radius m odificarem os el archivo /etc/freeradius/clients.conf donde introducirem os la inform ación de las IP de los puntos de acceso que quieran em p lear el servid o r (1 9 2 .1 6 8 .1 .2 en nuestro ca so ), a s í como la contraseña entre punto de acceso y se rvid o r (secret = fútbol), y el nom bre de la red o S S ID (sh o rtn am e = punxos) tal como m uestra la siguiente im agen:
:U w t
i f í 1U l i*9!
Kry Rtr+wi* T nccvi
3600
| S»v» Sailings B C«nc«l Ch>n;«<
El se rvid o r Radius com o vem os se encuentra disponible en la IP 1 9 2 .1 6 8 .1 .1 9 , la contrasena fútbol, el puerto 1812 y los algoritm os de cifrado T K IP + A ES . 4.
Por últim o, solo queda configurar en e l u s u a r io c lie n t e final (ta rjeta de red inalám b rica) la conexión al punto de acceso de m anera que la autentificación pase a Radius. Para la configuración de un cliente w indow s xp tend rem os que b uscar la red m ediante el asiste n te de conexión Inalám brica de W indows (en nuestro caso punxos).
S i intentam os re alizar una conexión con el punto de acceso , nos bloqueará la conexión ya que detectará que h ay un servid o r de Radius en la red y el perfil de conexión del cliente no está configurado para autenticación en Radius. Para so lu cio nar e ste problem a en trarem o s en las propiedades del ad ap tad or wireless y nos dirigim os a la sección "redes inalám b ricas", y configuram os una nueva configuración o perfil para el S S ID concreto (en este ca so punxos). En la configuración de la red, en la sección Asociación tenem os que se leccio n ar una autenticación de red "W PA2" y el cifrado de datos "A ES ":
p u n x o « |ir u p in t a r l* %
Aíooaatín
?
¿utenftcación Conexión
yombe do ted |SSID)
Ella red i*ouetecnac4sve parato v y j t d e Aytanbcaoón de rod £iiado de dota:
B D B 9 H IH H H
• v
En la pestaña A utenticación se leccio n are m o s las opciones que ap arecen en la im agen siguiente.
154
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
© RA-M A
plihxw piopicdailci Atooaoon
AlJ*ntaeaón
Seiecoonc mta opción pa* proporcaorv» acceso «ienüc*ío a iodei Ethernet m linbnc« 0 H ^ 4 i el con*!oí de acceso a la red medanie fEEE 902 1>í leo daEA P: EAP piotepdo (PEAPJ_______________________________
j gropgdodei j
f~| A M í t s k * como equipo cuando la n é c r m * o ó n da eguoo esté djpoobto
Q Auionhcar como velado cuando d utuano o la rícrrr^aón de equpo no etlén cfcpcnfcie:
Pulsam os el botón de Propiedades y d eseleccionam os la opción que dice “ va lid a r un certificado dei servid o r" En el caso de q uerer dicha opción tend ríam os que habilitar uno en nuestro se rvid o r en /etc/Freeradiusfcerts. Pulsam os el botón "Configurar", y no activarem o s la opción, para que el se rvid o r Radius no acep te au tom áticam ente el usuario y password de inicio de sesión en W indows. Tras esto, guard am os tos cam bios y nos volvem os a conectar al punto de acceso . Ahora nos pedirá el usuario y contraseña para poder autenticarlo en el servid o r Radius.
RECOMENDACIONES DE SEGURIDAD EN WLAN Dado que el acceso a redes inalám bricas plantea un punto muy débil de seguridad en redes corporativas algunas recomendaciones para m ejorar la seguridad son: A segurar la adm inistración del punto de acceso (AP), por ser un punto de control de las comunicaciones de todos los usuarios, y por tanto crítico en la red, cambiando la contraseña por defecto. A ctualizar el firm ware disponible del dispositivo para m ejorar sus prestaciones, sobre todo de seguridad. A um entar la seguridad de los datos transm itidos: usando encriptación WEP o WPA/WPA2 o servidor Radius, y cambiando las claves regularm ente. Cambia el SSID por defecto y desactiva el broadcasting SSID. Los posibles intrusos tendrán que introducir m anualm ente el SSID y conocerlo previam ente. Aunque la adm inistración de los clientes se complica ya que deberán conocer el nombre exacto del SSID. Realizar una adm inistración y monitorización minuciosa: D esactivar el servidor DHCP, y asignar m anualm ente en los equipos las direcciones IP. C am biar las direcciones IP del punto de acceso y el rango de la red por defecto. Activar el filtrado de conexiones perm itidas m ediante direcciones MAC. E stablecer un núm ero máximo de dispositivos que pueden conectarse. Analizar periódicam ente los usuarios conectados verificando si son autorizados o no. Desconexión del AP cuando no se use. A ctualizar el firmware dei dispositivo, para evitar vulnerabilidades o a ñ a d ir nuevas funciones de seguridad.
155
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
I PRÁCTICA 6.10 C O N F IG U R A C IÓ N A P S EG U R O V erem os a modo de ejem plo en el sim u lad o r de TP-Link http://www.tp-link.com/simulator/TL-WAS01G/userRpm/
index.htm, com o re a liza r dichas configuraciones: D eshab ilitar el envío del nom bre de la red SS1D :
54M
vtirateuAccMéPotf« Wireless Mode Settings M eo» M* T l VASSOIO 0
Dilatile W lietra «
. Acre«« Poèti Q
SftJM» $9U» i io i i t a t l
,'~>C»eni
M odificar el nom bre de usuario y su contraseña por defecto de ad m inistrad or:
54M
Wr*»m Acce«« Po.-:
r i ttMPtO
P a ssw o rd
D esh ab ilitar el servid o r DHCP y reasignación de direcciones IP está ticas en una red diferente a la por defecto (n o rm alm en te 1 9 2 .1 6 8 .0 .0 o 1 9 2 .1 6 8 .1 .0 ), esta m o s suponiendo que el punto de acceso no realiza enrutado por lo que no es la puerta de en lace de nu estra red. 1P de configuración del AP 1 9 2 .1 6 8 .2 5 .1 5 1 , la puerta de en lace d eb erá configurarse de forma independiente.
T P L IN K
156
wuh extended Range '
© RA-M A
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
Filtrado de MAC: añ ad irem os las MAC de los dispositivos (p reviam en te insp eccion arem os la MAC en las tarje ta s de red inalám b ricas) que querem os perm itir (privilege = ailow ) el acceso a la red.
Actualización del firm w are: es posible d escarg a r de la web del fabricante un archivo, o incluso probar algún softw are alternativo como O pew rt, DDWRT o Tom ato. S e recom ienda siem p re re alizar p reviam en te una copia de seguridad del firmware actual.
157
REFERENCIAS WEB Curso abierto con m ateriales y ejercicios sobre Seguridad Avanzada en Redes: http: / / o c l ü . uoc.edu / informático,-tecnologia-y-multimedia / aspectos-avanzados-de-seguridad-en-redes / Course. listing Sitio web sobre seguridad inform ática en m ateria de redes: http:I / www.virusprot.com/ Noticias sobre seguridad en redes. Asociación de internautas: http: / / seguri.dad.internautas.org/ Conexiones inalám bricas seguras y auditorías wireless en: http:/ / w ww.seguridadwirehss.net / Blog especializado en seguridad y redes: http: / / se.guridadyredes.nirc.blog.com /
RESUMEN DEL CAPÍTULO A finales del siglo XXy principios del XXI las redes han significado una verdadera revolución tecnológica, a la que m illones de usuarios se h an unido. Nuevos peligros han surgido como la falsificación ispoofing) de identificadores de red y sitios web, ataques de denegación de servicio Dos y DDos y la interceptación del tráfico de red m ediante sniffing con Man in the Middle. En este capítulo se han analizado las diferentes técnicas para evitar dichos ataques en redes corporativas, producidos por atacantes internos. Algunas de ellas son, ap a rte de revisar las configuraciones y contraseñas por defecto de routers y servidores: Em plear protocolos seguros cifrados como SSH, los proporcionados por la capa TLS/SSL y VPN para conexiones entre ubicaciones remotas. R ealizar periódicam ente un análisis del tráfico de red m ediante sniffer y software de detección de intrusos (IDS). E vitar accesos no autorizados a la red corporativa, empleando redes cableadas o en todo caso, dado ei desarrollo de redes wireless, debido a su facilidad de instalación y bajo coste, em plear mecanismos de seguridad como direccionamíento estático, filtrado MAC y sistem as WEP, WPA y WFA2. En grandes organizaciones se recomienda el uso de servidores de autenticación RADIUS.
158
6 ■S E G U R ID A D EN R E D E S C O R P O R A T IV A S
© RA-M A
EJERCICIOS PROPUESTOS de red. Si quieres capturar gran parte del tráfico de la red deberás realizar previam ente un ataque MitM a la pu erta de enlace o conectarte a una WLAN. Se recom ienda siem pre que utilices un sniffer configurar las opciones de filtrado p ara m onitorizar solo el tráfico deseado. Busca los filtros necesarios p ara ra stre a r solo los protocolos FTP, HTTP, P 0P 3, etc.
1. Realiza una investigación sobre qué puertos de comunicaciones son más vulnerables, realizando un escaneo de puertos y analizando la información que ofrecen los siguientes enlaces: h ttp:i / w ww.internautas.org/ w-scanonLine.php h ttp :/ / wLvw .upseros.com / portscan.php http.7 / www.kuron.com/utils / portscanner / index.php ¿T ien es c e rra d o s los p u e rto s em p lea d o s frecuentem ente por el m alware? ¿Qué IP visualiza el escáner de puertos? ¿Es tu conexión a In tern et d irec ta, o m ed ian te un ro u ter? C om para la dirección IP de tu tarjeta de red y la que aparece en e¡ escaneo de puertos.
¿Es posible, m ediante obtener las co n traseñ as de protocolos como telnet, HTTP, FTP, SMTP o P 0 P 3 de correo electrónico? ¿Cómo? ¿Qué ventajas ofrece https? ¿Te conectarías a una web de un banco m ediante http? In te n ta acceder a tu correo electrónico vía web (H otm ail, Yahoo, Gmail) ¿es posible descubrir m ediante W ireshark la contraseña? ¿Por qué?
¿Para qué sirven los puertos 23, 13o y 443? ¿Son seguros? 2. A continuación se lista una serie de enlaces que perm iten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior al co n tratad o p o d r ía ser un síntom a de te n e r ocupantes no deseados en nuestra máquina. ¿Son las v elo cid a d es de su bid a y bajada la s esp eradas? h ttp: / / www.adsL4ever.com/test / http: / / www.testdevelocidad.es / http: / / www. interna-utas, org/ test velocidad / http: / / www.adslayuda.com / test-de-velocidad/ R ecuerda que el ancho de banda del a u la es compartido por todos los PC del mismo. Realiza el test de velocidad de m anera individual (sin que nadie en el aula lo realice o esté haciendo uso de Internet). 3. Los packet sniffers se em plean para m o nitor izar el tráfico de una red LAN o WLAN y algunos de ellos son W ire sh ark (a n te rio rm e n te conocido como E thereal), E ttercap, TCPD um p, W inDump, WinSnif'fer, H unt. D arkstat, traffic-vis, KSniífer) y p a ra redes inalám bricas como K ism et o N etw ork Slumbler. Descarga o instala W ireshark en tu equipo, y haz que capture el tráfico que em ite y recibe tu tarjeta
4. C onfigura de form a segura un router Linksys WRT54GL m ediante su web p a ra sim ulación de configuración online: http: / / ui. linksys.com/ files / WRT54GL / 4.30.0 / Setup, htm ¿Es posible c o n fig u rar todos los asp ecto s analizados en el capítulo? 5. Busca información sobre la p in tu ra antiw ifi de EM-SEC Technologies y descubre su principio de funcionamiento. ¿Crees que podría ser útil y seguro? ¿Cómo se im plem entaría? P uede leer sobre dicha p in tu ra en: h t t p : / / w w w .publico.es/ciencias / 2 7 3 9 4 2 /una -pinturaprotege-a-los-navegantes-de-los-intrusos/ versiónim prim ible. 6.
Busca información acerca de AlienVault y de las funciones que ofrece. Descárgalo y realiza pruebas e informes de monitorización del tráfico de red ¿Puede realizar funciones de IDS? ¿Es software libre? 7. In v estig a y u tiliza el com ando sep sobre una conexión SSH para el envío seguro de archivos de un equipo a otro. ¿Es posible abrir y utilizar una sesión SSH em pleando cifrado asim étrico con claves RSA? Investiga acerca de cómo hacerlo y realiza la prueba.
159
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
8 . ¿Es
posible realizar MAO spoofing o falsificación de la dirección MAC de una tarje ta de red? Busca cómo se realiza para sistem as GNU/Linux y Windows y pruébalo.
© RA-M A
9. Realiza el siguiente test sobrephishing de V erisig n disponible en h ttp s://w w iv .p h isk -n o -p h ish .c o m / es con consejos útiles para reconocer páginas web falsas y realiza un resum en con recom endaciones útiles. ¿Crees ahora que solo garantizando que la web es h ttp s se tra ta de una web confiable?
TEST DE CONOCIMIENTOS La configuración de clientes de red en WLAN es m enos compleja si: No se habilita DHCP server en el AP. Se habilita el SS1D broadcast. Se habilita la seguridad WEP, Se habilita la seguridad WPA.
Con respecto a SSH: Es un servicio único de GNU/Linux. En Windows se puede em plear el cliente Putty. Es un protocolo que em plea el puerto 23. N inguna de las anteriores.
El puerto que no emplea TLS/SSL es: Indique qué sentencia es verdadera: Las redes inalám bricas son más o menos igual de seguras que las cableadas. Las redes inalám bricas nunca serán tan seguras como las cableadas. Las redes cableadas UTP son m ás seguras que con STP. Las redes do fibra óptica son menos seguras que las inalámbricas. El mecanismo de seguridad más robusto en redes inalám bricas es: Open system. WPA2. WPA. W EP E n redes inalám bricas no se recomienda: C am biar el SSID de fábrica. C am biar el password de adm inistrador por de fecto. H abilitar el DHCP. Tener claves WEP complejas.
160
22.
990. 995. 443.
Frente a ataques MitM una posible solución es: Em plear en trad as ARP dinámicas. E m plear direcciones IP dinámicas. Em plear direcciones IP estáticas. Em plear entradas ARP estáticas. ¿Cuál de estos p ro g ram as no funciona como sniffer? Cain & Abel. Snort. W ireshark. Logmeln. El protocolo están d a r para conexiones VI’N suele ser: P PT P IPSEC. L2TP. SSL/TLS.
/
Valorar los peligros externos a las redes corporativas y conocer las medidas de seguridad perimetrales para hacerles frente.
/
Comprender la importancia de los puertos de comunicaciones y su ñltrado mediante cortafuegos o firewall.
/
Aprender el significado de las listas de control de acceso (ACL) en routers y cortafuegos.
/
Comprender la importancia y aprender a configurar servidores y clientes proxy.
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Cuando una red corporativa se encuentra interconectada a una red pública, los peligros de ataque a sus servidores, routers y sistem as internos se m ultiplican. L as m edidas de seguridad pcrim etral suponen la p rim era línea de defensa en tre las redes públicas y redes corporativas o privadas. E n tre otras estudiarem os el uso de co rta fu eg o s o firewall destinado a bloquear las conexiones no autorizadas, y de ser v id o re s proxy que hagan de interm ediario entre clientes y servidores finales, perm itiendo el filtrado y m onitorización de servicios.
i A n a liz a la n o ticia " C h in o s a p re n d e n a e v it a r el Gran Firewall d e in te rn e t", e n co n tra d a e n :
http ://www. bbc. co. uk/mundo/cienc¡a_ tecnologia/2010/03/100320_ china_ in te rn e tco n tro l_ censura_ firew all_jp.shtm l, e in d ic a : •
¿ Q u é e s el gran firewall ? ¿ Q u ié n co n tro la d ich o firewall? ¿ P a ra q u é ?
•
¿ Q u é tipo de p a la b ra s y w e b s son c e n s u r a d a s ? ¿ P o r q u é ?
•
¿ Q u é p o rc e n ta je y có m o c o n sig u e n e lu d ir el gran firewall? ¿M e d ia n te qué a p lic a c io n e s ?
CORTAFUEGOS Un cortafuegos o firewall, es u n a aplicación o dispositivo diseñado para bloquear comunicaciones no autorizadas, perm itiendo al mismo tiempo las que si lo están. La configuración para perm itir y lim itar el tráfico entre diferentes red es o ámbitos de una red. se realiza en base a un conjunto de norm as y reglas. M ediante este mecanismo de defensa podemos m antener la seguridad de alto nivel en una red o en una m áquina. La utilización de un cortafuegos es necesaria cuando queremos proteger determ inadas zonas de nueva red o determ inados hosts, de am enazas que provengan del exterior o, incluso, de am enazas que se provoquen dentro de n u e s tra propia red ya sean por infecciones o ataques. L as características fundam entales de los cortafuegos son: Filtrado de paquetes de red en función de la inspección de direcciones de red: MAC. IP o puerto origen y destino, perm itiendo con este último criterio proporcionar un filtrado según las aplicaciones asociadas a dicho puerto. Filtrado por aplicación: perm ite especificar las aplicaciones y reglas específicas para cada una de ellas. Las d istin tas reglas de filtrado se aplican sobre el tráfico de salida o de entrada en una determ inada interfaz de red. Registro o logs de filtrado de paquetes.
162
© RA-MA
7 ■S E G U R ID A D P E R IM E T R A L
PRÁCTICA 7.1 C O N F IG U R A C IÓ N DE C O R T A FU EG O S En siste m a s GN U /Linux, Ip ta b le s es una de las herram ien tas cortafuegos m ás em plead as, que perm ite el filtrado de paq uetes de red así como re a liza r funciones de NAT (NetWork Aüdress Translation - Traducción de Dirección de R ed). No es necesario instalarlo pues viene incorporado en el núcleo de GN U/linux, E s una aplicación que contiene una serie de cad en as de reglas de filtrado en 3 tablas. A tend er al orden de dichas reglas es muy im portante, ya que lee de m anera secuencial las ca d e n a s de reglas. Es decir, com ienza por la prim era y verifica que se cum pla la condición, en caso afirm ativo la ejecuta sin ve rifica r las sig u ientes. Por consiguiente, si la prim era regla en una determ inada tabla es re ch a za r cualquier paq uete, las sig u ientes reglas no se rán verificad as. 1. La estru ctu ra de una orden de iptables sigue el siguiente patrón: iptables -t [tabla] - -[tipo _o p eració n ] -- [cad e n a]-- [re g la _c o n _p a rá m e tro s ] - - [acció n ]. V erem os un ejem plo de com ando para en ten d er su estru ctu ra: iptables -t fílter -A FORW ARD -i ethO -s 1 9 2 .1 6 8 .2 .1 0 0 -p tcp - d p o r t 80 -j A CCEPT.
T a b la 7 .1 1 tabla -t filter
Tipo de operación -A
Cadena FORW ARD
R e g la _co n _p a rá m e tro s -i ethO -s 1 9 2 .1 6 8 .2 .1 0 0
-p tcp —dport 80
Acción -j A C C EP T
El tipo de operación es añ ad ir una regla (A ), sobre la tabla filter (tabla por defecto de filtrado), y cadena FORW ARD (tráfico en rutad o). La re g ia: aceptar (A C C E P T ) el tráfico TCP cuyo puerto de destino se a el 80 (H TT P ), en el interfaz ethO, con IP origen 1 9 2 .1 6 8 .2 .1 0 0 . 2.
Las opciones m ás usad as de iptables so n: iptables - L -L: listar las cad en as de reglas de una determ inada tabla (por defecto filter). -F: elim ina y reinicia a los valores por defecto todas las cadenas de una d eterm in ad a tabla. -A: añ ad ir cadena de regla a una d eterm inada tab la. -P: añ ad ir regla por defecto, en caso de que no cum pla ninguna de las ca d e n a s de regla definidas. Para siste m a s en los que no se haya definido an teriorm ente reglas para Iptab les el resultado de e je cu ta r el com ando iptables -L tiene que se r sim ila r a perm itir todo el tráfico.
3.
Existen tres tab las incorporadas, cada una de las cu ales contiene cie rtas ca d e n a s predefinidas:
Filter tab le (Tabla de filtro s): E sta tabla es la responsable del filtrado (e s decir, de b loquear o perm itir que un paquete continúe su cam in o ). Todos los paquetes pasan a tra v é s de la tabla de filtros. Contien e las sig u ientes cad e n as predefinidas y cualq uier paquete pasará por una de ellas: INPUT chain (C a d en a de ENTRADA) — Todos los p aq u etes destinados a este sistem a atraviesan esta cadena (tam bién denom inada LO C A L_IN P U T o ENTRA D A _LO C A L).
163
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
OUTPUT chain (C a d en a de S A LID A ) — Todos los paquetes cread o s por este siste m a atraviesan esta cadena (tam bién denom inada LO C A L„O U TPU T o S A U D A _L O C A L ). FORW ARD chain (C ad en a de R E D IR E C C IÓ N ) — Todos los p aq u etes que pasan por este sistem a para s e r en cam inados a su destino recorren esta cadena.
Nat table (Tabla de traducción de direccion es de red) — Esta tabla es la responsab le de configurar las reglas de traducción de d irecciones o de puertos de los paq u etes. C ontiene las sig u ientes cadenas redefinidas: PREROUT1NG chain (C ad en a de PR ER U TEO ) — Los paquetes en tran tes pasan a trav és de esta cadena an te s de que se consulte la tabla de enrutado. PO STRO U TIN G chain (C a d en a de P O SR U T EO ) — Los paquetes sa lie n te s pasan por esta cadena d esp ués de hab erse tom ado la decisión de enrutado. OUTPUT chain (C ad en a de S A L ID A ).
Mangle table (Tabla de destrozo) — Esta tabla es la resp onsab le de a ju sta r las opciones de los p aq u etes, com o por ejem plo la calidad de servicio. Todos los p aqu etes pasan por esta tab la. Está diseñada para efectos avan zad o s, y contiene todas las cad e n as predefinidas an terio rm en te. A la hora de definir una orden de iptables podrem os se leccio n ar ia tabla a la que va d estinada dicha orden m ediante el p arám etro - t : iptables - t [nat | fllter | m angle ]
4. Los m odificadores o parám etros m ás usuales en las reglas de iptables son los sig u ientes:
T a b la 7 .2
-i
In te rfaz de entrada ( e t h 0 ,e t h l(e t h 2 ...).
-o
In te rfaz de salid a ( e t h 0 ,e t h l,e t h 2 ...) .
—s p o r t
Puerto de origen (puede indicarse el nom bre o el núm ero de puerto del protocolo, p .e j: http u 80).
—dport
Puerto destino (puede indicarse el nom bre o el núm ero de puerto del protocolo, p .e j: http u 8 0 ).
-p
£1 protocolo del paquete a com probar, tcp, udp, icmp ó al!. Por defecto es all.
-j
Especifica el objetivo de la cadena de reglas, o sea una acción.
—lin e - n u m b e r s
C uando listam os las reg las, agrega el núm ero que ocupa cada regla d entro de ia cadena.
S.
Las a ccio n es que esta rán siem pre al final de cada regla (d esp u és de - j) que d eterm inará que h acer con los paq uetes afectados por la regla pueden se r: A CC EPT: Paquete paquete aceptado. R E JE C T : Paquete paquete rechazad o. S e envía notificación a través del protocolo ICMP. DROP: Paquete paquete rechazad o. Sin notificación. M ASQ UERA D E: E n m asca ram ien to en m ascaram iento de la dirección IP origen de form a dinám ica. Esta acción es solo válida en la tabla NAT en la cadena postrouting.
164
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
DNAT: En m asca ram ien to en m a sca ram ien to de la dirección destino, m uy conveniente para re-enrutado de paquetes. SNAT: E n m asca ram ien to en m ascaram ien to de la IP origen de form a sim ila r a m asq u erad e, pero con IP Fija.
Ejem p los prácticos R e alizare m o s la configuración de un cortafuegos cm ed iante un
script que d efin a:
Enrutam iento con NAT y registro o log de paquetes FORW ARD y PR ER O U T IN G . S e crea un registro en
log/iptables.log
/var/
para ten e r un control de lo que entra y sale de nuestro cortafuegos.
Reglas que perm ita el acceso a los protocolos HTTP, DNS y FTP en In te rn e t, pero solo a dos direcciones Ip d eterm inad as desde una red local (1 9 2 .1 6 8 .2 .1 0 0 y 1 9 2 .1 6 8 .2 .1 1 4 ), todos los dem ás equipos no tendrán acceso . Redirección del tráfico web en ei puerto 80 por el puerto 3128 (P ro xy). V erem os su utilidad en el sig u iente apartado.
#! /bin/bash # borrar todas las reglas existentes, iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # Aceptar el tráfico desde loopback iptables -A INPUT -i lo -j ACCEPT # Habilitar logs de todo lo que entra por FORWARD iptables -A FORWARD -j LOG — log-prefix 'IPTABLESFORWARD : ' #Permitimos acceso a los puertos 8Ci (web) , 20 -21 (ftpFTP), 53 (dn s-tcp y ud] # a los equipos: 192.168.2. 100 y 192.168. 2.114 iptables -A FORWARD -i ethO -s 192. 168 .2 .100 -P tcp --dport 80 -j ACCEPT iptables -A FORWARD -i ethO “3 192. 168 .2. 114 -P tcp --dport 80 -3 ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .2. 100 -P tcp — dport 20 :21 -j ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .óO .114 -P tcp — dport 20 :21 -j ACCEPT iptables -A FORWARD -i ethO -s 192 .168 .2 .100 -P udp — dport 53 ~j ACCEPT iptables -A FORWARD -i ethO - s 192. 168 .2. 100 -P tcp — dport 53 "j ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .2. 114 -p udp — dport 53 "j ACCEPT iptables -A FORWARD -i ethO -s 192. 168 .2. 114 -P tcp — dport 53 ACCEPT #Cerramos los puertos bien conocidos (1-1024). iptables -A FORWARD -i ethO -p tcp --dport 1:1024 -j DROP iptables -A FORWARD -i ethO -p udp — dport 1:1024 -j DROP #Hacemos log de todo lo entra por el PREROUTING iptables -t nat -A PREROUTING -j LOG — log-prefix 'IPTABL E S P R E R O U T I N G : ' SRedirección de puerto 80, hacia el Proxyproxy, puerto 3128. iptables -t nat -A PREROUTING -i ethO -p tcp --dport 80 -j REDIRECT — to-port 3128 ^Enmascarar mediante NAT, todo el tráfico (la IP origen de los #paquetes) de la red interna por la IP de la tarjeta de red externa o pública. iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ethl -j MASQUERADE # Habilitamos enrutamiento entre tarjetas de red de nuestro equipo. echo 1 > /proc/sys/net/ipv4/ip_forward IFin del script
165
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-MA
Una v e z ejecutad o el script podem os ve r el resultado de la configuración, m ediante el com and o: iptables -n L .
0 9 0
root ^usuario-desktop: home usuario
Aichivo Ertit.il ^ ft Terminal Ayiyla rootftusuarlo-deskto p^hon e/u suauo« lp ta tile s ni i t u t INPUT f p o lliy ACCEPT) targ et prot opt source 0 00 ACCEPT a ll • 0 . 0 .0 .0 / 0
- .a. . /G
Chau FORWARD i p o licy ACCEPT targ et prot opl source a l l - - O .O .O .fi/0 LOG p r e fix IPTABLESFORKAflD : ACCEPT 192.168.2. 1 *° ACCEPT tcp - 192.168.2 ACCEPT tcp - • 192.168.2. ACCEPT tcp 192.168.2. ACCEPT udp - 192 .168.2. ACCEPT tcp 192 .168.2. ACCEPT 192 .168.2. udp - ACCEPT tcp - 192 .168.2. DROP tcp - • 0 . 0 . 0 , 0/0 DROP udp — 0 .0 .0 0 /0
100 114 100 114 lea 100 114 114
Cf-air OUT PUT (p o lic y ACCEPT 1 target prot opt source ro o tftusu ario-deskto p:/ho»e/usuaao« |
HI
d e s tin a tio n e .9 .o .o /e
LOO flag s 0 leve
0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 .0 .0 .0 / 0 0 . 0 .0 .0 / 0 0 .0 .0 .0 / 0 e . o . e . e /e o .o .fl.e /o
tcp tcp tcp tcp udp tcp Udp tcp tcp Udp
d p t:80 d p t:80 dpls:20:21 dpts:20:21 d p t:S3 d p t:53 d p t:S3 d pt:53 d p ts : 1: 1024 d p t S :l:1 0 2 4
d e s t in a tio n
II
Por otro lado para ve r las reglas PRERO U TIN G y PO STRO U TIN G de la tabla NAT: iptables - t nat -n L . Para ve r com o se hacen efectivas las reglas de iptables, si in ten tam o s acced er a sitios web desde el equipo configurado con IP 1 9 2 .1 6 8 .2 .1 0 0 , ve rem o s com o resuelve los nom bres de dominio com o tvivw.googye.es y accede sin problem as. En caso de intentar a cced er a una web desde un equipo de la red pero con IP no perm itida (e j: 1 9 2 .1 6 8 .1 .5 0 .), no tendrá acceso a la navegación ya que se bloquea todo el tráfico hacia In te rn e t de cualq uier dirección que no sea las acep tad a en las reglas.
PRÁCTICA 7.2 A R C H IV O S LOG La herram ienta iptables por sí sí sola no realiza registros de cada una de las conexiones que filtra. E s posible hab ilitar esta función realizand o una se rie de configu raciones en distintos a rch iv o s de m anera que queden registradas todas las en trad as y salid as de nuestro cortafuegos. Para ello an teriorm ente hay que definir la creación del registro a través de la acción - j log en las reglas de iptables, pudiendo añ ad ir un prefijo a cada entrada en el log para poder identificar los paq uetes de form a m ás sencilla, m ediante - -log-prefix. Por ejem plo en la práctica an te rio r hem os configurado: iptables -A FORW ARD -j LOG --log-prefix 'IPTA BLESFO R W A R D : ' iptables -t nat -A PRERO U TIN G -j LOG --log-prefix 'IP T A B LE S P R ER O U T IN G : ' Hacem os log de todo lo que filtra FORW ARD y PRERO U TIN G .
1. Para hab ilitar el log en p rim er lugar vam os al archivo de configuración del sistem a de logs del núcleo que se encuentra en la ruta /etc/rsyslog.d/50-defau¡t.conf y añad im os lo sig u iente: kern, warning /var/log/iptables.log
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
o•
•
g
*50-d«Vao!t c c n f ( e ft T iyfclog.d) • g e rii!
j
*ín
*
^¿Omnla*
W
^üesAace-
^
•V>d é faite onf » »
0
O c fiu ll ru les for rsysloQ For aor« Information vtç rsyslo g.co o f(5) and /etc/
rs y s lo g conf
standard log f il e s
• F ir s t
auth.autnpriv • *. * ; autb, authpMv.none S « 5 ÍS 5 0
roum 7
w iw k i
' i a z i M t &2
m m m
y u n s ís a o
R o u la O
* 1 « 2 ie a in
Ito tM y ftr a c o C n
'W 18« 11.’
J S S ÍS 5 „ 'M 0
Tom ando en cuenta la topología de la im agen, para cre ar una A CL en Router 1 que solam ente perm ita los paquetes de la red 1 9 2 .1 6 8 .1 6 .0 : R o u te rl(c o n fig )# a c ce ss -list 1 perm it 1 9 2 .1 6 8 .1 6 .0 0 .0 .0 .2 5 5 R o u te rl(c o n fig )# interface SerialO R o u te rl(c o n fig -if)# ip -access-g roup 1 in La explicación de esta A CL e s que com o es una A C L estándar, se configura lo m ás cerca del destino ( Routerl ), la dirección a filtrar e s una dirección de red de cla se C, por lo que la m áscara wildcard es 0 .0 .0 .2 5 5 ya que verifica la red y no verifica la parte de host. L a s re g las A C L se verifican como en el cortafuegos iptables, hasta que se cum pla una condición, en caso de no ser a s í, im plícitam ente hay una linea al final de la A CL que deniega todo lo d em ás: R o u te rl(c o n fig )# a c c e ss-list
1 deny any, la cual no nos afecta en este ejem p lo para el funcionam iento que d eseam o s de la A CL. D esp ués se asig na en la interfaz de red que corresponda, para eso debe seg uir la ruta que seguiría el paquete al tratar de e n tra r a Routerl. La dirección de red a filtrar proviene de Router2, por lo que la trayecto ria sería salir de Router2 por su interfaz SO y en trar a Routerl por la interfaz SO, lo cual la hace la interfaz en la que se debe configurar, ju sta m e n te a la entrada (in ).
170
© RA-M A
7 ■S E G U R ID A D P E R IM E T R A L
I PRÁCTICA 7.4 C O N F IG U R A C IÓ N DE C O R T A F U E G O S CON EN TO RN O G R Á F IC O La m ayoría de los siste m a s op erativos p erso n ales disponen de cortafuegos p reinstalad os, com o e s el caso de los siste m a s W indows. S u s funciones han ido aum entando en las últim as ve rsio n es com o W indows Vista y W indows 7, y en su s version es de servid or como W indows 2003 y 2008 han proliferado los en torn os de gestión de seguridad en redes como M icrosoft In te rn e t S e cu rity and A cceleration S e rv e r (IS A S e rv e r) y M icrosoft Forefront T h re at M anagem ent G atew ay (Forefront TMG). En nuestro caso, utilizarem os la aplicación Kerio W inroute Firew all para g estio n ar la seguridad del tráfico en tran te y saliente de nuestra red. 1. En prim er lugar, d escarg arem o s el softw are desde la siguiente d ire cció n : www.kerio.com. Tras d escarg a r el eje cu tab le que instalará el firewall, eje cu tare m o s el instalador. E s recom endable d esactiva r el Firewall que viene por defecto en W indows para e v itar conflictos. En un m om ento de la instalación, el program a d etectará si hay algún conflicto con el siste m a . En caso de se r a sí, tend rem os que d eshabilitar dichas opciones que presentan conflictos con el program a seleccionándolos en el m ism o cuadro de diálogo. Tras esto, nos pedirá un nom bre de usuario y una co ntraseña para la adm inistración del firewall com o
ad m inistrad or. Por últim o, pulsarem os en el botón in sta lar para e m p e z a r la instalación del Firewall en el sistem a operativo. A la hora de in sta lar el softw are Kerio W inroute firewall se aplica una configuración que bloquea todo el tráfico de In te rn e t por lo que tendrem os que re alizar m ás adelan te una configuración básica para p erm itir aquellas conexio nes que necesitem os.
2. Term inada la instalación, podem os iniciar el program a de adm inistración "Kerio Adm inistration consolé" que nos perm itirá re alizar la configuración de nuestro Firewall. Como todo program a de ad m inistración, este nos pide que nos conectem os a un host (podrem os configurarlo re m o tam en te o en lo c a M o c a lh o st) con el usuario y la contraseña definida en la instalación para poder ad m in istra r el softw are.
K m
Aorrumtintion Comete
a
B
O
Afctwo Eritar Ver Herrarwn!® Ayuda
O Marcadores no están crotepdoe
Una vez logueados, el Firewall nos ejecuta un asisten te que nos p erm ite re a liza r una configuración básica del m ism o. En prim er lug ar tendrem os que indicarle la forma en la que este se conecta a la red seleccionando "Un único enlace de Internet - p ersistente" ya que es la configuración m ás sencilla.
171
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© RA-M A
Acto seguido, nos pedirá que seleccionem os la ¡nterfaz por la que se conecta a la red. D ependiendo de las in terfaces que se conectan tendrem os que se leccio n ar una ¡nterfaz para la opción que hem os elegido o tan tas como haya co nectad as para las opciones de "m últiples en laces a Internet" El sig u ien te paso es el que bloqueará o perm itirá cierto tráfico a In te rn e t según los protocolos que necesitem o s ya sea para la visualización web, transferencia de arch ivo s m ediante FTP, etc. Seleccio n arem o s la segunda opción de la pantalla que dice “ p erm itir el acceso solo a los sig u ien te s se rvicio s" ya que tendrem os un control exhaustivo de las ap licacion es que perm itim os la conexión. De la lista que nos ap a rece seleccio narem o s los protocolos cuyo tráfico estará perm itido. R ealizarem o s una configuración sencilla perm itiendo solo el protocolo http y DNS para la naveg ación por In te rn e t. Todos los d em ás protocolos quedarán bloqueados.
Polfee» ufarte •p*gr» 4 dt 7 Soecoone ri ravvi * que tJM d rrstrnpr e acceso a tntrntt de tas u u ro t Or U LAN PcnMBr d acceso a todo« be w vtooi (w> In U d o n « / ♦ Per*4r d acceso a6o a b i »pachtes ter ccs
Sentoo ^rotocob 0 HTTP TCP □ «n»STGP □ FIJ> TO> □ SHTV TCP 0 0*6 TO>«*> □ P0P3 TO’ O TCP □ Tdurt TtJ>
Purrtodecr^en Cuatguera Cuafcueva Cuáquera Cuatoaera Cua*OL*ra Cuáquera CuñtoMwa Cuakuera
Puerto di desano «0 443 21 25 53 1» H3 23
Configurados los sen/icios que querem os perm itir, podem os se leccio n ar o no la opción para que cree una se rie de reglas en el firewall que perm itan la adm inistración del m ism o de m anera rem ota m edian te VPN. 3.
R ealizarem os una prueba básica para v e r que el firewall funciona correctam ente. Para ello nos conectarem os m ed ian te FTP a una m áquina rem ota o de nuestra m ism a red, si el Firewall funciona co rre cta m e n te no nos d eja rá conectarnos al se rvid o r FTP, pero sí nos perm itirá la navegación web.
4 . Si posteriorm ente q uerem os perm itir la conexión m ediante FTP al se rvid o r local, irem os a la sección "configuración" y pulsam os en el apartado "política de tráfico". En este apartad o se m uestran las reglas que regulan el firewall, añ adirem os el servicio FTP a las exce p cio n e s pulsando en las filas "Acceso a In te rn e t (NAT)'' y "Tráfico del Firewall", en la casilla de se rvicio s con el botón derecho se leccio n am o s “editar servicios".
Ardwo Ayuda Kfrto WmRoute
i Política de tráfico
CoadiQMraoón ■Pinte* faces
0
- i - - T i T T ^ jp ^ Bin } md » ín te r
Horabrt
Cnger»
Oes»«
(a h tM l >«| Todos tof denles • ’ o d M iw to i» í “*• ^ntíev,\xiri
i • Fresal
Acoón Regr Traducnár
Servoo
♦ jF le a d o de cammoo pSerrtdorDMCP
-*»6
0
T rtlo b a i
i: ¡ J Defooorct Taúla de m u í— ente * Accasane
bd
0 y hr •«
Regatm
lojkj *
^ CuBt
*9 *9 * r*Cfa B m a «sta reefe
etc* r^ l.
■
Todos &rcfcs r _ j—
4» C:jatoaeia O HTTP
** Ih iM n o ty g n ip M
Ostlt*do
LJÍialb
HoojtM oro rééco
u n to íy u n fo #
Raid Espejo (Conjunto RAJD-1 da 4,3 GB) f dcv mdO¡. u tilid a d da discos
OttJKMitzvtR ila aimaCjHtatnranfo I A lm M C M m tv n ta lo c a l ^
A d a p ta d o r d a e q u ip o PATA
tvpejo 4RAID 1. tx r^ c
DI k o d u ro d e B.6 GB O tic o d u ro d a 4,3 GB
Ratf tipejo
Sin partK tonar
FircutJmaove
4 3 GB í 42 SJ 5 5 1 1 0 4 t*le-.>
ñ rtitx ronzando £ m
fcwarei conjunto RAID
¿
Formatea* borrar ei con|is*o RAJO
ComprotMr H con|unf o
r
Edrtar componente?
Dive o d u ro d a 4,3 GB . D4»po«INvo« m u ltld lic o
Prueba de rendimiento
Aíev/mtíO
4.306 (479)551104 bytw)
Formatear volumen
Tras crear el conjunto el sistema resincroniza ambos discos duros para replicar la información. 2. Una vez terminada la resincronización, tendremos que particionar el volumen del Raid Espejo para crear una partición que sea utilizable por el sistema. Para particionar el volumen pulsamos en "form atear volumen":
193
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
Seleccionaremos el tipo de sistema de archivos e introduciremos un nombre para el nuevo volumen. Pulsaremos en "Form ato": 3. Al pulsar nos pedirá la confirmación. Tras esto solo nos queda m ontar la unidad para que sea visible y poder usarla con normalidad. Pulsaremos en “ m ontar volumen". Montada la unidad, nos aparecerá el icono en el escritorio del sistema del nuevo volumen “ Raid 1" que acabamos de configurar.
La manipulación del volumen “ Raid 1" es igual que si fuera un disco duro simple por lo que podemos cortar, pegar, mover, renombrar, etc., dentro del mismo.
BALANCEO DE CARGA U n balanceador de carga es un dispositivo ya sea hardw are o software que se dispone conectado a un conjunto de servidores de m anera que a sig n a y rep arte la s p e tic io n e s que provienen de los clientes a los distintos servidores a los que se conecta dicho dispositivo. Estos dispositivos aplican una serie de algoritmos, como el conocido Round Robín, para re p a rtir la carga de forma equilibrada. La utilidad de estos dispositivos radica en poder re p a rtir la carga y excluir aquellas conexiones de destino que se en cu en tren caídas en un momento determ inado de m anera que un cliente cuya dirección IP de su servidor DNS se en cu en tre caída, el balanceador de carga detectará que esa dirección IP se encuentra inactiva (.el servidor no escucha la s peticiones ya sea por fallo en hardw are o en software del servidor) y las peticiones cuyo destino se dirigen a.I servidor caído se redireccionarán a otro servidor DNS que haya conectado al dispositivo encargado del balanceo de la carga. E ste sistem a tam bién es m uy útil a la hora de u n ifica r d os o m ás c o n e x io n e s con salida hacia In tern et en una s o la . Al in stalar un balanceador de carga al que se conecten varias líneas de Internet, podemos re p a rtir la carga de s a lid a a In tern et entre las líneas, pudiendo definir que cantidad de peticiones saldrán por una línea y que cantidad p o r otra, dependiendo por ejemplo de su velocidad y fiabilidad.
194
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
I PRÁCTICA 8.2 BALANCEO DE CARGA En la siguiente práctica estudiaremos como configurar mediante software balanceo de carga mediante ta b la s de e n ru ta m ie n to en sistemas GNU/Lintix y mediante K e rio W in ro u te bajo Windows. B a lan ceo d e ca rg a m e d ia n te ta b la s d e e n ru ta m ie n to G N U /L in u x Nuestra práctica la realizaremos en la distribución Ubuntu, realizando balanceo de carga entre dos líneas ADSL de diferentes velocidades. La carga de las lineas según la configuraremos en proporción 2-1, es decir, por cada 2 peticiones a la linea rápida de ADSL saldrá 1 petición por la línea lenta de ADSL. Esta proporción se puede variar según nuestra necesidad ya que si disponemos de dos ADSL de la misma velocidad lo lógico será balancear la cargar al 50%. En esta práctica necesitaremos una máquina con tres interfaces de red de las cuales: una se conecta a la LAN y las otras dos a las distintas líneas de ADSL. El esquema puede ser el siguiente: Empezaremos definiendo las direcciones IP de cada una de ias tarjetas de red que contiene nuestra máquina que realizará el balanceo de carga: Ip router ADSL 1 (rápida): 192.168.1.1/24 Ip router ADSL 2 (lento): 192.168.2.1/24 Servidor con balanceo de carga: e th l (conectado a router ADSL1): 192.168.1.2/24 eth2 (conectado a router ADSL2): 192.168.2.2/24 ethO (será la nueva puerta de enlace de la LAN): 192.168.3.1/24 1. Empezamos a configurar las 3 interfaces del servidor. Para ello nos dirigimos a Sistema - Preferencias Conexiones de red. 2. Mediante un term inal definiremos dos tablas de enrutam iento distintas que emplearemos para cada una de las líneas de ADSL: # echo 200 a d s ll >> /e tc/ip ro ute 2 /rt_tab les # echo 201 adsl2 > > /e tc/ip ro ute 2 /rt_tab les 3. Ahora nos centramos en la tabla de enrutam iento del ADSL1. La siguiente configuración define que la red 192.168.1.0/24 es la red conectada a la interfaz e th l que tiene una dirección IP 192.168.1.2 y que los paquetes con la salida a In te rn et serán enrutados por la tabla a d s ll. Podemos comprobar que la configuración ha sido introducida mediante "ip route show table a d s ll": ip route add 192.168.1.0/24 dev e th l src 192.168.1.2 table a d sll íp route add defauit vía 192.168.1.1 table a d s ll C # #
root ¿ u tu a rlo 'd e tk to p : hom * uiuarJo
rootçusuario desktop /ho«e/uiu»tlo* . 1 6 8 .1 2 table athU roolím uauo HfiHoe /bgae/u'.uarioa d i 11 root*»miarlo deiktoo /N »e/uiuarío« 192.168 1.0/24 de» e th l »coi* Unk defauli vía 192.168 1.1 dev ethl roottuiuano desHoo /noite/muario»
ip toute
192.168 1.8/2« dev e th l it c 192
IP roule add eetault irla 192.108 11 table a ip toute sto~ tib ie adsll sr< 192 168.1.2 |
195
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
4. Del mismo modo introducimos las sentencias pertinentes para la configuración de la tabla de la línea ADSL2: ip route add 192.168.2.0/24 dev eth2 src 192.168.2.2 table adsl2 ip route add default via 192.168.2.1 table adsl2 5. Tras d efin ir cada una de las tablas de enrutam iento de los ADSL tendrem os que definir la tabla de enrutam iento principal para que los paquetes sean enrutados correctamente. La configuración individual de las tablas anteriores es para cuando el tráfico está en una de las dos subredes de salida y se necesita saber como enrutarlo. Las sentencias para configurar la tabla principal son las siguientes: ¡p route add 192.168.1.0/24 dev e th l src 192.168.1.2 ip route add 192.168.2.0/24 dev eth2 src 192.168.2.2 Mediante ip route show, veremos el resultado configurado. 6. Tras configurar la tabla principal tendremos que definir las reglas de enrutado. Esto sirve para aplicar las reglas almacenadas en cada una de las tablas cuando se cumple que vienen de las ips correspondientes: ip rule add from 192.168.1.2 table adsll ip rule add from 192.168.2.2 table ads!2 7. La últim a sentencia es la más importante de toda la configuración ya que es la que d e fin e el b a la ce o de ca rg a. Con esta sentencia to que indicamos son las rutas por defecto que tiene que seguir los paquetes cuando su destino no esté dentro de nuestra red con el añadido que en función de la carga saldrá por una puerta de enlace o por otra: ip route add default scope global nexthop via 192.168.1.2 dev e th l w eight 2 nexthop via 192.168.2.2 dev eth2 weight 1 Weight 2 y weight 1 son los pesos asignados a cada interfaz de red, son modiñcables. En el supuesto caso de tener más líneas ADSL conectadas al balanceador de carga habrá que definir el balanceo de carga para cada línea de ADSL adicional que conectemos. 8 . Hasta aquí tenemos listo el balanceador de carga pero es im portante no olvidar habilitar el enrutam iento
entre las tarjetas de red para que las peticiones que provienen de la LAN sean transferidas a Internet. iptables -t nat -A POSTROUTIIMG -s 192.168.1.0/24 -o e th l -j MASQUERADE iptables -t nat -A POSTROUTIIMG -s 192.168.2.0/24 -o eth2 -j MASQUERADE echo 1 > /p ro c/sys/n et/ipv4 /ip_forw ard 9. Para visualizar que el balanceador realiza su tarea correctam ente tenemos a nuestra disposición la herramienta Ip tr a f. Esta herramienta nos perm ite tener un control de aquellas conexiones que están activas y un contador de paquetes de cada una de las interfaces, entre otras opciones. Para instalarla: apt-get install iptraf
Una vez instalada la ejecutamos iptraf. Una vez abierta la herramienta nos dirigimos a la sección "General interface statistics":
196
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
En dicha sección tendremos las estadísticas de paquetes que transitan por cada una de fas interfaces de red de nuestro balanceador de carga. Si visualizamos los resultados veremos que del total de los paquetes que provienen de la LAN (ethO) gran parte han salido a Internet por la interfaz e th l que corresponde con el ADSL rápido mientras que una parte más pequeña de los paquetes han salido por la interfaz eth2 que corresponde con el ADSL lento; e o •
ro o t á u s u a rio -d e s k to p : «hom e/usuario
IPTraf lo ethO e th l e th 2
>46 54126 3S499 12335
54226 36489 12335
Û 9
546 ô 0 6
S d.Ofl kbtt 923,00 kbit A.89 kbit
B a lan ceo de carga m e d ia n te K erío W in ro u te (W in d o w s ) A continuación, realizaremos el balanceador de carga por software en el sistema operativo Windows 7 mediante el programa K e rio W in ro u te . En el capítulo 7 vimos su uso configurando un cortafuegos personal. Realizaremos la misma configuración de red que para GNU/Linux, en las 3 interfaces de red necesarias. Podemos iniciar el programa de adm inistración "Kerio A dm inistraron consoie" que nos perm itirá realizar la configuración de nuestro balanceador de carga. Como todo programa de adm inistración, nos pedirá que nos conectemos con el usuario y la contraseña definida en ta instalación para poder adm inistrar el software. Una vez logueados, el programa ejecuta un asistente que nos permite realizar una c o n fig u ra c ió n básica del mismo.
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
1. En dicha configuración tendremos que seleccionar la opción "M últiples enlaces de In te rn et - Balanceo de carga de tráfico" Toe oe coneoón a Irteme? • ptgn* 2 de 7 Setetoone cono é ir rv»al n conectado a Internet:
Tras esto, tendremos que seleccionar que interfaces serán afectadas por el balanceo de carga, Pulsaremos el botón "agregar". En la ventana que nos aparece tendremos que escoger los adaptadores de red que tienen conexión con Internet. Así mismo, podremos configurar el ancho de banda de cada enlace. La siguiente pantalla del asistente permite realizar la configuración de cortafuegos mediante bloqueo o filtrado de protocolos. A continuación en la configuración de VPN, en la que deseleccionaremos todas la opciones. Si tuviéram os algún servidor en la LAN que quisiéramos que fuera visto desde Internet, en la siguiente pantalla tendríamos que introducir la dirección IP y el servicio que estarían activos en dicho servidor. En caso contrario, tendríamos que saltar dicha pantalla. Por últim o, terminaremos la instalación pulsando el botón "Finalizar" del asistente. 2. Tendremos que configurar un aspecto fundamental para activar el balanceo de carga. Nos dirigimos a la sección "configuración" y entramos en “ políticas de tráfico". En esta pantalla nos mostrará todos los permisos y restricciones que tienen los servicios. En la regla de "Acceso a Internet (NAT)" tendremos que m odificar el tipo de traducción que realiza. Para ello, pulsaremos con el botón derecho sobre el campo "Traducción" de dicha regla y seleccionaremos "E ditar traducción". V
Ifrtjfeoil Cco:o4i 4c
VcTr.C
f * l te r o ItfnAaut»
|
( o
í
O»
Kerto WmRoute ítr c v a l .
Configuración
*
Política de tráfico
VÍ*oibaditMoi
S exo
0 BtnOndtfi'umitr
®Cj^edodecor^r-»úo
^
8
/ j T afra ov «orwtar*enso
■ i * N p. tf
■ j 5 U m n o t y grupo» - & ÍU ad o
Acocn
Rflp? Traducobn HA’
H É H r»
' li
✓
’ o w ot
^ ’ m m c t a r t a »**• * " oíos i r e « ^
^OpoomMntidis
v a i'» *
*000»
»**• i* ¡
c« n V j e >
4> "rw «S «5» C uéojva f s to arinco 1------------------------ 1
+
C u to * ’ «
Cjéojm
r»
✓ •> Cuatoar»
s
En la ventana de configuración de la traducción tendremos que seleccionar la opción "Realizar balanceo de carga por conexión (m ejor rendimiento)".
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
3 »
por 1M '* *)ar
pe~ «>->c»i -oí- - M r r » ~ y o r - * 3 O 9»
9 9 sm rnor v í t r ■■■■S^T>0)
'.g ro a n « '-■caá» w • n r «
x * » r a « » r » a j 3» r t n » !
uTUMr« •W M eM Tei aisano
3. Si ahora empezamos a realizar peticiones y nos vamos a las estadísticas de la salida a Internet veremos como la carga se balancea entre ías dos interfaces. Para ello nos iremos a la sección "Estado" y pincharemos en "Estadísticas". En dicha pantalla nos iremos a la pestaña "Estadísticas de la rnterfaz" y veremos como la carga que proviene de 1a LAN se está balanceando entre las interfaces con salida a Internet.
----id « 1CoaAyufBOúa
Estadísticas £*•61 j r i d ’ » JC .w a .trfimJi •**»■* :*•«:« (itM fc U »
■ J w n o p w a is r w :
ie w e de lelem et O ra te * deoendeew iW n íliw fc *tç»3ctn 0 9 0 jm r e c a v i '» »ttó» prt » y » r o4 *otP n«b>orics. mX **o t c » tó to tm and rx re
.*cua¡tíe&>«r«
yj-.M-etO .syiet: (Hoíí-oH»)
yS.'-vea(SAT)
S o v jfj
Ujotk:
DKP
~5rOjeC» tr » .a n ix a t» c*3Kr>mt ■ _______________ * prr ele rcfrxxV tf-*red
*o*!
jwdío^*rev*hotítP«»a»
192-168.50 0
&2Í4&.U80 Emcwc
La primera pestaña “ Sum m ary" hace referencia a un resumen de los adaptadores virtuales que están funcionando con VMware así como de la descripción de cada adaptador, subred en la que está trabajando y si tiene activo o no el servicio DHCP que integra la misma herramienta para los modos NAT y Host-only. La siguiente pestaña "Autom atic Bridging" permite controlar y configurar un puente de red entre el adaptador VMnetO con el adaptador de red físico del host. La tercera pestaña "Host Virtual NetWork Mapping" permite definir, configurar y desactivar distintos adaptadores de red virtuales que podemos asociar a una máquina virtual y que se comportarán, para las distintas máquinas virtuales configuradas en un mismo modo, como un switch virtual interconectando a las distintas máquinas virtuales. Dependiendo del m o d o de fu n c io n a m ie n to que tenga cada uno de ellos podemos observar como podemos configurar distintas opciones.
204
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
En el caso de VMnet8, el funcionamiento que tiene por defecto es para realizar NAT, por lo que en dicho adaptador podemos configurar la subred propia en la que trabaja, un servidor DHCP para que asigne las direcciones IP en las máquinas virtuales configuradas con este adaptador y otros aspectos de configuración de NAT como las opciones para la puerta de enlace virtual, así como el port forwarding (en caso de tener acceso a servidores en la máquina virtual desde el exterior), DNS y Netbios. En la sección "Host Virtual Adapters" muestra una lista de los adaptadores de red que se han creado en el Host host físico a través de VMware, por defecto VMNet 1 (Host-only) y VMNet8(NAT). Mediante esta sección podemos añadir, habilitar, deshabilitar y elim inar adaptadores según las necesidades. En la sección "DHCP" tenemos lo referente al funcionamiento del servidor DHCP en cada uno de los adaptadores, de manera que podemos iniciar, pasar y reiniciar el servidor o configurar cualquier parámetro del servidor en cada uno de los adaptadores. So—'* 7 1
| Ha* Vrtj» Mtfwa* Ujpprs I Ha«
idacun
O^CP |HVT J
Mi .k r' jív :o V* « ^C r V»6»' ^oto®Wj-íj Vni “« f o r t i « « * « c o r * a r * > C P s e -
2 M Mfi i x
u
ti r• I SOH* Or VI r 'N A M
206
fis o c a u
I.u * -3
i
w
w r jt n
Cc—c * * — *t : : . y .c • SS 2S>M
© R A -M A
8 ■ C O N F IG U R A C IO N E S DE A L T A D IS P O N IB IL ID A D
Una vez iniciada la máquina, nos dirigim os a la pestaña "consolé" para entrar en el modo gráfico de la máquina virtual. Como vemos, VMware nos advierte que es necesario un p lu g -in p ara p o d e r v is u a liz a r la m á q u in a v ir tu a l. Pulsaremos en "install Plug-in" para descargar dicho plugin e instalarlo. Automáticam ente, se descargará el plugin desde el servidor que ejecuta VMware el cual tendremos que instalar. Tras la instalación del plugin será necesario volver a entrar en el navegador web ya que el asistente de instalación lo cerró para aplicar los cambios. Una vez dentro de la administración web y ubicados en la pestaña "consolé" de la máquina virtual podemos pulsar el ratón en cualquier lugar para que se abra la ventana que nos permitirá visualizar la máquina virtual.
Tnt
*» ^
Acto seguido se abre una ventana nueva en la que podemos visualizar la máquina virtual y esperamos a que cargue completamente Freenas. En las opciones que nos da Freenas para adm inistrar el sistema operativo elegimos la opción 9 "Install/U pgrade to hard drive/flash device, etc." para in s ta la r el s is te m a o p e ra tiv o .
••«irts u w ra tu n H /..* i r a v ú l o t i «< Htn* li HM M Sil CKT ;>81» f u r 1M tC» /H tt'i »HIH by ( U l u l a r lo c K n V Lo • f rn « iia « u ru f i i r
í «cas it A re s * t.'ir y tf« fa « |
7» Robu»« «vitan H ) S ln it 4 o w n
c \ r e t it n
OI tuu 1« 11 ta la r a auntu-r
nJn Rft£ASt-p3 { f i a c r i JWS06)
M ttfo rm
OQ6AJcrby«ciembra, da Protacoón da D a to i da Ceiéctar Parsonal. conforma ai art. 3 f«lats»o al daracho da inform ación an la »acogida do datos. Talefónica Móviles Esparta S.A.U. (T M l). 1a inform al La raspuaste al cue*t>onano a t voluntaria. Es obligatorio cum plim entar todo* los datos solicitados en al cuastionano. a axcepdón dal e-m all que e i opcional (an al cas o da no d iip o n e r dal nrusmo).
antTiiTo m o v íjt*(
E s s ie m p r e
X¡
cjnatdent» mjvW«- «JJi^cda/tcnlrcfcf/CClJ.CWjutfc
• U r m ó v il
léfntM»
|C~
m o v is t a r .
Lo* datos de carácter parsonal que facilita en acte cuestionario an tu condición de titu la r del contrato do le (moa Junto a lo * obtenidos durant« ’a vigencia da la piestaoón dal sarvioo serán m du id o t an ficheros inform atitados titularidad de T alafónka MOvilas Esperte 8.A.U. .ras pona »ble dal tratem lanto y dastinatana de los datos a in/orm aaón.con domicilio an i« v i|t ( f M | fw calla Ronda de le Comunicaoón s/n. Ed'fioo Sur 3- 28050 Madud. para le gestibn del sarvicio y con la finalidad de anvierle informaciones publicitarias u ofartas vía postal. parsonaliradas o no. da productos y sarvloos de __ telacom uniceoonas. Si u rta d no da ie a ova aste trata m ie n to sa realice con (leer térmnos legates |» finalidad Indicada diríja atento a la d )rc s rK r
En el caso de Windows veremos como al inicio del sistema podemos incluir un mensaje y será necesaria la aceptación del mismo para continuar. Ayudará a recordar tas n o rm a s y re c o m e n d a c io n e s de s e g u rid a d de n u e s tra o rg a n iz a c ió n , haciendo de este modo que sean conocidas por todos los usuarios. Ejecutamos gpedit.msc para la configuración de directivas de grupo, y en el apartado Configuración de equipo / Configuración de Windows / Directivas locales / Opciones de seguridad, pulsaremos sobre las directiva de in ic io de se sió n in te ra c tiv o : te x to de m e n s a je para los u s u a rio s q u e in te n ta n in ic ia r una sesión así como in ic io de se sió n in te ra c tiv o : títu lo de m e n s a je p ara los u s u a rio s q ue in te n ta n in ic ia r una se sió n, y añadiremos el texto y título que deseemos.
LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO (LSSICE) La L SSI, le y 34/2002 de 11 de ju lio , d e S erv icio s de la S ocied ad d e la In form ación y d e C om ercio E lectr ó n ic o (LSSICE) tiene como objeto la regulación del régim en jurídico de los se r v ic io s de la so cied a d d e la in fo rm a c ió n y de Ja co n tr a ta ció n p or vía electró n ica . E ntiende por “servido de la sociedad de la inform ación”, toda actividad que cumple con los siguientes requisitos: Recibe una con Ira prestación económica. La actividad se realiza a distancia (no presencial). Por medios electrónicos o telemáticos. A petición individual del d estinatario del servicio. Como aplicación práctica de la LSSICE por parte de la A dm inistración, siem pre que se pueda p ercib ir un in g reso eco n ó m ico (independientem ente de la cuantía) a tra v és de un m edio telem ático, como por ejemplo u.n sitio web, esta actividad en tra en el ám bito de aplicación de esta Ley.
221
S E G U R ID A D Y A LTA D IS P O N IB IL ID A D
© R A -M A
E N T O R N O S WEB Según el a r tíc u lo 10.1 de la LSSICE, el prestador de servicios de la sociedad de la información e sta rá obligado a disponer de los medios que perm itan, tanto a los destinatarios del servicio como a los órganos com petentes, acceder por medios electrónicos, de forma perm anente, fácil, directa y gratu ita, a la siguiente in fo rm a c ió n : 1. Su n om b re o d en o m in a ció n social; su re sid e n c ia o d o m icilio o, en su defecto, la dirección de uno de sus establecim ientos perm anentes en E spaña; su dirección de correo electrónico y cualquier otro dato que perm ita establecer con él una comunicación directa y efectiva. 2. Los d a to s d e su in sc rip ció n e n el R eg istro M ercan til. 3. El n ú m ero d e id e n tific a c ió n fisca l que le corresponda. 4. P re cio s d el servicio. De acuerdo con el artículo 39 de la LSSICE, por la comisión de infracciones se im pondrán las siguientes sa n cio n es: a) Infracciones muy graves, m u lta d e 150.001 h a sta 600.000 eu ros. La reiteración en el plazo de tres años de dos o m ás infracciones m uy graves, podrá d ar lugar, a la prohibición de operar en España, d u ra n te un plazo máximo de dos años. b) Infracciones graves, m u lta d e 30.001 h a sta 150.000 euros. c) Infracciones leves, m ulta d e h a sta 30.000 eu ros.
I PRÁCTICA 9.3 LSSICE WEB Veamos un ejemplo de cómo cum plir con el artículo 10.1 de la LSSI: 1. Para el caso de un autónom o: se deberá incluir un link a pie de página, de todas las páginas de la web, con el título "Inform ación Legal", "Datos LSSI", o similar, los siguientes datos: Nombre y Apellido, Domicilio: Calle(C.P.) Localidad, DNI/CIF, Emailemail, Teléfono. Sobre la obligación de incluir el te lé fo n o se entiende este como "cualquierotro dato que perm ita establecer con él una comunicación directa y efectiva". 2. Para el caso en que se trate de una empresa, se deberá incluir un a v is o le g a l - LSSI o similar, con las C o n d icio n e s G e n e ra le s de Acceso y u tiliz a c ió n del s itio w eb .
COMUNICACIONES COMERCIALES E n tre otros aspectos, la LSSICE regula, en sus artículos 19 a 22, el envío de co m u n ica cio n es co m erc ia le s por v ía e lec tró n ica . Es por ello que en este apartado nos centrarem os en los supuestos de aplicación de la LSSICE más com unes: el envío de correos electrónicos y SMS-MMS.
222
© RA MA
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M À T IC A
En todos estos supuestos, la LSSICE pretende im pedir la proliferación del fenómeno conocido como sp a m , para ello se exigen una serie de r e q u isito s para el en vío d e co m u n ica cio n es co m erc ia le s e le c tr ó n ic a s y que e x ista u n c o n se n tim ie n to exp reso. El a rtícu lo 21.1 prohíbe de forma expresa el envío de comunicaciones comerciales electrónicas (por correo electrónico u otro medio equivalente), que no h u b ieran sid o p reviam en te so lic ita d a s o a u to riza d a s ex p re sa m en te por su d estin atario (persona física o jurídica). U na vez obtenido el consentim iento previo y expreso p ara el envío de la comunicación comercial, el m en saje en v ia d o d eb erá cu m p lir co n los sig u ie n te s r e q u isito s inform ativos: Identificar de forma clara el nombre de la persona física o jurídica en nombre de la que envía el m ensaje publicitario. Incluir en el comienzo del mensaje la palabra “P u b licid a d " (en los correos electrónicos ) o “Publi" (especialm ente en los SMS). F acilitar al receptor del m ensaje la posibilidad de revocar el consentim iento de una forma sencilla y gratu ita. La LSSICE prevé en su apartado segundo, que no será n e c e sa r io e l c o n sen tim ien to p rev io d el recep to r del m ensaje cuando los d a to s h u b iera n sid o o b ten id o s d e form a lic ita en el m arco d e u n a rela ció n co n tra ctu a l p rev ia , y que las com unicaciones versen sobre productos o servicios sim ilares a los inicialm ente adquiridos o contratados y que sean de la propia em presa, organización o profesional. La LSSICE establece en su artículo 38 el apartado de infracciones y establece como una infracción leve el envío de comunicaciones comerciales sin el cum plim iento de alguno de los requisitos recientem ente analizados (sanción h asta 30.000 €). En el caso de que se envíen tr es o m ás co m u n ica cio n es comerciales a un mismo destinatario en el plazo de un año, sin cum plir con los requisitos establecidos, la infracción p asaría a ser considerada como grave (m ulta de 30.001 a 150.000 €).
PRÁCTICA 9.4 LOPD y LSSICE EN EL CORREO ELECTRÓNICO En los correos electrónicos que las empresas envían a sus dientes o usuarios debe de incluirse una cláusula o pie de página con la P o lítica de p riv a c id a d , a modo de ejemplo: Política de privacidad. En cumplimiento de la LOPD 15/1999 y de la LSSI-CE 34/2002 se INFORMA que los datos de carácter personal que se facilitan, incluido su correo electrónico, y que resultan necesarios para el envío de la información solicitada, se incorporarán a un fichero automatizado cuya titularidad y responsabilidad viene ostentada XXXX. Al rem itir el interesado sus datos de carácter personal y de correo electrónico a XXXX, expresamente se AUTORIZA la utilización de dichos datos a los efectos de las comunicaciones periódicas, incluyendo expresamente las que se realicen vía correo electrónico, así como otras ofertas de servicios, inform aciones o productos relacionados con la actividad institucional que se desarrolla. El interesado podrá ejercitar respecto a sus datos los derechos de acceso, rectificación, cancelación y oposición enviando un correo electrónico a la siguiente dirección electrónica XXXX solicitando, en su caso, (1) Que se le rem itan por la misma vía sus datos personales que obran en los ficheros de XXXX a los efectos de su consulta o su posible rectificación o bien (2) Que se cancele y/o revoque la autorización para la recepción de comunicaciones, debiendo notificar a XXXX la efectiva rectificación y/o cancelación de los datos de carácter personal de su fichero.
223
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
REFERENCIAS WEB Sitio web de la agencia española de protección de datos: w w w .agpd.es
Web con noticias sobre la LOPD y LSSICE: www. leydeprotecciondedatos. com.
Noticias sobre denuncias de LOPD: http: I / todonoticiaslopd.com / Guía práctica de Microsoft p ara adaptación a la LOPD: ht t p. II www. microsoft. com I bus in ess I sm b /es-es / g u ia s / lopd I home.m spx
INTECO - sobre la LSSICE: http: / 1cert.inteco.esIFormacion / Legislación/Ley_d£_Servicios_de_la_Sociedad_de_la_Inform ación / Página web del M inisterio de Industria, Turism o y Consumo sobre la LSSICE: http: / / www.rnityc.es / d g d s i/ Issi / Paginas / 1ndex.aspx /
RESUMEN DEL CAPÍTULO En este capítulo hemos analizado la norm ativa que regula derechos y obligaciones con respecto a dos aspectos fundam entales: La Ley Orgánica de Protección de Datos (LO PD ) pretende proteger el uso de datos de carácter personal de los ciudadanos, en la recogida, tratam iento y eliminación de los mismos m ediante ficheros, que realizan em presas y profesionales. El organismo que verifica, controla y sanciona los aspectos de dicha ley es la Agencia Española de Protección de Datos, aunque Madrid. C ataluña y País Vasco poseen sus propias agencias. La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), regula ciertos aspectos de los servicios electrónicos, como sitios web que realicen actividades económicas, como publicidad, venta online, etc., así como las notificaciones comerciales electrónicas, como SMS o correos electrónicos publicitarios. E stas leyes de reciente creación, 1999 LOPD y 2002 LSSICE, suponen un inicio en la regulación norm ativa de la inform ática y sus aspectos de seguridad, garantizando los derechos de las personas y ciudadanos, evitando abusos sobre la privacidad de los datos personales, y ofreciendo un nuevo marco que dé tran sparencia a las operaciones comerciales a través de las redes de telecomunicaciones, y especialm ente a través de Internet.
224
© R A -M A
9 ■ N O R M A T IV A LEGAL EN M A T E R IA DE S E G U R ID A D IN F O R M Á T IC A
EJERCICIOS PROPUESTOS 1. Explica por qué crees que surge la norm ativa de protección de datos en España. ¿Crees que Los datos personales son em picados en ocasiones con un fin deshonesto? ¿Crees que los medios de comunicación protegen la intim idad de las personas? 2. Busca cómo se realiza la notificación de ficheros por In te rn e t o por soporte magnético, y explica el proceso. ¿Cuál es el medio recomendado por la AGPD para la notificación de ficheros? 3. Extrae tres noticias de http: / / todonoticiaslopd. co m í y explica exactam ente qué ha ocurrido, qué tipo de incum plim iento se h a realizado y la sanción propuesta (nivel y cuantía). ¿Qué datos y qué nivel de protección poseen los datos de carácter personal mal empleados? 4. E n su artículo 19, la LOPD indica con respecto al control de acceso físico íart.19): exclusivam ente el personal autorizado en el Documento de Seguridad podrá te n e r acceso a los locales en donde se encuentren ubicados los sistem as de información con datos de carácter personal. ¿Qué tipos de m edidas deberíam os de tom ar para cum plir con la norm ativa? Realiza algunas recomendaciones técnicas.
5. Busca al menos 2 web españolas, que no cum plan con la LSSI, explica por qué lo has deducido, y otras 2 que sí, indicando cómo has encontrado su aviso legal y qué indica éste con respecto a la LSSI. 6.
B usca a lg u n a n o ticia de in fra cció n por incum plim iento de la LSSI, por com unicación comercial, qué sanción se le impuso y cuáles fueron los motivos. ¿Qué tipo de infracción se cometió? ¿Ante qué organism o se interpuso la dem anda? ¿Crees que la sanción es proporcionada? Explica tus motivos. 7. Analiza las preguntas frecuentes o FAQS de la web del M inisterio de Industria, Turism o y Comercio, en relación a la LSSI: h ttp : / / w w w .m ityc.es / d g d s i / Issí / faqs
¿Qué acción se puede realizar si nos envían sparrií ¿A qué organism o se puede reclam ar? R evisa en su web el aviso legal, ¿cumple la A dm inistración con la LSSI? ¿E stá obligado a ello?
22!
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
© R A -M A
TEST DE CONOCIMIENTOS
¿En qué año aparece la LOPD? 1990. 1995. 1999. 2004. Indica cuáJ de los siguientes datos y archivos no está sujeto a la LOPD: Archivo con base de datos de m úsica en mi casa. Ficha de inscripción en papel con datos de un centro polideportivo. A puntes en papel sobre un cliente en un restau rante. F acturas em itidas con datos de clientes de un taller mecánico.
L a LOPD afecta a ficheros: Solo en soporte electrónico. Solo en soporte electrónico pero estructurados. Tanto en soporte papel como electrónico. Solo en soporte papel. E l organismo que regula y supervisa la protección de datos personales en los ficheros de em presa es: Asociación E spañola de Profesionales del Diseño(AEPD). A gencia E sp añola de Protección Personal (AEPP). Agencia de Protección de D atos Españoles (APDE). Agencia E spañola de Protección de Datos (AGPD).
226
En caso de solicitarm e una entidad datos relativos a salud, las m edidas de seguridad que deberá adoptar internam ente en sus ficheros serán de nivel: Bajo. Medio. Alto. No los puede reg istrar si no es un centro san i tario.
¿En qué año aparece la LSSICE? 1990. 2002 .
1999. 2004.
La LSSICE no regula aspectos como: El precio de los SMS. La información legal sobre los webmaater. La publicidad a través del correo electrónico El comercio electrónico.
La LSSICE no regula aspectos como: El precio de los SMS. La información legal sobre los webm aster. La publicidad a través del correo electrónico. El comercio electrónico.
Material adicional El m aterial adicional de este libro puede descargarlo en nuestro portal Web: h ttp ://w w iv .ra -m a .e s. Debe dirigirse a la ficha correspondiente a esta obra, dentro de la ficha encontrará el enlace para poder realizar la descarga. Dicha descarga consiste en un fichero ZIP con una contraseña de este tipo: XXX-XX-XXXX-XXX-X la cual se corresponde con el ISBN de este libro. Podrá localizar el núm ero de ISBN en la página 2 (página de créditos). P ara su correcta descompresión deberá introducir los dígitos y los guiones. Cuando descomprima el fichero obtendrá los archivos que com plem entan al libro para que pueda continuar con su aprendizaje.
INFORMACIÓN ADICIONAL Y GARANTÍA RA-MA EDITORIAL g arantiza que estos contenidos han sido sometidos a un riguroso control de calidad. Los archivos están Ubres de virus, para comprobarlo se han utilizado las últim as versiones de los antivirus líderes en el mercado. RA-MA EDITORIAL no se hace responsable de cualquier pérdida, daño o costes provocados por el uso incorrecto del contenido descargable. Este m aterial es gratuito y se distribuye como contenido com plem entario al libro que h a adquirido, por lo que queda term inantem ente prohibida su venta o distribución.
22 ',
índice Alfabético Símbolos 3JDES, 1 1 1 ,1 1 2 ,1 2 7 ,1 3 2 ,1 4 5 8 0 2 .l l i , 149
A ACL, 82, 8 3 ,8 4 ,1 6 2 ,1 7 0 ,1 7 8 ,1 8 1 ,1 8 3 ,1 8 6 . A ctualización, 20, 21, 29,31 A dm inistración, 6 6 ,1 2 8 ,1 3 2 ,1 8 7 , 224, 225 A dw are, 9 2 ,1 0 2 ,1 0 8 AEPD, 220 AES, 1 1 1 ,1 1 2 ,1 1 3 ,1 1 5 ,1 2 7 ,1 3 2 ,1 4 5 ,1 4 9 ,1 5 2 ,1 5 4 , 155 A gencia E sp añ o la de Protección de Datos, 216, 217, 2 1 8 ,2 1 9 ,2 2 0 AGPD, 224,225 A lta disponibilidad, 21 A nálisis forense, 28 A n tim alw are, 9 ,1 0 ,1 5 ,2 3 ,2 8 , 29, 32,66. 9 0 ,9 3 ,9 4 ,9 5 , 1 0 0 ,1 0 2 ,1 0 3 ,1 0 5 ,1 0 8 ,2 2 4 A ntispyw are, 95 A ntivirus, 29,31, 90, 9 5 ,1 0 0 ,1 0 3 ,1 0 8 A RP Poisoning, 134,136 A taq u e de diccionario, 67 A taq u e de fu erza b ru ta, 67 ,1 1 6 A u d ito ría de seguridad, 27 A utenticación, 12, 6 7 ,1 2 1 ,1 5 4 ,1 5 5 ,1 7 7 ,1 8 0 ,1 8 1 AVR, 53
B otnet, 26, 90, 91,224 B row ser hijacker, 103,108 Bugs, 25
c CCTV, 34,51. 224 C entro de respaldo, 4 7 ,4 8 C entros de procesam iento de datos, 47,186 C ertificado digital, 60, 6 4 ,1 0 8 ,1 2 3 ,1 2 5 ,1 2 7 ,1 2 8 ,1 2 9 , 132,136,217 César, 109,110,111 chgrp, 83,84
c h m o d ,8 3 ,84 chown, 83, 84 Cifrado, 3 8 ,4 1 ,6 9 ,1 0 8 ,1 0 9 ,1 1 1 ,1 1 5 ,1 1 6 ,1 1 7 ,1 2 2 C ifrado asim étrico, 1 1 8 ,1 2 0 ,1 2 7 ,1 3 2 ,1 5 9 ,1 6 2 C ifrado híbrido, 117,127,132 Cifrado sim étrico. 1 1 2 Clave, 1 4 ,6 7 ,1 0 8 ,1 0 9 ,1 1 0 ,1 1 1 ,1 1 2 ,1 1 5 ,1 1 6 ,1 1 7 , 1 1 8 ,1 1 9 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 3 ,1 2 5 ,1 2 7 ,1 2 8 ,1 2 9 ,1 3 2 , 1 4 4 ,1 4 5 ,1 4 6 ,1 4 8 ,1 4 9 ,1 5 0 ,1 5 1 ,1 5 2 ,1 5 4 ,1 5 5 ,1 7 7 , 1 8 1,193,194 Clave asim étrica, 117 Clave pública, 1 1 5 ,1 1 6 ,1 1 7 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 3 ,1 2 5 Clave privada, 1 1 5 ,1 1 7 ,1 2 0 ,1 2 1 ,1 2 2 Clave sim étrica, 109,117 j C lickers, 92 Cloud com puting, 186,187 C lustering, 186 B C onfidencialidad, 1 2 ,2 9 ,3 2 ,1 1 7 ,1 4 5 Backdoor, 15,25, 9 1 ,9 7 ,1 0 2 ,1 0 8 C ontraseña, 6 7 ,6 9 ,8 4 , 8 6 ,1 2 8 ,1 3 2 ,1 5 5 ,1 5 9 ,1 6 2 B ackup, 35, 6 0,62 C o n traseñ as seguras, 84,86 B alanceo de carga, 9,10, 2 3 ,4 8 ,1 8 6 ,1 9 5 ,1 9 6 ,1 9 8 ,1 9 9 , C ontrol de acceso, 48,49, 60 2 1 2 ,2 1 3 ,2 1 6 Cookies, 92 B astidor, 49 Copia de seguridad, 2 9 ,3 1 ,3 5 ,6 0 ,1 2 8 ,1 3 2 B io m etría, 49, 50 60 CPD, 3 4 ,4 7 ,4 8 ,6 0 , 62,63 BIOS, 7 1,73 Blow fish, 42, 4 4 , 1 1 1 ,. 1 1 2,127,132 C redenciales, 49
229
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
FTP, 2 9 ,3 1 ,4 2 ,4 3 ,4 4 , 9 3 ,1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 2 ,
C rim ew are, 9 2 ,1 0 2 ,1 0 8 C rip to an alisis, 108
1 4 3 ,1 4 4 ,1 4 5 ,1 6 5 ,1 6 6 ,1 7 2 ,1 7 3 ,1 7 4 ,1 8 3 ,1 8 6 ,2 0 6 ,
C rip to g rafía, 108., 109,1 1 .2 ,1 1 6 ,1 1 7 ,1 2 0 ,1 2 2 ,1 2 6 , 216
2 0 8 .2 0 9 .2 1 0 .2 1 3 .2 1 6 .2 2 4 .
C rip to g rafía sim étrica, 111,117
F u erz a b ru ta , 26, 224
C ron, 38,41
G D
G estor de arran q u e , 75, 77
DAS, 3 6 ,6 0 ,6 1 , 206,210.
getfacl, 84
D a ta center, 47
GPG, 1 1 2,117,118,120.
DDoS, 2 6 ,2 2 4
G rayw are, 92
D E S, 4 2 ,4 4 ,1 1 1 ,1 1 2 ,1 2 7 ,1 3 2 ,1 4 5
G reyw are, 9 2 ,1 0 5 ,1 0 8
D iccionario, 26, 224
G usano, 25, 90, 92
D iferencial. 36
H
D iffie-H eüm an, 11 7,127,132 D irectiv a de bloqueo de cuentas, 68
H acker, 24,47
D irectiv a, 68
H ash, 115,121
D irectiv a de co n traseñ as, 68
H igh Availability, 21
D isponibilidad, 1 2 ,2 9 ,3 2 ,4 8
Hoax, 26, 9 2 ,1 0 2 ,1 0 8 ,2 2 4
D istribución Live, 74, 7 7 ,7 8 ,8 0 ,8 1
HTTP, 139,224.
DM Z, 1 3 7 ,1 69,173, 182,183,186
HTTPS, 1 2 3 ,1 2 5 ,1 3 6 ,1 3 9 ,1 4 1 ,1 4 3 ,1 4 5 ,1 4 6 ,1 4 8 ,
D N Ie, 1 2 2 ,1 2 3 ,1 2 5 ,1 2 6 ,1 2 7 ,1 2 8 ,1 2 9 ,1 3 2
1 5 9 .1 6 0 .1 6 2 .1 7 4 .2 0 0 .2 0 3 .2 2 4 .
D N S, 139,224. D N S spoofing, 135,136
I
DoS, 2 6 ,1 3 2 ,2 2 4 DSA, 1 1 7 ,1 1 8 ,1 2 0 ,1 2 7 ,1 3 2
IDEA, 111, 112,127,132
D SS, 117
Identificación, 67
D u a l Hom ed-H ost, 169,183,186
IDS, 1 3 6 ,1 3 7 ,1 3 8 ,1 5 8 ,1 5 9 ,1 6 2 Increm ental, 36
E
Infostealers, 9 2 ,1 0 2 ,1 0 8
E F S , 1 3 ,1 4 ,1 5 ,1 1 3 ,1 1 5
Ingeniería social, 2 6 ,9 2 ,2 2 4
E lG am al, 1 1 2 ,1 1 7 ,1 1 8 ,1 2 0 ,1 2 7 ,1 3 2
In teg rid ad , 1 2 ,2 9 ,3 2 ,1 1 7 ,1 2 1 ,1 4 5
E steg an o g rafía, 128,132
Interceptación, 132
E x p lo its, 19,21
Interrupción, 132 IPSEC, 141,1 4 6 ,1 6 0 ,1 6 2
F F abricación, 132
ISO 27001, 27, 29 ISO 27002, 27
FakeAV, 94
J
F iltra d o de direcciones MAC, 155 F írew a li, 2 9 ,3 1 ,1 3 9 ,1 6 2 ,1 6 8 ,1 7 1 ,1 7 2 ,1 7 3 ,1 8 1 ,1 8 3 ,
Joke, 9 2 ,1 0 2 ,1 0 8
186. F ir m a digital, 8 3 ,8 4 ,1 2 0 ,1 2 1 ,1 2 2 ,1 2 5 fn m t, 12 6 ,1 2 8 ,1 3 2
230
K Keyloggers, 9 2 ,1 0 2 ,1 0 8
© R A -M A
ÍN D IC E A L F A B É T IC O
L L2TP, 14 6 ,1 6 0 ,162 La mm er, 24 LDAP, 67 Log, 7 1 ,1 6 6 ,1 6 8 Login, 67 LOPD, 23, 2 1 6 ,2 1 7 ,2 1 8 ,2 1 9 , 224, 225,226 LSSI, 2 2 1 , 222 , 223, 224, 225 L SSIC E , 2 1 6 ,2 2 1 ,2 2 2 ,2 2 3 ,2 2 4
M
; I ; : ; i ! I ; ;
i
P in za am perim étrica, 54 P K 3 ,125,127,132 P O P 3 ,1 3 9 ,1 4 1 ,1 4 3 ,1 4 5 ,2 2 4 . Potencia ap a ren te, 54 Potencia real, 54 PPTP, 1 4 6,160,162 Proxy, 9 ,1 0 ,2 3 ,1 6 2 ,1 6 5 ,1 6 6 ,1 6 8 ,1 6 9 ,1 7 4 ,1 7 5 ,1 7 6 , 1 7 7 ,1 7 8 ,1 7 9 ,1 8 0 ,1 8 1 ,1 8 2 ,1 8 3 ,1 8 6 ,2 1 2 ,2 1 6 Proxy abierto, 174 Proxy anónim o, 174 Proxy caché Web, 174 P roxy inverso, 174 Proxy NAT, 174 P S K .1 4 9 ,152 pw stealer, 9 2 ,1 0 2 ,1 0 3 ,1 0 5 ,1 0 8
M alw are, 1 0 ,1 1 ,1 5 ,1 7 , 20, 2 1 , 25,26, 29,31, 3 2 ,3 5 ,4 1 , ¡ 6 6 , 9 0 ,9 2 ,9 4 ,9 5 , 9 6 ,9 7 ,9 8 ,9 9 ,1 0 0 ,1 0 2 ,1 0 3 ,1 0 4 , ! 1 0 5 ,1 0 8 ,1 5 9 ,1 6 2 ,2 2 4 i M an in th e m iddle, 133 M BSA, 18, 21 R M D 5 ,71, 7 7 ,7 9 ,8 1 ,1 1 5 ,1 1 6 ,1 4 5 I Rack, 49 M etasploits, 19,21 RADIUS, 1 4 9 ,1 5 3 ,1 5 8 ,1 6 2 M inucia, 50 ; RAID, 186,187,188 M itM , 1 3 3 ,1 3 4 ,1 3 6 ,1 4 3 ,1 4 5 ,1 5 9 ,1 6 0 ,1 6 2 R C 5 ,111,127,132 M odificación, 132 ; Red zombie, 90,91 MTTF, 22 í R e s ta u ra r S istem a, 41 M TTR, 22 ; R ijndael, 4 2 ,4 4 ,1 1 1 : R oguew are, 2 5 ,9 0 ,9 2 ,9 4 ,1 0 2 ,1 0 8 N i Rol, 84,86 NAS, 3 6 ,6 0 ,6 1 ,2 0 6 ,2 1 0 : R ootkit, 15 NAT, 1 6 3 ,1 6 4 ,1 6 5 ,1 6 6 ,1 7 2 ,1 7 4 ,1 8 2 ,1 8 6 ,1 9 8 ,1 9 9 , ; R ootkit h u n ter, 15 2 0 3 ,2 0 4 ,2 0 5 ,2 1 2 ,2 1 3 ,2 1 6 . ; R ound Robin, 194 N essus, 18,21 : RSA, 4 2 ,4 4 ,1 1 7 ,1 2 7 ,1 2 9 ,1 3 2 ,1 5 9 ,1 6 2 N etB IO S, 139,224
i i
N ets ta t, 139 N ew bie, 24 N m ap, 17,21 No repudio, 1 2 ,2 9 ,3 2 ,, 117,1 2 0 ,1 2 1 ,1 4 5
P PAM, 70 P assw ord, 4 9 ,6 0 ,6 3 P assw o rd cracking, 26, 224 P ecera, 48 PGP, 1 1 2 ,1 1 7 ,1 2 7 ,1 3 2 . P h arm in g , 2 6 ,1 3 3 ,1 3 6 ,2 2 4 P h ish in g , 1 0 ,1 1 ,2 6 ,2 9 ,3 2 ,9 0 ,9 2 ,1 0 2 ,1 0 3 ,1 0 8 ,1 3 3 , 160,162, 224
i ! i ; i í ; ; ; i : •
s SAI, 34, 5 2 ,5 3 ,5 4 ,6 0 ,6 2 , 63,224 SAI O FF-LIN E, 53 SAI O N -LINE o de DOBLE CONVERSION, 53 SAI O N -LIN E o LIN E INTERA CTIV E, 53 SAN, 3 6 ,6 0 ,6 1 ,2 0 6 ,2 1 0 Scam , 10,11, 26, 9 2 ,1 0 4 ,1 0 8 ,2 2 4 S creened H ost, 169,183,186 S creened-subnet. 169,183,186 S creening router, 169 Script-K iddies, 24 S eguridad activa, 28 S eguridad física, 2 8 ,4 7 ,6 6 , 216
231
© R A -M A
S E G U R ID A D Y A L T A D IS P O N IB IL ID A D
S eg u rid ad lógica, 2 8,66 S eg u rid ad pasiva, 28 S erp e n t, 113,115 S erv id o r de autenticaciones, 67 setfacl, 84 SFC , 15 SHA, 71, 7 9 ,8 1 ,1 0 8 ,1 0 9 ,1 1 5 ,1 4 5 S hell hijacker, 103,108 S h o u ld e r surfing, 26,224 S m a rtC a rd , 49 ,1 2 2 SM TP, 1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 3 ,1 4 5 ,2 2 4 . Sniffing, 26,132, 224 S p am , 1 0 ,1 1 ,2 5 ,2 6 , 9 2 ,1 0 2 ,1 0 3 ,1 0 4 ,1 0 8 ,1 2 8 ,1 3 2 , 1 7 4 .2 23.224, 225. Spoofing, 2 6 ,1 3 3 ,1 3 4 ,1 3 6 ,2 2 4 S pyw are, 1 0 ,1 1 ,2 9 ,3 2 , 92, 95,102,108. S Q L Inyection, 104,108 S S H ,2 1 ,2 3 ,1 1 7 ,1 2 7 ,1 3 2 ,1 3 9 ,1 4 0 ,1 4 1 ,1 4 2 .1 4 4 ,1 4 5 , 1 4 6 .1 5 8 .1 6 0 .1 6 2 .2 2 4 . S SL , 2 3 ,4 2 ,4 4 ,1 1 7 ,1 2 7 ,1 3 2 ,1 4 1 ,1 4 3 ,1 4 4 ,1 4 5 ,1 4 6 , 1 5 8 ,1 6 0 ,1 6 2 ,1 7 4. S u stitu ció n , 1 0 8 ,1 09,110, 1 1 1 , 187
T T ab nabbing, 133 T ar, 3 8 ,4 1 T eln e t, 1 3 5 ,1 3 6 ,1 3 9 ,1 4 0 ,1 4 3 ,1 4 5 ,2 2 4 T exto plano, 1 4 ,8 1 ,1 0 8 ,1 1 0 , 111, 112,127,132,143, 1 4 4 ,1 4 5 ,1 5 3 ,1 5 5 T R IP , 1 4 9 ,1 5 2 ,1 5 4 ,1 5 5 T L S, 2 3 ,1 1 7 ,1 2 7 ,1 3 2 ,1 4 1 ,1 4 4 ,1 4 5 ,1 4 6 ,1 5 8 ,1 6 0 , 162.
232
TPC, 125 T ransposición, 1 0 8,110,111 Troyano, 25, 90, 9 1 .9 2 ,1 0 3 ,1 0 8 T ru eciy p t, 38,41 Tw ofísh, 113,115
u UBCD, 72, 75,80 UPS, 34, 52,224
V VAF, 51 Vatios, 54 V irtualización, 9,10, 23,1 8 6 ,1 9 9 , 205, 206,2 1 0 ,2 1 2 , 213,216 V irus, 2 5 ,4 7 ,9 0 , 9 1 ,1 0 0 ,1 0 3 ,1 0 8 VPN, 2 3 ,1 4 5 ,1 4 6 ,1 4 7 ,1 4 8 ,1 5 8 ,1 6 0 ,1 6 2 ,1 7 2 ,1 8 1 . 198,199. V ulnerabilidad, 2 7 ,2 9 ,3 1 ,9 1 ,9 2
w W aanaber, 24 WEP, 1 4 9 ,1 5 0 ,1 5 1 ,1 5 2 ,1 5 5 ,1 5 8 ,1 6 0 ,1 6 2 . W ireless, 148,158 WLAN, 5 1 ,1 4 9 ,1 5 5 ,1 5 9 ,1 6 0 ,1 6 2 WPA, 1 4 9 ,1 5 1 ,1 5 2 ,1 5 5 ,1 5 8 ,1 6 0 ,1 6 2 . W PA -E nterprise, 149
X X .5 0 9 ,123
La p re sen te obra e stá dirig id a a los e stu d ia n te s del Ciclo F orm ativo de G rado S u p erio r de Administrât de Sistemas Informáticos en Red (ASIR), en concreto p a ra el Módulo Profesional Seguridad y ¿ Disponibilidad. A lo largo del libro se a n aliza la seg u rid ad in fo rm ática y la a lta d isponibilidad desde d istin ta s perspecti com pletando de este modo u n a visión global de la m a te ria , p a ra no d e ja r n in g ú n aspecto vulnere principios y terminología, seguridad pasiva, copias de seguridad, seguridad física y lógica, softi antim alware, criptografía de la información y las comunicaciones¡ seguridad en redes corporal atendiendo especialm ente a su seg u rid ad p e rim e tra l, configuraciones avanzadas de alta disponibilidt norm ativa en m ateria de seguridad informática. El enfoque del libra es em in e n tem e n te práctico, d u ra n te el desarro llo de los capítulos se re a liz a n u n 1 de 51 p rácticas. E n los capítulos se incluyen recom endaciones p a ra d e sa rro lla r u n a com pleta labor c A d m in istra d o r de sistem as, adem ás de activ id ad es y ejem plos, con la finalidad de fa c ilita r la asim ila de los conocim ientos tra ta d o s. Así m ism o, se incorporan te s t de conocim ientos y ejercicios p ro p u esto s con la fin alid ad de com probar los objetivos de cada capítulo se h a n asim ilado correctam ente. WWW
E n la pág in a w eb de Ra-M a (www.ra-m a.es) se e n c u e n tra disponibl m a te ria l de apoyo y com plem entario.
ra-ma e 788499 640 891
Ra-Ma*
