Anda di halaman 1dari 241

.. ". \.. 0.

8 .,. .

o,dades
"

,,,,0 e competeoC

Certificados de profesionalidad

p.II.p'

J.Lc 'Yr-

r.

Seguridad informtica
Csar Seoane Ruano Ana Beln Saiz Herrero Emilio Fernndez lvarez Laura Fernndez Aranda

Seguridad informtica
La base de tu futuro
El proyecto editorial de McGraw-Hill poro lo formacin profesional ha sido

~ Formativo
Gro~o
~

desarrollado segn tres principios bsicos:


Una metodologa basada en la prctico y en la adecuacin de
contenidos y procedimientos a la realidad profesional. Unos materia les desarrollados para conseguir las destrezas, habilidades y resultados de aprendizaje que necesitars pora conseguir tu ttulo y desenvolverle en el mercado laboral. Uno presentacin de los conten idos doro y atractiva, con variedad de recursos grficos y multimedia que facilitarn tu aprend izaje. El proyecto poro el mdulo profesional Seguridad informtico ha sido desorroliado considerando los unidades de competencia del Catlogo Nocional de Cualificaciones Profesionales:

Medio

Unidades de compelencia profesional


Mantener y regular el subsistema fsico en sistemas informticos.

(UC0957_2)

Ejecutar procedimientos de administracin software base y de aplicacin del cliente.

y mantenimiento

en el

(UC0958_2)

Mantener la seguridad de los subsistemas fsicos informticas.

y lgicos

en sistemas

(UC0959_2)

Confiamos en que esta obro seo una herramienta til y eficaz, y que contribuya a tu formacin como profesional.

Seguridad informtica
Csar Seoane Ruano Ana Beln Saiz Herrero Emilio Fernndez lvarez Laura Fernndez Aranda

Revisor tcnico
Alberto Snchez Alonso

MADRID - BARCELONA - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MXICO NUEVA YORK - PANAM - SAN JUAN - BOGOT - SANTIAGO - SAO PAULO

AUCI<LAND - HAMBURGO - LONDRES - MILN - MONTREAL - NUEVA DELHI - PAR s SAN FRANCISCO - SI ONEY - SI NGAPUR - SToLOU IS - TOKIO - TQRQNTO

Seguridad iurormtica . Ciclo Formativo Grado Medio No est permitida la reproduccin total o parcial de este libro. ni su tratamiento informtico, ni la transmisin de ninguna forma o por cualquier medio, ya sea electrnico, mecnico, por fotocopia, por registro u otros mtodos, sin el permiso previo y por escrito de los titulares del Copyright. Si necesita fotocopiar o escanear algn fragmento de esta obra, dirjase a CEDRO (Centro Espaol de Derechos Reprogrficos. www.cedro.org)

Nota: Este libro se atiene al artculo 32 del derecho de cita de la Ley de Propiedad Intelectual de 1996 (RDLeg 111996 de 12 de Abril) Derechos reservados 2010, respecto a la tercera edicin en espaol, por: McGraw-Hill/Interamericana de Espaa, S.L. Edificio Valrealty, \." planta Basauri, 17 28023 Aravaca (Madrid) ISBN: 978-84-481-7137-7 Depsito legal: M-1 9725-20 I O Csar Seoane Ruano, Ana Beln Saiz Herrero, Emilio Fern ndez lvarez, Laura Fernndez Aranda Autores: Csar Seoane Ruano, Ana Beln Saiz Herrero, Emilio Fernndez lvarez, Laura Fernndez Aranda Autores del material complementario: Csar Seoane Ruano, Ana Beln Saiz Herrero, Emilio Fernndez lva rez, Laura Fernndez Aranda Equipo editorial: Ariadna Alls, Paloma Snchez, Ma ra Justicia, Waldo Prez Equipo de preimpresin: Meritxell Carceller, Daniel MontanyiI. Diseo de cubierta: neprotel.com Diseo interior: neprotel.com Fotograras: Age, Aisa, Corbis, Getly, SanDisk, Quick Image, Google Oregn Ilustraciones: Mamen Fuente Canalda Composicin: Ediciones Grficas Arial, S.L. Impresin: Edigrafos, S. A.

IMPRESO EN ESPAA - PRINTED IN SPAIN

Presentacin
En la actualidad tanto las empresas coma los usuarios de a pie guardan gran cantidad de informacin en sus ordenadores. En el caso de los usuarios domsticos almacenamos gran cantidad de recuerdos en nuestros equipos. Hoy en da es prcticamente impensable realizar una fotografa con cmara analgica; todos, jvenes y personas mayores, nos hemos actualizado y usamos cmaras digitales para inmortalizar esos grandes momentos de nuestra vids que terminan almacenados en el disco dura. Toda esa informacin debemos prategerla tanto de posibles prdidas como de los posibles intrusos. Imaginaos que un desalmado entra en nuestra equipo y d;fund" por Internet esas fotografas que no queremos compartir con nad ie; o pensemos, por ejemplo, en la cantidad de famosos que intentan proteger la intimidad de sus hijos. Para poder seguir manteniendo la confidencialidad, la disponibilidad y la integridad de la informacin necesitamos tomar numerosas medidas de proteccin. En el caso de las empresas, toda la informacin es almacenada en los equipos/ sus comunicaciones son realizadas mediante videoconferencias sin necesidad de desplazarnos numerosos kilmetras para hablar durante una sesin de trabajo. . La mayora de las actividades desarrolladas en las empresas se encuentran automatizadas mediante diversas aplicaciones informticas, por lo que la cada de sus sistemas puede suponer grandes prdidas econmicas; la prdida de informacin, a su vez, puede hacer parar la actividad de numerosas empresas (imaginad para una inmobiliaria lo que supondra perder la informacin). Eso s, lo que en ambos casos sucede es que las empresas pierden fiabilidad frente al resto de las empresas. Adems, en el caso de las comunicaciones debemos asegurar tanto la integridad como la confidencialidad y el no repudio. Gracias a todos estos avances tecnolgicos hemos sustituido la mquina de escribir y los archivadores por equipos informticos, o las largas esperas del correo por la inmediatez del correo electrnico y las videoconferencias. Todo este avance se ha desarrollado paralelamente al desarrallo de medidas de seguridad. En este libro estudiaremos las distintas maneras de protegernos sobre posibles ataques ci esa confidencialidad que, por una razn u otra, tanto interesa proteger; sern siempre estudiadas desde un punto de vista prctico. El libro se ha dividido en distintos bloques. En el primero de ellos, introductorio, intentamos justificar y motivar al lector al estudio de la seguridad informtica. El segundo bloque aborda conceptos y tcnicas relativos a la seguridad pasiva en los sistemas informticos, tratndose aspectos como las arquitecturas hardware y, por supuesto, las copias de seguridad, que resultan cruciales en cualquier equipo o sistema que se precie. Los sistemas criptogrficos son utilizados constantemente en el da a da de casi cualquier persona, hasta el punto de

que en la actualidad el DNI incorpora un chip electrnica que permite realizar diversas gestiones seguras utilizando tcnicas como las que se abordorn en el tercer bloque tratado en el libro.

El cuarto bloque se dedica a la seguridad activa en el sistema, tratando distintas tcnicas de seguridad software, relacionadas con trminos tan de moda como hacker o virus, de modo que podamos identificar los riesgos a los que se enfrenta cualquier equipo conectado a una red.
Por ltimo, no podamos dejar de hablar de cortafuegos y praxy, considerados como tcnicas de seguridad de alto nivel en redes, pero imprescindibles en cualquier sistema o red que quiera estar protegido, especialmente si se conecta a redes no seguras. Son varias las personas que nos han ayudado en este proyecto y que no queremos dejar de mencionar. Agradecemos la colaboracin que nos han prestado Daniel Magaa, de la Universidad Antonio de Nebrija, facilitndonos documentacin y fotografas de la realizacin de las copias de seguridad; a Dominador Saiz, al que le hemos robado numerosas horas de su tiempo libre y a Gustavo Delgado, de Tiscar Instalaciones, por todas las horas que nos ha dedicado y sus explicaciones sobre los centros de procesamiento de datos. Otro mencin importante es paro www.informationweek.com. su editor, John Foley, y su editor jefe, Rob Prestan, que nos han permitido utilizar sus imgenes del centro de dotas de Google en Oregn. Dedicamos este libro o nuestros parejos y familias, que han sufrido los sinsabores de esto experiencia y nuestro mol humor. Los a utores

Indice
o
Unidad l. ~ancep!~s bsicos de la seguridad mformallca ....................................... .. l. Seguridad informtica por qu? ................. . 2. Objetivos de la seguridad informtica ......... .. 3. Clasificacin de seguridad .......................... . 3.1. Seguridad fsica y lgica ........ .. .. .. ....... . 3.2. Seguridad activa y pasiva .............. ..... . 4. Amenazas y fraudes en los sistemas de la informacin ...................................... .. 4.1. Actuaciones para mejoror lo seguridad .. 4.2. Vulnerabilidades ................................. . 4.3. Tipos de amenazas ............................ .. 4.4. Pautas de proteccin para nuestro
sistema ........................... ................... .

7 8 10 13 13 16 17 18 20 21 22 23 23 26 29 30 30 32 33 35 35 35 36 36 37 38 40 40 43 44 44 45 46 46 46

4. Modos de recuperacin frente a prdidas en el sistema operativo .. .. ............................. 5. Creacin de imgenes del sistema .......... .. .... 6. Copia de seguridad del registro .......... .. ........ 7. Polticas de copias de seguridad .......... .. .......

63 69

72
73 79 80 80 84 84 86 90 90 91 92 94 95 105 106 106 106 108 112 117 117 1 19 123 123 125 126 129 129 131 131 131 133 133 134 145 146 147 149 149 150
5

O Unidad 4. Sistemas de identificacin.


Criptografa ........................................ 1. Cmo aseguramos la privacidad de la informacin? ....................................... 2. Un poco de historia de la criptografa ............ 3. Criptografa simtrica y asimtrica ............ .. .. 3.1. Criptografa simtrica .. .................. ....... 3.2. Criptografa asimtrica ..... .. .. .. .......... ... . 3.3. Criptografa hbrida ..................... .. ...... 4. Algoritmos ........................................... .. ..... 5. Funcin Resumen ................... .. .......... .......... 6. Firma digital ...... .. .. .... ...... ... .. .. .. .. .. .. .. .......... 7. Certificados digitales ........ ... .. .. .. .. ..... ..... ... .. . 8. PKI .............. ........................................ ... ....

5. Leyes relacionadas con la seguridad de la informacin ...................................... .. 5.1. Normativa que protege los datos personales ......................................... . 5.2. Normativa de los sistemas de informacin y comercio electrnico ........................ .

Unidad 2. Seguridad pasiva. Hardware y almacenamiento ............................ ..

O Unidad 5. Seguridad activa en el sistema .............


1. Introduccin a la seguridad del sistema .. ........ 2. Seguridad en el acceso al ordenador ............ 2.1. Cmo evitamos que personas ajenas . modifiquen la BIOS? ............................ 2.2. Cmo proteger el GRUB con contrasea? .............................. ..... .. ... 2.3. Cifrado de particiones .......................... 2.4. Cuotas de disco ................................... Activacin y uso de cuotas de disco en Windows ....................................... Cuotas de usuario en UBUNTU .......... ... 3. Autenticacin de los usuarios .................... .. .. 3.1. Polticas de contraseas ................... .. ... 3.2 . Sistemas biomtricos ................... .. .. .. ... 3.3. Listas de control de acceso .................... 4. Vulnerabilidades del sistema ......................... 4 . 1. Evitar vulnerabilidades en Windows ...... 5. Monitorizacin del sistema .. .......... .. .......... .. . 5.1. Monitorizacin en Windows ............. .. .. 5.2. Monitorizacin en Linux ................ ... .... 6. Software que vulnera la seguridad del sistema ......................................... .. ...... 6.1. Clasificacin de los atacantes ............... 6.2. Tipos de ataques .................................

1. Ubicacin y proteccin fsica ...................... ..


1.1. Factores para elegir la ubicacin .......... . 1 .2. Control de acceso .............................. .. 1.3. Sistemas de climatizacin y proteccin en el CPD .......................................... . 1.4. Recuperacin en caso de desastre ...... .. . Sistemas de alimentacin ininterrumpida ...... .. 2.1. Definicin de SAl ...................... ...... .... . 2.2. Tipos de SAl ............................ .. .. .. .... . 2.3. Modo de funcionamiento .............. .. .. .. .. Almacenamiento de la informacin .............. .. Almocenomiento redundante y distribuido .... .. 4.1. RAID en Windows .............................. . 4.2. RAID en Windows Vista .................. .... . 4.3. RAID en Windows 2008 Server ...... ..... . Clusters de servidores .................... .... ....... .. . 5.1. Clasificacin de los clusters .................. . 5.2. Componentes de los clusters ...... .. ........ . Almacenamiento externo ............................ .. 6.1. Network Attached Storage .............. .. .. .. 6.2. Storage Area Network ............ ....... .. .. ..

2.

3. 4.

5.

6.

Unidad 3. Seguridad Pasiva. Recuperacin de datos ............................................ . l. Introduccin .................................. .. ...... .. .. .. 2. Tipos de copias de seguridad .................. .. .. . 3. Copias de seguridad de los datos ................ . 3.1. Copia de seguridad de datos en Windows .......... ................................. . 3.2. Copia de seguridad de datos en Linux .. .

49 50 51 52 54 61

O Unidad 6. Seguridad activa en redes ...................


1. Seguridad en la conexin a redes no fiables .. 1.1. Spyware en tu ordenador ................ .... . 2. Protocolos seguros ... .. ................... .. ....... ...... 2.1. Protocolo HTIPS .... .. ........ ............. .. ..... 2.2. Protocolo SSH .................. .. ...... .. .. .. .....

Indice
3. Seguridad en redes cableadas..... ......... .... .. .. 3.1. Red privada virtual (VPN) ......... .... ........ Qu es una VPN? ... ......... .... ............. Cmo funciona una VPN? . ..... ..... ........ Instalacin y configuracin de una VPN . 3.2. Deteccin de intrusos ............. .............. 3.3. Arranque de servicios .. ................. .... ... Servicios en Windows Vista ....... .... ....... Servicios en Ubuntu ............ ............. .... 4. Seguridad en redes inalmbricas ....... ........... 4.1. Tecnologas Wi-fi.. ................... ....... ..... 4.2. Conceptos de redes Wi-fi ..................... 4.3. Seguridad Wi-fi.................... .... .... ....... 5. Seguridad WEP .............. ..... ............ .... ....... 6. Seguridad WPA ................................... .... ... 6.1. Seguridad WPA personal........... ... ....... 6.2. Seguridad WPA empresarial................. 152 152 152 152 152 159 159 159 161 162 163 164 165 166 170 170 172

Unidad 8. Seguridad de alto nivel en redes: proxy.................................................

203

l. Intraduccin ................................................ 2. Caractersticas del praxy....... .. .. .. ...... .. .. ... .... 3. Funcionamiento del praxy............................. 4. WinGate.............. ........... .... .. ..... ... .. .. ......... 4.1. Instalacin ................ ...... .............. .. .... 4 .2. Configuracin inicial............... .... .. .. ..... 4.3. Servicios de WinGate .......................... Parada y orranque de los servicios........ Configuracin de los servicios.......... ..... 4.4. Tipos de praxy .............................. .. .... 4.5. Creacin de usuarios........ .. .. .. ....... ...... 5. PureSight.............................................. .. .... 6. Control de lag en WinGate ........ .. .. .. ...... .. .... 7. Squid ........................................................ 7.1. Instalacin de Squid....... .. .. .. ... ............. 7.2. Configuracin inicial...................... .. .... http_port....................................... ... ... cache_dir ........ .. .. .. ...... .. ..................... cache_mem......................................... cache_mgr................................. ......... accessJog, cacheJog y cache_store_ lag..................................................... cache_effective_user y cache_effective_ group................................................. ftp_user ........................ ...... ...... .. ........ error_directory .............. ...... ................ 7 .3 . Control de acceso en Squid ........ .. ........ acl............ ...... .......... .. ...... .. ...... .. ....... acl src ...................... .. .. .. .. .. ... .. ........... http_access .............. ...................... ..... AcI ds!.................. .. .. .. .. .. .. .. .. .. ... .. .. .. ... AcI dstdomain ....... .. ...... .. .. .. ........... .. ... urLregex .............. .. ...... .. ...... .. ....... ..... time .............................................. .. ... 7.4. Autenticacin ...... .... ............................ 7.5. Clasificacin de sitios en Squid ............. 7.6. Gestin del proxy con Webmin. Control de lag.... ................................. Instalar y configurar Webmin para Squid Utilizacin de Webmin......................... Anlisis del lag de Squid con Webmin...

204 205 206 208 208 209 211 211 212 212 214 217 218 219 219 220 220 220 221 221 221 221 221 221 222 222 222 222 224 224 224 225 226 229 230 230 231 231
235

Unidad 7. Seguridad de alto nivel en redes: cortafuegos ........................................

179

l. Seguridad de alto nivel............................. .. . 2. Cortafuegos: qu son y para qu sirven ......... 3. Tipos de cortafuegos.................................... 3.1. Segn su ubicacin..... .... ...... .... .. .. ....... Cortafuegos personales.......... ... .... ....... Cortafuegos de subredes ........... .... ....... 3.2. Segn su tecnologa.................. .... .. .. ... 4. Filtrado de paquetes........... ......................... 4.1. Parmetros utilizados para filtrar paquetes ............... .......................... ... 4.2. Reglas de filtrado.......... .... .... .... .... ....... 5. Uso de cortafuegos...................................... 5.1. Criterios para elegir un cortafuegos ....... 5.2. Instalacin y configuracin de un cortafuegos comercial....................... ... 6. Arquitecturas de red con cortafuegos ...... .. ..... 6.1. Dual-Homed Has!................................. 6.2. Screened Host ..................................... 6.3. Screened subnet .......... .. ...................... 7. Monitorizacin y logs .................................. 7.1. Registra de actividad de los sistemas operativos........................................... 7.2. Registras de actividad del cortafuegos....

180 181 184 184 184 1 86 186 1 87 1 87 188 192 192 192 197 197 197 198 199 199 200

Anexo: ndice de trminos ..................................

ijj) n'il odl d

Conceptos bsicos de la seguridad informtica

En esta unidad aprenderemos a:

Valorar la importancia de mantener la informacin segura. Describir las diferencias entre seguridad fsica y lgica y entre seguridad activa y pasiva. Valorar la importancia de establecer una poltica de contraseas. Contrastar la incidencia del software malicioso y las tcnicas de ingeniera social en los fraudes informticos y robos de informacin. Determinar la necesidad de controlar el acceso a la informacin personal almacenada. Describir la legislacin sobre proteccin de datos de carcter personal y sobre los servicios de la sociedad de la informacin y

y estudiaremos:
los servicios de seguridod. las clasificaciones de seguridad. las amenazas y fraudes. legislacin: proteccin de datos y servicios de la sociedad de la informacin y correo electrnico.

comercio electrnico.

~1

Conceptos bsicos de la segu ridad inform tica

Gene Spafford, experto en seguridad informtica, afirma: El


nico sistema verdaderamente

l. Seguridad informtica por qu?

seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterra-

El espectacular auge de Internet y de [as servicias telemticos ha hecho que [os ordenadores y [as redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumenta imprescindible en [as tareas de [as empresas. Ya no tenemos necesidad de ir a[ banco para conocer [os movimientos realizados en nuestra cuenta bancaria, ni para realizar transferencias ... directamente podemos rea[izar dichas operaciones desde e[ ordenador de casa. Lo mismo ocurre con [as empresas; sea cual sea su tamao, disponen de equipos conectadas a Internet que [es ayudan en sus pracesas productivos. Cualquier fallo en [os mismos puede suponer una gran prdida econmica ocasionada por e[ parn producido, bien por [a prdida de infarmacin o por e[ mal funcionamiento de [as equipos infarmticos, de modo que es muy importante asegurar un correcto funcionamiento de [os sistemas y redes informticas. Uno de [os principales problemas a [os que se enfrenta [a seguridad infarmtica es [a creencia de muchos usuarios de que a ellos nunca [es va a pasar [o que a otros. Es impensable que nas vayamos de casa y nos dejemos [a puerta abierta. Lo mismo ocurre con [a seguridad de [a infarmacin. Con unas buenas polticas de seguridad, tanto fsicas como lgicas, conseguiremos que nuestros sistemas sean menos vulnerables a [as distintas amenazas. S, menos vu[nerabies: nadie puede asegurar que su sistema sea cien par cien segura, hasta [a seguridad de [a NASA y del Pentgono han sido violadas por hackers. Hay una lucha permanente entre [os tcnicos protectores del sistema y [os que buscan rendimientos econmicos fciles, o simplemente su minuto de gloria a[ superar e[ reto de asomarse a[ otro [oda de [a barrera de proteccin. Tenemos que intentar [agror un nivel de seguridad razonable y estar preparados para que, cuando se produzcan [os ataques, [os daos puedan ser evitados en unos porcentajes que se aproximen a[ ciento por cien o en caso contrario haber sido [o suficientemente precavidos para realizar [as copias de seguridad y de esta manera volver a poner en funcionamiento [os sistemas en e[ menor tiempo posible.

do en un bloque de hormign,
rodeado de gas nervioso

vigilado por guardias armados y muy bien pagados. Incluso


entonces, yo no apostara mi

vida por ello.

~]t
~

..

..

.
MLAGA, 16 DE ENERO DE 2006 (EUROPA PRESS)

Detienen en Mlaga a un hacker por introducirse en un ordenador del Pentgono


La Guardia Civil ha detenido a un hacker, en una operacin desarrollada en Mlaga, como presunto autor de un acceso ilegal a travs

de Internet a un ordenador del Departamento de Defensa de Estados Unidos. El ordenador al que accedi el hacker estaba ubicudo en la base naval de Painl Loma. en San Diego, California, segn indic la Benemrita a travs de un comunicado. La operacin, denominada Navy, se inici cuando efectivos de segu ~ fidad informtica de la Armada de Estados Unidos detectaron un acceso ilegal a dicho ordenador, por lo que comunicaron este hecho a su Servicio de Investigacin Criminal Naval (NCIS). Este servi~ cio detect que el ataque se haba procedido desde un ordenador de Espaa, motivo por el cual lo puso en conocimiento de la Unidad de Ciberterrorismo de la Guardia Civil. La denuncia, interpuesta a travs de la Emb~jada de Estados Unidos en Espaa, pona de manifiesto que el ataque comprometa gravemente

tanto el correcto funcionamiento como la seguridad de un dique seco de mantenimiento de submarinos nucleares}}. A raz de la operacin realizada por la Guardia Civil, se detect la existencia de un grupo dedicado a vulnerar la seguridad de sistemas informticos conectados a travs de Internet, con el fin de utilizar la informacin para fines ilegtimos. Una vez descubierto este grupo, las investigaciones se centraron en una persona residente en Mlaga, que result ser el autor del mencio~ nado ataque, segn la Guardia Civil. Dentro de la misma operacin, se identific y se tom declaracin a otras cuatro personas en distintas provincias de Espaa en calidad de testigos y por su presuma relacin con los hechos. Las acciones realizadas por este grupo causaron daos valorados en ms de 500000 dlares y habran comprometido la seguridad de ms de un centenar de sistemas informticos, informaron desde el Instituto Annado.

Conceptos bsicos de la segurid ad informtica

- ---

Caso prctico 1 Anlisis de contraseas Vamos a analizar el tiempo que tarda un PC cama las que podemos tener en casa en descubrir una contrasea. Existen en Internet multitud de programas dedicadas a descubrir las contraseas haciendo uso del mtodo de fuerza bruta, que consiste en ir probando todas y cada una de las posibles contraseas . Brutus o John the

Ripper son aplicaciones clsicas capaces de descubrir contraseas . Coma se puede ver en la Tabla 1.1 las contraseas en las que slo se utilizan caracteres en minsculas (la misma ocurrira si solamente se hace usa de las letras maysculas) san mucha ms vulnerables ante este tipo de pragramas .
r~

~_'n~'_-""""',"_~~~_""'"_--.o......-_,...",,,,,,'

~: M~sclas, l1Ji~5~1:!!5 y car~pe.slales

"

3
4
5

Menos de 1 segundo
Menos de 2 minutos

Un suspiro Un suspiro y medio

Alrededor de 2 horas Alrededor de unos 9 das Entre 2 y 3 aos Alrededor de 2 siglos


Unos veinte mil aos

10 segundos
5 minutos

6 7
S

Alrededor de 2 horas Menos de 3 das Alrededor de 2 meses

Tabla 1. l . Tiempos que tardan en defectar las contraseas.

Caso p'rctica 2

9
Hacker. Intruso qu e se infiltra en
los equipos informticos como reto. En ningn co so buscan un beneficio eco nmico o daar la estructura del sistema . Cracker. Intrusos que buscan un beneficio econ mico o daar las estructuras del sistema .

Qu problemas pueden surgir cuando se introduce un virus que formatea equipos en una empresa que vende productos por lnlernel? Vamos a pensar en las peruicios ocasionados a una empresa que ha visto afectados sus equipos informticos por un virus que se ha transmitido por la red. El virus estaba diseado para formatear los equipos a las 13.30 horas. las pginas web de lo empresa donde comercializaba sus productos dean de funcionar. Esto provoca una gran prdida econmica debido a la falta de ventas durante el tiempo en el que no estn disponibles. A ello se suma la prdida de confianza por parte de los clientes al conocer la vulnerabilidad de sus sislemas infarmticos, y la prdida de confianza por porte de los proveedores por la mismo razn . Adems, si la empresa no ha realizado copias de seguridad de los datos de ventas, clientes, etc., perder mucha informacin valiosa como cortera de clientes, pagos a proveedores a facturas.

En lo actualidad, los medios de


co municaci n han popularizado

la palabra hacke r poro ambas


acepcio nes.

Caso prctico 3 Qu problemas puede tener un interna uta que se conecta a Inlernet utilizando nuestro router Wifi, el cual no tiene ningn tipo de contrasea? Pensemos el caso extremo, un pederasta que utilizo nuestra conexin para descorgorse pornografa infantil.

la polica en una investigacin nos sealara como culpables de las descargas por ser nuestra IP la que dea el rastro.

~/ 1

------~---------~-----------

Co nce ptos bsicos de lo seguridod informtica

2. Objetivos de la seguridad informtica

Si estudiamos las mltiples definiciones que de seguridad informtica dan las distintas entidades, deduciremos los objetivos de la seguridad informtica. Segn la IS027002, "La seguridad de la informacin se puede caracterizar por la preservacin de: Confidencialidad: asegura que el acceso a la informacin est adecuadamente autorizado. Integridad: salvaguarda la precisin y completitud de la informacin y sus mtodos de proceso Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la infarmacin cuando la necesitam).

Otra de las definiciones de lo seguridad informtica dada por INFOSEC Glossary 2000: " Seguridad Informtica son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de informacin, incluyendo hardware, software, firmware y aquella informacin que procesan, almacenan y comunicam>.

De estas definiciones podemos deducir que los principales objetivos de la seguridad informtica son: Confidencialidad: consiste en la capacidad de garantizar que la informacin, almacenada en el sistema informtico o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha informacin, es decir, que si los contenidos cayesen en manos ajenas, estas no podran acceder a la informacin o a su interpretacin.

Este es uno de los principales problemas a los que se enfrentan muchas empresas; en los ltimos aos se ha incrementado el robo de los porttiles con la consecuente prdida de informacin confidencial, de clientes, lneas de negocio... En relacin a este objetivo, en el ltimo apartado de este tema, analizaremos la Ley de Proteccin de Datos de Carcter Personal. Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento.

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a distancia. Constantemente est recibiendo consultas, descargas a su sitio web, etc., por lo que siempre deber estar disponible para sus usuarios. Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creacin sin autorizacin . La informacin que disponemos es vlida y consistente.

Este objetivo es muy importante cuando estamos realizando trmites bancarios por Internet. Se deber garantizar que ningn intruso pueda capturar y modificar los datos en trnsito.

~ Actividades
1. Asocia los mecanismos
con los objetivos de la seguridad informtica.

No repudio: este objetivo garantiza la participacin de las partes en una comunicacin. En toda comunicacin, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio:
No repudio en origen: garantiza que la persona que enva el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendr pruebas del envo. No repudio en destino: El receptor no puede negar que recibi el mensaje, porque el emisor tiene pruebas de la recepcin del mismo.

Conceptos bsicos de la segu ridad informtica

e 1

Este servicio es muy importante en los transacciones comerciales por Internet, ya que incrementa la confianza entre las partes en las comunicaciones.

Formas de autenticarse: Por algo que el usuario sabe:

password, PIN ...


Por algo que el usuario posee:

Confidencialidad

tarjeta de claves, tarjeta ATM (tarjeta bancaria) ...


Por algo que el usuario es: ca ractersticas biomtricas, hue 110 dactilar, iris ...

Disponibilidad

No repudio

Fig. 1.1. Esquema de los objetivos de la seguridad informtica.

Para conseguir los objetivos mostrados en la Figura 1.1 se utilizan los siguientes meca-

nismos:
o o o o Autenticacin, que permite identificar al emisar de un mensaje, al creadar de un documento o al equipo que se conecta a una red o a un servicio. Autorizacin, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios despus de haber superado el proceso de autenticacin. Auditora, que verifica el correcto funcionamiento de las polticas o medidas de seguridad tomadas. Encriptacin, que ayuda a ocultar la informacin transmitida por la red o almacenada en los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo y clave de descifrado, pueda acceder a los datos que se quieren proteger. Realizacin de copias de seguridad e imgenes de respaldo, para que en caso de fallos nos permita la recuperacin de la informacin perdida o daada. Antivirus, como su nombre indica, consiste en un programa que permite estar protegido contra las amenazas de los virus. Cortafuegos o firewall, programa que audita y evita los intentos de conexin no deseados en ambos sentidos, desde los equipos hacia la red y viceversa. Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario entre la red interna de una empresa y una red externa, como pueda ser Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de los usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros), o el Web (acceso a pginas de Internet). Utilizacin firma electrnica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. Tambin se utilizan mucho hoy en da para establecer comunicaciones seguras entre el PC del usuario y los servidores de Internet como las pginas web de los bancos. Conjunto de leyes encaminadas a la proteccin de datos personales que obligan a las empresas a asegurar su confidencialidad.

o o o o

ti, (/

Conceplos bsicos de lo seguridad infarmlico

Caso prctico 4

Certificado digital en Internet Explorer 7 Observemos el certificado dig ital que utilizo G moil a la hora de autenticar o los usuari os mediante el nombre y contraseo del mismo. Poro realizar esto actividad se ha utilizado la aplicacin Internet Explorer 7. En la Figuro 1.2, en la zona re servada para las direcciones. podemos observa r que el protocolo utilizado es HTTPS en lugar de HTTP, que suele ser ms habitual. En este caso se est utilizando un protocolo de transferencia de hipertexto seguro. Si hacemos e1ic sobre el co ndado, que se muestro en lo parte derecho de lo URl, veremos lo Fig uro 1.3, donde podemos verifica r que lo conexin estar cifrada usando un certificado digital de Google. Si hocemos e1ic sobre Ver Certificados de lo Figuro 1.4 nos muestro la informacin deta llada del mismo (Fig. 1.5).

(;!"ajj _ . ,~

U_"'_... . . . .... .......... ..... . ...... ............ .....


~,

_do_ __ _ _ _"'_
~

___ ..
.... ...
........
~
~

~:==""------I :::::.::.:::..
...
_ . c,,-J<

..-

_ ...........
" E:'.--;:"""'_. ,,--_... ._ ._ ..._-_ .. ~- . . .
Q
::~;., .. _- ~ ,_ .........".. _

= Q

ti ::, : :. o :;= ........... _ _ ........___ ..


:::~

~_ ~

... ... ""

..."... _ .. "'.... .. _, .. __ ' .....'''' .......,_.. __ ......


.,....... c.-n" .... _ [ ';"'-- 1

--,...... , .... -.-.... _.._ .. "-"lo,...,'.....

---l

L::==== ....,.._ . . . . ...____


~_

__

Fig . 1.2. Pantalla Google.

Fig . 1.3. Pantalla Goagle con certificado.

Ceftifitido

......

'---"'-'

Certificado

.~

Do..,.,

Rl,ta de artifiu.cin

~"'''''''
Mostrar:

Rl,1iI de

artiliald6n

[R l

<Todo:;>

Informacin del czrtificado

-1
v'"""
o

1 ,'

Este Cbtiflc::do csbi destinado a los sig\JicJ1tcs Pnlpdslto: A$eg\rlllll identidad de un ~ re!OOlo

8t. nero ~erie Al;critmo de frrna


de,

e.....

01""76003"'<9"",7 ... ~
shalRSA Thawte SGe CA, ThawteCons.,. sbado, 28 de ~ de 2009 .. domingo, 28 de l!\l!nO de 201, ..

O"""" Ov,,",_
D vA!:do hasta

O""'In
Emitido par \\'\'II'I.googIe.am

M'M.goog!e,rom, Go~ lflc....


RSA (102"lBils)
,,1 ... ~..t.Ie-,;.....r,.,.

O da~_

J;11 ..... ~~r4au..::

Emitido por ihIIwte SGe CA

Vido dHelc 28/03/2009 ham 28/03/2.010

30 91 1f 4e 19 2f a2 49 Ji el 15 10 a6 b9 e5 92 4a de

99 b6 d3 ea b9 59 17 6e b1

02 3e 51 30 7f fe 42 De 64

91 09 20 57 7b 06 e6 60 bd

91 3d 22 26 e3 b3 46 76 aO

DO d6 ah e9 45 95 97 66 c7 ce bf be e7 22 9a ce 74 41

b9 e3 d9 e7 al ge el f9 b2

el 2b 00 5a 9c 02 5e 7f 50

ad b6 91 ef dO b9 27 50 9f

b9 61 Oh e9 a4 3. 33 9a a1 f1 9b Oc 1f 3e 91 51 de fb 10 fe 54 b9 5a 09 96 9d la

~
1 1

[03c=:idtlt'=~
a,~

t :::if.:a: proped.l!desl [Cop-;u en Gdt....3

rr.as nformacin&efCZI de, ct'fhfirado~

Mas nformadn aarca de los d! l al!~ d..1cl!' b~,arlf)

I
Fig. 1.4. Informacin general del certificado.

-""

I
Fig. 1.5. Detaffe del certificado.

-'"

Conceptos bsicos de la seguridad informtica

3. Clasificacin de seguridad
Cenlro de clculo. Lugar
se encuentran ubicados los recursos informticos de una organizacin. Sinnimos de centro de clculo: Centro de procesamiento de

Se pueden hacer diversas clasificaciones de la seguridad informtica en funcin de distintos criterios. Segn el activo a proteger, es decir, todos los recursos del sistema de informacin necesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad fsica y lgica; en dependencia del momento preciso de actuacin, entre seguridad pasiva y activa, segn se acte antes de producirse el percance, de tal manera que se eviten los daos en el sistema, o despus del percance, minimizando los efectos ocasionados por el mismo.

datos (CPD), centro de datos y

centro de cmputo.

3.1. Seguridad fsica y lgica


En este apartado distinguiremos los distintos tipos de seguridad en funcin del recurso a proteger.

Seguridad fsica

Habitualmente nos centromos en protegernos de posibles hackers, virus ... y nos olvidamos de un aspecto muy importante en la seguridad informtica, la seguridad fsica. La seguridad fsica es aquella que trata de proteger el hardware (los equipos informticos, el cableado ... ) de los posibles desastres naturales (terremotos, tifones ... ), de incendios, inundaciones, sobrecargas elctricas, de robos y un sinfn de amenazas ms. A continuacin vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:

"m1.'
s. ~ n

,,..

... . .

I~~': I
, J

'.. . .. ....

- .. ~ " . .. .. ... p

Fig. 1.6. Terremotos registrados por el Instituto GeogrFico Nocional de Espaa de los primeros diez das del mes de julio de 2009.

El mobiliario de los centros de clculo debe ser ignfugo.


Incendios Evitar la localizacin del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias

inflamables o explosivos.
Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores ... para sofocar el incendio en el menor tiempo posible y as evitar que se propague ocasionado numerosas prdidas materiales. Evitar la ubicacin de los centros de clculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales. plantas superiores.

Inundaciones

Impermeabilizar las paredes y techos del CPD. Sellar las puertas poro evitar la entrada de agua proveniente de las
Proteger los centros de clculo mediante puertas con medidas biomtricas, cmaras de seguridad, vigilantes jurados ... ; con todas estas medidas pretendemos evitar la entrada de personal no autorizado. Evitar la ubicacin de los centros de clculo prximos a lugares con gran radiacin de seales electromagnticas, pues pueden interferir en el correcto funcionamiento de los equipos informticos y del cableado de red. En caso de no poder evitar la ubicacin en zonas con grandes emisiones de este tipo de seales deberemos proteger el centro Frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra ptica, que no es sensible a este tipo de interferencias. Para evitar los apagones colocaremos Sistemas de Alimentacin Ininterrumpida, SAl, que' proporcionan corriente elctrica durante un periodo de tiempo suficiente.

Robos

Seales
electromagnticas

Apagones Sobrecargos
elctricas Desastres naturales Ta bla 1.2 .

Adems de proporcionar alimentacin, los SAl proFesionales incorporan filtros para evitar picos de tensin, es decir, estabilizan lo seal elctrico. Estando en continuo contacto con el Instituto Geogrfico Nocional y lo Agencio Estatal de Meteorologa, organismos que informan sobre los movimientos ssmicos y meteorolgicos en Espaa.

Amenazas y mecanismos de defensa en seguridad Fsica.


13

Conceptos bsicos de la seguridad informtica

Seguridad lgica

La seguridad lgica complementa a la seguridad fsica, protegiendo el software de las equipas informticas, es decir, las aplicaciones y las datas de usuaria, de rabas, de prdida de datas, entrada de virus informticos, modificaciones na autorizadas d e los datas, ataques desde la red, etc.

fir ......~ d. IV;""" .."

...... '"'''''' ......""'" .., ... .......... . "...,, ......... ~., .,, '''

r...... _. ...... ............

,...M ................"....""'''''... ''''.H


~

.< _ ... .,...."",.......,..".,.. ....-

a._ .. _ ... . _ ... . ..


(~'W"
~
...... _ _ . ""' , _ ..
~~

".<t...,D

#'fPtttEd
. . . . . . <&O<a ...

::=-.:::::.'_. __ "'-r.,... . _

..... _ ." _ _ .......,.,....... "'""'" .. ......... """......... . . ;:'.;:.:...........'''''''''''''.,...... .. ~ C' _( .... _ ............ .. .... ......... "........ =.::= ....._...,..,. ,......... _.,
""',,...,.. ..... "' ... ..,. ............ . ..... " _

........(-,
,
~ .,...

...... ..
.. :>T.>I

_ --""'~

r: _

. . - 0 - ........ ......... _

.. _ J

" _ --

.. . ' _ . ,

"-~

~,

.."" .... _........ ,,.,<::;!;.u=

A continuacin vamos a enumeror las principales amenazas y mecanismos para salvaguordarnos de las mismas:

Cifrar la informacin almacenada en los soportes para que en caso de

robo no sea legible. Robos


Utilizar contraseas para evitar el acceso a lo informacin . Sistemas biomtricos (uso de huella dactilar, tarjetas identificadoras,

caligrafo ... ).
Realizar copias de seguridad para poder restaurar la informacin per-

dido. Prdida de informacin


Uso de sistemas tolerantes a fallos, eleccin del sistema de ficheros del sistema operativo adecuado. Uso de conjunto de discos redundantes, protege contra la prdida de datos y proporciona la recuperacin de los datos en tiempo real.

Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp ... Prdida de integridad en la informacin
Mediante la firma digital en el envo de informacin a travs de mensajes enviados por la red. Uso de la instruccin del sistema operativo Windows sfc (system file

checker). Entrada de virus


Uso de antiviru s, que evite que se in fecten los equipos con programas malintencionados. Firewall, autorizando y auditando los conexiones permitidas. Program as de monitorizacin Servidores Proxys, autorizando y auditando las conexiones permitidas. Uso de contraseas que no permitan el acceso a la informacin. Uso de listas de control de acceso. Cifrar documentos.

Ataques desde la red

Modificaciones no autorizadas

Tabla 1.3. Amenazas y mecanismos de defensa en seguridad lgico.

Conceptos bsicos de la seguridad informtica

Caso prctico 5 Verificacin de la integridad de 105 ficheros del sistema en Windows Vista

9
Para ejecutar muchos cornalnd,,. del sistema deberemos contar con privilegios de administrador.

En algunas ocasiones, los virus modifican o daan los ficheros del sistema. A continuacin vamos a comprobar mediante el uso del comando sfc de Windows Vista la integridad de los mismos. Las acciones que debemos realizar son las siguientes: Hacemos dic en el botn Inicio. En el cuadro de bsqueda, escribimos Smbolo del sistema o cmd. Escribimos sfc/ verifyonly , y empiezo la comprobacin del sistema (Fig . 1.7). Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en lo Figuro 1.8.

En el caso de realizar el caso prctico en Windows XP la orden deberia ser:


sfc/S CANNOW

Fig. 1.7. Comando sfc.

Fig. 1.8. Final eiecucin de sfc. Con el parmetro / scannow el comando examina inmediatamente todos los archivos del sistema protegidos y reemplaza las versiones incorrectas que encuentre por versiones correctas de los mismos.

y,

Conceplos bsicos de la seguridad informtica

3.2. Seguridad activa y pasiva


Como se coment al inicio del aportado 3, aqu el criterio de clasificacin es el mamen to en el que se ponen en marcho las medidos oportunas.

Seguridad activa

La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los doas en los sistemas informticos. A continuacin, vamos o enumerar los principales tcnicas de seguridad activa:
. ,
.".'~~

"GJ!ue. previene? t: .

'

'. . "',

Uso de contraseas listas de control de acceso

Previene el acceso a recursos por parle de personas no autorizadas.


Previene el acceso a los Ficheros por parle de personal no autorizado.

Encriptacin

Evita que personas sin autorizacin puedan interpretar la informacin.

Uso de software de seguridad


informtica

Previene de virus informticos y de entrados indeseadas sistema informtico.

01

Firmas y certiFicados digitales


Sistemas de Ficheros con tolerancia

Permite comprobar la procedencia autenticidad e integridad de los mensajes. Previene fallos de integridad en caso de apagones de sincronizacin o comunicacin. Previene que ciertos usuarios hagan un uso indebido de la

a fallos
Fig. 1.9. Tarieta inteligente.
Cuotas de disco

capaddad de disco.

Tabla 1.4. Tcnicas de seguridad activa.

En las Figuras 1.9 y 1.10 podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activo, impiden el acceso a personas no autorizadas a los recursos, y los SAl Isistemas de alimentacin ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar lo informacin una vez que se ha praducido el desastre lel apagn de luz).

o
Fig. 1.10. SAl.

Seguridad pasiva

La seguridad pasiva complemento O la seguridad activo y se encargo de minimizar los efectos que hoyo ocasionado algn percance. A continuacin enumeramos los tcnicos ms importantes de seguridad pasivo:

Conjunto de discos redundantes

Podemos restaurar informacin que no es vlida ni consistente. Una vez que la corriente se pierde las bateros del SAl se ponen en funcionamiento proporcionando la corriente necesaria para el correcto funcionamiento.

SAl
Realizacin de copias de

A partir de las copias realizadas, podemos informacin en


caso de prdida de dolos.

seguridad

Tabla 1.5. Tcnicas de seguridad pasivo.

Conceptos bsicos de la seguridad informtica

4. Amenazas y fraudes en los sistemas de la informacin

Durante los primeros meses de 2009, en Espaa hemos vivido una poca de crisis financiera, lo que ocasion numerosos despidos en las empresas. la situacin produjo un aumento en los casos de robos de informacin confidencial por parte de los empleados despedidos, y puso en evidencia la falta de seguridad informtica en dichas empresas. El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanteras), como los equipos informticos (servidores, ordenadores de escritorio, impresoras), como los datos que se manejan (datos de clientes, facturas, personal) . Cualquier dao que se produzca sobre estos activos tendr un impacto en la empresa (Fig. 1.11).

la seguridad de un sistema real

'ff

nunca ser completa, pero el

uso de buenas politicas de seguridad es imprescindible poro


evitar

y minimizar los daos.

Aclivos ' )

Dao

===~

G <II~t====
4Riesgos

,-_V _U _ In_ e_ ra_ bi_ lid _ a_ de _s___

Plan de acluacin

Fig. 1.11 . Posos poro lo meioro de lo seguridad.

Actividades
2. Analiza si aumenta o disminuye el riesgo en caso de que el dao sufrido por SiTour sea, adems de la prdida de datos de los clientes, la prdida de facturas y datos de proveedores. Identifica previamente activos, daos, impactos y vulnerabilidades.

9'
9

3. Analiza si aumenta o disminuye el riesgo en caso de que se instale un cortafuegos y se mantenga un antivirus actualizado en el porttil del director de SiTour.

Caso prctico 6 Especificar los activos, daos e impacto que sufre la agencia de viajes SiTour que almaceno los datos de los clientes nicamente en un porttil que utiliza el director
En un descuido se le cae el porttil al suela y este se estropea. los datos del disco no se recuperan hasta dos das deSPUS del accidente.

En este caso, los activos son el porttil y los datos de los clientes, el dao es la rotura del porttil y el impacto es la prdida de negocio durante 48 horas y la necesidad de

adquirir un nueva equipo. En el nuevo porttil se graban las datas recuperados de los clientes, siendo de nuevo la nica copia existente de los mismos la que hay en el disco duro. Se instalan adems los programas necesarios para la gestin de SiTour pero no se considera la necesidad de instalar un antivirus y un Firewall , por lo que se est haciendo vulnerable el equipo. Una vulnerabilidad es cualquier fallo que compromete la seguridad del sistema.

Conceptos bsicos de la seguridad informtica

Coso prctico 7

Especificar los activos, doas, impacto y vulnerabilidad que sufre la agencia de viajes SiTour El director ha recibido un correo de un remitente desconocido con un fichero od junto que resulto ser un virus, y dado que no hoy un ontivirus funcionando en el porttil, este se infecto y el virus borro el contenido del disco duro de formo irrecu perable. En este coso los activos son el porttil y los datos; el dao es lo prdida de datos, el impacto es lo prdida de negocio de lo empresa , y lo vulnerabilidad se genero por lo falto de ontivirus. El impacto es de muy alto nivel porque, como recordars, no hoy otra copio de los datos de los clientes . Un riesgo es lo posibilidad de que se produzco un impacto negativo para lo em preso aprovechando alguno de sus vulnerabilidades (Fig . 1.10). Por ejemplo, en el coso anterior el riesgo es que, o travs de lo vulnerabilidad que supone no tener un antivirus se produzco lo prdida de clientes e incluso lo quiebro de lo empresa.

4.1. Actuaciones para mejorar la seguridad

.. .

Los posos o seguir para mejorar lo seguridad son los siguientes: Identificar los activos, es decir, los elementos que lo empresa quiere proteger. Formoc in de los trabajadores de los empresas en cuanto o materias de seguridad. Concienciac in de lo importancia de lo seguridad informtico para los trabajadores de lo empresa. . Evaluar los riesgos, considerando el impacto que pueden tener los daos que se produzcan sobre los activos y los vulnerabilidades del sistema. Disear el plan de actuacin, que debe incluir: Los medidos que troten de minimizar el impacto de los daos ya producidos. Es lo que hemos estudiado referido o la seguridad pasivo. Las medidos que traten de prevenir los daos minimizando la existencia de vul nerabilidades. Se trata de la seguridad activa. Revisar peridicamente las medidos de seguridad adoptados.

Un problema que suele encono trarse o la hora de disear estos


actuaciones es que los gerentes de las empresas no ven la

necesidad de invertir personal, esfuerzo y dinero en seguridad


informtica .

~ Actividades
4. Supn que en el ordenador porttil con cmara web integrado que tienes en tu habitacin, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes siempre conectado o Internet. Un desconocido tomo el control de tu porttil y te dos cuento porque te encuentras lo cmara we b encendido y t no lo has conectado. Analizo activos, vulnerabilidades y riesgos, y detallo cuales podran ser los daos producidos y el impacto de los mismos. 5. Imagina ahora que lo persono que ha tomado el control de tu ordenador no hoce nado en tu ordenador y t no te dos cuenta de esta situacin. Un da te dejas conectado tu DNI electrnico en el lector del ordenador. Analizo los posibles riesgos y el impacto de los mismos.
18

Conceptos bsicos de lo seguridad inFormtica

Caso prctico 8

Descubrir qu equipos estn conectados en la red de SiTour, qu servicios tienen instalados y descubrir qu programa y versin est detrs de un servidor Web

Para poder tomar medidas y proteger nuestra red, es bueno conocer los pasos que un atacante seguira para intentar abordar nuestra equipo:

3. Investiga vulnerabilidades que puedan tener los protocolos activos Ahora que ya conocemos que programa est utilizando e[ equipo SERVER para ofrecer e[ servicio Web y la ver1. Analiza la red en busca de equipos y servicios sin del mismo, podemos buscar en Internet sus vulneraExisten muchos analizadores de red, nosotros para este bilidades conocidas. caso vamos a utilizar nmap y su interfaz grfico Zen Una pgina en la que podemos encontrar esta informap (http://nmap.org), un programa que se puede eiemacin es http://securityfocus.com. Tambin puedes cutar sobre Windows o GNU/Linux. encontrar las vulnerabilidades en las pginas oficiales, Como se puede ver en la Figura 1.12 (resultado de un es decir, en este caso en www.apache.org. anlisis rpido, quick scan) nmap ha detectado dentro Recuerda que un servidor Web tiene por abietiva servir de la red de SiTour tres equipos, el equipo SERVER, el aplicaciones de tipa Web, es decir, programas consrauter y nuestro propio equipo. Para el equipo SERVER, truidos con las lenguaies HTML, iavaScript y PHP entre que es el que est seleccionado en la figura, ha detecotros. Estos programas tambin pueden tener fallos que tado varios servicios activos. Un atacante estudiara podra utilizar un posible atacante. todos los servicios activos y las versiones de los proSi utilizamos aplicaciones propias de la empresa, tengramas que dan estos servicios para buscar una vulnedremos que descubrir y carregir nuestras propias vulnerabilidad en ellos. Nosotros en este caso prctico nos rabi[idades si par el contraria utilizamos aplicaciones vamos a centrar en el servicio http. ms genricas como por eiemplo WordPress, Joomla o Maodle, tendremos que seguir las noticias oficiales de seguridad de esas aplicaciones para que en casa de que se produzca un fallo, solucionarlo en cuanto este Seil.n 1001s E,rofile .l:ielp sea conocida por la empresa. I l ,> "V () f) lb ~ o 1: Estos pasos tambin se pueden simplificar a travs New Sean Command wzard Save Sean Open Sean Report a bug Help de algn programa de deteccin de vulnerabi[idades 1 Quick Sean on 192.168.1.1/24 cama, par eiemp[a, nessus (www.nessus.org).
'A'

Target: ( 192.168.1.1/24

!vi

Profile:

IQuick Sean

1Sean I

Command: Inmap.T Aggressive.v.n 192.168.1.1/24 I Hosts 1I Serviees I Ports I Hosts

I
I
Se.an Iools .e,rofile .l:ielp New Sean I SeNiee http msrpc netbiosssn mierosoftds Intense Sean on 192.168.1.1124 Tll:rget: 1192.168.1.1/24
~~

~map

Output IHost Details Iscan Details I State open open open open open

OS

I Host 192.168.1.2 192.168.1.3 192.168.1.203

Ii' Ii' IU

., .,

IPort
80

I Protocol

I Version

.. ., .,

m
139
44S

'54

"p "p "p "p "p

lb

,> "V

Command Wizard Save Sean Open Sean


A'

rf:J

Q
Report a bug

@
Help

1 :

n,p

!vi

Profile: Ilntense Sean

!vi

I Sean

Command: Inmap T Aggress ive.A.v 192.168.1.1{24

Fig. 1.1 2. Equipos de Jo red.

I I

~I
OS

Serviees

I Host
192.168.1.2 192.168.1.3

I Hosts Nmap Output IHost Details Isean Deta;l I I Ports rnteresting po r ts on 192.168.1.203:
Hol libol!!o' 1710 fittered ports VERSIOU PORT STATE SERVICE Apache httpd 2.2.11 80/tcp open http ((Win32) PHP/ 5.3. O) Ili c r oso ft willlJ ows RIlC 135/ t cp 0 rU! 1I ms rpc 139/ t c p opcn nc tLli os - ss ll '1<I5/ l c p a pclI II c tb i os - ss n 55'1/ l c [l a [l cn rt s p?

2. Investiga los servicios que tiene activos el equipo que se quiere atacar Dentro del mismo programa, como se ve en la Figura 1.13, que muestra el resultado de aplicar un escaneo ms profundo, se nos muestra el programa y [a versin que est detrs de dicho servicio. En el caso del servidor Web, puerto 80, el programa servidar es Apache httpd 2.2.11.

D Ii'
/

: 192.168.1 .203

, _ ,"

..

" ................. -.,.4.0

Fig. 1.13. Detalle de Jos servicios.

~/1

Conceptos bsicos de la seguridad informtica

4.2. Vulnerabilidades
Las vulnerabilidades de un sistema san una puerta abierta para posibles ataques, de ah que sea tan importante tenerlas en cuenta; en cualquier momento podran ser apravechadas. Podemos diferenciar tres tipos de vulnerabilidades segn cmo afectan a nuestra sistema:

Mic:ro,;oft tiene su propia pgina sobre noticias de seguridad: http://www.microsoft.com/ spain/seguridad Poreiemplo, busca: "boletn MS09027, donde encontrars infor mocin sobre una vulnerabilidad de Microsoft Office Word.

Vulnerabilidades ya canacidas sobre aplicaciones o sistemas instalados. Son vulnerabilidades de las que ya tienen conocimiento las empresas que desarrallan el programa al que afecta y para las cuales ya existe una solucin, que se publica en forma de parche. Existen listas de correo relacionadas con las noticias oficiales de seguridad que informan de la deteccin de esas vulnerabilidades y las publicaciones de los parches a las que podemos suscribirnos.

Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades


tambin son conocidas por las empresas desarrolladores de la aplicacin, pero puesto que nosotras no tenemos dicha aplicacin instalada no tendremos que actuar.

Vulnerabilidades an no conocidas. Estas vulnerabilidades an no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona aiena a dicha empresa detectara alguna, podra utilizarla contra todos los equipos que tienen instalado este pragrama.

"
Crtica

El tcnico de seguridad, antes de instalar cualquier aplicacin, debe

conocer sus vulnerabilidades. De esta manera podr determinar

si es necesario la descarga de algn parche o bien desestimar


su instalacin.

Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que respondan a estos informes. Para ello clasifica las vulnerabilidades en funcin de su gravedad, lo que nos da una idea de los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificacin:

Vulnerabilidad que puede permitir la propagacin de un gusano de Infernet sin la accin del usuario.

Importante

Vulnerabilidad que puede poner en peligro lo confidencialidad, integridad o disponibilidad de los datos de los usuarios, o
bien, la integridad o disponibilidad de los recursos de procesamiento. El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditoras o la dificultad intrnseca en sacar partido a la vulnerabilidad.

Moderado Baia

Vulnerabilidad muy difcil de aprovechar o cuyo impacto es mnimo.

Tabla 1.6. Clasificacin de gravedad de los vulnerabilidades Iwww.microsoft.coml.

~ Actividades
6. Que clasificacin de las que hemos estudiado en la
Tabla 1.6 han dado a la vulnerabilidad que se comenta en el Sabas que? de esta misma pgina? Z Busca una de las ltimas vulnerabilidades publicadas por Microsoft que afecte a uno de sus sistemas operativos. Haz un informe con los siguientes puntos: la descripcin de la vulnerabilidad, a qu software afecta, qu clasificacin le ha dado Microsoft, qu impacto podra tener, si en tu opinin afecta a nuestros sistemas (los de clase), qu medidas tenemos que tomar para corregir esta vulnerabilidad .

:0

Conceplos bsicos de la seguridad inFormtica

4.3. Tipos de amenazas


Un sistema informtico se ve expuesto a un gran nmera de amenazas y ataques. En este apartado veremos una pequea introduccin a las clasificaciones ms importantes, y trataremos este tema con ms detalle en la Unidad 5: Seguridad activa en el sislema. Para identificar las amenazas a las que est expuesto un sistema informtico realizaremos tres clasificaciones: la primera de los tipos de atacantes, la segunda de los tipos de ataques que puede sufrir y la tercera de cmo actan estos ataques. la Tabla 1.7 recoge, en la primera columna, los nombres con los que se han denominado a las personas que llevan a cabo los ataques; en la segunda columna, vers una pequea definicin que los caracteriza.

En 2005 Creative distribuy en Japn cerca de 3700 reproductores de mp3 infectados con
virus. la compaa Creative Labs

anunci que en 3700 de sus reproductores de MP3 vendidos en Japn se ha distribuido accidentalmente un virus que afecta al sistema operativo Windows, segn inform el sitio britnico

The Regisler.
Hackers Expertos informticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas pero sin motivacin econmica o daina. Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intencin maliciosa, bien para daarlo o para obtener un beneFicio econmico. Crackers telefnicos, que sabotean las redes de telefona para conseguir llamadas gratuitas. Expertos en redes que analizan el trfico para obtener informacin extrayndola de los paquetes que se transmiten por la red. Chicos jvenes sin grandes conocimientos de informtica pero que se consideran a s mismos hackers y se vanaglorian de ello. Hacker novato. Expertos en informtica e intrusiones en la red que trabajan para pases y organizaciones como espas y saboteadores informticos. Expertos en programacin, redes y sistemas que crean programas dainos que producen efectos no deseados en los sistemas o aplicaciones, Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automticos.

Crackers Phreakers Sniffers


lammers

El virus que se col en los MP3 player corresponde al gusano Wullik-B (tambin conocido como Rays-A), actualmente detectado por la mayora de las software de seguridad y que
segn F-Secure slo se activa si el usuario accede al archi-

vo infectado y hace doble clic sobre l.


Fuente: www.cadenaser.com

Newbie
Ciberterrorista Programadores de virus Carders

Tab la 1.7. Tipos de atacantes.

En la Tabla 1.8 se recogen los principales ataques que puede sufrir un sistema si se apravechan sus vulnerabilidades.

Interrupcin

Un recurso del sistema o la red deja de estar disponible debido a un ataque. Un intruso accede a la informacin de nuestro equipo o a la que enviamos por

Intercepcin

la red.
La informacin ha sido modificada sin autorizacin, por lo que ya no es vlida.

Modificacin

Fabricacin

Se crea un producto Ipor ejemplo una pgina Web) difcil de distinguir del autntico y que puede utilizarse para hacerse, por ejemplo, con informacin confidencial del usuario.

Tabla 1.8. Tipos de alaques.

Conceptos bsicos de la segu ridad informtica

Los tipos de amenazas pueden clasificarse tambin en funcin de cmo actan los ataques, siendo los principales los que se han incluido en la Tabla l.9 que aparece a
continuacin:

Spaafing Sniffing
Conexin no autorizada Malware

Suplanto lo identidad de un

pe o algn doto del mismo Icama su direccin MAq

Monitorizo y analizo el trfico de la red para hacerse con informacin. Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se descubren, se realiza una conexin no autorizada a los mismos. Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo, daando el sistema de mltiples formas . Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a travs del teclado, e incluso pueden realizar capturas de pantallas. Interrumpe el servicio que se est ofreciendo en servidores o redes de ordenado-

Keylaggers
Denegacin de Servicio Ingeniera social

res. Tambin denominado DoS Idenial of Servicel.


Se obtiene informacin confidencial de una persona u organismo para utilizarla con fines maliciosos. Los ejemplos ms llamativos son el phishing y el spam. Se engaa al usuario para obtener su informacin confidencial suplantando la identidad de un organismo o pgina web de Internet.

Phishing

Tabla 1.9. Formas de actuar de los ataques.

4.4. Pautas de proteccin para nuestro sistema


Cualquier equipo conectado en red esi expuesto a ser atacado. Como ya sabes, hay autnticos expertos informticos que se dedican a buscar vulnerabilidades en los sistemas, dedicando mucho tiempo y esfuerzo a este fin. Para prateger tu sistema tendrs que ser ms listo que ellos y dedicar tambin mucho tiempo y esfuerzo a esta tarea. Algunas de las pautas que debes seguir son: o o No instalar nada que no sea necesario en los servidores. Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen vulnerabilidades de los programas por lo que es necesario mantener siempre actualizado el sistema. Formar a los usuarios del sistema para que hagan uso de buenas prcticas. Instalar un firewall. Esta herramienta permite controlar el trfico entre una red privada y una pblica. Mantener copias de seguridad segn las necesidades. Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desarrollada en el sistema, por la que su revisin peridica puede detectar a tiempo un posible ataque. Sentido comn y experiencia previa del administrador.

o o o o

~ Actividades

8. Analiza el artculo del primer apartado de la unidad e identifica el tipo de atacante del que hablan y el tipo de ataque que realiza.

9. Analiza cuales de las pautas no cumple el sistema que tienes en tu casa.


22

Conceptos bsicos de la seguridad informtica

5. Leyes relacionadas con la seguridad de la informacin

En los siguientes apartados vamos a trotar las principales leyes relacionadas con la seguridad de la informacin: Ley de proteccin de datos de carcter personal y Ley de servicios de la informacin y el comercio electrnico.

Cuando LOPD habla de


ros, se refiere a conjunto organizado de datos de carcter

5.1. Normativa que protege los datos personales


Muy a menudo, en nuestro vida diaria, nuestros datos personales son solicitados para realizar diversos trmites en empresas o en organismos tanto pblicos como privados; por eemplo, cuando cambiamos de nmero de mvil o contratamos un nuevo proveedor de servicios de Internet. Desde ese instante, nuestro nombre, apellidos, direccin, etc., pasan a formar parte de una serie de ficheros. Su gestin est regulada por la Ley de Proteccin de Datos de Carcter Personal (LO 15/1999), ms conocida como LOPD, que se desarrolla en el RD 1720/2007, Y es supervisada por la Agencia Espaola de Proteccin de Datos. El obetivo de esta leyes garantizar y proteger los derechos fundamentales y, especialmente, la intimidad de las personas fsicas en relacin con sus datos personales. Es decir, especifica para qu se pueden usar, cmo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre otros aspectos. Puede que nunca te hayas fado, pero es habitual encontrar carteles donde se hace referencia a esta ley, por eemplo en las estaciones de RENFE o cuando rellenas tu matrcula.

personal cualquiera que fuera la forma o modalidad de su crea


cin, almacenamiento, organiza cin y accesQ. Es decir, no solo

se aplica a ficheros de datos en


soporte informtico, sino tambin a documentos impresos, vdeos, grabaciones de audio, etctera.

En algunas de las comunida


des autnomas, como Madrid,

11

AlHXOI

' lI'I'u;>t:O ;lO r.:uu<pr.

Comunidad de Madrid

Catalua, El Pas Vasco y Galicia, existen leyes y decretos que, basndose en la LOPD, regulan los ficheros de datos de carcter personal y la agencia de Proteccin de Datos de dicha comunidad.

"".dldd.~ I6" . " .. ........ oll . nlclu m .. fond ... plblbn. Ck. .... FOI' ........ ... d. G ...do .. .,) o

l:"..a l' ..,.tJ.......

tI:l:.

01 .._ _ .1
~_..

IDmI-,><:.""doI l"'Go'C>'-

ICH'"' .,..' . ~ I <II. I

.........

1o

I T.~b-.

.. "" .. ..... :~

& ........ _....,

"'" '" IL~ ... "". (0.'\;$ ' ,....." ...


..-~

.<"" ".( ......

...

<"'""" .,III I ~ . ;a.."'.........."'ail'o 'O,.,..... '''' ...... I',.~...


Dc..' ~

CO OOlf~ .. _

DOo.<I".. <1o

_~ ... .., .. ,...

0 "-. "....,

<IO~

...,.,."'10 ,....h "' "........ ................ eo :s ."1:.

'l;.....
.

.... ent:aGl,....

Dc. .<I"G<lo~ & . . . . ... . "' ....._ . . .. /ro:I: _

<la"'_''''

Los datos personales recogidos, sern tratados con su con-

sentimiento informado en los trminos del artculo 5 de la Ley Orgnica 15/ 1999, y de conformidad con los principios dispuestos en la misma y en la Ley 8/2001, de la Comunidad de Madrid, pudiendo ejercer el derecho de acceso, rectificacin,
cancelacin y oposicin ante el responsable del fichero. Para cualquier cuestin relacionada con esta materia, o si tiene usted alguna sug erencia que permita mejorar este impreso, puede dirigirse al telfono de informacin administrativa 012.

=11
II:IIJ:""'. .. , .... "'.~ ... 0< .
" 1Il~

.. _~.,= ": CQ

~ . \.6rG~.,. <O ....

I>.c .,. ....... ",,.. oCHa>

... .. ...:E<'...

..

( . ;.~. 'aoIU:.....".r .... ", 'o..l

'0""

11Ft. PRE SIDENtE DEL CON!) EJO ESCOlAR oa CfNfltO

Fig. 1.14. Formulario de matriculacin de lo Comunidad de Madrid.

Concep tos bsicos de la seguridad informtico

Proteccin de datos

La LOPD no solo la tenemos que conocer desde nuestra profesin como tcnicos en sistemas microinformticos y redes, sino tambin como particulares, ya que nuestros datos estn almacenados en ficheros que debern cumplir esta legislacin.

Caso prctico 9

La agencia de viajes SiTour ha decidido hacer una ficha a cada cliente que solicite informacin sobre algn viaje, con el objetivo de enviarle sus nuevas ofertas y promociones Describe el proceso que t, como tcnico informtico de la agencia, tendrs que realizar para poder almacenar y gestionar dichos datos de acuerdo a la narmativa vigente. En primer lugar, segn la LOPD se debe solicitar a la Agencia de Proteccin de Datos la creacin de dicho fichero. En esta solicitud habr que especificar: Responsable del fichero: La agencia de viajes SiTour. Finalidad: El ob jetivo es comercial, es decir, el envo de ofertas y promociones. Tipo de datos de carcter personal que contiene: nombre y apellidos, DNI o NIE, telfono, direccin postal y correo electrnico. Medidas de seguridad: nivel bsico, segn se especifica en la LOPD. Los datos que se deseen almacenar en el fichero tendrn que ajustarse a los objetivos, es decir no se puede solicitar al cliente sus ingresos anuales. Estos datos solo podrn ser utilizados para el objetivo para el que se han recogido y tendrn que ser cancelados una vez que no sean necesarios para este objetivo. La Agencia de Proteccin de Datos se pronunciar sobre la solicitud en un plazo de un mes y si no se entender que el fichero se ha inscrito correctamente. En el momento de la recogida de datos de carcter personal, hay que informar al cliente de: La incorporacin de sus dotas a un fichero de datos de carcter personal. La finalidad de estos datos, que en este caso es el envo de ofertas y promociones . De su derecho de acceso, rectificacin y cancelacin, as como del procedimiento que el cliente debe seguir, ya dnde debe dirigirse para ejercitar dicho derecho. De la identidad y direccin del responsable del tratamiento de los datos, en este caso la agencia de viajes Sitour. Adems, tanto la persona responsable del fichero como quienes intervengan sobre l tienen deber de secreto sobre los datos que contiene. El documento informativo que se proporcionar a los clientes, y del que la empresa guardar una copia firmada por este, podra ser el siguiente:

En cumplimiento de la establecido en la ley orgnica 15/ 1999 de Proteccin de Datos de Carcter Personal y en el Real Decreto 1720/2007, que aprueba su reglamento de desarrollo, los clientes quedan informados y prestan su consentimiento a la incorporacin de sus datos a los ficheros existentes en SiTour y al tratamiento de los mismos. Los datos personales sern tratados exclusivamente con la finalidad de informar al cliente sobre nuevas ofertas y promociones. No se real izar ninguna cesin de estos datos. Segn lo dispuesto en la misma ley, los clientes tienen derecho a consultar, modificar o cancelar los datos proparcionados a SiTour, dirigindose al departamento de informtica de SiTour.

24

'"

Conceptos bsicos de la seguridad informtica

Medidas de seguridad
Auditora. Proceso que consiste en obtener y evaluar objetivamente los procesos de una empresa para comprobar que cumplen con las normas y criterios establecidos.

Como ya sabes, siempre que se vaya a crear un fichero de datos de carcter personal, es necesario solicitar la aprobacin de la Agencia de Proteccin de Datos. Cuando se realiza esta solicitud es obligatorio especificar los datos que contendr el fichero y el nivel de seguridad que se aplicar al fichero. Los niveles de seguridad son tres: bsico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la Tabla 1.1 o.

Todos los datos de carcter personal tienen que tener como mnimo este nivel. Referidos a inFracciones administrativas (o penales), a gestin tributaria, datos Fiscales y Financieros. Dalas que proporcionan inFormacin sobre las caractersticas o personali-

Bsico

Medio

dad de las afectados.


Referidos a ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual.

Las datos referentes a los de seguridad estn especificados con ms detalle en la LOPD y en el decreto 1720/2007.

niv~

Alto

T abla 1.10. Correspondencia dotas - seguridad.

Actividades
El nivel que debe aplicarse es el ms alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel es bsico, pero si adems se incluye la afiliacin sindical, el nivel de seguridad del fichero ser alto. Cada nivel tiene unas caractersticas de seguridad propias, como se ve en la Tabla 1.1l.

9'

Debe existir un documento de seguridad donde figuren las Funciones

y obligaciones de cada usuario del fichero. El responsable del fichero debe mantener una lista de usuarios y sus accesos actualizada. Las contraseas

de los usuarios (en caso de ser este el mtodo de autenticacin) sern cambiadas en un periodo no superior a un ao. Bsico Es obligatorio crear un registro de las incidencias relacionadas con este fichero . Cualquier documento que contenga datos de carcter personal que se deseche tendr que ser borrado o destruido. Habr que realizar copias de seguridad como mnimo una vez a la semana. Al menos una vez cada dos aos una auditora verificar que los procedimientos de seguridad aplicados son los correctos.

10. Dadas las siguientes situaciones, identifica el tipo de infraccin que SiTour est cometiendo. Para ello consulta el artculo 43 de la LOPD: o SiTour realiza el envo de ofertas y promociones sin solicitar la creacin del fichero de datos de sus clientes. o SiTour no est realizando copias de seguridad del fichero de datos. o SiTour realiza la recogida de datos a sus clientes sin informarles de la finalidad del fichera.

Medio

Deben establecerse mecanismos para evitar el acceso reiterado no autorizado a los datos y sistemas de control de acceso a los lugares donde estn los equipos que almacenen los datos. Los datos deben ser cifrados para que no se manipulen cuando se realice su transporte, por ejemplo, cuando se almacenen los datos en un porttil. Tambin debern ciFrarse para realizar cualquier transmisin por redes pblicas o inalmbricas. Las copias de seguridad deben almacenarse en un lugar Fsico diFerente a los datos. Debern registrarse los intentos de acceso a los datos de los dos ltimos aos como mnimo.

11. Las infracciones de la


actividad anterior tienen asignada una sanclon econmica en el artculo 45 de la LOPD. Bscala e indica cul es en cada caso.

Alto

Tabla 1.11. Caractersticas de los niveles de seguridad.

Conceptos bsicos de la seguridad informtica

5.2. Normativa de los sistemas de informacin y comercio electrnico


La regulacin de los sistemas de informacin es un temo muy extenso y complejo, tanto que existe un organismo, lo Comisin del Mercado de las Telecomunicaciones (CMT). que establece las normas y procedimientos de los mercados nocionales de comunicacio nes electrnicas y de servicios audiovisuales. Lo ley 34/2002 de servicios de lo informacin y el comercio electrnico regula el rgi. men jurdico de las servicias de lo sociedad de la informacin y lo contratacin por va electrnica en las empresas que proporcionan estos servicios establecidos en Espaa o en estados miembros de lo unin Europea. Algunos de los aspectos ms importantes de esto ley son:

' ... b .... ? Sa Ias que

Si se detecla que un conlenido

o un enlace a un contenido no

Los empresas o las que afecta estn obligadas o nombre, domicilio, direccin de correo electrnico, informacin clara sobre el precio de las productos. la pgina web, la empresa estar cumpliendo con

proporcionar informacin sobre nmero de identificacin fiscal e Si esta informacin se incluye en este requisito.

cumple la normaliva Ipor ejem plo, atenta conlra la dignidad


de una persona o contra los

derechos de aulor). la empresa que lo aloja tiene que colaborar


para suprimir o inutilizar el con-

Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la informacin contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos o enlaces a datos incluidos por clientes. Establece la validez de los contratos realizados por va electrnica. Para demostrar la existencia de dicho contrato jurdicamente es suficiente con la presentacin del documento en formato electrnico. Por ejemplo en el caso de los billetes de transpor te adquiridas a travs de Internet, el documento electrnico justifica dicho controto.

lenido o el enlace.

La aplicacin de estas leyes ha derivado en acciones judiciales, como la siguiente:

o-m ..

~teccin de Datos multa a Telefnica con 60.000 euros .


La Agencia Espaolo de Proteccin de Dolos IAEPD) ha impuesto a Telefnica una multa de 60 101 ,21 euros por haber revelado dolos de clientes a consecuencia de un problema tcnico que sufri el porlal de Terra. htlp://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php

"

...
Un grupo de jvenes insulto y veja en 2006 a un chico de 17 aos con sndrame de dawn. Uno de ellos lo grabo y acabo colgado en Google Video, el servcio de hospedaje de vdeos del gigante informtico que ms larde adquirira Yautube. Lo escena llego o recibir
5.500 visitas en dos meses

y aparece entre los vdeos ms divertidos. Quin es el res-

ponsable de lo dignidad del agredido, socavado en unas imgenes que alcanzaron uno audiencia global? Un juez en Miln lo juzgo desde hoy, cenlrndose en lo responsabilidad
de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresidente de la empreso, se enfrentan a una acusacin penal por difamar a la vctima y a Vivi Dow n, una asociacin de personas con sndrome de down. Adems, la Fiscala les consi-

dera responsables del incumplimienlo de la legislacin ilaliana en materia de privacidad. 15/12/2009 Daniel Basleira Diario Pblico

Conceptos bsicos de la seguridad informtica

Comprueba tu aprendizaje
Identificar las necesidades de la seguridad informtica
1. Analiza las perjuicios que puede ocasionarte la
conexin a una red wifi que no pide ningn tipo de
contrasea.

f9

11. Infrmate en la pgina de Microsoft sobre la vulnerabilidad MS07-041 que afecta al servidor Web de Microsoft Internet Information Server.

12. Busca un boletn de seguridad de Microsoft en el que


se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderna un resumen, cmo ha sido clasificada, a qu sistemas afecta, si crees que nos afectara y cmo pueden protegerse los equipos afectados de esta vulnerabilidad.

2. Analiza la seguridad que tendran las claves farmadas


exclusivamente por nmeros.

3. Comprueba la seguridad de las contraseas que habitualmente utilizas en el comprabadar de contraseas de Microsoft: hHp://www.microsoft.com/latam/

athome/security/privacy/password_checker.mspx.

13. Accede a la pgina de Hispasec Sistemas hHp://www. hispasec.com/index_html y suscrbete a Una al da


para recibir en tu correo electrnico una noticia cada da sobre problemas de seguridad que afecten a cualquier sistema. Elige una noticia que afecte a un sistema que conozcas y haz un resumen del problema de seguridad en tu cuaderno.

4. Escribe en un papel tu nombre, apellidos, nmera de


telfono mvil, nmero fijo, fecha de nacimiento, direccin postal, nombre de familiares y mascotas y nombres de usuario para el equipa de tu casa, el correa electrnica y otros servicios a los que accedes por Internet. Intercambia tu papel con el de un compaero e intenta, haciendo combinaciones de estos datos, descubrir sus contraseas.

14. Busca informacin sobre las listas Robinson y averigua


en qu consisten, cmo funcionan, quin puede entrar

5. En esta actividad vamos a trabajar con Chrame, navegador gratuito diseado por la compaa Google. En caso de que no lo tengas descrgatelo de Internet. Vete a la pgina de Gmail, es decir al correo electrnico de Google, y busca en ella el certificado que utiliza Gmail.

a formar parte de ellas y cul es el procedimiento para que una persona sea incluida en ellas.

Reconocer la legislacin y normativa sobre la seguridod y proteccin de datos onalizando las repercusiones de su incumplimiento

15. En el Caso prctico 9 vimos el procedimiento que


seguido por SiTour para almacenar y gestionar los datos de sus clientes segn la normativa vigente. Una vez que ha realizado todo este proceso, SiTour enva a SiCon, una empresa de construccin con la que tiene acuerdos comerciales, los datos de su fichero de clientes pero no informa a estos del envo. Responde a las siguientes preguntas: Cul es el organismo que se ocupa de controlar y multar estas infracciones? En que ley se recogen las sanciones a aplicar? Cul es la gravedad de la infraccin que est cometiendo? Qu multa pueden tener? Nota: Es la primera vez que se sanciona a estas empresas y el volumen de datos afectadas no es muy alto, por lo que las sanciones a aplicar sern las mnimas pasibles.

6. Rellena la siguiente tabla:

Fsica

activa

7. Indica los pasos que debemos realizar para conseguir


mejorar la seguridad informtica.

8. Imagina que la empresa en la que eres responsable de


seguridad sufre un ataque a travs del servidor Web utilizando una vulnerabilidad conocida. Que medidas tomaras?

9. Pon un ejemplo de sistema en el que los riesgos estn


asociadas a impactos altos y otro ejemplo en el que estn asociados a mayor probabilidad de vulnerabilidades.

16. Terminado este curso y con la formacin adquirida,


decides montar una empresa en Internet que se va a dedicar a ofrecer un disco duro an-line. Necesitas de cada usuario: nombre, apellido, telfono y direccin de correo electrnico. En qu afectan estos datos a la formacin de tu empresa? Qu medidas de seguridad tendrs que tomar cuando almacenas esta informacin?

10. Busca una noticia en un peridico sobre seguridad


informtica e identifica los tipos de atacantes y los tipos de ataques. Crees que el ataque se pudo llevar a cabo debido a una mala planificacin de la seguridad?

~/1

Conce ptos bsicos de la seguridad informtica

Confidenciolidod Disponibilidod Integridod No Repudio


Interrupcin Intercepcin

Modificacin

-C

Seguridad fsico
Fabricacin

Seguridad lgica

pasiva

Spoofing Sniffing
Conocidas sobre aplicaciones o sistemas instalados
Conexin no autorizada

Molwore

.. .. .

Conocidas sobre aplicaciones


no inslaladas

Keyloggers
Denegacin de servicio Ingeniera social

An no conocidas

Hackers
Crackers

Phreakers Sniffers Ley 15/1999

..

Lammers

Newbie
Ciberterrorisla Programadores

de proteccin de dalos de
carcter personal

Ley 34/2002 de servicios


de la informacin y el comercio electrnico

de virus

Carders

lUJ n'il Dd<OJ dl

Seguridad pasiva. Hardware y almacenamiento

En esta unidad aprenderemos a:


Definir las caractersticas de la ubicacin fsica y condiciones ambientales de los equipos y servidores, as como los protocolos de actuacin frente a incidencias y alarmas en el subsistema fsico. Seleccionar y verificar los sistemas de alimentacin ininterrumpido y dnde utilizarlos. Describir las tecnologas de almacenamiento redundante y distribuido. Clasificar y enumerar los distintos mtodos de almacenamiento segn su disponibilidad y accesibilidad a la informacin. Identificar y utilizar medios de almacenamiento remotos y extrables.

y estudiaremos:
Ubicacin y proteccin fsica de los equipos y servidores. Sistemas de alimentacin ininterrumpido. Almacenamiento de la informacin. Almacenamiento redundante y distribuido: RAID, clusters, NAS y SAN.

Seguridad pasivo. Hardware

y alma cenamiento

l. Ubicacin y proteccin fsica

El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dnde vamos a instalarlo. Esta decisin puede parecer superflua, pero nada ms lejos de la realidad: resulta vital para el mantenimiento y proteccin de nuestros sistemas. Los planes de seguridad fsica se basan en proteger el hardware de los posibles desastres naturales, de incendios, inundaciones, sobrecargas elctricas, robos y otra serie de
amenazas.

Se trata, por tanto, de aplicar barreras fsicas y procedimientos de control, como medidas de prevencin y contra medidas para proteger las recursos y la informacin, tanta para mantener la seguridad dentro y alrededor del Centro de Clculo como los medios de acceso remoto a l o desde l. Veremos algunos de los mecanismos de seguridad fsica de los que hemos hablado en la Unidad 1, que, cama recordars, se recogen en la Tabla 1.2, relativa a amenazas y mecanismos de defensa de seguridad. Cada sistema informtica es nica. Par ejemplo, en la Figura 2.1 se puede ver la vista parcial de un CPD de una organizacin grande, pero en pequeas empresas u organizaciones, ei CPD podra estar compuesta sala par una de esios mdulos a par un servidor. Cuando hablemos del plan de seguridad fsica na podemos pensar que existe un plan de seguridad general aplicable a cualquier tipo de instalacin. En esta unidad nos centraremos en las pautas de aplicacin general, teniendo en cuenta que estas deben personalizarse para cada empresa y cada edifido. Adems, no es lo mismo establecer las caractersticas de una sala tcnica en una zona donde los terremotos son habitLJales, por ejemplo, a hacerlo para una zona donde apenas hay temblares apreciables.

~ Actividades
1. Realiza en equipo una
tormenta de ideas para descubrir qu factores hay que tener en cuenta para elegir dnde situor los equipos que forman el CPD. Es esencial que tengis siempre presente lo importante que son estos equipos y la informacin que manejan para cualquier organizacin. Fjate en la Figura 2.1 para analizar estos factores, teniendo en cuenta los equipos y armarios donde se instalan, que puedes ver en la imagen, as como las caractersticas de este CPD.

Fig. 2 .1. Saja de servidores.

1.1. Factores para elegir la ubicacin


Cuando hay que instalar un nuevo centra de clculo es necesario fijarse en varios factares. En concreta, se elegir la ubicacin en funcin de la disponibilidad fsica y la facilidad para modificar aquellas aspectos que vayan a hacer que la instalacin sea ms segura. Existen una serie de factores que dependen de las instalaciones propiamente dichas, coma son: El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cmo es el acceso de equipas y personal, y qu caractersticas tienen las instalaciones de suministro elctrico, acondicionamiento trmico, etc. Igualmente, hemos de atender a cuestiones de ndole fsica como la altura y anchura de los espacias disponibles para la instalacin, si tienen columnas, cmo es el suelo, la iluminacin, etc. Tratamiento acstico. En general, se ha de tener en cuenta que habr equipos, como las de aire condicionado, necesarios para refrigerar los servidores, que son bastante ruidosos. Deben instalarse en entornos donde el ruido y la vibracin estn amortiguados. Seguridad fsica del edificio. Se estudiar el sistema contra incendias, la proteccin contra inundaciones y otras peligros naturales que puedan afectar a la instalacin.

Seguridad pasivo. Hardw are y almacenamiento

Suministro elctrico propio del CPD. La alimentacin de los equipos de un centro de procesamiento de datos tiene que tener unas condiciones especiales, ya que no puede estor sujeta a los fluctuaciones o picos de lo red elctrico que pueda sufrir el resto del edificio. No suele ser posible disponer de toda una red de suministro elctrico propio, como la que ves en la Figura 2.3, pero siempre es conveniente utilizar una sistema independiente del resto de la instalacin y elementos de proteccin y seguridad especficos, como sistemas de alimentacin ininterrumpida, a los que dedicaremos el Apartado 2 de la unidad: equipos electrgenos, bateras, etc. Existen otra serie de factores inherentes a la localizacin, es decir, condiciones ambientales que rodean al local donde vayamos a instalar el CPD. Los principales son los factores naturales (fro, calor, inundaciones, incendios o terremotos); los servicios disponibles, especialmente de energa elctrica y comunicaciones (antenas, lneas telefnicas, etc.), y otras instalaciones de la misma zona; y la seguridad del entorno, ya que la zona donde vaya situarse el CPD debe ser tranquila, pero no un sitio desolado. Otros factores que han de tenerse en consideracin son el vandalismo, el sabotaje y el terrorismo.

Fig. 2.2. Sistema de refrigeracin del centro de datos de Google en The


Dalles, Oregn. Fuente: www.informationweek.com .

Dnde se debe instalar el CPD?

Atendiendo solo a estos factores ya podemos obtener las primeras conclusiones poro instalor el CPD en una ubicacin de caractersticas idneas. As pues, siempre que podamos, tendremos en cuenta que: Deben evitarse reas con fuentes de interferencia de radiofrecuencia, tales como transmisores de radio y estaciones de TY. El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable o nocivo.
Fig. 2.3. Sistema de alimentacin del compleja de Google
en The Dalles, Oregn. Fuente: www.;nformationweek.com.

El espacio deber estar protegido ante entornos peligrosos, especialmente inundaciones. Se buscar descartar: Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son ms propensas al vandalismo o los sabotajes . Stanos, que pueden dar problemas de inundaciones debido a caeras principales, sumideros o depsitos de agua . ltima planta, evitando desastres areos, etc. Encima de garajes de vehculos de motor, donde el fuego se puede originar y extender ms fcilmente.

Segn esto, la ubicacin ms conveniente se sita en las plantos intermedias de un edificio o en ubicaciones centrales en entornos empresariales.

Actividades "
2. Estudia las instalaciones de tu centro. Dadas las caractersticas del mismo,
dnde crees que podra instalarse un pequeo centro de clculo?

Seguridad pa siva. Hardware

y almacenamiento

1.2. Control de acceso


De modo complementario o la correcta eleccin de la ubicacin del CPD es necesario un frreo control de acceso al mismo. Dependiendo del tipo de instalacin y de la inversin econmica que se realice se dispondr de distintos sistemas de seguridad, como los siguientes:
o

Servicio de vigilancia, donde el acceso es controlado por personal de seguridad que comprueban la identificacin de todo aquel que quiera acceder a una ubicacin. En general, suele utilizarse en el control de acceso al edificio a al emplazamiento y se complementa can otros sistemas en el acceso directa al CPD.
o

Detectores de metales y escneres de control de pertenencias, que permiten revisar a las personas, evitando su acceso a las instalaciones con instrumentas potencialmente peligrosas a armas. Utilizacin de sistemas biamtricas, basados en identificar caractersticas nicas de las personas cuyo acceso est autorizado, coma sus huellas digitalizadas a su iris, de los que hablaremos en la Unidad 5. Proteccin electrnica, basada en el usa de sensores conectadas a centrales de alarma que reaccionan ante la emisin de distintas seales. Cuando un sensar detecta un riesgo, informa a la central que procesa la informacin y responde segn proceda, par ejemplo emitiendo seales sonoras que alerten de la situacin.

Fig. 2.4. Control de acceso al complejo de Google en The


Dalles, Oregn. Fuente: www.inFormationweek.com.

Caso Jlrctico 1

Estudio de la ubicacin del CPO de SiCon


SiCon, una importante empresa de construccin, ha decida trasladar sus oficinas a un nueva edificio. Una de los factares ms impartantes para decidir entre las posibles ubicaciones, tres en total, es determinar cul ofrece las mejores garantas para la instalacin de su CPD. Es nuestra responsabilidad como tcnicas informticos presentar la propuesta de ubicacin ms conveniente.

l. Se trata de tres edificios situadas en diferentes zonas, consideradas todas ellas


como seguras desde el punto de vista de robos y vandalismo, y que se sitan en la misma rea geogrfica, donde no son habituales las inundaciones. Adems se han seleccionado edificios con buenos sistemas contra incendios, etc. 2. El primero de ellos se sita en el centro de una gran ciudad, junto a otra serie de edificios principalmente de oficinas, aunque tambin hay alguno de viviendas; el segundo de los edificios se encuentra en un gran parque empresarial con mltiples oficinas, pero donde no hay fbricas; el tercero, en un polgono industrial, donde se concentran fbricas de metalurgia, factoras de vehculos, as como otra serie de fabricas de maquinaria pesada. 3. Los edificios tienen control de acceso mediante guardias y cmaras, que mantendr una empresa externa.

~ Actividades
3. Busca informacin sobre distintos sistemas de proteccin electrnico, sus aplicaciones y costes de implantacin.

. c:

4. La altura de los edificios, es decir, las plantas disponibles en cada edificio, es distinta. En el edificio cntrico disponemos de siete plantas en un edificio compartido con otra empresa, en el parque empresarial de un edificio de seis plantas y en el polgono industrial de un edificio de dos plantas, ambos de uso exclusivo de SiCon. Las tres zonas estn bien dotadas de servicios de comunicaciones y las instalaciones no presentan problemas elctricos. (Contina)

Seguridad pasiva. Hardware y almacenamiento

Caso I!rctico 1
Continuacin}

6. En el edificio situado en el centro de lo ciudad ser necesario realizar ciertas reformas para amortiguar los sonidos de los equipos que se instalen, dada la cercana de edificios de viviendas.

7. La empresa ha decidido realizar la inversin necesaria para instalar sistemas


de control de acceso biomtrico al CPD, para garantizar que sea la ms seguro pasible, as como las sistemas de alimentacin necesarias. 8. Una vez que conocemos estos datos, podemos realizar una tabla valorando las instalaciones en funcin de su conveniencia, donde morcaremos si se adeca al factor de seguridad correspondiente. En uno situacin real, el estudio sera ms extenso y se deberan visitar los edificios para comprobar factores como la situacin de tuberas (que no deben pasar por encima de la CPD), etc.

El edificio
Tratamiento acstico

./

./ ./

Seguridad fsica del edificio


Fadores naturales Servicios e instalaciones cercanas

./
./ ./

./
./ ./

Actividades

t'

Seguridad del enlorno


Control de acceso

./
./

./
./

Tabla 2.1 . Va/oracin de /0 ubicacin.


9. La valoracin realizada indica que la ubicacin ms apropiada es la del centra empresarial, donde adems contamos con la ventaa de poder instalar el CPD en la penltima o antepenltima planta, de las seis que disponemos. Aunque no se ha indicado, el hecho de que el edificio sea de uso exclusivo es otro factar ventaoso ya que facilitar el control de acceso al mismo, como tambin lo ser la consideracin de si se trata de un emplazamiento en propiedad o alquilado.

4. Copio lo Tabla 2.1, y compltala con uno columna denominada Justificacin, donde rozones por qu codo uno de las ubicaciones es adecuado o no respecto a coda factor de seguridad. Eemplo: lo ubicacin del edificio en el polgono industrial no resulta adecuado por... mientras que el edificio cntrica y el parque empresarial s porque ... .

1.3. Sistemas de climatizacin y proteccin en el CPD


Adems de instalar el CPD en la meor localizacin posible, es imprescindible que se instalen en su interior, unto con los equipos propios de procesamiento de datos, sistemas de climatizacin, de proteccin contra incendios (PCI) y sistemas de alarmo apropiados. Los equipos de un centro de praceso de datos disipan mucha energa calorfico y hoy que refrigerarlos adecuadamente poro mantener los condiciones interiores de temperatura y humedad estables, yo que altas temperaturas podran daar estos equipos. Lo decisin sobre qu sistemas de climatizacin han de instalarse depende de los caractersticos de codo CPD, pero hoy un hecho que siempre ha de tenerse en cuenta: no se trato de climatizar el cuarto sino de refrigerar el equipo. Por ello debemos situar el servidor o rock o lo altura adecuado paro que le alcance lo circulacin de aire, y de modo que el aire fro de lo mquina se diria o lo porte del equipo que absorbe aire, no a lo que lo expulso .

Con un extractor domstico de aseo puede renovarse 10 veces

por hora el aire de uno habilacin de 2x2x2,5m. En un garae, por eemplo, el aire se debe
renovar segn la normativa siete veces por hora.

Seguridad pasivo . Hardware

y almacenamiento

otros sistemas an ms

compleios, como el uso de pasillos fros y pasillos calientes y la refrigeracin lquida, utilizados en grandes CPD con mltiples racks.

Podemos, por ejemplo, utilizar un ventilador que expulsa el aire caliente al exterior para refrigerar un servidor como el que ves en la Figuro 2.5. Se trata de una opcin bastante econmica en la que debes tener en cuenta que haya recirculacin del aire, es decir, que el aire debe atravesar el servidor. Para un CPD que tenga varios racks, podemos optar por el uso de equipos murales o equipos de techo. En la Figura 2.6 puedes ver este tipo de instalacin, donde tambin se ha instalado un secuenciador en una zona de temperatura caracterstica. Este secuenciador proporciona un sistema de seguridad adicional, ya que alterna el uso de cada uno de los splits instalados, y, en caso de que suba la temperatura, ambos equipos se pondrn en funcionamiento para enfriar el CPD.

23 oC
50 %

Rejilla puerta

Fuera sala Fig. 2.5.

Aire frio

Sistema de climatizocin con ventilador.

Fig. 2.6. Sistema de climatizacin con Sp/its.

Los sistemas contra incendios son otro de los factores clave en un CPD. No es tu misin instalarlos, pero s debes conocer su funcionamiento bsico ya que de ello puede depender inclusa tu propia seguridad. Es habitual utilizar dos tipos: Sistema de deteccin, como el sistema de deteccin precoz, que realiza anlisis continuos del aire, de modo que puede observar un cambio de composicin en el mismo, detectando un incendio incluso antes de que se produzca el fuego yactivando el sistema de desplazamiento de oxgeno. Sistema de desplazamiento de oxgeno. Este tipo de sistemas reduce la concentracin de oxgeno, extinguiendo as el fuego, de modo que no se utiliza agua, que puede daar los equipos electrnicos. Dado que se produce un desplazamiento de oxgeno, es muy importante que el personal humano siga las normas de evacuacin de la ubicacin, ya que su activacin podra perjudicar su integridad fsica.

~ Actividades
5_ La agencia de viajes SiTour est considerando la necesidad de disponer de un centro de datos para gestionar y centralizar la informacin que maneja habitualmente. Est situada en un local comercial bajo, que dispone de una sala central, donde se realiza casi toda la actividad comercial, de dos despachos, uno de ellos utilizado por el director de la agencia y de un pequeo almacn. La agencia se sita en un barrio de clase media, donde no hay un ndice especialmente alto de robos, junto a un edificio que est actualmente vaco. Cul crees que es la ubicacin idnea para la instalacin del CPD? 6. Investiga sobre distintos sistemas de climatizacin y contra incendios que podran ser adecuados para el CPD de SiTour.

________________--J)

Seguridad pasiva. Hardware

y almacenamiento

1.4. Recuperacin en caso de desastre


Nuestro objetivo debe ser siempre evitar daos en el CPD, pero hay que ser realistas y tener preparado un plan de contingencia que debe ponerse en marcha en caso de desastre. Una opcin que ha de tenerse en cuenta es tener un centro de backup independiente, de modo que aunque los equipos del CPD queden fuera de servicio por una avera muy grave, la organizacin podr seguir realizando su actividad con cierta normalidad. Dentro de los planes de contingencia debemos tener en cuenta la realizacin de sistemas redundantes, como los sistemas RAID que abordaremos en el Apartado 4 de la unidad y el uso de copias de seguridad, a lo que dedicaremos la Unidad 3. En caso de que se produzca un desastre, el primer paso es que se rena el comit de crisis para evaluar los daos. Si se decide poner en marcha el plan de contingencia, es importante que los trabajos comiencen por recuperar las bases de datos y ficheros esenciales, as como desviar las comunicaciones ms crticas al centro alternativo, desde donde se comenzar a operar en las reas que sean prioritarias, ya que de no hacerlo las consecuencias podran ser desastrosas.

Actividades ~
Z Existen muchas empresas que ofrecen soluciones de almacenamiento y centros de datos. Busca informacin en Internet sobre alguna de ellas y analiza las ventajas y desventajas que puede tener para una empresa utilizar sus servicios, tanto desde el punto de vista de la seguridad como desde el punto de
vista econmico.

2. Sistemas de alimentacin ininterrumpida

Ningn equipo informtico, por sofisticado que sea, est exento de sufrir un corte de luz y apagarse. Es por ello que es necesario, especialmente cuando se estn procesando datos o dando servicios de alojamiento web u otros, utilizar sistemas auxiliares de alimentacin.

2.1. Definicin de SAl


Un SAlo sistema de alimentacin ininterrumpida es un dispositivo electrnico que permite proteger a los equipos frente a los picos o cadas de tensin. De esta manera se dispone de una mayor estabilidad frente a los cambios del suministro elctrico y de una fuente de alimentacin auxiliar cuando se produce un corte de luz. Este tipo de sistemas nacieron originalmente con el objetivo de proteger el trabajo que se estaba realizando en el momento en que se produca un apagn. La idea consista en proporcionar al usuario del equipo el tiempo suficiente para guardar la informacin y apagar correctamente los equipos cuando se produca un corte en el suministro elctrico, aunque posteriormente se le ha agregado capacidad para poder continuar trabajando cierto tiempo, aunque no se disponga de suministro. Las caractersticas de los SAl dependen de cada modelo en concreto, pero en la siguiente tabla tienes un resumen de sus funcionalidades.

UPS (Uninterruptible Power son los siglas inglesas de


Tambin se conoce como

No

break.

Alimentacin de ordenadores

Se pueden conectar de uno a varios equipos al mismo SAl. Permiten seguir trabajando con el ordenador de 15 a 270 minutos cuando se produce un corte en el suministro elctrico. No estn diseados para conectar dispositivos de alto consumo de energa (como grandes impresoras lser

Tiempo extra de trabajo

Alimentacin de otros equipos

o plottersl.
Integrado en algunos modelos para evitar que los picos de tensin que se producen en la lnea afecten a la alimentacin de los equipos. Algunos incorporan conectores para conectar el mdem, router u otros dispositivos imprescindibles en la comunicacin y protegerlos.

Regulador de voltaje
Otros conectores

Tabla 2.2. Caractersticas de los SAl.

Seguridad pasiva. Hardware

y almacenamiento

2.2. Tipos de SAl


En general, podemos identificar dos tipos de SAl, en funcin de su forma de trabajar:

Sistemas de alimentacin en estado de espera o Stand-by Power Systems (SPS). Este tipo de SAl activa la alimentacin desde bateras automticamente cuando detecta un fallo en el suministro elctrico. SAl en lnea (on-fine), que alimenta el ordenador de modo continuo, aunque no exista un prablema en el suministro elctrico, y al mismo tiempo recarga su batera. Este dispositivo tiene la ventaja de que ofrece una tensin de alimentacin constante, ya que filtra los picos de la seal elctrica que pudiesen daar el ordenador, si bien el tiempo extra de trabajo que ofrece es menor que el de los SPS.
"' ~ ""

I!Il O.Ba~...,

\O Ovc<l_
llEI ~ B~

es
5

BackUPS

Fig. 2.7. Distintos modelos de SAl.

2.3. Modo de funcionamiento


Como ya hemos dicho, un SAl es un dispositivo auxiliar que alimenta un ordenador, bien de modo continuo o bien quedando a la espera hasta que es necesario (cuando hay un corte de luz). Las Figuras 2.8 y 2.9 ilustran este funcionamiento. En la Figura 2.18 podemos ver una representacin de un SAl en lnea, en una situacin normal donde hay suministra elctrico. El SAl est conectado, por un lado, a un enchufe de la red, a travs del cual recibe la corriente con la que va cargando sus bateras, y por otra se conecta al equipo o equipos a los que vaya a prateger. En la Figura 2.9 podemos ver cul es la situacin cuando se praduce un corte de luz, y la alimentacin del ordenador depende nicamente de las bateras internas del SAl. Dispondremos de alimentacin el tiempo que estas bateras tarden en descargarse .

:..'

Fig. 2.8. SAl con alimentacin elctrica.

Fig. 2.9. SAl cuando hay un corte de alimentacin elctrica.

Seguridad pasiva. Hardware

y almacenamiento

3. Almacenamiento de la informacin

Otro de los factores clave de la seguridad de cualquier sistema es cmo y donde se almacena la informacin. En este punto hablaremos de los tres aspectos ms importantes que debemos tener en cuenta cuando tratemos la seguridad fsica de la informacin: el rendimiento, la disponibilidad y la accesibilidad a la misma.
Existen numerosas tcnicas que se esperan proporcionen estas caractersticas, como son

No hay que confundir acc:esible


con seguro, un sistema con dificultad de acceso puede no ser seguro si una vez que se llega

los sistemas RAID, los clusters de servidores y las arquitecturas SAN y NAS, a los que dedicaremos el resto del tema. Pero, qu entendemos por rendimiento, disponibilidad o accesibilidad a la informacin? Pues bien, siempre que hablemos de rendimiento nos estaremos refiriendo a la capacidad de clculo de informacin de un ordenador. El objetiva es obtener un rendimiento mayar, y esto se puede conseguir na solo can grandes y modernos ordenadores, sino utilizando arquitecturas que reciclan equipas que se han dejada de usar parque se encontraban anticuadas. El concepto de disponibilidad har referencia a la capacidad de las sistemas de estar siempre en funcionamiento. Un sistema de alta disponibilidad est compuesto por sistemas redundantes o que trabajan en paralelo, de modo que cuando se praduzca un fallo en el sistema principal, se arranquen los sistemas secundarios automticamente y el equipo no deje de funcionar en ningn momento.

al emplazamiento es posible
hacerse con la informacin simplemente abriendo una puerta.

Otra factor importante es la accesibilidad a la informacin; si nuestra informacin se encuentra duplicada y en lugar seguro, pera la accesibilidad a ella es mala, por ejemplo porque solo es posible acceder por carretera y se han almacenado las copias de seguridad a una distancia de varias horas de viaje, en caso de desastre el tiempo que se emplear en poner en marcha el plan de recuperacin ser mayor que con un sistema accesible.

Fig. 2.10. Racks de computadoras de un ePD Will Weterings).

Actividades "
8. Busca en Internet informacin sobre distintos tipos de SAl disponibles en el mercado. Crea una tabla clasificndolos en funcin del tiempo de trabajo extra que ofrecen, del nmera de equipos que pueden conectarse a ellos, si disponen de reguladores de tensin y de su precio. Algunos de los fabricantes ms importantes que puedes consultar son Emerson, APC, Eaton, Socomec. 9. Como ya sabes, un SAl incorpora habitualmente mecanismos reguladores de tensin, pero su precia hace que no sea asequible a un usuario domstico. En el mercado existen alternativas mucho ms econmicas para prateger los equ;-pos contra subidas y picos de tensin. Busca informacin sobre estos equipos en Internet, y selecciona el que te parezca ms adecuado para tu ordenador personal; justifica el porqu de tu eleccin. Puedes consultar las pginas de los fabricantes de la Actividad 8.

i /2
A1 A3
A5 A7

Seguridad pasiva. Hardware y almacenamiento ----~--~------~----------------------

4. Almacenamiento redundante y distribuido


RAIDQ RAID consiste en un conjunto de tcnicas hardware o software que utilizando varios discos proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabilidad en el almacenamiento. Se trato de un sistema de almacenamiento que utilizando varios discos y distribuyendo o replicando la informacin entre ellos consigue algunas de las siguientes caractersticas:
o

A2
A4

A6 A8

Mayor capacidad: es una forma econmica de conseguir capacidades grandes de almacenamiento. Combinando varios discos ms o menos econmicos podemos conseguir una unidad de almacenamiento de una capacidad mucho mayor que la de los discos por separado. Mayor tolerancia a fallos: en caso de producirse un error, con RAID el sistema ser capaz en algunos casos de recuperar la informacin perdida y podr seguir funcionando correctamente. Mayor seguridad: debido a que el sistema es ms tolerante con los fallos y mantiene cierta informacin duplicada, aumentaremos la disponibilidad y tendremos ms garantas de la integridad de los datos. Mayor velocidad: al tener en algunos casos cierta informacin repetida y distribuida, se podrn realizar varias operaciones simultneamente, lo que pravocar mayor velocidad.

......
Disco O Disco 1

.....
o

Fig. 2.11 . RAID O.

Este conjunto de tcnicas estn organizadas en niveles. Algunos de estos niveles son:
o

RAID nivelO (RAID O): en este nivel los datos se distribuyen equilibrada mente (y de forma transparente para los usuarios) entre dos o ms discos. Como podemos ver en la Figura 2.11 los bloques de la unidad A se almacenan de forma alternativa entre los discos O Y 1 de forma que los bloques impares de la unidad se almacenan en el disco O y los bloques pares en el disco l. Esta tcnica favorece la velocidad debido a que cuando se lee o escribe un dato, si el dato est almacenado en dos discos diferentes, se podr realizar lo operacin simultneamente. Para ello ambos discos tienen que estar gestionados por controladoras independientes. Hay que tener en cuenta que RAID O no incluye ninguna informacin redundante, por lo que en caso de producirse un fallo en cualquiera de los discos que componen la unidad provocara la prdida de informacin en dicha unidad.

RAID 1

""-

A1 A2 A3
A4

A1 A2 A3
A4

RAID nivel 1 (RAID 1): a menudo se conoce tambin como espejo. Consiste en mantener una copia idntica de la informacin de un disco en otro u otros discos, de forma que el usuario ve nicamente una unidad, pero fsicamente esto unidad est siendo almacenada de forma idntica en dos o ms discos de forma simultnea. Como podemos ver en la Figura 2.12 todos los bloques de la unidad A se almacenan de forma idntica en ambos discos. Si se produjera un fallo en un disco la unidad podra seguir funcionando sobre un solo disco mientras sustituimos el disco daado por otro y rehacemos el espejo.

'-Disco O

---

'Disco 1

.....

Fig. 2. 12. RAID 1.

El principal inconveniente es que el espacio de la unidad se reduce a la mitad del espacio disponible. Es decir, si disponemos de dos discos de 1 TB cada uno (2 TB entre los dos) y montamos una unidad en RAID 1, esta unidad tendr un espacio total de 1 TB.

Seguridad pasiva. Hardware y almacenamiento

RAID nivel 5 (RAID 5): En RAID 5 los bloques de datas que se almacenan en la unidad, y la informacin redundante de dichos bloques se distribuye cclicamente entre todos los discos que forman el volumen RAID 5. Por ejemplo si aplicamos RAID 5 sobre un conjunto de 4 discos, como vemos en la Figura 2.16, las bloques de datos se colocan en tres de los cuatro discos, dejando un hueco libre en cada lnea que ir rotando de forma cclica (una lnea est formada por un bloque con el mismo nmero de orden de cada disco y est representado en la Figura 2.16 con el mismo color). En este hueco se colocar un bloque de paridad. Con este sistema, el bloque de paridad (en la Figura 2.13, Ap, Bp ... ) se coloca cada vez en un disco. Como vemos en la Figura 2.13 el bloque de paridad de la lnea A (Ap) est en el disco 3, el bloque de paridad de la lnea B (Bp) est en el disco 2 yas
sucesivamente.

Disco O Disco 1 Disco 2 Disco 3


Fig. 2.13. RAID 5.

El bloque de paridad se calcula a partir de los bloques de datos de la misma lnea, de forma que el primero ser un 1, si hay un nmero impar de unos en el primer bit de los bloques de datos de la misma lnea, y O si hay un nmero par de unos. Por ejemplo, en la Figura 2.13 en el bloque de paridad Ap el primer bit (el ms significativo) ser un 1 porque hay un nmero impar de unos en el primer bit de cada bloque de datos de esa lnea (es decir los bit marcados en rojo). El espacio total disponible para un volumen RAID 5 que utiliza N discos es la suma del espacio de los N discos menos el espacio de uno.
Los discos dinmicas na estn disponibles en las versiones

Home de Windows XP y Windows Vista.

Actividades
calcula los bloques de paridad y completa la figura.

9t
En RAID 5 si se produce fal
en dos discos la informacin es irrecuperable. Esto parece muy

10. Dado el conjunto de 4 discos de la Figura 2.14 que monta un volumen RAID 5,

Linea A Linea B Linea

IDID0 11011

0~01 011
11110001 f....

f.... 0 50 11101

--

1--... 101

Ap

----

improbable, pero o medida que


se aaden ms discos, la proba-

bilidad aumenta.

1--...11111010 1--...1110000C!.... Dp 11111110 11110000 00101011


Disco O

Bp

00010101 00001109.f....1 01 01 01.9...


Ep

Cp
10001001

..:.-

f....1111011!...1111101~

Linea D Linea E Linea F Linea G

01111110 00001110

10101010
Fp

01011101 00110110
Disco 3

Gp
Disco 1

10101010
Disco 2

Fig. 2.14. Conjunto de 4 discos.

11. Imagina que se perdiera el disco 1. Llega una peticin de lectura de la lnea F,
podra realizarse? Qu informacin devolvera?

12. Cuando an no se ha recuperado el disco, llega una peticin de escritura para


la lnea F: hay que escribir el valor 1000llll OOOOlllO Ol Olll O. Crees que se podr realizar esta operacin? Haz las modificaciones que sean necesarias.

13. Una vez que se ha conseguido un disco con las caractersticas adecuadas, se

decide sustituir el disco daado y recuperar el funcionamiento normal de la unidad utilizando los cuatro discos. Recupera la informacin de dicho disco utilizando solo la informacin de los discos O, 2 y 3.

Seguridad pa siva . Hardware

y almacenamiento

4.1. RAID en Windows

~.

-""" , """""""-.....-....j

Se puede pasar un disco bsico a dinmico sin perder informa~ cin, pero no al revs. Adems cuando un disco se con~ vierte en dinmico solo podr arrancar el sistema operativo que est activo en el momento de la conversin.

En Windows estamos acostumbrados a que una unidad fsica corresponda con una unidad lgica (o varias en caso de tener varias particiones). Este es el concepto clsico de Windows, los discos bsicos. A partir de Windows 2000 comienza a aplicarse adems de los discos bsicos un nue va tipo de almacenamiento llamado discos dinmicos. Al igual que en los discos bsicos crebamos unidades lgicas, en las discos dinmicas creamos volmenes dinmicas. Existen cinca tipas de volmenes dinmicos: Simples: es un valumen que utiliza espacio de un solo disco fsica. Es el tipo de disco dinmica que se crea cuando transformamos una unidad lgica en un volumen dinmico. Distribuidas: es un valumen que se crea ocupando espacia de varias discos. Se construye coma una concatenacin de discos, sin existir una regla que especifique cmo tienen que almacenarse las datas en las discos (coma ocurre en RAID O). Permite crear unidades grandes a partir de varios discos. Los principales inconvenientes san que na supone ninguna meiara en la velocidad del acceso y que na incluye redundancia. Tambin san conocidas cama JBOD. Seccionadas: corresponde can el nivelO de RAID. Refleiados: corresponde con el nivel 1 de RAID. RAID 5: corresponde con el nivel 5 de RAID.

4.2. RAID en Windows Vista


Dentro de la rama de sistemas operativos de Microsoft no orientados a servidores (Windows XP, Vista ... ) solo es posible crear los tres primeros tipos de volmenes dinmicos: simples, distribuidos y seccionados.

Caso p'rctico 2

Creacin de volmenes seccionados en Windows Vista


Crear un volumen seccionado en Windows vista para acelerar el acceso a disco y meiarar as la experiencia de los usuarios mientras realizan operaciones de tiempo real. Debemos comprobar en el administrador de discos que tenemos al menos dos discos ms a parte del disco en el que tenemos el sistema operativo.
soluciones de problemas

1. Accedemos al administrador de equipos


de Windows. Para ello accedemos a la seccin de Sistema y mantenimiento del Panel de control, accedemos a Herramientas administrativas y posteriormente al Administrador de equipos. Una forma ms rpida de acceder a esta ventana es hacer clic con el botn derecho del ratn sobre el acceso directo a equipo y seleccionar la opcin

S u sc~r nu ev~>

Ver el

his t ori~ 1

Informacin y herramientas
Consultar la puntuadn total de I~ Usar herr~m i en t as p~ra

J:iJ11 Administrador de dii, oo.;iti,'o,1 ~ ~ Ver hardware y dispositivos

Administrar.
2. Una vez que nos encontramos en la consola de administracin de equipos (Fig. 2.15), accedemos en la ventana de la izquierda (rbol de la consola) a Administracin de discos, que se encuentra dentro de la seccin Almacenamiento.

i I equipos ~ Administraci6n de impre1in ~ Configurac1n del sistema !EJ Directiva de seguridad local r Firewall de Windows con seguridad avan ... ~ Herra mi enta de diagnstico de memoria ~ lniciador SCSI (lI Monitor de confiabilidad y rendimiento ~ Orlgene1 de datos oose @ Programadordetareas 1&,Servidos eventos

Fig. 2.15. Acceso a Administracin de equipos en Vista o travs de Panel de control.

(Continal

Seguridad pasiva, Hardware

y almacenamiento

Casa p'rctica 2
(Continuacin)

En la Figura 2.16 podemos ver cuatro discos, el disco O que es el volumen de sistema y de inicio y los discos 1, 2 Y 3 que de momento son discos con todo su espacio sin asignar.
9 DiK" O
Oinlmk" 10,OOGB Enp lntlllll

Para poder continuar con los siguientes pasos de este caso prctico tenemos que tener al menos 2 discos del mismo tamao y sin asignar (es decir, libres).

10,00 GB NTFS Cenede (Sislema, Ananque, Archivo de pIgin. cifln, Ve lc.d ,,)

""

blI DbI;" 1
Blsieo 10'OOI;, ~e"~,----.!. En pi Nuevo VIl~mVl cftrtribuido_

ic

10,00

E,p

Nuevo VOktnVl secd oru do_


Ccnvm i, VI disco dinimico_ Cc n'rol;' VI di.aI GPT Propiedades

U D
B,hic Ayu da 10,OOI.... lOm .oo '""".------' En plnlall. No Is'gnado

.....:...." I ..

Fig. 2.16. Administrador de equipos.

3. Para convertir los discos que tenemos libres en discos


seccionados, pulsamos con el botn derecho sobre uno de los discos sin asignar, yen el men desplegable que nos aparece seleccionamos la opcin Nuevo volumen
~

seccionado (Fig. 2.17). Nos aparecer el Asistente para nuevo volumen seccionado (Fig. 2.18). Pulsamos en Siguiente para seguir con la configuracin.

- _ ... .....
"" _

It .......

.. IJ, I!I D.,.rlll .Il


... , ......

c - ....... _ _ .. ...... ..

Asistente p.ilr.l nuevo volumen s.ccdonado

.... r... _r~~ "'~ _ '" _ _ .... ...........


. . . , . * ' ~ C " " '

..,....,."...".....,II=r .. ." ........ -==-nclo

Fig. 2.17. Nuevo volumen seccionado,

Fig. 2. 18. Asistente para V"',,ncIAn seccionado,

4. Seleccionamos los discos que queremos utilizar para


generar el volumen seccionado (Fig. 2.19). Los discos que seleccionemos almacenarn de forma repartida (tal y como se explica en el punto 3) los ficheros y direc' ................ lUIINdO
l'uede~ b<h<:: l r .... """"""~docb:::op""'etI.ooUnen .

_d_
........

torios que coloquemos en el nuevo volumen seccionado. En la Figura 2.19 puedes ver que para el desarrollo de este caso prctico se han seleccionado los tres discos que estaban sin asignar en la Figura 2.16.
1 1uMr ........... ~ "fIIlIrldno do .... cJ.I o n.II. do ~ p." ctt ...... ..:cao tn.b 1""",,",0 . PIret!. U7W ...... 1oInr de Lrida;j DoQ do
LndI~''''V"::itnon.

121

S<Iecoc:neIo.cb:cs_d ........

JcIes;ouesha;.ck:en~.

[] ~ I;";" ~Io..,
I <~todo.l
T5!I>l.:tIrIdclvcUnon .... ~ab,\ .. (M~

. ,.
;

@r ~!alolnrdc<ri1a:l~. ,

10000MB

O M:rt.-., lo 09HrU cnU IfTFS Yacl.,

lC3
='

HIZJ81.1B

II ! e Ha ..qw ...... I.tr.Dl\Udo_dc...-.dad

=r.oornia:lo<bx:nt40(l.lB)-.
Sfto:i::r.t lo Cdid.o~ d. tsl&:>:I (I.IB)

"", - .- m-

~
~I ~.>

I I c.nc:.u I

~1 SQ.>tne>

I I ""'" I
(Contino)

Fig. 2.19. Seleccionar discos a seccionar,

Fig. 2.20. Asignar letra a la nueva unidad.

~/2 q

Seguridad pasivo. Hardware y almacenamiento ------~--~--------~--------------------------

Caso prctico

:2
6. A continuacin en la Figura 2.21 seleccionamos el sistema de archivos con el que se desea formatear el nuevo volumen (Windows recomienda NTFS) y la etiqueta que queremos asignar a la unidad. En el caso de la Figura 2.21 se ha seleccionado sistema de ficheros NTFS y como etiqueta del volumen Datos usuariOS.

(Continuacin)

5. Eri el siguiente paso seleccionamos la letra de la unidad que queremos asignarle al nuevo volumen (tiene que ser una letra que no est asignada a ninguna otra unidad). Si seleccionamos la opcin Montar en (o siguiente carpeta NTFS vaco podemos integrar el espacio de este volumen dentro de una unidad ya existente eligiendo la carpeta en donde queremos aadir este volumen.

-~ Debe fo:m.!l!ear ~e vol.rnerlarlles de poder ~ dilo. en l.

........

~----------------------------" I .
{) No fOlllllllfW este voh.rnen
@ Famaeil'" ale vob!Ien can La adop3Ci6n li.l.ier1e:

Anallzadn del Asistente para nuevo volumen secdonado

I
1,
1
.. 1

arc:Nvc1: Ta-ncl"'u..dad de~: ~emNdo


~a del vobnen:

~em/l6e

~INTF~S~~~~"I
Odas USUlIri::.

D IWI...mSo~

!'

O HabU. ~ de an;tyyg , Y ClfpeID'I

Fig. 2.21. Formolear volumen.

F ig. 2.22. Finalizacin asistente. que los discos seleccionados se van a convertir en discos dinmicos y que despus de esta operacin no se podr arrancar ningn sistema operativo instalado en ellos a excepcin del sistema actual (Windows Vista). Podemos pulsar s porque inicialmente los discos no estaban asignados (Fig. 2.19), as que no contienen ninguna informacin.

7.

Por ltimo se nos muestro un resumen de las operaciones que se van a realizar, en donde debemos comprobar que corresponde con lo que desebamos hacer inicialmente. Uno vez que pulsamos sobre Finalizar, se nos muestra una advertencia (Fig . 2.23) en la que se nos avisa

~ A~ d~ m ~i~ n i~ n ~ ~ ~c ~ io ~ n ~ d~ .d~ i s~ co ~s ~____________-~II~~_____________________~ f13l 13 ~\ 1


la operacin elegida convertir 105 discos bsicos seleccionados en discos dinmicos. Si los discos se convierten en dinmicos, no podr iniciar ningn sistema operativo instalado en los volmenes de los mismos, a excepcin del volumen de arranque actual. Est seguro de que desea continuar?

S Fig. 2.23. Aviso de arranque de atros 50.

No

8. Puedes comprobar que la unidad generada tiene un tamao igual al tamao de las tres unidades. En el caso concreto de este caso prctico, 30 GB. Si cada uno de los discos que forman este nuevo volu12

men tuviera una contraladora diferente aceleraramos mucho los procesos de lectura/escritura en disco, ya que podran realizarse 3 lecturas o escrituras al mismo tiempo.

Seguridad pasiva. Hardware

y almacenamiento

4.3. RAID en Windows 2008 Server

En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los tipos de volmenes dinmicos estudiados en el Apartado 4.1. En concreto en el siguiente caso prctico crearemos un volumen reflejado utilizando Windows 2008 Server.

Caso p'rctico 3 Reflejar en Windows 2008 el volumen de sistema y de inicio


1. Arrancamos Windows 2008 Server y entramos en el

Administrador de/servidor (Fig. 2.24). El administrador


del servidor lo podemos encontrar en las Herramientas administrativas igual que el Administrador de equipo en Windows Vista. Tambin podemos entrar pulsando el botn secundario del ratn sobre el acceso directo de equipo.

Microsoft tambin recomienda que los discos sean de las mismas caractersticas y estn manejados por controladoras diferentes. As nos estaremos protegiendo ante un mayor nmero de tipos de fallos (si se produjera un fallo en la controladora de uno de los discos el otro seguira funcionando).

3. Una vez comprobado esto, hacemos dic sobre el rea


asignada del volumen que queremos reflejar y seleccionamos la opcin Agregar reflejo, tal y como podemos ver en la Figura 2.25. Si no aparece esta opcin por lo general se debe a que el volumen que tenemos sin asignar no es del tamao adecuado.

4. En la ventana Agregar reflejo seleccionamos el disco1 ,

,,=
I DS.
.!..l

..._,

IM OG!l frI_WI

que es sobre el que queremos reflejar el disco del sistema (disco O) y pulsamos sobre Agregar reflejo .
.:.=n= ....

. 'b...~.a: . ~

!~. C'lG!l I ",.~,do

Fig. 2.24. Administrador de servidor.

Agregar reflejo

rx

2. Es fundamental que los discos que vayamos a utilizar


para reflejarse sean del mismo tamao. Puesto que uno de los discos, el del sistema (disco O en la Figura 2.24) ya est asignado y tiene un tamao, tendremos que utilizar un disco de mayor o igual tamao que este. En el caso de la Figura 2.24 se ha utilizado un disco de igual tamao.

Si agrega un reflejo a un volumen existente se podr tener una redundancia de datos. ya que se conservarn m ltiples copias de los datos de un volumen en diferentes discos. Seleccione una ublcadn para el reflejOde C:. Discos:

1r.F5

I ~regar reflejo I
Fig. 2.26. Agregar rel/e;o.

Cancelar

~ ,~

~;r ... ..... ~ .


~

..

..

Fig. 2.25. Agregar rel/e;o. Administrador de discos.

5. Windows muestra una alerta (Fig. 2.26) que advierte, igual que en el caso prctico anterior, de que los discos se van a transformar en dinmicos y por tanto solo podremos arrancar a partir de este momento Windows 2008 Server. A partir de este momento, el sistema replicar la informacin que contenga el volumen del sistema en el otro disco. As, si se produce un fallo en un disco del sistema seguir funcionando con el otro.

~~

------~--~--------~--------------------------

Seguridad pasiva. Hardware y almacenamiento

5. Clusters de servidores
Un cluster de servidores en un conjunto de vorios servidores que se construyen e instalan para trobajor como si fuesen uno solo. Es decir, un cluster es un grupo de ordenadores que se unen mediante una red de alta velocidad, de tal forma que el conjunto se ve como un nico ordenador, mucho ms potente que los ordenadores comunes. Una de sus principales ventajas es que no es necesario que los equipos que lo integren sean iguales a nivel hardware ni que dispongan del mismo sistema operotivo, lo que permite reciclor equipos que se encontraban anticuados o en desuso y rentabilizor su uso mediante un cluster de servidores, como el que puedes ver en las Figuros 2.27 y 2.28. Fig. 2.27. Clusler casero con
ordenadores diversos (vista delantera).

Con este tipo de sistemas se busca conseguir cuatro servicios principales, aunque, en generol, segn el tipo de cluster que utilicemos, obtendremos una combinacin de vorios de ellos: o
o

Alta disponibilidad. Alto rendimiento. Balanceo de carga. Escalabilidad.

o o

5.1. Clasificacin de los clusters


Fig. 2.28. Clusler casero con
ordenadores diversos (vista trasera).

Como en tantas otras tecnologas, podemos realizor la clasificacin de los clusters en funcin de varios conceptos, pero todos ellos relacionados con los servicios que ya hemos mencionado. Atendiendo a estas caroctersticas hablamos de tres tipos de clusters: o Clusters de alto rendimiento (HC o Hjgh Performance C/usters). Este tipo de sistemas ejecutan tareas que requieren de una gran capacidad de clculo o del uso de grandes cantidades de memoria (e incluso de ambas conjuntamente). Cuando estn realizando este tipo de toreas, los recursos del cluster son utilizados casi en exclusiva duronte periodos de tiempo que pueden ser bastante largos. Clusters de alta disponibilidad (HA o High Avai/abi/ity). Con estos clusters se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen. Poro ello se utiliza hordwore duplicado, de modo que al no tener un nico punto de fallos (aunque se produzca una avera en un componente siempre habr otro que pueda realizor el mismo trabaja), se garontiza la disponibilidad del sistema. Por otra parte, incorporan softwore de deteccin y recuperocin ante fallos, con objeto de hacer ms confiable el sistema para su uso. Clusters de alta eficiencia (HT o Hjgh Throughput). En estos sistemas el objetivo centrol de diseo es que se puedan ejecutor el mayor nmero de tareas en el menor tiempo posible, entendiendo que hablamos de tareas individuales cuyos datos na tienen dependencia entre s.

los clusters son sistemas tan fiables que organizaciones como Google y Microsoft los utilizan para poner en marcha sus por-

Otro tipo de clasificacin de los clusters de servidores viene dada por su mbito de uso, donde hablaremos de dos tipos: o
o

Clusters de infraestructuros comerciales, que conjugan la alta disponibilidad con la alta eficiencia. Clusters cientficos, que en generol son sistemas de alto rendimiento.

tales. Por ejemplo, en el ao 2003, el cluster Google lleg


a estar conformado por ms

de 15 000 ordenadores personales.

Lo cierto es que muchas de las caroctersticas de las orquitecturas de hardwore y softwore son las mismas en todos estos tipos de clusters, aunque luego los requisitos de las. aplicaciones que funcionen sobre ellos sean muy distintos. Esto hace que un determinado tipo de cluster pueda tambin presentor coractersticas de los otros.

Seguridad pasiva . Hardware y almacenamiento

5.2. Componentes de los clusters

Poro que un cluster funcione necesito de uno serie de componentes, que, como yo sobemos, pueden tener diversos orgenes; es decir, no tienen por qu ser de lo mismo morco, modelo o caractersticos fsicos. Entre estos componentes estn:

Nodos: es el nombre genrico que se dar a cualquier mquina que utilicemos para montar un cluster, como pueden ser ordenadores de sobremesa o servidores. An cuando podemos utilizar cualquier tipo de hardware para montar nuestro sistema, es siempre buena ideo que hoyo cierto parecido entre los capacidades de todos los nodos (en la Figura 2.29 puedes ver un cluster montado con ordenadores idnticos), ya que, en coso contrario, habr siempre cierta tendencia o enviar el trabajo a realizar a aquel equipo que disponga de una mayor capacidad de procesamiento. Sistema operativo: podemos utilizar cualquier sistema operativo que tenga dos caractersticos bsicas: debe ser multiproceso y multiusuario. Es tambin conveniente que sea fcil acceder o l y usarlo, poro facilitar el trabajo sobre el mismo.

Conexin de Red: es necesario que los distintos nodos de nuestra red estn conectados entre s. Para ello
podemos utilizar una conexin Ethernet (con las placas de red que incorporan los equipos e incluso con las integradas en los placas base) u otras sistemas de alta velocidad como Fast Ethernet, Gigabit Ethernet, Myrinet, Infiniband, SCI, etc.

Middleware: es el nombre que recibe el software que se encuentra entre el sistema operativo y las aplicaciones. Su objetivo es que el usuario del cluster tenga la sensacin de estar frente a un nico superordenador yo que provee de uno interfaz nico de acceso 01 sistema. Mediante este software se consigue optimizar el uso del sistema y realizar operaciones de balanceo de carga, tolerancia de fallos, etc. Se ocupa, adems, de detectar nuevos nodos que vayamos aadiendo al cluster, dotandolo de una gran posibilidad de escalabilidad. Sistema de almacenamiento: cuando trabajamos con clusters podemos hacer uso de un sistema de almacenamiento interno en los equipos, utilizando los discos duros de manero similar a como lo hacemos en un PC, o bien recurrir o sistemas de almacenamiento ms complejos, que proporcionarn una mayor eficiencia y disponibilidad de los datos, como san los dispositivos NAS (Nefwork Attoches Storoge) o las redes SAN (Storoge Areo Nefwork), de lo que hablaremos con mayor detalle en el siguiente apartado, dedicado al almacenamiento externo.

Fig. 2.29. Cluster montado con equipos idnticos.

Actividades ~
14. Realizo un listado de sistemas operativos multiusuario y multiprocesador. Consulto en Internet si pueden utilizarse poro montar un cluster de servidores.

15. Busco informacin sobre los conexiones de alto velocidad mencionados en


el Apartado 5.2. Qu velocidades proporcionan? Qu requisitos hardware necesitamos poro utilizarlos?

Seguridad pasiva. Hardware y almacenamiento

NAS ,----------- -- - -----

6. Almacenamiento externo

En el apartado anterior hemos visto que con los clusters podemos procesar mucha ms infarmacin que un ordenador independiente, pero dnde guardamos esta informacin? Una posibilidad es utilizar las sistemas de almacenamiento de las nodos, sus discos duros, por ejemplo. Pero existen otras alternativas que nos permitirn un control y una gestin mucha mayores sobre los datos procesados, como las tecnologas NAS y SAN. El uso de cualquiera de estas tecnologas es independiente de la existencia de un cluster, aunque resulta idnea como mtodo de almacenamiento cuando se dispone de uno, especialmente si las complementamos con utilidades para la realizacin de copias de seguridad como las que veremos en la Unidad 3.

6.1. Network Attached Storage


Los dispositivos NAS (Nelwork Attached Storage) son dispositivos de almacenamiento especficas, a los cuales se accede utilizando protocolos de red, generalmente TCP/IP, como puedes ver en lo Figuro 2.30. Lo ideo consiste en que el usuario solicita al servidor un fichero completo y, cuando lo recibe, lo maneja localmente, lo cual hoce que este tipo de tecnologa sea ideal para el uso con ficheros de pequeo tamao, ofreciendo la posibilidad de manejar uno gran cantidad de ellos desde los equipos clientes.

- -- - --- -- - -- -- -- - __ ,
Fig. 2.30. Arquitectura NAS.

[1

Disco

n:

El uso de NAS permite, con bajo coste, realizar balanceo de carga y tolerancia a fallos, por lo que es codo vez ms utilizado en servidores Web poro proveer servicios de almacenamiento, especialmente contenidos multimedia. Hay otro factor que debemos tener en cuenta, y es que los sistemas NAS suelen estar compuestos por uno o ms dispositivos que se disponen en RAID, como hemos vistos en el Apartado 4 de lo unidad, lo qu!,! permite aumentar su capacidad, eficiencia y tolerancia ante fallos.

____ _

__ _____ ___ __

SAN

6.2. Storage Area Network


Una red SAN (Storage Area Nelwork) o red con rea de almacenamiento, est pensada paro conector servidores, discos de almacenamiento, etc., utilizando tecnologas de fibra (que alcanzan hasta 8 Gb/s), como ves en la Figura 2.31. El uso de conexiones de alto velocidad permite que sea posible conectar de manero rpida y segura los distintos elementos de esta red, independientemente de su ubicacin fsico. De modo general, un dispositivo de almacenamiento no es propiedad exclusiva de un servidor, lo que permite que varios servidores puedan acceder o los mismos recursos. El funcionamiento se basa en las peticiones de datos que realizan las aplicaciones 01 servidor, que se ocupo de obtener las datos del disco concreto donde estn almacenados. Dependiendo de lo cantidad de informacin manejado, podremos optar por el uso de una u otra tecnologa. Poro grandes volmenes, sera conveniente utilizar una red SAN, mientras que poro pequeas compaas lo idneo sera un dispositivo NAS. Esto no quiere decir que ambas tecnologas sean excluyentes; existe, de hecho, la posibilidad de combinarlas en sistemas cuyas caractersticas as lo riequieran.

,- - - - - - - - ,

- - - - - - -

-,,

~ Actividades
16. Compara las tecnologas NAS y SAN. Qu ventajas y desventajas tiene el uso
de cada una de ellas?

"-------------- - - - -,
Fig. 2.31. Arquitectura SAN.
1 6

[1

Disco

1 1

Seguridad pasiva. Hardware

y almacenamiento

Comprueba tu aprendizaje "


Aplicar medidas de seguridad pasiva en sistemas informticos describiendo caractersticas de entornos y relacionndolas con sus necesidades
1. En la actualidad se estn buscando alternativas para aprovechar el calor generado por los Centros de Datos en otros usos. Busca infarmacin y noticias de este tema, crea un pequeo documento con las ms curiosas y aade algn posible uso alternativo que se te ocurra.
2. Busca informacin sobre el funcionamiento de los sistemas de deteccin precoz contra incendios, e ilstralo con casos reales de uso.

Gestionar dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando tcnicas para asegurar la integridad de la informacin

4. Comprueba en la documentacin de tu placa base si


so parta algn tipo de RAID. Si lo soporta, localiza la opcin en el men de configuracin de BIOS.

5. Genera un volumen seccionado en Windows utilizando


tres discos.

6. La red de Supercomputacin Espaola se compone de


varios c1usters situados en diferentes puntos del pas. Averigua qu sistemas la integran, cul es su localizacin geogrfica y cul es la finalidad de uso principal de cada uno de ellos.

J. ltimamente estn praducindose algunos picos de


tensin y cortes intermitentes en la zona donde est situada la agencia de viajes SiTour, lo que les ha llevado a plantearse la posibilidad de instalar SAl que evite posibles daos en sus equipos y les proparciones el tiempo necesario para guardar los datos con los que estn trabajando en el momento del corte. Qu equipo les recomendaras? Por qu? Puedes utilizar la tabla que desarrallaste en la Actividad 7 de la unidad, ya que debes tener en cuenta los mismos factores utilizados como referencia para realizar dicha actividad.

7. Las siguientes figuras representan redes donde se han


utilizado alguno de los sistemas de almacenamiento vistos en la unidad: NAS y SAN. Identifica cul corresponde a cada uno de ellos y explica por qu.

Array de discos

Fig. 2.32. Arquitectura 1.

Fig. 2.33. Arquitectura 2.

-=::y-

Seguridad pasiva. Hardware y almacenamiento

Edificio Espacio y movilidad


Factores relativos

...._...: 0 :.;105 instalaciones

Tratamiento acstico

Seguridad fsica del edificio


Suministro elctrico propio del CPO

Factores naturales

Otros factores

Servicios disponibles

Seguridad del entorno

Control de acceso

Recuperacin ante desastres

En estado de espera ISPS)


~- (

-En lnea

"-_...:.:: re::;:: du:::: nd ;;:;: a~ nte ~_,,

Almacenamiento

-f

RAID O RAID 1 RAID 5

Almacenaml C", .~ ,'

Cluster de alto rendimiento

~ ~eliil~nfo:rmamon

Cluster de servidores

Cluster de alta disponibilidad


Cluster de alta eficiencia

Network Attached Storage

Slorage Area Network

.8

llJUllDdOJdJ

Seguridad pasiva. Recuperacin de datos

En esto unidad aprenderemos a:

Seleccionar estrategias para la realizacin de copias de seguridad. Realizar copias con distintas estrategias. Crear y restaurar imgenes de
restauracin de sistemas en funcionamiento.

Aplicar tcnicas de recuperacin de datos. Definir polticas de copias de seguridad.

y estudiaremos:
Copias de seguridad e imgenes de respaldo. Medias de almacenamiento en copias de seguridad. Polticas de copias de seguridad. Software de copias de seguridad. Recuperacin de datos.

~,, ~t(

( .,

Seguridad pasiva. Recuperacin de dolos

1. Introduccin
/ ,

Sabas.q,!e?

Segn un estudio realizado por la Universidad de Texas, solo el

6 % de

las empresas que tienen

prdidas catastrficas de datos logran seguir su aclividad frente


a un 43 % que nunca podrn reabrir su negocio; el resto tendr que cerrar en dos aos.

Hoy en da, tanta las empresas como los particulares guardamos gran cantidad de informacin en los soportes de almacenamiento de nuestros equipos informticos. En un gran nmero de entidades y hogares dicha informacin se encuentra protegida contra amenazas lgicas, una vez que tenemos instalados programas especficos poro ello, como antivirus o firewall; sin embargo, son muchas menos las personas o entidades que realizan copias de seguridad; copias que permitiran restaurar la informacin en caso de prdidas ocasionadas por desastres de diversa ndole, coma incendios, inundaciones, apagones, terremotos ... Dichos desastres pueden suponer grandes prdidas para las empresas en caso de no poder recuperar la informacin.

Segn informacin publicada en The Guardian una empresa


incapaz de acceder a sus datos durante diez das nunca se recu-

perar totalmente: el 43 % de ellas ir a la bancarrota, ya que


una parada de tan solo cuatro

Recordemos algunos de los sucesos ocurridos en los ltimos aos, la cada de las Torres Gemelas o el grave incendio ocurrido en la Torre Windsor. En ambos casos se perdi

horas puede costarle hasta un


30 % de sus ingresos mensuales a una compaa de servicios de telecomunicaciones e infraestructura.

gran cantidad de informacin. En el caso del incendio en Madrid fallaron los deteclores de humo, las alarmas ... pero no fallaron, en cambio, los planes de proteccin de datos de las empresas Garrigues y Deloitte, que en poco ms de 72 horas despus del suceso,
trabajaban con acceso pleno a cada una de sus aplicaciones y a la informacin. Gracias al plan de recuperacin en caso de desastre, estas empresas pudieron en un breve espacio de tiempo volver a su actividad sin sufrir grandes prdidas econmicas. Estos desastres lograron que numerosas empresas que no tenan planes desarrollados de recuperacin para casos de desastres tomaran consciencia de la necesidad de los mismos y empezaran

a realizar copias de seguridad, tanto de la configuracin de los sistemas como de los datos.

Todos, tanto las grandes empresas multinacionales como el usuario de a pie, debemos guardar copias de seguridad de la informacin de nuestros equipos, porque Murphy puede aparecer en cualquier momento a hacernos una visita. Cuntas veces hemos dedicado horas a preparar un trabao para clase y en el ltimo momento se ha ido la luz o ha entrado un virus, y es entonces que nos lamentamos de no haber hecho copias de seguridad cada cierto intervalo de tiempo. Como conclusin, las copias de seguridad garantizan dos de los obetivos estudiados en la primera unidad, la integridad y disponibilidad de la informacin. Estas son tiles para restaurar el sistema operativo, las aplicaciones y los datos en caso de ocurrir algn desastre. Adems, debemos tener presente lo que estudiamos en la primera unidad referido a la Agencia Espaola de Proteccin de Datos; recordemos las exigencias de dicha entidad a las empresas que almacenan datos personales de usuarios: estas debern realizar copias de seguridad de los datos recogidos en sus equipos. Estas copias de seguridad se podrn realizar en multitud de soportes de almacenamiento, cintas, CD, DVD, en discos duros externos o en dispositivos de almacenamiento
remotos.

Otro punto en el que deberamos pensar es cmo destruir de manera segura los soportes donde hemos guardado los datos, ya que en numerosos casos se almacena informacin confidencial. Debemos evitar que, una vez que consideremos la mquina obsoleta para nuestra empresa y la tiremos o la reciclemos, vendindola a empresas o a particulares con menos necesidades que nosotros, estos puedan leer la informacin confidencial del disco. En el mercado existen diversos mtodos que garantizan la destruccin de los datos.

~ Actividades
1. Visita las pginas http://www.blancco.com/en/frontpage/ y http://www.edrsolutions.com.
Analiza los distintos tipos de mecanismos de destruccin de disco y ordenadores que poseen.

;0

Seguridad pasiva . Recuperacin de dolos

2. Tipos de copias de seguridad


Completa: como su nombre indica, realiza una copia de todos los archivos y directorios seleccionados_ Diferencial: se copian todos los archivos que se han creado a actualizado desde la ltima copia de seguridad completa realizada_ Por ejemplo, si hacemos una copia de seguridad completa todos los viernes a las 00:00 horas y una copia de seguridad diferencial el resta de las das, cada copia diferencial guardar los archivos que se hayan creado o modificada desde el viernes a las 00:00 horas hasta e l momento de realizar la nueva copia. Una de las ventajas de este tipo de copia frente a la anterior es que se requiere menos espacio y tiempo para el proceso de la copia .
./
./

Dependiendo de la cantidad de ficheros que se almacenan en el momento de realizar la copia, podemos distinguir tres clases de copias de seguridad:

./

Modificacin 1....da 3 Datos

f
Copia diferencial da 3

da 1
Copla lolal

1 ....Modificacin ./ dla 2

Copia diferencial

1 ....Modificacin da2

da 2

IL

1 /

1 /

Fig_3. 1. Archivos modificados que se deben guardar en /a copia diferencial.


Incremental: se copian los archivos que se han modificada desde la ltima copia de seguridad completa o diferencial realizada. Por ejemplo, si hacemos una copia completa los viernes a las 00:00 horas y copias de seguridad incremental el resto de los das a la misma hora, cada copia incremental solo guardar los archivos que se hayan modificado el da que se realiza la copia desde las 00:00 hasta las 23:59. Una de las ventajas de este tipo de copias de seguridad frente a la anteriar, es que el proceso de la copia es ms rpido y ocupan menos espacio; ahora bien, si hemos de restaurar los archivos por prdida a causa de un desastre, necesitaremos la copia de seguridad completa, y todas las copias incrementales realizadas desde la copia integral.
./

;-

Modificacin

1 /

dla3
Datos da 1 Copia lolal

Copia incremental da 3

1 ....Modificacin

Clfa 2

1 /

Copia incremental da2

1 ....Modificacin

1 /

dla2

1 /
Fig. 3.2. Archivos modificodos que se deben guardor en Jo copio incrementol.

1 /
Actividades ~

2. Indica qu necesitamos cuando se realizan copias completas y diferenciales para restaurar la informacin.

Seguridad pasiva. Recuperacin de datos

3. Copias de seguridad de los datos


las copias de seguridad de las datos, como su nombre indica, son copias de la informacin que se almacenan en un lugar diferente al original. Aunque parezca mentira, se trata de un error muy habitual que tanto los administradores como los usuarios del sistema suelen cometer, al guardar las copias de los datas en la misma ubicacin que los originales a muy cerca de los mismos. lo que suele hacerse por comodidad resulta un fallo garrafal: imaginemos que en una empresa se produce un incendio o una inundacin en el centro de clculo, donde adems se guardan las copias de seguridad de los datos y las imgenes de los sistemas, qu sucedera? El incendio arrasara tanto los equipos con sus sistemas y datos como todas las copias e imgenes de respaldo de los sistemas, aplicaciones e informacin. la empresa habra perdido toda la informacin, por lo que perderan mucho tiempo y dinero hasta volver a recuperarlo todo. lo habitual, en las organizaciones con una buena seguridad, consiste en almacenar una copia de los datos en el propio centro de procesamiento de datos, y otra copia completa en un lugar diferente al centro de clculo, que se encontrar protegido de la misma manera que los centros de procesamiento de datos. Otro de los problemas clsicos cuando las organizaciones realizan copias de seguridad resulta de la mala poltica de etiquetado de las copias. Debemos ser muy exhaustivos cuando etiquetamos las copias de respaldo, y al mismo tiempo, hemos de conseguir que los datos que etiquetemos no sean muy claros para los posibles intrusos. Se recomienda etiquetarlas mediante cdigos impresos, cdigos cuyo significado sea conocido exclusivamente por los tcnicos que manejan las copias de seguridad.

De qu archivos debemos hacer copias de seguridad?

las copias de seguridad deben realizarse de todos los archivos que sean difciles o imposibles de reemplazar (esquemas . de red, distribucin de IP, listas de control de acceso, etc) .

Dnde debemos hacer las copias de seguridad?

Como hemos comentado anteriormente, una de los errores ms habituales es utilizar el mismo soporte en el que se encuentran los datos para almacenar las copias o ubicarlas en el mismo lugar donde se encuentran los equipos de los que hemos realizado las copias. la finalidad de la copia de seguridad es poder recuperar los datos en caso de desastre. Si la copia se encuentra en el mismo disco o en una particin del mismo y se produce una avera fsica en l, no podremos recuperar los datos ni la copia de seguridad. las copias de seguridad se pueden hacer en distintos soportes, en discos duros externos, en discos compactos, en OVO, en cintas, en memorias flash, en discos SSO ... la realizacin de copias de seguridad en un sitio diferente a la ubicacin original se denomina OFf-sile Dala Proleclion. Existen numerosas empresas especializadas en dichos servicios, como hHp://www.perfectbackup.es.

Soportes
los discas CO y OVO regraba bies ofrecen un nmera muy limitado de escrituras, a pesar de que la mayora de los fabricantes aseguran que se pueden realizar unas mil grabaciones. la experiencia nos demuestra que despus de varias decenas de escrituras, las grabaciones fallan, y aparecen mensajes del tipo el soporte es de solo lecturo . .

A continuacin vamos a analizar las ventajas y desventajas de los distintos soportes:

Fig. 3.3. CD regrcbcble.

Seguridad pasiva . Recuperacin de dolos

La cinta es una de los soportes ms antiguos que se siguen utilizando en la actua lidad. Sus caractersticas principales son el gran volumen de almacenamiento que permiten y su alta fiabilidad. Son ms lentas que los discos duros convencionales, pues como sabemos, el acceso a las datos es secuencial (siempre debemos recorrer toda la cinta desde el principio hasta que encontremos el dato). Los memorias de tipo flash (pendrive, microSD, compactFlash y similares) no son muy recomendables, ya que se suelen estropear con facilidad debido a los golpes y a los altos voltajes que reciben en ocasiones accidentalmente, y adems hay que tomar en cuenta la capacidad tan escasa que tienen.

Fig. 3.4. Distintos modelos de almacenaje.

Los discos duros o discos rgidos usan mtodos de grabacin basados en la imanta cin del soporte. Aunque han ido evolucionando rridamente, esto sola ha supuesto un incremento en la capacidad de los mismos, en e tiempo de acceso a los sectores y en lo fiabilidad. Hoy que recordar que no hoce muchos aos ero necesario opor cor lo aguja del disco poro poder trasladarlo de un lugar o otro. Si lo aguja no se aporcaba, una vez que desconectbamos el disco esta se mova y poda golpear y rayar los discos que componan el disco duro. Hoy en da ya no es necesario aparo car la aguja, es una operacin que los discos realizan automticamente cada vez que se apagan.

Se est investigando en una nuevo tecnologa basado en nanotubos que permitir una

durabilidad de los discos duros


muy superior a la actual.

Hablamos de unos 1000 aos.

Fig. 3.5. Distintos modelos de discos duros.

En la actualidad se empiezan a realizar copias de seguridad en soportes SSO. La desventaja de este tipo de unidades es el precio, son muy caras, y su capacidad es limitada. Sin embargo, este tipo de tecnologa SSD (Salid Slale Orive) tiene grandes venta jas frente a los discos duros convencionales porque no tienen elementos mec nicos, lo que los hace ser mucho ms fiables frente a los discos duros tradicionales . El rendimiento de la tecnologa SSD es mayor que el de los discos duros clsicos, y el tiempo de acceso de los SSD es bastante inferior a un milisegundo frente a las varias decenas de milisegundos habituales de los discos duros tradicionales. Es una de las opciones de futuro, dado que su precio actual hace impensable adquirir un disco de 500GB.

Actividades "
3. Realizar un estudio como parativo que recoja los distintos tipos de sopor tes, con su capacidad mxima y precio medio par GB.

~/3

Seguridad pasiva. Recuperacin de dalas

- - --

3.1. Copia de seguridad de datos en Windows


Hay muchas herramientas que permiten hacer copias de seguridad de los datos en sistemas Windows. Vamos a estudiar en profundidad la herramienta Backup4all. Esta herramienta nos permite proteger los datos de los posibles prdidas parciales o totales, automatiza el proceso de realizacin de copias de seguridad y permite, entre otras funciones, comprimir y cifrar las copias de seguridad.

Caso prctico 1 garnos gratuitamente de la pgina www.backup4all.com/ download.php.

Crear copia de seguridad completa para poder recuperar 105 datos con facilidad en caso de desastre En esta prctica vamos a crear una copia de seguridad del directorio denominado "Seguridad Infarmtica. En l se encuentran almacenados datos impartantes que na queremos perder. Para realizar el backup, vamos a utilizar la aplicacin Backup4all Professional, que podremos descaro ~~~..,.,.. .t:1
,QOlS11.QD
. ....... ]11

1. Una vez instalada la aplicacin, veremos una pantalla similar a la de la Figura 3.6. En dicha pantalla se encuentran desactivadas los botones de Backup (copia de seguridad) y Restare (recuperacin), debido a que an no hemos realizado ninguna copia de seguridad.
( ) I ..... e.:;kup W",n;\

!!:..-

~,,-

,-

It
,,~

~m

, ~ .", 1 :: 1

....

~ a

1 =1 8 J

a I

fui ... 1'"

~I

(9

@
Name your backup
Dld",pnlmo::

Where do you want lo saya your backup?

Fclder.

Advlncrdm~de

Fig. 3.6. Pantalla inicial Backup4all Prafe55ianal. 2. Hacemos dic sobre el icono New,! para realizar una nueva copia de seguridad. Como se trata de la primera copia de respaldo que vamos a realizar la haremos completa. 3. En la nueva pantalla (Fig. 3.7) escribimos el nombre y la ubicacin donde vamos a guardar la copia de seguridad. Como vemos, la aplicacin permite elegir dnde queremos realizar la copia de seguridad: local (en el propio disco, grabarla en un CD o DVD o bien en un disco duro externo), en la red, o bien mediante FTP. En esta primera prctica vamos a guardar la copia en la carpeta que par defecto nos indica la aplicacin. 4. Para continuar, podemos hacer dic bien en el botn Nexl (Siguiente), bien en el botn Advanced made (moda avanzado). Al ser la primera vez que manejamos la aplicacin, haremos dic en el botn Next para ir familiarizndonos con la herramienta. En la nueva ventana (Fig. 3.8) debemos elegir el directorio, fichero!s o

Fig. 3.7. lugar y nombre de la copia de seguridad.


e '" "

Whal do you want to backup?

~!5el~",~.;;"",of",fiIH",.",",,,,f.,,,,,,,,,"=======;~ ... 1 ~'::r1 (dnl.JI lo blCkup 111


File\Folder m 1iJ !) Si:e

III
(2)

G'l ~

C~"'d;f!.";i.'51 ~, ,:':,";:'.=l l=:!, "=; ~:; :JI lO :~~:


1 [
Adv,nctd mode

e Hillerfil on Synem DI

Plgdile en 5ylltm TtmPCraryFilts'Ule

0 1
l

P,eviOUl

1I

Nul

II

Ve ~

II

Fig. 3.8. Directorio del que vamos a hacer la copia.

(Contina)

Seguridad pasiva. Recuperaci n de dolos

Casa prctico 1
(Continuacin)

conjunto de directorios de los que vamos o realizar lo copio. En nuestro coso, queremos hacer lo copio del directorio llamado Seguridad Informtico , por lo que tenemos que hacer dic en Add folder (aadir carpeta). En el coso de se quisieron hacer copias de seguridad de ficheros, deberamos haber hecho dic sobre Add files (aadir ficheros). Despus de seleccionar el directorio hocemos dic en Next.

5. En lo siguiente pantalla (Fig . 3.10) debemos elegir


el tipo de copio; como es lo primero vez que guardamos los datos, haremos uno copio de seguridad completo, de modo que elegimos lo opcin Make full (Realizar completo). En esto pantalla podemos optar tambin por cifrar lo copio . En este coso no lo cifroremos, por lo que dejamos marcado lo opcin por defecto (No).

New Badrup WlL!rn

How do you want to backup?

IMakefull
Encrypt?
O Yes
I le."! pil:;w.ord: Confirrn new pilssl".'ord:

@ No

Help How do you \11M! lo backup?

Advaneed mode

Previous

Next

II

SlIve ~

II

Cincel

Fig. 3.9. Tipo de copio.

6. En lo siguiente pantalla debemos especificar lo periodicidad de lo copio. En nuestro coso debemos seleccionar lo opcin manualmente, yo que por el momento no queremos que se repito lo copio completo en un futuro. Despus de dicho eleccin, hocemos dic sobre Save (Guardar) y seleccionamos la opcin Save and run (Guardar y ejecutor). Inmediatamente despus, lo aplicacin se pone en funcionamiento y empiezo o almacenar lo informacin se-

leccionada en la nuevo ubicacin. Tronscurridos varios minutos, lo copio de seguridad habr terminado y podremos comprobar cmo los datos guardados en el directario Seguridad Informtico se han copiado en un archivo comprimido (con extensin zip) dentro del directorio COPIA_SEGURIDAD (nombre del backup, Fig . 3.8) en el directorio My Backup4all que se encuentra en lo carpeta

Mis Documentos.

Lo mismo herramienta, Backupal14Professional, nos permite realizar copias de seguridad incrementales, como veremos en el siguiente coso prctico.

Actividades _
4. Habitualmente los usuarios de o pie guardamos lo informacin bajo el directorio Mis Documentos. Os proponemos que realicis uno copio de seguridad como
pleta de dicho carpeta en un disco extrable.

Seguridad pasiva. Recuperacin de datas

q
Para comprobar el
funciona~

Caso flrctico 2

miento de la copia de seguridad


diferencial es conveniente que modifiquis la informacin alma~ cenada en el directorio donde vamos a realizar la nueva copia

Crear copio de seguridad diferencial para salvaguardar los archivos que se han creado o actualizado desde la ltima copia de seguridad completa realizada
Poro realizar esta actividad, vamos a utilizar la misma aplicacin que en el caso prctico anterior, Backupall4Professional.

diferencial.

1. En el caso prctico anterior, realizamos la copia de seguridad completa del


directorio Seguridad Informtica que guardamos con el nombre Copia_Seguridad (Fig. 3.10).
,

.. _-,- ..

Im~Kl.. o"

l>dh"..........

l.~

... _

_ ..... ' n ....

1i:U>.=

I""'~

....... - -

Fig. 3.10. Informacin de las copias de seguridad.

2. Paro hacer la copia diferencial de la copia realizada en el caso prctico anterior, debemos seleccionar la copia de seguridad realizada anteriormente, denoO minada Copia_seguridad.

3. Hacer dic sobre el icono Properties

' ,,,mio

(Propiedades).

4. En la nueva ventana, modificaremos el tipo de copia seleccionando diferencial (dentro de Type, seleccionamos DifferentiaJ). Con ello, conseguiremos que se
guarden los ficheros nuevos y aquellos que hayan sido modificados desde que se realiz la copia completa del directorio. Por ltimo hocemos dic en Save and run (Guardar y ejecutar).

G~.'~I
\.1

~-~"
CD.

I
I

i.=l ~..rtI d"""

E.<: . rn, 1hMd d,....

I
I

ovo cr E~fOV

~ Actividades
5. Anteriormente hemos realizado una copio completa del directorio Mis Documentos. Debido a que constantemente estamos actualizando los documentos ya creados o bien creando
nuevos documentos os pro~

~m"",,~I.
Il tI",,,,k
FTl' .. "",r

I I
I

1.CJ;i'
~_

So"rn.

....

I
keful ~

In,atl>~

I!

P, ........

:,'

R) I 'h.cI;flctl11li.I""o<l' D W'h.clill,,01\l;.I .. , ....

so
!;

d- ,. 01 htI ~.tkup ''''


~~

......

I
,:'

ponemos que realicis una copia de seguridad diferencial de dicha corpeta.

'Fig. 3.11. Definicin de la copia diferencial.

i6

Seg uridad pasiva . Recuperacin de datas

Una buena solucin sera automatizar este proceso para que la copia de seguridad se haga siempre a partir de una determinada hora.

Caso F!rctico 3

Programar la realizacin de uno copio incremental todos das o los 22:00 horas
En esta prctica vamos a programar una copia de seguridad del tipo incremental para que se realice de manera automtica todos los das a las 22:00.

1. Abrimos la aplicacin Backupal14 Professional y hacemos elic en Nuevo.


2. En la nueva pantalla hacemos elic en Advanced mode (Modo avanzado, Fig. 3.12).

l l amo your b<1ckup

Wh cro do you w<1nllo !)<1VO your b<1ckup?


(il. ,,1

f ol~. c.

Fig. 3.12. Cuadro de dilogo de la nueva copia de seguridad.

3. En el panel izquierdo de la nueva pantalla hacemos clic sobre General. En el panel derecho escribimos el nombre de la copia, en nuestro caso Copia_incremental, y rellenamos el campo de descripcin. El resto de los campos los dejamos como estaban.

Ph ""~"'''''''"''''I''>

"

<1>.DI'tI., .o.-"..
. . ...... t>o

....,
""""

t .. ~.

j "'''.....,
i .... ""' ...

1"""

Fig. 3.13. Pestaa General de la copia de seguridad.

4. En el panel izquierdo hocemos elic en Destination (Destino) y elegimos el soporte donde vamos a guardar la copia de seguridad. En nuestro caso vamos a seleccionar un disco duro externo. Inmediatamente despus de realizar la nueva eleccin podemos observar cmo la bola verde, que anteriormente estaba situada junto a Local hard drive, ha cambiado de posicin situndose al lado de External hard drive (Disco duro externo). Hacemos elic en el panel izquierdo sobre External hard drive, y elegimos el disco a utilizar haciendo elic en la pestaa para ver los disponibles. Hacemos elic en Browse (Explorar) para especificar la carpeta donde queremos guardar la nueva copia.

57

Segurid ad pasi va. Recuperaci n de dolos

Casa prctico 3

(Continuacin)

5. En el panel izquierdo hacemos clic sobre Sources (Fuente u origen) para definir
qu datas queremos guardar en la copia de seguridad. Hacemos clic en Add folder (aadir carpeta) en el caso de querer aadir un directorio, o en Add file (Aadir fichero) para aadir archivos. Posteriormente buscamos la carpeta/s y/o fichero/s.
I O ~t.< ..... , , -,

Brome Fer Fcld~r

L..!U

,I:~~:::.::,. ~L~ 1 '~""~.~~ -'~.~~-~'~~~~~===~:J


"''''''''''1 .
n .."...,
CO. !Ml.,.t.... <IJ

SeIea Itle fcIder to be &ddell In Itle SDU'=crbWul:

I
Mis equipos '<irtuales My BIC~U>,bll r , !j My Hcfmann ~ ] Ilrc gramll ~ J.. pUrllo r. ] SEGURlDADINFORMTICA
~

~~'*-;~I ..... ~.~ f....r""'..


'il L:l I;o\u...,v.n...

_. .

::1

lOa

~..,,_

JJ

J.l

.
e
,

=
~.
,~

,.

M ...

,.!."

CMp:1ZI:

"

L. TElOE
m

SEGlRlDAO ll'a:oRMllCA

Ic.ur rueva I3J)eIZl I

~I~I

Fig. 3.15. Explorando.

Fig. 3 . 14 . Definicin de la informacin a copiar.

6. En el panel izquierdo hacemos clic en Type (tipo) para determinar el tipo de


copia que queremos realizar. En nuestro casa seleccionamos incremental.

lD<ol h. nl ~, .....

1.1

bl.m.1h.,~
Il).

<!t~

~
~Ih<<I<f ..... ~"l.uplp<:

ovo '" ~1"'"1

R.movelll.

N _
(l Di/f.. "",.1 ",' In""""""

1I.",,,,,t
FfP ..... "

O ~ ... IimiI"....,h..

r:fr.le._

t:l V .... lim n""'b .. r:ft"kup

'"'
11.1
l.,C'.m,o'ol
Io\;/ro,

, " c
:

I
,

Com~ , .,.on

M;.nad

IL~ ~~'
Fig. 3 . 16. Definicin del lipo de copia a realizar.

7. Como vamos a guardar la copia de seguridad en un disco dura externo, a priori


sin proteccin en el acceso a los datos, vamos a intentar asegurar la copia contra intrusos, cifrndola (concepto que veremos en profundidad en la siguiente unidad). El cifrado permitir ocultar la informacin a personas ajenas. Cifraremos la unidad mediante el algoritmo AES (128 bits). A continuacin escribimos la clave para cifrar. Esta contrasea debe ser de al menos 8 caracteres, y debe estar formada tanto por nmeros como por letras en maysculas y minsculas (Figs. 3.18 y 3.19). (Contino)

Segurida d pa siva. Recuperacin de datos

_ _~_ _ _ _ _ _ _ _ _ _ _ _ _ _ _-= C ::: a:: s;:; a..!: p' ::. ra :::; ctico

9
I

(Continuocinl
0' .... _ _ --...0 ...... ,-.....

'r=~--~---=~=----

Se:t password

l~

EntEr cid pasEwc rd:


D ....., ... , ' ..... ~ .." ..... .. "' .. , .. ,... D Lh .......... ,'.-. ..... .

1 ' ::., ':"


~ .~

._ .

Enter new eassword:

... ,,, ...,,......

.,......,."",,

l'

Confirm new password:

::::=~~, ~ .
1 .... ... _

....... , ""',.. _ ...... '. , ...... ~~~ .. - , .... .... "" ... '.. ' ~ ,_......

~,

l
[j Show pllssword
OK

1 1 C.""I

CE:JC!J

Fig. 3. 17. Comprimir y cifrar copio.

Fig. 3.18 . Contraseo.

8. Progromamas la copia haciendo clic sobre Scheduler (Planificadorl. Hacemos clic en Add (Aadir). En la nueva ventana definimos el tipo de copia, el usuario y la clave del mismo,

i:::::::::.. I :;:.:-. ,,"'c,


, ' -

C...-.:=

lo'

1 ::! ;::::-

1I
11

b --. y l ~~:~.~_~-~ . ,,~'-'Fig. 3.19. Programador. Fig. 3.20. Propiedades de lo programacin,

~ ""u, 1"" !!:."'"..".., 1:10,,, ,,,,,,,01,,, ,,,,


c ""
C T.~

""'",,===3
.1

..:::::::::"_._ ......-

9. Posteriormente se abre una nueva ventana en el que especificamos la periodicidad y la hora en la que se realizar la copia. En nuestro caso definimos que se realice todos los das a las 22.00 horas.
. , :

~ Alas llOO rwamen!e,comenW\doel l 1110/2009

Prcgramar t!<u:

H::nI d~ n.:i:I :

I ~~ ~ ~ . ___ ~ .. I 22.00
I'regz:nMla ta.-ea a.u..!:tlenl e

;j

I AVIMlla:lu u. I

Cada ~ da(l)

Fig. 3.21. Definicin de lo hora y periodicidad de la capia.

59

Seguridad pasiva . Recuperacin de dolos

Como es lgico, lo herramienta nos permite, en caso de prdida de datos, recuperar la informacin a partir de las copias de respaldo realizadas. Veamos un ejemplo en el siguiente caso prctico.

Caso p'rctico 4

Restaurar copia de seguridad para recuperar los dalas perdidos En esta prctica vamos a intentar recuperar los datos que guardamos en la copia de seguridad incremental realizada anteriormente con la aplicacin Backup4all Professional. lo Hacemos elic sobre el ic ano

I,, 1

para restaurar la copia.

20 En la nueva ventana defi nimos dnde queremos que se restaure la copia . En el caso de querer que se re staure en la misma ubicacin, dejamos la opcin por defecto, Use original loe alion; en caso contrario, marcamos la segunda opcin, Choose another localion (Elegir otra ubicacin). 30 Elegimas la que querem os restaurar entre las distintas opciones: restaurar las ltimas versiones de tod os los ficheras, seleccionar los ficheros y restaurar la ltima versin de los mis mas, filtrar los ficheros y restaurar la ltima versin .. . En nuestro caso selecciona mas la primera opcin, Restaurar las ltimas versiones de todos los ficheros, y hacemos elic en Finish.
O CC::;'.i~I Rnlc,..W
Whoro do you
Wiln 110 ros loro?

~u .... ~n.g;., .II"totic:n

o Chceu oncth.. lcuon o D~ no' " .... d,c.o 1,


How do you wanll o rasloro?
'I!' l'.fit=th. t'It ""';"n
O P .clcrc.H rol .......
.1001 VftUcn O Chcc .... r~n."d tule,. \h. 1

CC=========:=JI@

e Che~dfo/l .. ro/n. nd' etc,,\ho l.otet ""';cn

() Chcc.dfoll .. r,rn ond, ..u;' .lnyvtnicn

El Rmcn: oc.Iudod ond del cttdrda D p.... .... rd..... "'. md d ..c.rd

- O-

tic......

Fig. 3.22. Cambia ndo las propiedades de una copia. 40 Como la copia incremen tal se haba cifrado para protegerla de posibles intrusos, debemos introducir Ia elave.
Ent~ r

Password

Enter pi!lssword for bIckup number 2 (fiI~ -C:\ Users\Ani!l\ Documl!nts\S.. AD INFORMl1CA\ tl!lT1a3\ tl!lTl

I
Figo30 230Clave de ciFrado.

~ Actividades
60 Restaura las copias de seguridad creadas en las Actividades 4 y 5 .

Seguridad pasiva. Recuperacin de dolos

3.2. Copia de seguridad de datos en Linux

Hay muchas aplicaciones sobre Linux que nas permiten realizar copias de seguridad, desde las ms bsicas cama dump y restare hasta herramientas ms avanzadas cama duplicity. En el siguiente caso prctico vamos a aprender a manejar dicha herramienta. Casa prctico 5 Crear copias de seguridad y restauracin de las mismas con la herramienta duplicity en GNU/Linux Duplicity es un software libre que se utiliza en las distribuciones GNU/Linux para realizar copias de seguridad. Sus caractersticas principales son las siguientes: 3. Cifra la informacin utilizando el archiconocido programa GnuPG. 4. Se utiliza mediante el uso de comandos, de modo que es muy sencillo realizar scripts para automatizar tareas. Antes de poder utilizarlo para realizar copias de seguridad y guardarlas en un servidor FTP necesitamos instalarlo, ya sea mediante el uso los comandos para instalar software de nuestra distribucin, ya mediante el uso de alguna aplicacin grfica como el Gestar de paquetes de Synaptic IFig. 3.24).

1. Puede guardar la copia en un servidar FTP. Sugerimos


la aplicacin quick and easy Ftp server, por ser muy sencila su configuracin . 2. Comprime las copias para ocupar menos espacio y consumir un menor ancho de banda.
p' : 6rChivo fditar faqulte t.onnguracin Al'-I da
Recargar Marcar todas 111 actualizaciones Todo duplicity
E

"',.

"

! :-

1m

<P
Aplicar

~ prop~ades ! Buscar - .versin instalad..


ultima 0.9.5 2 0.4.10

Paquete baclr;upninja dupicity

fOJ
!' I
1'1

I )

encrypted bandwldlh--efflcJent backup

I
S.eccianes fstado Origen [bos pef'5ooahados Besukadol da b. queda

i . 1 Duplicity backs directori u by producing encf)'Pted tarformal

I I
I I I

I and uploading them lo a remote or local file server. Because I dupWcity uses librsync. the incremental archives are space effici!nt I and onty record the parts of files tha! h....,. changed since the last I badrup. I Because duplicityUll1 GnuPG to encl)1ll and/or sign thuI
;rchives. they

volumes

2 pilquetes lisIados. 1122 Instalados. o rot05. 3 para inltalarfatlualizar. O para eliminar; se uSBrin 1

Fig. 3.24. Geslor Synaplic.

Es posible que nuestra distribucin no tenga instalado el paquete G nuPG, en cuyo caso tambin tendramos que instalar el paquete correspondiente. Una vez realizado todos los pasos anteriores, y por supuesto teniendo acceso a un servidor FTP, estamos en disposicin de realizar copias de seguridad cifradas y comprimidas que se guardarn en el servidor remoto.
~rchivo

En esta prctica vamos a cifrar una carpeta de nombre '<recetas, que se encuentra en el escritorio del usuario Macarena. Para ello abriremos un Terminal y ejecutamos el comando que muestra la Figura 3.25. Como podemos observar, haremos una copia de la carpeta en un servidar FTP de nombre ftp.sitour.com, utilizando la cuenta que all tendr el usuario Macarena. Tras la
o

rw

Editar Y'er Terminal

~olapas

AlUda

macarena@jupiter:-$ duplicity --short-filena.es Escritorio/recetas/ ftp://.acarena@ftp.sitour.com

Fig. 3.25. Comando duplicity.


(Contina)

~/3 q

----

Seguridad pasiva . Recuperacin de datas

Caso prctico 5

(Continuacin) ejecucin del comando se nos pide que introduzcamos dos claves: la primera, la del usuaria Macarena en el servidor FTP, y la segunda, la que utilizar GnuPG para el cifrado de la informacin.
6rChiva
d~ ar ~.r

En nuestro caso hemos introd ucido patata e i nesqueguapaes (Fig. 3.26). A cantinuacin se nas muestro infarmacin sobre el resultada.

rl rmlna! .solape.

~d/l

.. c... nl@jupiter,t i~p\idt~ 'hoH-Ht ,,, .. u !se.itado/recelosl ftp :// .. c.r.nl~ftp.,it.ur . c .. PIo~"""rd for 'ftp,sitour.ul' : GnuP<l plnph'UI : Relrp. tu contir.,

Fig. 3.26.
C/u ""'"
~..

(n traduccin
lt'I'

de contraseas.
T UI

'K nlpj""i~uplldt' ' .... n lit"" ..., I!n ti to d. ./n cltl . ' flp " I ..c.r .... ~lIp . lito .. r . co. PIo ...... ,d fo. ' f1., . ilour. u . ' , GnuIPG p.u .. II.... : Ro-1JPo lO confi .. , 'ID .ivnl'tu ... f"""d. Mulli", u fuU lote1up,

J''''''''''''

~u.......

-----------1 Bukup 5ulinlu l

a, .. ,.dTi ..
lb1'ilu ,

5nnTi .. 1255337972 . !>1 Oct 1] lO:~ : S2 200!1I EndTi .. ~n . S5 tito .. Oct 11 IO:U, S:Z lOO'J ) 0.04 10 . D4 UCOncll)

,Ito"

Sou retFilu , So'I rccFihSh. 16-410 11S .1 d)

/CIof'ih5iz. 1~ 116.1 IlDI

o.htedFU u o
o. lnv.~FU.1

o.ln g.~FU .5iz.


o. lng.~OoltI5h.

o 10 by tu l o 10 byt .. l
s.-~

OoHIEntri .. 6
~ltlSiZl 78 178 byt .. l TotolOortin.tionSiz.Chlng.

(5-1, b,t nl

Errors o

Fig. 3.27. Informacin del resultado de ejecutar el comando


duplicity.

La primera vez que utilizamos duplicity para realizar el backup de una carpeta la aplicacin genera una copia de seguridad completa . A partir de ese momento, las copias de seg uridad sobre dicha carpeta sern de tipo incremen6rthivo
Ed~ ar ~r

tal, es decir; se copiarn nicamente los archivos nuevos a modificadas desde que se hizo la copia anterior. Se puede forzar en cualquier momento la realizacin de la copia completa aadiendo el modificador full (Fig . 3.28).

, ...... ""' .....J .. ..... .

I. rminal

s.a l~pu

~da

.. cl r.n.@ju~il. r ' .' cIu~licll, ,.,11 .. Ioort - U h n.. u EI<r1urio,rlcdal' ft~"I ..nr.l\ltftp.sitour.co ..

Fig. 3.28. Copia de seguridad completa con duplici ty _

Si la que queremos es restaurar la copia de seguridad tendrem os que ejecutar el comando que muestra la Figura 3.29.

Si quisiramos reponer un unlco fichero, par ejemplo el fichero paella de la carpeta espaolas, en el directorio del que hemos hecha la copia de seguridad recetas, tendramos que ejecutar un comanda cama el de la Figura 3.30.

e,rthivo Editar ~r Jem'lfl aJ s.olapas ~a n Clr.n.@jupit"r , ., dul'ticity ,hut filen .." ftl" /f .. c ... nl,ltp . 5;,0 .. r .ce l ElcriteriD/ rccctu/ nc ... na@jupitor:.,

Fig. 3.29. Reslaurar copia de seguridad con duplicity

Fig. 3.30. Res/aurar un lichera de la copia de seguridad.

Cama vemos hemos utilizado el modificador - -fileto-restore, que toma tres argumentas: el primero, el fiche ra que queremos restaurar; el segunda, el lugar donde

se encuentra la copia de seguridad; y el tercera, el lugar en el cual la vamos a re staurar. )

,
_________________________S _e ~ g ~ u_ ri_d_ o_ d~ p_ o_si_ vo _._R _e _ c_ u~ pe _r_ o_ c_ i_ n_ d _ e_d _o _ IO _S _______

3~I

4. Modos de recuperacin frente a prdidas en el sistema operativo


A lo largo de lo unidad hemos estudiado los distintos formas de recuperar lo informacin (correos electrnicos, documentos de Word, Excel, bases de datos) perdida o causa de algn desastre. Al igual que los datos, el sistema operativo falla o funciona de manera imprevisible debido a alguna actualizacin incorrecta o al insertar una nueva aplicacin, un nuevo controlador poro algn dispositivo, etc. Al igual que realizamos copias de seguridad de los datos, debemos realizar otras del sistema operotivo, para as restablecer su correcto funcionamiento lo ms rpidamente posible y evitar la instalacin del mismo desde cero (esta ltima es la opcin ms drstico y la que ms tiempo consumira). En el caso de los sistemas operativos de la familia Microsoft podremos intentar restaurar el sistema del equipo al estado en el que se encontraba antes de realizar la accin que produjo la avera en el mismo. La restauracin permite devolver los archivos del sistema a un momento anterior. Pero paro ello debemos crear y guardar puntos de restauracin. El sistema operativo Windows Vista ofrece la posibilidad de guardar puntos de restauracin de manera automtico, para lo cual deberemos tener activada la prateccin del sistema. Coso prctico
Restaurar el sistema no funciona si se utilizan discos inferiores a 1 GB.

'.

- . Impor:tant!'

1" \

En el caso de guardar punlos


de restauracin de manera automtica debemos tener al menos

300MB de espacio disponible. Restaurar sistema puede llegar a ocupar hasla el 15 % del espacio de disco.

Activar la proteccin del sistema en Windows Vista para que cree puntos de restauracin automticamente En esto prctica vamos o activar lo proteccin del sistema en Windows Vista para que sea el propio sistema operativo el que se encargue de generar puntos de restauracin de forma automtica. Gracias a dichos puntos de restauracin podremos recuperar el sistema operativo en caso de fallo.

1. Abre el Panel de control.

2_ Hoz clic en Sistema.


3. En el panel izquierdo hoz clic en Proteccin del sistema.

4_ Selecciono lo casilla de verificacin que aparece al lado del disco en el que quieras activar la proteccin automtico, hoz clic en Aplicar y posteriormente en Aceptar.
Prcpiod.od .. d~ ;;,1=\.0
,- ~ ....... n .......

uu
I'r.::IIC:I6n 001 Il0l .....

-..-

t; :::...~:;o=~~~~=
Re.taI. <111 ........ G)u:!a. rr.t .... Io .-cI'rm
a"'""", deI_niy c:m> etI ............
~Olft ........

I FlalanrOlll....._ I

Mc.dom:loo..rr.1l1JomiICa
Cnt.FUtcsdo_~..c~.endoccs..,~

>--, 0""
'""~.~~- .." .

El J. W"RE

O ",\Io:!a':)~1

--

do mtan<:ic!n _

'''''"'

O!l11l!2!1C!902!D5

):

P. . .,.

_ _ '" =I J

..,lU1:>do_~ . ~ OI;luH ht;a de ... ~

1 ""' ,

.....".-. . ..,....
Fig. 3.31. Proleccin del sislemo.

1-1 1"""'" 1 ~
Fig. 3.32. Activacin de lo proteccin del sistema.

Seguridad pasiva. Recuperacin de dalos

~ Actividades
7. Crea un punto de restauracin manualmente.

En el caso de tener activada la proteccin automtica del sistema, este crear los puntos de restauracin todos los das y justo antes de detectar el comienzo de lo realizacin de cambios en el equipo. En el coso de no tener activada lo prateccin automtica, debemos crear los puntos de restauracin manualmente, cuando pensemos que alguna de los acciones que vayamos o realizar (instalacin de actualizaciones, instalacin de cantraladares de nuevos dispositivos, etc.) pueda dejar al sistema operativo en un estado inestable. Q caso

~rc tico

Crear punto d e restauracin antes de una instalacin de un cantrolador que puede dejar 01 siste ma operativo en un estado imprevisible Los puntos de restauracin son creados por la restauracin del sistema a intervalos especficos, cuando detecta el comienzo de la realizacin de cambios en el equipo o bien cuand o de manera manual se lo solicitamos. Para crear un punto de restauracin manualmente debemos realizar los siguientes pasos:

1. Abrimos eI Panel de control.

2. Hacemos dic en Sistema. 3_ En el pan el izquierdo, hocemos dic sobre Proteccin del sistema. 4_ En la pesta o Proteccin de l sistema hocemos dic sobre Crear (Fig. 3.33 ). 5_ Ponemos un nombre 01 punto de restau racin indica ndo el momento en el que se crea . En nuestra coso, Antes de instalar tarjeta Wi-Fi y hocemos d ic en Crear.
(Fig . 3.35)

6_ Empiezo el proceso de creacin del punto de restauracin. Una vez creado el


punto de restauracin, podemos proceder a instalar la tarjeta Wi-Fi con lo seguridad de que si el proceso dejase 01 sistema operativo en un estado inestable, podramos recuperarlo utilizando el punto de restauracin creado anteriormente.
PrcpOnlode,,,",w

--~ d. '"..... ::..!n ~. . .s......... ~cr.bo en ....0l'Il . ,r.l!1.n!~ ~.- ."" :n a "!!, ' . ~ ......; li ~~"::pone.
~

,-

Proteccin de l sistema

.....-.

UU

Crea r un punto de restauracin


d."" ..... d..

..... ""..,.. .

Escriba U'I.!I desoipd6n para ayud&r a ~~b el pu11D de restallaOll. La fedla y hora adIJ~es se &Qre;6n '1I1Dm1tic.1mente.
Antes de iUWu tarjeta Will

uto""-"""

I\n.ll a..rt ......

o..p.rI.. .s.rt

~ J, Wn"E 0E:. \.\Iuf;)(

....

erear punto de restauracin.


Proteccin del sistema

'-

Fig. 3.34. Nombre de punID de restauracin,

I "'M II ""'"'" I I ~I
1I

1 I1

~ ..... oII<n

I::. c!oc=.

Fig. 3.33.

Creando un punto de restauradn. "

Fig. 3.35. Creando punto de restauracin.

___________________________ S_e~ g_ u_ ri_ d_ a_ d~ p _ a_s_ iv_ a_ ._ R_ e_ cu~p_e_r_a_ci__n_d _e __ d_at_o_s_______

3~I

Cuando creamos puntos de restauracin mediante la herramienta Restaurar sistema se guarda informacin del estado del sistema en el directorio X:\System Volume Information, donde X es la unidad en la que se encuentra instalado el sistema operativo (por lo general C). Esta informacin es una instantnem> del estado del sistema, de su registro y de las aplicaciones y controladores instalados. La restauracin a un punto anterior solo afecta a la configuracin de los archivos del sistema, programas, orchivos ejecutables y el registro; no afecta a los documentos personales, par lo que con dicha operacin na podemos intentar recuperar un archivo que hayamos eliminado.
Caso prctico 8 Restaurar el sistema a un punto anterior creado para recuperar el correcto funcionamiento del sistemo operotivo

Supongamos que despus de la instalacin del controlador de lo nueva tarjeta Wi-Fi, el sistema operativo ha empezado a fallor. Gracias a que habamos creado un punto de restauracin antes de la instalacin previendo el posible percance, podemos recuperar el correcto funcionamiento del sistema, restituyndolo a su estado anterior a la instalacin del controlador.

3. Se abre una nueva ventana en la que elegimos el punto


de restauracin, Antes de instalar tarjeta wif. Hacemos clic en Siguiente.

4. En la siguiente ventana nos pide confirmacin de la restauracin del sistema al punto seleccionado.

5. Se abre un nuevo aviso en el que nos informa de que no


podremos interrumpir la operacin de restauracin. Hacemos clic en S y empieza el proceso de restauracin. Una vez finalizado el proceso de restauracin el sistema funcionar con normalidad. Se habr desinstalado el controlador de la tarjeta Wi-Fi, pero no se perder ninguno de los documentos posteriores a la creacin del punto de restauracin.

1. Hacemos clic en Inicio, posteriormente clic en Herra-

mientas de sistema y por ltimo en Restaurar sistema.


2. Se abre una nueva ventana, Restaurar archivos y configuracin del sistema, en la que hacemos clic en Siguiente para restaurar el sistema.

Restaurar archivos y configuracin del sistema


Restlurlr SiStema puede ' yu:W a r~'er m II'QbIcmu que )UecW1 p-ovoar que el e:;uitXI se ejea...te CD!Ile!1 clUd Q deJe de responder.

Elegir un punto de restaunldn


RestaLlMs.'stema noam!:i4rA ni e!:m:rarj ~ dOQmll!!1to y el proce:s.o es re~e.

I1a9I de; en el p.,nto de restlur.OI'I que d~e L!SIII" y depul!:s haga c: en sou;enll!. l e';"'" . ~ ~!!J~ !In
Mio de 'Mt", .."c'_-\n?

Feala yhora

1-

Ol/1Df20090:2Il:::.5

< "'trb

11 Sg.iertIl > I

CanczIar

Fig. 3.36. Pantalla inicial Restaurar sistema.

Fig. 3.37. Eleccin del punto de restauracin.

Un. ve:.:: iniciado, no H posib le interrumpir RUbur, r sirtema y no se pueden deshacer los cambios harta que se haya completado. Est seguro de que duea continuar?

SI

11

No

' l

,~u rar siste m a

----------=!!!!!~~'f
SiS~:~

Preparndose para restaurar : 1


1

Fig. 3.38. Menso;e de aviso.

Fig. 3.39. Restaurando el sistema.

y 3

~~~~~~~~~~~~~~~~~~~--

Seguridad pasiva. Recuperacin de datas

Caso p'rctico 9

Eliminar en Windows Vista los puntos de restauracin ms antiguos y dejar los ms recientes
En numerosos ocasiones hemos odo hablar de lo mucho que ocupa este sistema operativo. Gran parte del tamao se debe a que incluye mucha informacin en los puntos de restauracin (versiones anteriores e instantneas). Como comentamos, los puntos de restauracin pueden llegar a consumir el quince por ciento de la memoria del disco duro. Mediante el liberador de espacio en disco podemos eliminar todos los puntos de restauracin excepto los ms
Opciones del Libeflldor de eSp'acio en dICo
~

recientes. Antes de proceder, anotad el espacio disponible en disco.

1. Hacemos dic en el botn de Inicio de Windows Vista,


Todos los programas, Accesorios, Herramientas del sistema y a continuacin en Liberador de espacio en disco.

liberador de espacio en disco: sele<cin de un ...

LJ!..J
,~
"

l -Jo

Sl~ mis archivos- -

Elija los archivos que desea considerar para liberar espacio.

Seleccione la unidad en donde deselllibe~ espacio. Unidades:

,:

~ Archivos de todos los usuarios en este equipo

Aceplor

Fig. 3.40. Opciones del Liberador de espacio en disco.

Fig, 3.41. Seleccin de la unidad.

2. En el cuadro de dilogo Opciones del Liberador de


espacio en disco, nos pregunta si al liberar espacio
en disco queremos liberarlo solo de nuestras archivos o de todos los usuarios del equipo. Hacemos dic sobre Archivos de todos los usuarios en este equipo (Fig. 3.40).
.-::. libf:rtdllf lit t11',cill en dl"o ~ ,. ViiI. ("1

3. Seleccionamos la unidad donde queremos liberar espacio, en nuestro caso C: (Fig. 3.41). 4. En el nuevo cuadro de dilogo aparecen dos pestaas. Hacemos dic sobre la pestaa Ms opciones (Fig. 3.42).

""'" I

~'yQl1l;ltfI!i:U

~Lb:'''''''tl)aooenda::ollq..d. b'~

lbera"_

PciltttltmUeslIlc..,~liqAI1~11os pu'IIOI ~. "'lIa.n.c!o1. e:c:ef:I~ el /JIU ",cieo1e.


En~;u'II1

I !,jDer~ a~ ~$pacio en dj" --,


Confirma que desea eliminar todo menos el punto de restauracin ms reciente?
Si tiene varios puntos de r~auraci6n guardados, podra ya no nec!Sitar los mas antiguos. Si 105 eliminll, ahorrara espacio en
disco.

Wcicr\t.de Wn:1lWl 'mI.o,eld:s<:e poo,

'ipil1 de ~d de WI'ld:lYl1 Ccn1*Ie PC= plrtl! ele los lUltos de mlautloM . Esta rlcmuta:!n
~ te

in;loir l"ISIardnell ~ I!It:tIvcI e ~gonel ~I do

t!tMInI .

lbmr_.

I
Fig. 3.42. Eliminar punto de restauracin.

Eliminar

1I

(ancflar

Fig. 3.43. Mensaje de aviso.

5. En Restaurar sistema e instantneas, hacemos dic en


el botn Liberar. A continuacin se muestra un mensaje de aviso en el que nos informa que si tenemos varios puntos de restauracin antiguos, podramos no necesitarlos, de tal manera que si los eliminamos ganaramos espacio en el disco. Hacemos dic en Eliminar (Fig. 3.43).

6. Volvemos a la ventana anterior. Pulsamos en Aceptar y se nos abre un nuevo aviso informndonos de que
dichos archivos se borrarn permanentemente. Hacemos dic en Eliminar archivos. Si comparamos el espacio ocupado en el disco antes y despus de ejecutar los pasas anteriores, se puede apreciar que aumenta el espacio disponible despus de eliminar los puntos de restauracin antiguos.

56

Seguridad pasiva . Recuperacin de datos

En el casa prctico ocho se pudo recuperar el sistema, pero hay ocasiones en la que la restauracin del sistema no puede realizarse, bien porque no se hayan creado puntos de restauracin o bien porque el sistema se encuentre demasiado degradado. En el caso de que no podamos iniciar Windows, pero s se haya iniciado correctamente la ltima vez que se encendi el equipo, podremos utilizar como inicio la ltima configuracin vlida conocida. Cada vez que apagamos el arde nadar y el sistema operativo, Windows, se cierra correctamente, la configuracin del sistema se guarda en el registro. Veamos en el siguiente caso prctico cmo podemos arrancar el sistema operativo con dicha opcin.

Casa p'rctico 10 Arrancar el equipo con la ltima configuracin vlida conocida

1. Hacemos clic en el botn de Inicio


Bloquear ya continuacin en Reiniciar.

, en la flecha situada junto al botn

2. En el caso de que el equipo solo tenga un sistema operativo, al arrancar presionaremos la tecla de funcin F8. En caso de que el ordenador tenga ms d e un
sistema operativo instalado deberemos elegir el sistema operativo a arrancar y posteriormente la tecla F8.

3. En la nueva pantalla se muestran las opciones de arranque avanzadas. Debemos seleccionar la opcin La ltima configuracin vlida conocida, ya continuacin presionamos la tecla Entrar. Posteriormente el sistema operativo arrancar con normalidad.

En el caso en el que la ltima configuracin vlida no hubiese corregido el mal funcionamiento del sistema operativo intentaramos restaurar el sistema desde el smbolo del sistema. Reiniciamos el equipo en modo segura con smbolo de sistema (es decir, el sistema operativo se arranca con un conjunto limitado de archivos y controladores, y se inicia Windows con una ventana de smbolo de sistema en lugar de la clsica interfaz del sistema). En la ventana de smbolo de sistema escribimos rstrui.exe; presionamos Entrar. En caso de que no pudisemos iniciar el equipo con las opciones anteriores podemos probar con la Reparacin de inicio de Windows. La Reparacin de inicio es una herramienta de recuperacin de Windows que permite solucionar algunos problemas, como la falta de archivos del sistema o bien archivos corruptos del mismo. Cuando ejecutamos dicha opcin el sistema examina el equipo en busca del problema e intenta corregirlo. Para poner en prctica dicha opcin debemos seguir los siguientes pasos:

1. Reiniciar el equipo.
2. Presionar la tecla F8 al arrancar el sistema operativo para acceder al men de Opciones de inicio avanzadas.

3. Seleccionar la primera opcin Reparar equipo y a continuacin presionar la tecla


Entrar. 4. Seleccionar la distribucin del teclado y presionar Entrar.

5. Seleccionar el nombre de usuario y contrasea.


6. En el men de opciones de recuperacin del sistema hacer clic en Reparacin de Inicio.

~3

Seguridad pasiva. Recuperacin de datos

~ Caso prctico 11
Recuperacin automtica del sistema en Windows XP
Hay ocasiones en la que la restauracin del sistema na se puede realizar pues este est tan degradado que no podemos arrancarlo ni siquiera en modo a prueba de errares; si nos hemos aplicado el refrn de hombre prevenido vale por dos, habremos realizado una copia de seguridad del mismo, ya sea mediante el uso de imgenes que ms tarde describiremos, o mediante el mtodo que aqu tratamos, conocido como ASR (Automated System Recovery). Para realizar una copia de seguridad del sistema utilizando ASR vamos a necesitar un medio en el cual guardar la copia, y un disquete que contendr la informacin sobre el sistema. nos guardar los datos que estn en una particin distinta a la que contiene el sistema operativo. Pulsamos

Siguiente.
3. En la nueva ventana que nos muestra elegimos el medio en el que queremos guardar la copia y el nombre seleccionado para la misma. Pulsamos Siguiente y despus Finalizar, tras lo que esta utilidad empezar a realizar la copia de respaldo de nuestro sistema. Al final del praceso nos pedir que introduzcamos un disquete en blanco y formateado, que como se mencion anteriormente utiliza para guardar ciertos datos. Por ltimo guardaremos a buen recaudo el archivo que contiene la copia de respaldo de nuestra sistema y el disquete, para cuando los necesitemos. En caso de necesitar restaurar el sistema operativo a partir del archivo creado anteriormente, deberemos seguir los siguientes pasos:

1. Ejecutamos la herramienta de algunos sistemas de


Microsoft conocida como utilidad de copia de seguridad, bien ejecutando la orden ntbackup en la consola de Ms Dos, bien a travs del men Inicio> Programas > Accesorios> Herramientas del sistema y por ltimo Copia de seguridad (Fig. 3.44). Si no obtenemos una ventana como la que muestra la Figura 3.44 es porque se nos habr iniciado la aplicacin en modo asistente, y tendremos que hacer click en el enlace de modo avanzado para que aparezca la ventana mencionada. 2. Pulsamos el botn Asistente para recuperaclon automtica del sistema. La aplicacin muestra una nueva ventana que nos avisa de algo muy importante: si queremos hacer una copia de seguridad de nuestros datos debemos usar algn otro mtodo, pues ASR no

1. Arrancamos el ordenador utilizando el CD original que


contiene el sistema operativo, estando atentos a los primeros momentos de la instalacin, en los que se nos avisar en la parte inferior de la pantalla de pulsar F2 (Fig. 3.45). Seguiremos los pasos que este proceso nos solicite, como introducir el disquete que creamos o comunicarle cul es el fichera que contiene la copia del sistema. Cuando finalicemos el proceso tendremos el PC con la misma configuracin y el mismo estado que cuando realizamos la copia de seguridad.

BienwridD Copiadt~l ResIu'.y.tnirWtJ.1IIIIOI1 F'IqJ_lrabaPs

Utilidad de copia de seguridad en modo avanzado

......

Sibpre/ieo. ~C*JtiIr "~pa.us.-ccrfv,.-aciooes ~PIIJ.Ia~de ~ el

Fig. 3.44. Utilidad ntbackup.

Fig. 3.45. Pantalla inicio.

Seguridad pasiva . Recuperacin de datos

5. Creacin de imgenes del sistema

Hacer una copia de seguridad de los datos que tengamos en los equipos informticos de la empresa de forma ms o menos regular es tarea obligatoria, si no queremos sufrir los quebraderos de cabeza que nos puede ocasionar la prdida de los mismos. Aunque hacer una copia de seguridad del propio sistema no es tan importante o imprescindible como la copia de los datos, no es menos cierto que nos ahorrar mucho tiempo en caso de tener que reinstalarlo. Con el propsito de hacer copias de seguridad del sistema -y hacer as su reinstalacin ms cmoda, sencilla y en menos tiempo- existen aplicaciones como Symantec Ghost y Acronis True Image, entre otras. En el siguiente caso prctico aprenderemos a crear una copia de seguridad o imagen, como estas aplicaciones las llaman. La guardaremos en una particin oculta del mismo disco donde tengamos instalado el sistema, de modo que si ms tarde necesitamos su restauracin, la haremos utilizando una utilidad que Acronis True Image instalar en nuestro disco.

Casa (lrctico 12

Creacin de una imagen del disco en una particin oculto sobre el mismo para poder restaurar el sistema en caso de que en algn momento se quede en un estado inestable
1. Necesitamos el CD de inicio: para nuestro caso utilizamos un CD de inicio con la versin 10.0 de Acronis True Image Home. 2. Configuramos la BIOS del sistema con la opcin de iniciar desde CD/DVD y despus iniciamos el PC con el CD en su bandeja. Obtenemos una imagen como la siguiente:
,'!
Acpnlo Tru!llmu!lP Humll _

TIIIII~

4
"Z

Weneg uAoonl1 Secu ' o Zon a

6C'_v o:oA:ton' l SI~!lUp


RecoYl!ry Meneg ~ 1

~ Vahdele8~o,upAJth,.. iJ Show Lo!l

(!) Holp

Turn 0 " COn! ulel

nelude s drlVelS10/ USBjPC CeJd/SCSI hOId dll lts

I !~

lot:!!l Com utlr

Fig. 3.46. Pantalla inicial Acronis True Image.

Fig. 3.47. Pantalla principal Acronis True Image. 3. Creamos lo que esta herramienta llama una zona de seguridad de Acronis, que no es ms que una particin oculta en nuestro disco duro que contiene el fichero de respaldo. Si quisiramos podramos guardar la copia en algn otro lugar como una carpeta compartida en red, un servidor de FTP u otro disco duro, incluyendo discos duros externos, pero para nuestra prctica hemos escogido guardarla en el propio disco duro del Pe. (Contina)

En caso de' querer iniciar desde el disco duro, seleccionamos la opcin Windows. No es nuestro caso, en esta prctica elegiremos la primero opcin, Acronis True Image Home (Fu" version), pues lo que queremos es iniciar esta aplicacin para realizar la imagen de nuestro sistema. Tras esperar un par de minutos se nos muestra la pantalla principal de la aplicacin (Fig. 3.47).

~/3
Q

------~--~----~~-----------------------------

Seguridad pasiva. Recuperacin de datas

Caso prctico 12

(Continuacin)

La eleccin de esta opcin, realizar la imagen en una particin creada en el propia disco, tiene la desventaja de ser una mala eleccin en casa de que se rompiese el disco; pero tiene lo ventaja de ser la eleccin ms til en caso de que el disco duro no falle y sea el sistema el que lo haga. Para crear esta zona de seguridad elegimos la opcin Manage Acronis Secure Zone de la pgina principal de la aplicacin, obteniendo una ventana informativa. Le damos a Siguiente y mostrar una pantalla como esta (Fig. 3.49).

ahora la aplicacin nos pide una contrasea para proteger la zona de seguridad de accesos indeseados (Fig. 3.50).

5. Rellenamos el farmulario y pulsamos Siguiente. 6. La herramienta nos da la oportunidad de activar Acronis Startup Recovery Manager en nuestro disco, una utilidad (en realidad es un gestor de orranque y la propia aplicacin) que ms tarde nos permitir restaurar nuestro sistema sin necesitar de hacer uso del CD de inicio de Acronis. Nos avisa que va a sobrescribir el MBR (Master Boot Record) y que si tenemos algn gestor de arranque instalado, como pueden ser el LlLO o el GRUB de GNU/Linux, tengamos cuidado pues lo dejar inutilizado. En este caso elegimos instalar esta utilidad y pulsamos nuevamente Siguiente, llegando al ltimo paso de esta parte. Aparece una nueva ventana informativa con las operaciones que la aplicacin va a realizar. Leeremos atentamente por si nos hemos confundido y si estamos de acuerdo pulsamos el botn de Proceder (Proceed). Esperamos unos minutos, hasta que la operacin de creacin de la zona de seguridad concluya.

4. Elegimos la unidad de la cual Acronis va a robar un


trozo para crear esta particin oculta o zona de seguridad. Seleccionamos en nuestro coso la particin C del primer disco, pues no tenemos ms particiones ni discos. Pulsamos Siguiente. Obtenemos una pantalla que nos permite elegir el tamao que tendr esta zona de seguridad. Tras elegir el tamao adecuado (en la particin tendr que caber la imagen de nuestro sistema, que ocupar una determinada cantidad de giga bytes en funcin de las aplicaciones instaladas y datos que contenga), volvemos a pulsar Siguiente;
,,"n'l" ......

"0'. Su"",!,, 1n"n Wi,n~


.
~I

CUI.'u AcIaN O!,.,ctI,,, ""u


~O" P~"b! 'O O"' '''''l ~'

'"",t;nnO""'~""""""s.c.uZ_ u"'.J _""''""'~'''' r''''''''''' '''''

~I

Plu .. . , IIClIhI pricn. ID lIlb hllPIlC8 Jrcm. Th, <ha .." pOll.1'on. wilI b' 18';'l d ~ nl "'U"'Y1Il '11"'" Iha ' pIlC8ID Acmni. Slan 2cnl .

Provida po.s5word and confirm it in the boxes below. Note that the password is ce.se-sensitive.

I
'o

PaIton I
0111. 1

O Qo not use pe.ssward protection


799GB
6.m GBNTFS

':;' NTFS(C

@ !.!se pe.ssword protection


,Enlerlhe po.ssword:

I .~.~ ~ ~. ~.~======~

Confirm !he pe.ssword: ~I .~ .~~. ~.~======o=! ,Secret question: IWho was your childhood hero?

______=

8nswer.
'.11"'*
1:>1 )

~l pCJip~i=: ca ~l~ zas ~ la~ rg~aOl' L__________________...J

(;oncI1

Fig. 3.48. Creacin de la zona de seguridad de Acronis.

Fig. 3.49. Definicin de contraseas.

Monage Acronis SeCUra Zone Wizard Activoting Acronis Startup Recovery Manager

You cen odrvote Actonls Slor1up Recollery Mflnflger Thls monoger ollows you 10 restare your computer 01 boot Irme berare operotmg system stor1s

~i

Please choose whetheryou wantlo adillale Acronis Startup Recovery Manager. @ 8cWaleAcronisStartupRecolleryManager

o Do not adillate Acronis Startup Recovery Manager

Fig. 3.50. Activacin de la zona de seguridad.

DeScriPtiOn

Whan activatad Acronis Startup Recovery Manager oJlowsyou lo run Acronis Trua Imaga Home befare slarting operating system by pressing Fl 1 al boottime.

(Contina)

Seguridad pasiva. Recuperacin de datos

Caso prctico 12
(Continuacin)

7. Ahora que yo hemos creado un hueca en nuestra disco


duro paro guardar lo copio de nuestro sistema, vamos o crear la imagen. Para ello volvemos a lo ventana principal de lo aplicacin (Fig. 3.47), pera en este caso elegimos la opcin Backup (copia de seguridad), pasando o una ventano informativo en lo que pulsaremos Siguiente. Llegados o este punto veremos un cuadro de dilaga coma el que se muestra o continuacin (Fig. 3.51):
CrBule Hockup Wllord Saled Bockup Typa You can selea type 01 dala your want lo beck up Salad whOlyou wont 10 bock up: ( I!! 'I

copio completo, por ser lo primera que lo realizamos de nuestro sistema. Seleccionamos lo primera opcin, Creote o new Full bockup archive (crear una nuevo copia de seguridad completo) y pulsamos siguiente.

10. Escribimos lo imagen en lo zona segura. Debida a


que lo protegimos onteriarmente por contrasea, nos pedir que lo introduzcamos. A continuacin pulsamos Siguiente, dando paso a uno ventano en la que tendremos que elegir el grada de compresin de la copia de seguridad. Sabemos que cuanta ms comprimamos la copia menos acupor en disco pero ms tiempo tardaremos en crearlo, y tambin en reponerla cuando nas hago falta. Elegiremos la opcin de mxima compresin: na tenemos prisa, pero s poco espacia en el disco. Marcamos la opcin Maximun y pulsamos Siguiente. Aparece un cuadro de texto para que introduzcamos un comentario sobre la imagen que vamos a crear; se puede dejar en blanco, pero se recomiendo escribir alga como lo fecho y el contenida, a el PC del cual es lo imagen. Pulsamos Siguiente y cama en el cosa de lo creacin de lo zona segura aparece una ltima ventano informndonos de los operaciones que se van o realizar. Pulsamos Proceder (Proceed) y tras esperar unos minutos nuestra copia de respaldo estar guardado en lo zona de seguridad. Si en algn momento necesitamos restaurar nuestro sistema o partir de esto imagen tendremos que realizar los siguientes posos: arrancar el PC desde el CD de Acronis, o ejecutar Acronis pulsando FlI mientras se inicio el ordenador, aunque esto opcin solo estar disponible si instalamos Acronis Startup Recovery Manager, coma se coment ms arribo. Ahora tendremos que elegir lo opcin Recavery (recuperar) de la pantalla principal del programo y seguir el procesa guiado paro reconstruir nuestra imagen.
Bockup Archiva Locollon
C ~ I~

@ !&::~.!!!P:!&l

o MyQolo
DeScriPtiOn

Fig. 3.51. Definicin de los datos para la imagen.

L
_:,.

VVhen you seled lhis oplion you can aeote on imoga oflhe entire disk 01 its partitions. Bocking up lhe anUre system disk (creoting o. disk imoge) tokas significant disk spoca. bul enobles yeu lo reslore lhe systam in minutes in case 01 severe doto domoges al hardware

Este contiene das opciones: la primera permite hacer uno copio de todo nuestro ordenador y la segunda permite hacer una copia de las carpetas especificados. Como en este coso queremos crear uno imagen del sistema completo elegimos lo primera de los opciones, My Computer (Mi ordenador), y pulsamos Siguiente.

8. Aparece uno nuevo ventano en la que debemos indicar de qu particin, particiones o disco duro completo queremos realizar lo imagen. Tras elegir en nuestro coso la particin C, pulsamos Siguiente y nos aparece uno ventano informndonos de algo muy interesante: si yo hemos realizado onteriarmente una copia de seguridad del sistema podremos ahora crear uno copio diferencial o incremental con lo ideo de solamente agregar a lo copio ya existente lo que hayamos agregado o modificado desde su creacin. Tras pulsar OK nos aparecer una nuevo pantalla en la que tendremos que elegir el lugar donde vamos a guardar lo imagen, que
en nuestro caso, como ya sabemos, va a ser la zona

Choose en e,llshng beckup lile lO back up only chonge s Ihol tcok ploce slnce Ihe bockup cleflllon 01enle, lite name lar 6 newlull bockup

X Delate fri e E:1 Cteete newl)


9
[ti

de seguridad, por tonto elegimos Acronis Secure Zone (Fig. 3.53) Y pulsamos Siguiente.

My Computar Ac,on' s SecU/e Zone

~ Acronis Secure lona

-w-

~ 3.5 Aoppy (A:) [B,~ Local Disk (C)

Free speca: 3.746 GB TolaJ size: 3.769 GH Acronis SeOJre Zone is e protected portition on yoUI hmd disk drive lhel is ineccessible to ordinOJY opplications. We recornmend thotyou ereo.ta backup orchives in \he Acrnnis SSOJra Zone; \ha file nome is nol required in lhis

9. Aparece una ventano con tres opciones: lo primera


para crear uno copio completa, lo segundo para realizar uno copia incremental y lo tercera paro realizar uno copio diferencial. Nosotros vamos a crear uno

[ti

ti #,J

Computers Neor Me
FTPConnections

Fig. 3.52. Seleccin de la zona para guardar la copia de seguridad.

~~

------~--~------~----------------------------

Seguridad pasiva. Recuperacin de datas

6. Copia de seguridad del registro


Antes de entrar en el proceso de la copia de seguridad del registro, recordemos que el Registra de Windows es una base de datos que contiene informacin del hardware, de las aplicaciones que tenemos instaladas e informacin de los cuentas. Habitualmente na es necesaria que toquemos el registra, ya que san las aplicaciones las que suelen introducir los cambios directamente en l. Un cambia errneo en el registra podra ocasionar que el equipa dejase de funcionar, par la tanta siempre que vayamos a hacer cambias en el misma se recomienda que hagamos copias de seguridad.

1. Iniciamos el equipo como administradores.


2. Abrimos el editor del registro escribiendo en la consola regedit.
---

L'..

t,;"

",

Fig. 3.53. Instruccin para e;ecutar el registro.

'jtUln"""

,1,1

("

IU'II",,,ll!.llIlll 7.llIlf, M,. ,'" ,,1\ C""I,,,,-,,t ,,,,,

11, ",'U ",,,

I .. ,t" .

1"

,1"1'''' lo"

. , On., ) ," '1' ,1,1

3. Buscamos la clave a subclave de la que queremos realizar la copia de seguridad y


hacemos clic en ella. Como en nuestro caso queremos realizar la copia de todo el registro seleccionamos el equipo.

;..JJ

Tipo
HKEY_CLASSES_ROOT

Datos

t> .j, HKEY_CURRENT_USER


~ -J.! HKEY_LOCAt_MACHINE ~ . Jj HKEY_USERS ~ .Jj HKEY_CURRENT_CONFIG

Fig. 3.54. Registra de Windaws.

4. Hacemos clic sobre Archivo y seleccionamos Exportar.

5. En el cuadro Guardar en, seleccionamos la ubicacin donde deseamos guardar la copia de seguridad en el cuadro Nombre de archivo y por ltimo hacemos clic en Guardar.
e;;, '
' t~cm~

Jf"h. mod.fi,..;~"

Tipn

hm.~.

JI ...,tAUllS
JJ l:l:dd JJ BlutloOlh

JI e"". d.In~I"V." ;h." El M""do' _


JI O .....I d. Jl .lcm.n1".~rd"".r

JI FLAiH
j hlll''''''

J.. JnUlct ..

Jj In1<M';

l'

". '.
~ , T<d:>

Jl r.'.A~D.,,,,y ..

j Mt.OL<Oovrnlo,d,

I't..""",,~

O Rr... ooIt:=-.ae.

Fig. 3.55. Guardar la copia de registra.

--"

Seguridad pasiva . Recuperaci n de datos

7. Polticas de copias de seguridad

las polticas de copias de seguridad deben definir el tipa de copias y la periodicidad de las mismas, as como los soportes en las que se deben realizar y las ubicaciones de los centros de respaldo. los centros de respaldo son las ubicaciones donde se guardan las copias de seguridad. Estos en la mayora de las empresas pequeas se encuentran muy cerca del centro de clculo o en la misma estancia, tanto por comodidad de los tcnicos, que siempre tienen a mano el material, como por espacia, pero las empresas grandes que manejan grandes volmenes de datos suelen ubicarlas lo suficientemente lejos como para que no se vean afectados par la misma catstrofe que provoque el percance en las instalaciones del centro de procesamiento. Estas ubicaciones deben estar protegidas de la misma manera que los centros de procesamiento de datos, es decir, estarn protegidos los accesos para que solo pueda entrar el personal autorizado. Debern estar protegidos tanto frente a los distintos accidentes o catstrofes naturales (incendios, inundaciones, etc.) como ante los posibles ataques software que estudiaremos ms adelante. Es frecuente encontrar las copias de seguridad almacenadas en armarios ignfugos como el que se muestra en la Figura 3.56. Gracias a este tipo de armarios podramos proteger la informacin en caso de que se produzca un incendio. Como estudiamos en el primer epgrafe de la unidad, uno de los clsicos errares que se producen en las empresas y en las hogares en los que se realizan las copias de seguridad es el mal etiquetado de las mismas. Es muy habitual en los hogares espaoles realizar copias de respaldo en los soportes pticos (CD y DVD) y almacenarlas de manera desordenada y sin ningn etiquetado. Toda una locura cada vez que tengamos que buscar un archivo para restaurar, par lo que se recomienda disear una etiqueta y pegarla al soporte que guarde la copia con la infarmacin que detallamos a continuacin. Una etiqueta carrecta debera incluir la siguiente informacin: Identifcador de copia, mediante esta cadena alfanumrica identificamos de manera unvoca cada una de las copias de seguridad realizadas. Facilita la bsqueda de las mismas. Tipo de copia, debemos definir si la copia es incremental, diferencial o completa. Fecha en la que se realiz la copia, ya que en numerosas ocasiones debemos buscar las copias por fecha de realizacin de las mismas.

Data-Safe

Fig. 3.56. Armario ignfugo para almacenamienlo de copias

de seguridad.

Contenido, siempre se incluir el contenida en clave que almacena la copia de seguridad. En caso de querer recuperar un determinado archivo lo buscaremos sin necesidad de estar cargando cada una de las copias en el equipo. Hay que recordar que tanto el nombre de la copia como los datos almacenadas en ella deben ir en clave para que en caso de encontrarse al alcance de intrusos, estos no sean capaces de descifrar la informacin almacenada en los mismos. Por tanto la informacin escrita en la etiqueta como la almacenada en los soportes informticos debera ir cifrada. Responsable, debe figurar el tcnico que realiz la copia de seguridad para poder pedide que facilite las consultas o las peticiones de actualizacin y restauracin de la misma.

A continuacin hemos diseado una posible etiqueta para los soportes de las copias de seguridad (Tabla 3.1).

Seguridad pasiva. Recuperacin de datos

lO

.,

Iden~licadar de la copia

o Completa
Tipo de copia

o Datos
o Sistema

Incremental

o Diferencial
Fecha lAo, mes, dio)
Se deber utilizar la nomenclatura especfica de la empresa, de forma que facilite a localizacin de archivos concretos YI en caso de que sea confidencial, un posible intruso no seo capaz de conocer la informacin

Datas

grabada.
Tcnico Firma Nombre de la persona que realiz la copia de respaldo Firmo del responsable que realiz la copia

Tabla 3.1 . Etiqueta para soporte de copia de seguridad.

Al igual que debemos etiquetar correctamente las copias de seguridad, se debe llevar un registro exhaustivo de las mismas y de las restauraciones realizadas. Este es otro de los graves errores que suelen cometer las empresas: realizan las copias de seguridad pero nadie se preocupa de comprobar si la copia se ha realizado correctamente ni de llevar un registro con la informacin de las mismas. A continuacin, vamos a disear una posible hoja de registro. Esta, adems de la informacin que se almacenaba en la etiqueta que adjuntamos al soporte (el identificador de la copia, el tipo de copia, la fecha, los datos almacenados en la misma, el nombre, los apellidos y la firma del tcnico responsable de la copia) deber incluir los siguientes campos: o Identificadar de la etiqueta, un cdigo que se incluye en la etiqueta para poder localizar de manera rpida la copia de seguridad, y que que coincide con ella cadena alfanumrica de la etiqueta. Tipo de soporte, debemos especificar si la copia se ha realizado en una cinta, disco duro, unidad USB ... Ubicacin, en funcin del nmero de copias de seguridad y de la importancia de las mismas estarn ubicadas en unos u otros lugares, por lo que debemos indicar el sitio donde se encuentran almacenadas.

De la misma manera que se realiza el control de las copias de seguridad, se debern registrar las restauraciones realizadas y los motivos que han ocasionado dicha recuperacin. En las hojas de registra de las restauraciones se deben incluir los siguientes campas: o o o o Fecha de restauracin en la que se realiz la recuperacin de la copia. Incidencia que ha motivado la restauracin, causa que ocasiona la prdida de informacin. Ubicacin, equipo en el que se realiza la restauracin de la informacin perdida. Tcnico, responsable que lleva a cabo la actuacin.

Seguridad pasiva. Recuperacin de datos

En la siguiente tabla podemos ver la hoja de registro que utiliza la empresa SiTour para controlar las copias que se han realizado:
. :..!

... ..... -. =
D Datos

Identificador de etiqueta

D Completa
Tipo de copia

o Incremental
D Sistema

o Diferencial
DCinta
O Disco duro

Tipo de soporte

D D D D

CDROM DVDROM Llave USB Otro:

Fecha

lAo, mes, da)

Ubicacin
Se deber utilizar la nomenclatura especfica de la empresa., de tal manera que los posibles intrusos no sean capaz de conocer la informacin grabada en caso de ser esta confidencial.

Datos

Tcnico
Firma del tcnico

Tabla 3.2. Hoja de registro de copias de seguridad.


En la siguiente figura podemos ver una hoja de registro de las restauraciones de la copias de seguridad.

Fecha restauradn
Incidencia que ha motivado

lAo, mes, dio)

la restauracin ubicacin Tcnico


Responsable
Tabla 3.3. Ho;a de registro de restauraciones de seguridad.

Equipo donde se ha realizado la restauracin.

~/3

Seguridad pasiva. Recuperacin de datas

----~--~------------------------------

Toda poltica de copias de seguridad debe contemplar los siguientes puntos: Determinar la persona o perso.nas responsables encargadas de realizar y mantener las copias de seguridad. Se aconseia que al menos dos personas estn pendientes de las alertas que puedan ocurrir mientras se realiza la copia de seguridad. Estas alertas sern enviadas mediante correo electrnico a los responsables. Debemos analizar los datos susceptibles de ser salvaguardados en copias de seguridad. Al realizar el anlisis, debemos tener en cuenta la frecuencia con la que se modifica o actualiza la informacin.

I ,:::::::- - - , _ . _ ,
~ ~:~.

;.:...
...,

I~

' .... '1

~ ~':$ : ::~ ..... , . .".. ..... .....


,~

bI: ,

, , ". '

. ,' ,
I I

'R _ _....... _ --;

., ~
,

<....... . . " ...... . . NO___

~~~.~

,---

. .. .
. l. ,

. i

- .'
.~ ,

en . , ,.,,
~ ,

""< .'
' ~ ' -'

,.. -,

1~ 'J

G ,~,

".... ... ,."... "''''... "' .. "'''''''' l.", c_ ...... ,." ,,, ...,.
~,,""

........ .

"" 0

0"" ..

"',"".,,,UU
:~'lI:.lH" ""
: O;' ~"'=JI

. ...,

,n; ..

: ~'l':ln !lM..

'.n' ''' '' ~


"~" ,, n

"",.,
""
'H J

,.,

............
""" .. .. .

e.."",
t ...",

''''.' <-....' ....


l~ . -' l~ . -,

,_ .. "' ..........
" , .. . . . . .

<-... .... . " ' "

... .

"",

",. ,.... '.",


,...... ,
I , .. ,

,",.. , ..

",0 , """'-" ":"." " .... ":''"'''''",.,.,.


1 ~"~ _ ~,:>'"
:~ , m ,, ;:' JJ

:':''''!>'''''' ,... ..

...

:<:' ;w .. " .,....


:~,YlW,=.

",.,.: " , ;:, u . .

( .. d .

" '.'

r,,, .... ,,

, "

"'i'''''H .....
' ~ I \"'''.' ' :n

:~, ~:;""

u .

Fig. 3.57. Afertas de fa copia de seguridad de fa Universidad Antonia de Nebri;a. Debemos determinar el tipo de copia a realizar (completa, diferencial e incremental) en funcin de los datos a salvaguardar y de la periodicidad con la que se modifican. En el supuesto de que se modifiquen con mucha frecuencia, se incluirn en copias diferenciales o incrementales; en caso contrario, podramos optar por incluirlos en las copias de seguridad completas, que se realizarn en intervalos ms amplios de tiempo. Debemos determinar la frecuencia con la que se realizarn las copias de seguridad . En este punto analizaremos la cantidad de informacin que estamos dispuestos a perder, es decir, los datos que han sido modificados o creados desde la ltima copia de seguridad. Debemos determinar la ventana de backup (frania horaria en la que se deben realizar las copias de seguridad), teniendo en cuenta la duracin que cada tipo de copia consumir. Este punto est fuertemente relacionado con el tiempo que dedicaremos a realizar la copia, siendo especialmente relevante en sistemas 24/7 (por eiemplo, bases de datos de grandes corporaciones o de compaas areas), en los que no es posible realizar copias de seguridad completas que exigen la parada de la base de datos. En estos casos, se suelen utilizar alternativas como las snapshot (instantneas) que permiten almacenar peridicamente el estado de la informacin. Debemos determinar el tipo de soporte en el que se realizarn las copias de seguridad. Esta decisin estar condicionada tanto por volumen de datos a guardar como por la frecuencia con la que se realizarn. Debemos determinar la ubicacin de las copias de seguridad. Lo ms aconseiable es almacenarlas en un centro ale iodo al de origen. De esta manera evitamos que las copias de respaldo y los datos se puedan ver afectados por el mismo percance. Estos centros deben estar protegidos de la misma forma que los centros de clculo.

Seguridad pasi va . Recuperacin de dolos

Comprueba tu aprendizaie ~
Gestionor dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando tcnicas para asegurar la integridad de la informacin 8. Hay veces que desgraciadamente no hemos realizado copias de seguridad, o bien hemos borrado accidentalmente un fichero que no tenia mas almacenado en ningn otro lugar; para solventar esas situaciones en el mercado existen numerosas aplicaciones como Recovery Files, Recover My Files, Data Recovery Studio, Easy Recovery... a) Crea un archivo y brralo.

1. Los ficheros que se almacenan en el equipo tienen asociados unos atributos: o Lectura: r o Oculto: h o Sistema: s o Archivo de almacenamiento: o o) Creo un archivo.

b) Intenta recuperar el archivo con alguna de dichas


aplicaciones. 9. Indica las ventajas y desventajas de los distintos soportes donde se pueden guardar las copias de seguridad. 10. Indica la importancia de utilizar trituradoras de discos duros antes de deshacernos de los equipos par considerarlos obsoletos.

b) Compruebo los atributos que tiene establecidos bien


haciendo uso del comando attrib en el intrprete de comandos o bien mediante los propiedades del archivo; en este ltimo coso, recuerdo que paro ver el atributo de archivo de almacenamiento tendrs que acceder o los Opciones Avanzados. c) Realizo uno copio de seguridad del mismo.

11. Debido al espacio que ocupan las copias de seguridad, nos debemos plantear la necesidad de eliminar de forma peridica las copias de seguridad obsoletas, dejando espacio para las nuevas que realicemos. Debate con tus compaeros los posibles esquemas de rotacin para las siguientes empresas: o Pequeo negocio familiar, dedicado a la venta de materiales de construccin. Esta empresa tiene un sistema de informacin en el que gestiona tanto el material del almacn como las ventas realizados. Realiza las copias de seguridad completas el primer da de cada mes y copias diferenciales todas los sbados despus de la hora de cierre del almacn en discos duros externos. o Una agencio de viajes, que tiene contratado el servicio de copias de seguridad a una empresa externo. Las copias de seguridad se realizan de forma remota. o Otra compaa de viajes, que realiza las copias de seguridad completa el primer domingo de cada mes y copias de seguridad incremental todos los das. 12. Relaciona mediante flechas los siguientes conceptos: o Copio todo o Realiza lo copio desde la ltima completa o Realiza la copia desde la ltima copia o Soporte o Diferencial o Completo o Incremental. o Centro de respaldo

d) Tiene los mismos atributos establecidos o se ha desactivado alguno de ellos? 2. Debate con tus compaeros el tipo de copias de seguridad que recomendaras para uno pequeo empresa familiar dedicado o lo vento de delicatessen. Esto empresa tiene un sistema de informacin que gestiono los productos almacenados en lo tiendo, los ventas y los compras realizados o los proveedores . Como cabe suponer, el sistema de informacin contiene uno pequeo base de datos. En funcin de los tipos de copias elegidos, qu soparte utilizarias poro los copias de seguridad? 3. Indico los ventajas y desventajas de los distintos tipos de copias de seguridad que se pueden realizar. 4. Descargo lo aplicacin gratuito y portable Toucan de lo pgina web http://saurcefarge.net/prajects/ partableapps/files/ y realizo uno copio de seguridad diferencial del directorio Mis documentos de tu Pe. Cmo es lo copio? Qu se ha incluido en lo copio? 5. Creo un archivo en Mis documentos y con lo aplicacin Toucan vuelve o crear uno copio de seguridad incremental. De qu se ha realizado lo copio? 6. Creo otro archivo en Mis documentos y con lo aplicacin Toucan vuelve o crear uno copio de seguridad incremental y otro diferencial, cul de los dos ocupo ms? 7. Como hemos estudiado en lo unidad los etiquetas de los copias de seguridad deben llevar reflejado lo informacin de los datos guardados. Diseo unos cdigos para etiquetar los datos que se han almacenado en la copia de seguridad.

o Almacenamiento copias o Cinta o Puntos de restauracin o Recuperacin del sistema

~/3

----

Segu ridad pasiva. Recu peraci n de datas

Completa

Tipos

Diferencial

Incrementa l

.. . . -.
~

Soportes para copias

Polticas de copios seguridad

Puntos de restauracin

Arranque con la ltima conFiguracin vlida

Recuperacin automticas sistema

Creacin y restauracin imgenes

'8

I!I1 D dJad

Sistemas de identificacin. Criptografa

En esta unidad aprenderemos a:

Describir e identificar sistemas lgicos de identificacin: firma electrnica, certificado digital ... Utilizar sistemas de identificacin lgica como la firma electrnica o el certificado digital.

estudiaremos:

Mtodos para asegurar la privacidad de la informacin transmitido. Criptografa: - Cifrado de clave secreta (simtrica) - Cifrado de clave pblica (asimtrica) - Funciones de mezcla o resumen (hash) Sistemas de identificocin: - Firmo digitol - Certificado digital - Distribucin de claves. PKI

Sistemas de identificacin. Criptografa

l. i,Cmo aseguramos la privacidad de la informacin?


Desde que el hombre es capaz de comunicarse por escrito, ha tenido la necesidad de preservar la privacidad de la informacin en la transmisin de mensajes confidenciales entre el emisor y el receptor. Esta necesidad en algunos casos se ha convertido en crucial, por ejemplo en las guerras; la intercepcin de un mensaje de las tropas enemigas podra suponer la victoria. Hoy en da, esas guerras se desatan entre las empresas del mismo sector, que luchan por expandir su mercado. Estas suelen ser grondes multinacionales, con distintas sedes, que precisan intercambiar gron cantidad de informacin confidencial entre sus trabajadores. La intercepcin de estos datos por compaas de la competencia les puede hacer perder cantidades ingentes de dinero y de tiempo. Desde el principio de la historia del hombre surge la necesidad de garantizar la confidencialidad de la informacin, por eso se han desarrollado diversas tcnicas de enmascaramiento u ocultacin de la informacin, siendo en la actualidad uno de los principales objetivos que persigue la seguridad informtica.

La frontera entre la Prehistoria y


la Historia la marca la aparicin de los primeros textos escritos.

2. Un poco de historia de la criptografa

Si analizamos la etimologa del trmino criptografa, vemos que proviene de dos palabras del griego, cripta, que significa 'escondido', y grafa, que quiere decir 'escritura'. Por tanto podemos definir la criptografa como la ciencia que estudia la escritura oculta, es decir, aquella que ensea a disear cdigos secretos y la operacin inversa, a interpretar los mensajes cifrados. Los primeros mensajes cifrados datan del siglo v a.e.; ya entonces los espartanos usaban la esctala para ocultar las comunicaciones. El mtodo consista en enrollar una cinta sobre un bastn y posteriormente escribir el mensaje en forma longitudinal. Despus la cinta se desenrollaba del bastn yero enviado mediante un mensajero; si ste ero atrapado por los enemigos, slo obtendran un conjunto de caracteres sin sentido. El receptor slo podra interpretar el mensaje siempre y cuando tuviese un bastn similar al que se utiliz para ocultar el mensaje, es decir una vara con el mismo dimetro.

La frase ostentar el bastn de mandm) se cree que proviene

del uso de la escitala, de la poca de la antigua Grecia.


Cuando los mandatarios se enviaban mensajes cifrados uti-

EMCCSEROET I N L OPOPDTCROAIIDCDMEIOEEORNN

Fig. 4.1 . Esctala. Como podemos ver en la imagen, el mensaje es es el primer mtodo de encriptacin conocido, pero en la cinta lo que se podra leer es EMCCSEROETINLOPOPDTCROA IIDCDMEIOEEORNN.

lizaban el mtodo descrito. El poseedor del bastn ostentaba el poder.

~ Actividades
1. Te proponemos que pongas en prctica este primer
mtodo de encriptacin. Paro ello debes utilizar algn instrumento de clase que te sirva de bastn, puede ser la pata de la silla, la de la mesa, un bolgrofo .... Enrolla un papel alrededor del instrumento utilizado como bastn y escribe el mensaje a tronsmitir segn el mtodo explicado anteriormente. Envale el texto a otro compaero y comprueba si ha sido capaz de descifrar el mensaje. Comprueba que si un tercer compaero (el intruso) intercepta el mensaje sin conocer el bastn utilizado para cifrar la informacin, no sera capaz de interpretar el mensaje.

Sistemas de identificacin. Criptografa

A mediados del siglo 11 a.c., los griegos desarrollaron otro mtodo conocido con el nombre de quien se cree que lo desarroll, el historiador Polybios. El cifrado consistia en sustituir cada letra del mensaje original por el par de letras o nmeros que indicaban la fila y columna en la cual se encontraba. Veamos un ejemplo:

Tabla 4.1. Tabla cifrador de Polybios.

El mensaje que queremos enviar es el cifrador de Polybios es el primer cifrador por sustitucin de caracteres, y el mensaje cifrado que enviaremos es AECA ACBDBADBAAADCDDB ADAE CECDCAEDAB BDCDDC AEDC AECA CEDBBDCBAEDB ACBDBADBAAADCDDB CECDDB DCDEDCDDBDDDDEACBDCDCC ADAE ACAADBAAACDDAEDBAEDC .

f-______________________C =a =s ::: o :..l~ rctico 1

Cmo cifrar can el cifrador de Polybios


Como hemos estudiado anteriormente, el cifrador de Polybios sustitua cada carcter del mensaje original por un par de letras o nmeros. En el ejemplo anterior hemos cifrado la informacin mediante un par de letras, ahora lo vamos a hacer mediante nmeros (Tabla 4.2).

Tabla 4.2. Tabla cifrador de Polybios.

Recordamos el mensaje original: el cifrador de Polybios es el primer cifrador por


sustitucin de caracteres.

El mensaje cifrado sera: 1531 1324214211143442 14153534315412243443 1543 1531 354224321542 1324214211143442 353442 4345434424444513243433 1415 13114211134415421543

Actividades "
2. Enva a un compaero un mensaje cifrado mediante el cifrador de Polybios. El mensaje deber incluir una pregunta que el compaera deber contestarte. As podris comprobar si el proceso ha funcionado correctamente.
81
'- .....;:.,. I ..

,:flf:..

J"'JT~;J

./

Sistemas de identificacin. Criptografa ------------------~--------------------

En el sigla I a.e. los romanos desarrollan el cifrodor del Csar, cuyo mtodo consista en sustituir cada carcter por otro, resultado de desplazar tres posiciones hacia la derecha el carcter original del alfabeto utilizado. Veamos un eiemplo: Mensaie del Csar a Cleopatro: "sic amate ut sin ete iam viverem non posi! (de tal manera te amo que sin ti no podra vivir). Para traducir el mensaie necesitamos los dos alfabetos el claro y el cifrado (Tabla 4.3).
""""-_ , A BCD E F G KLMNOPQ MNOPQRST

Tabla 4.3. Tabla con los olfobetos latinos del cifrador del Csor.

El alfabeto ariginal es similar al del castellano excepto en las letras: H, J, Y W.


Si nos fijamos en el alfabeto cifrado el mensaie oculto debe corresponderse con el siguiente: VMF DPRXI YX VMQ IXI MDP ZMZIUIP QRQ SRVMX

"

-~Saba5 que...?

En el cuento "El escarabajo de oro de Edgar Allan Poe se

relata la resolucin de un criptograma utilizando la tcnica esto-

Una de las vulnerabilidades que presenta el cifrador del Csar es la carrespondencia existente entre el alfabeto original y el del cifrado. No es difcil descifrar los secretos de los mensaies si analizamos la frecuencia de las letras. La letra ms utilizada en los mensaies originales es la e, as la letra ms utilizada en el mensaie cifrado debe corresponderse con la letra e del alfabeto ariginal. En el siglo xv Len Battista Alberti escribi un ensayo donde propona utilizar dos o ms alfabetos cifrados, alternando entre ellos durante la codificacin. De esta manera solventa la vulnerabilidad ocasionada por el uso de un nico alfabeto cifrado para codificar cada mensaie. Sin embargo, Alberti no logr desarrollar ninguna mquina que pusiera en prctica su idea, y ser Blaise de Vigenere quien en el siglo X VI desarrolle la idea de Alberti. El cifrador de Vigenere utiliza veintisis alfabetos cifrados, obtenindose cada uno de ellos comenzando con la siguiente letra del anterior, es decir, el primer alfabeto cifrado se carresponde con el cifrador del Csar con un cambio de una posicin, de la misma manera para el segundo alfabeto, cifrado con el cifrador del Csar de dos posiciones (Tabla 4.4).

dstica basada en la distribucin de los caracteres en el alfabeto ingls.

CDEFGH DEFGH EFGH F G H J J

KLMNOPQRST

UVWXYZAB

JKLMNOPQRSTUVWXYZABC KL MNOP QR S T UV WX

BCD

KLMNOPQRSTUVWXYZABCDE

ZABCDEFGH ABCDEFGH BCDEFGH

MNOPQRSTUVWX

JKLMNOPQRSTUVWXY JKLMNOPQRSTUVWXYZ

Tabla 4.4. Cuadro de Vigen.re.

~ Actividades

3. Cifra

mediante el cifrador del Csar el siguiente mensaie: el cifrador del Csar tiene muchas vulnerabilidades. El mensaie est escrito en castellano.

Sistemas de identificacin. Criptografa

------- -- -- - - - - -- -De esta manera el emisor podra cifrar la primera letra can el quinto alfabeto, la segunda con el decimo alfabeto, la tercera con el decimoquinto alfabeto, y as sucesivamente. Para descifrar el mensaje, el receptor debe saber qu lnea de la tabla de Vigenere ha sido utilizada para codificar cada letra, por lo que previamente se han tenida que poner de acuerdo. Esto se logra utilizando una palabra clave. Vamos a ver un ejemplo. Queremos enviar el mensaje "LA IDEA ES DE ALBERTI utilizando la palabra clave "CIFRADO.

., ""b' ,.. ? ._ SCL 1c;!5I q!,e._ ..

Desde tiempos inmemoriales se han ocultado mensajes dentro

de objetos. Por ejemplo segn


se cree los griegos tatuaban los mensajes en [a cabeza del esclavo de mayor confianza y una

vez que el pelo le haba crecido

e
l N

FRADOC
R T

lo enviaban con [a instruccin

de que le raparan la cabeza.


Este sistema se conoce como esteganografa.

A N

SDEAlBE UlJRlES

Tabla 4.5. Resultado de cifrado. Para ocultar el mensaje utilizamos la palabra CIFRADO; el praceso consiste en hacer corresponder la primera letra en claro, "L, con la letra que le corresponde en el alfabeto cifrado que empieza por la letra "C, la segunda letra del mensaje en claro "A se hace corresponder con su correspondiente en el alfabeto cifrado que empieza por la
letra 1, y as sucesivamente.

La ventaja de este sistema es que no se puede descifrar el mensaje oculto analizando las
frecuencias de las letras ya que una misma letra se corresponde con varias combinaciones distintas. Otra de las ventajas de este mtodo es que se pueden utilizar innumerables claves. Todos estos mtodos criptogrficos se fueran perfeccionando y mejorando segn avanzaba el tiempo. Es en la Segunda Guerra Mundial cuando se hace imprescindible el uso de mquinas que cifren los mensajes para as evitar que el enemigo interceptase informacin sensible para el desarrollo de las operaciones. Segn los ejemplos vistos anteriormente podemos hacer una clasificacin de los mtodos de criptografa: Sistemas de transposicin: como indica su nombre consiste en descolocar el orden de las letras, slabas o conjunto de letras. En funcin del nmero de transposiciones podemos clasificar los sistemas de transposicin en: Sistemas de transposicin simples: cuando el texto en claro solo es sometido a una transposicin. Sistemas de transposicin doble o mltiple, cuando se realiza una segunda transposicin sobre texto que ya haba sido cifrado mediante transposicin simple. Con este mtodo se consigue una mayor seguridad. Sistemas de sustitucin: como su nombre indica se reemplazan algunas letras del alfabeto por otras o por un conjunto de ellas segn el mtodo. Segn el tipo de sustitucin se clasifica en: Literal, se sustituyen letras por letras.
Numricas, se sustituyen por nmeros.

Esteganogrfica, se sustituyen por signos o se oculta el mensaje tras una imagen, sonido, etc.

Actividades

9)

4_ Clasifica todos los mtodos de cifrada estudiados en el Apartado 2, "Un poco


de historia de la criptagrafm), segn las categoras especificadas anteriormente.

~/4
~

Sistemas de identificacin . Criptografa --~------------~~--------------------

3. Criptografa simtrica y asimtrica


Las claves nunca deben estar

apuntadas en papel ni en ningn documenta que pueda estar al alcance de intrusos.

Hoy en da se utilizan fundamentalmente dos mtodos de cifrados, el primero de ellos conocido como cifrado simtrico o de clave privada, el cual utiliza la misma clave para el cifrado y el descifrado. El segundo, conocido como cifrado asimtrico o de clave pblico, utiliza una pareja de claves para el proceso de cifrado y descifrado.

3.1. Criptografa simtrica

Este mtodo se basa en un secreto compartido entre la entidad que cifra el mensaje y la que lo quiere descifrar, es decir, utiliza la misma clave en el proceso de cifrado que en el de descifrado. Si analizamos los mtodos utilizados para salvaguardar la confidencialidad de los mensajes desde los primeros tiempos de la criptografa hasta mediados de los setenta (prcticamente hasta nuestros das), veremos que slo se haca uso de mtodos simtricos, que exigan necesariamente que el emisor y el receptor se pusieran previamente de acuerdo en la clave que iban a utilizar. El mtodo de Vigenere es un claro ejemplo de lo dicho. Supongamos que Virginia y Macarena quieren intercambiar informacin confidencial. Antes de hacerlo, han de ponerse de acuerdo sobre la clave a utilizar, pues si la receptora no la conociera, le sera imposible leer el mensaje.
Texto claro Texto claro

En la documentacin de criptografa es muy usual utilizar la figura de una llave para representar la clave. El trmino key significa 'llave o clave'.

Encriptacin

Texto cifrado

Desencriptacin

Fig. 4.2. Cifrado con clave privada.

Este mtodo tiene dos desventajas: la primera, como podemos deducir de lo explicado, es la que conlleva el intercambio de claves, ya que si las personas se conocen y estn fsicamente en contacto es ms o menos fcil comunicarse la clave a utilizar (Virginia y Macarena pueden quedar e.. intercambiarse las claves que utilizarn), pero si Virginia y Macarena se encuentran separadas por miles de kilmetros, o incluso no se conocen, cmo se intercambiaran la clave? Mediante un correo electrnico, correo ordinario, una llamada telefnica, pero todos ellos son medios de comunicacin inseguros; cualquier intruso podra capturar la clave elegida, e incluso podra suceder que Virginia comunicase por error la clave a otra persona que no fuese Macarena, sino que se hiciera pasar por ella.

~ Actividades
5. Calcula cuntas claves necesitan intercambiar un grupo de cinco personas que
se quieran mandar entre ellas correos electrnicos cifrados.

a} Cuntas claves son necesarias si el grupo lo conforman diez personas? b} Qu sucedera si en vez de diez fuesen cien?

Sistemas de identificacin. Criptografa

La segunda desventaja es la cantidad de claves que una persona debe memorizor; supongamos que Macarena intercambia informacin confidencial con cincuenta personas diferentes, con cada una de ellas utiliza una clave distinta y cada cierto tiempo modifica dichas claves por seguridad. Cuntas claves debera memorizar Macarena? Innumerables. Vamos a ver cuntas claves son necesarias cuando cuatro personas intercambian informacin confidencial entre ellas utilizando cifrado simtrico. Como vemos en la Figura 4.3, son necesarias 6 claves diferentes. Cada una de las lneas representa la clave intercambiada entre las parejas. Gustavo Macarena

GPG viene de GNU Privacy Guard, proporciona una implementacin para el estndar

OpenPGP Me55age, con el obje-

"

tivo de preservar la confiden-

cialidad de los datos del usuario tanto en el almacenamiento como en la comunicacin de la informacin. Adems supone una alternativa

de libre distribucin frente a PGP (Pretly Good Privacy) de P.


limmerman perteneciente a una empresa que proporciona servicios de soporte para encriptacin de datos y comunicaciones.

Virginia

Fernando

Fig. 4.3. Grfico para calcular cuntas claves son necesarios.

Caso prctico 2 Cifrado simtrico con GnuPG sobre lo distribucin GNU/Linux


En esta prctica vamos o aprender a cifrar documentos con la herramienta GnuPG, utilizando clave privada para intentar asegurar la confidencial del documento cifrado.

4. Al abrir el archivo cifrodo mediante el editor de texto,


observamos que la herramienta nos ha convertida nuestro documento en un texto totalmente ilegible, con caracteres que no se corresponden con los de ASCII.

5. Para que la salida sea en ASCII, debemos aadir a


la orden el parmetro -a. Ahora, tenemos un nuevo documento cifrado con el mismo nombre y en el mismo directorio en el que se encuentro el archivo a cifrar, al que le aade la extensin . ase (Fig. 4.6).
o.

1. Para familiarizarnos con las opciones de gpg, en primer lugar solicitamos la ayuda mediante el comando
man gpg en la consola.

La ayuda nos informa de todas las opciones que podremos utilizar. Estas son numerosas, pero no os asustis, para esta prctica debemos fijarnos solo en las siguientes opciones:
- e: cifra utilizado clave privada; para ello nos solicitar una "frase de paso, passphrase, que se suele traducir como 'clave o contrasea'.

.
El
Ji
[J

!;)r,, ("'-"Elm!
Imprimir...
Desh~cC!l
r ~tlMtr

{,

Archivo Editar ~ .ll.Ulcar tielTillmlental QocumentOI Aluda Nuevo Abrlr

lb El

Gu~rda1

Co!l ol! cOp'al Pe-a1

@I

!tl Documento_5ec~to.gP9

I
.
g\[[!J[!]2.II!lA7TA(!l!l]lII!l~/yl!DllIIl!!]
\ t: ula~)

1!Hl1!ll[[Il!IIlcelI!l".il' i!' J!]3.<nl!!l~IllIOcArnHftS.llll1\l!!lql!!lk


u [!]![!]IIIlIIIl[!]I!!lIT!lIIIl. ,Mi (0
yO $[[!J(

E YfiSSII!l!i2IIIJlAHU' hUift?i}hP11ID1ID' SIITIl~ . I09I1l1.U I OQMIID- nm"llITlt<p

-a: guarda el documento cifrado con caracteres ASCII.

2. Para cifrar el documento "Documento_Secreto


mediante un algoritmo simtrico, debemos utilizar la opcin -e, por lo que ejecutamos la instruccin que se muestra en la Figura 4.4:
Flg. 4.5. Documento CIFrado.

Nuevo Abrl1

lb El .

Guarda!

El

Imprimir...

Ji

D~I.}(:~

Ilehace1

(1)11.! Copm !'eg.J<

D Dccumento.5ecn:to.asc o 1 .. BEGIU PGP H ESSAtiE ..

Fig. 4.4. Cifrando Documento_Secreto.

Version: GnuPG vl.4.9 (GllO/Linux)


jAOEAIoflCV\Olr7JZhBVgyYjCEljSjdVcdztgtlOCPBOUc90H9pdtntWehllSKIISU q4d..w4A4KWz8nSAYdtOUR9IJWfn23\uKVrfAkzUIlHC2Fosou50n...urkpBwIl100R cdiPiwvz 1119Vtjo('(S lUkvI)(l F4Diw(kr-Mt2G230 eg\QEEvPs7VFTCOFB~3yj cSe Yd\\'02sqqniE....
A~n

30 Una vez ejecutada la instruccin, la utilidad genera un


documento en el mismo directorio donde se encuentra el archivo a cifrar, aadiendo la extensin .gpg al nombre de dicho documento (Fig. 4.5).

----.EIIO PGP HESSAGE--'"

Fig. 4.6. Documento cifrado en ASCII.

Si stema s de identificacin. Criptografa

3.2. Criptografa asimtrica


En 1976, dos criptgrofos, Whitfield Diffie y Martin Hellmon, publicaron un nuevo mtodo criptogrfico que solucionaba las desventajas de la criptografa simtrica (la difcil distribucin de claves y el elevado nmero de claves necesarias). La genial idea de estos investigadores estadounidenses consiste en que cada una de las partes involucradas en una comunicacin segura tienen una pareja de claves. Una de ellas, pblica, que deber intercambiar con cada una de las entidades con las que quiera comunicarse mensajes secretos, y otra de ellas privada, y que par tanta, jams debe comunicar a nadie. S, has ledo bien, una de las claves, la pblica, se la comunicar a todo el mundo sin que cree ninguna vulnerabilidad en las comunicaciones, porque con ella nunca podra un intruso descifrar el mensaje. Para cifrar un mensaje, el emisar utilizar la clave pblica del receptar, y a su vez, el receptar descifrar este mensaje haciendo uso de su clave privada . Veamos el procesa mediante el siguiente ejemplo: supongamos que Fernando y Macarena quieren intercambiarse informacin confidencial haciendo uso de la criptografa de clave pblica. El primer paso es que cada uno de ellos obtenga una pareja de claves, es decir, Fernando tendr dos claves y Macarena otras dos (uno de ellas pblica y otra privada). Cada uno de ellos comunica la clave pblica al otro utilizando el mtodo que ms sencillo le sea, pues como hemos dicho anteriormente, no pasara absolutamente nada si algn intruso la obtuviese. Cuando Fernando quiera transmitir un mensaje a Macarena, utilizar la clave pblica de esta para cifrarlo y cuando Macarena lo reciba, deber descifrarlo utilizando su propia clave privada. Como se puede ver, se han solventado las desventajas de la criptografa de clave privada.
La criptografa asimtrica se utilizar para firmar documentos de

A vez que Whitfield Diffie y Martin Hellman publicaron el


nueva mtodo se cree que inves-

tigadores que trabajaban paro


agencias de inteligencia militar

tambin lo haban desarrollado pero por ser investigaciones secretas no salieron a la luz.

manero digital.

Como es lgico pensar, estas claves se generan a la vez y se encuentran relacionadas matemticamente entre s mediante funciones de un solo sentido; resulta prcticamente imposible descubrir la clave privada a partir de la pblica. Veamos un ejemplo: enviamos un mensaje cifrado con una clave pblica basada en el praducto de dos nmeros primos grandes. Cuando el receptor recibe el mensaje debe descifrarlo, y para ello deber hacer uso de la clave privada, basada en uno de los nmeros primos que forman el producto que recoge la clave pblica . En caso de no conocer alguno de los nmeros primos que conforman la clave pblica sera extremadamente difcil descifrar el mensaje. Clave pblica Clave privada

'A \lA \JA ' 'A\I~\JA'


Texto claro

Texto claro

Encriptacin
Fig. 4.7. Cifrado con clave pblica.

Texto cifrado

Desencriptacin

Como observamos en la imagen anterior, la clave pblica es conocida por numerosas personas, mientras que la clave privada debe ser guardada por el receptor con celo para no comprometer la confidencialidad de los mensajes.

86

Sistemas de identificacin. Criptografa

Caso prctico 3
Generacin de un par de claves para usa de cifrado asimtrico
Esta prctica la desarrollaremos mediante la herramienta gpg en la distribucin GNU/Linux Ubuntu.

3. Una vez seleccionado el tipo de clave a generar, debemos seleccionar el tamao de la misma. Cuanto mayor sea la clave, ms segura ser contra ataques de fuerza bruta, pero ms lento ser el proceso de cifrado y descifrado, adems de incrementar la longitud de la firma digital. La herramienta nos permite seleccionar entre 1024 y 4096 bits. Elegimos el tamao que nos indica por defecto escribiendo 2048. 4. Por ltimo, debemos especificar el tiempo de validez de la clave. En nuestra prctica vamos a generar una clave con un periodo de duracin de un mes (escribimos 1mi. En caso de necesitar ms tiempo podramos aplazar la fecha de caducidad.

1. Ejecutamos la instruccin gpg can el parmetro -genkey.

2. Al ejecutar la instruccin la herramienta nas pide que


seleccionemos el tipo de clave deseada. Nos ofrece tres opciones; la primera DSA y EIGamal que generar las claves tanto para encriptar como para firmar; la segunda opcin DSA y la tercera, RSA, generarn un par de claves para firmar. Seleccionamos la opcin 1, que es la opcin por defecto que nos propone la herramienta.

!rthlvo EdItar Mer ~rmrnal AY.uda adrnin1strador@Jupiter:-$ gpg .. gen:k~ 1 'r- - - - - - - - -,ol gpg (GnuPG) 1.4.9. Copyright (e) 200B Free !:l. ,are Foundation, Inc, This is free software: you are f ree to change and redistribute it. There is tlD WARRANTY. to the extent permitted by law, Por favor seleccione tipo de clave deseado: (1) OSA Y ElGaoal (por defecto) (2) OSA (slo firmar) (5) RSA (slo '- "rJ SU eleccin?: 1 2 El par de claves D~" tendr 1024 bits. las claves ElG-E pueden tener entre 1024 y 40 0" hits de longitud. De que tamao quiere la clave? (2048) 20<l0 3 El tamao requerido es de 2048 bits Por favor, especifique el periodo de validez de la clave. o ., la clave nunca caduca en> la clave caduca en n dias <nloW .. la clave caduca en n semanas <nlora '11 la clave caduca en n /teses <nloy .. la clave caduca (' aos Validez de la clave (O)? 1m 4 la clave caduca mar 20 oct 200~ ~..: d:16:41 CEST Es correcto (s/n)? s
lO

Fig. 4.8. Generacin de la pareja de claves,

5. Adems de los parmetros de la clave, la herramienta


nos solicita informacin sobre nosotros. Debemos indicarle nuestro nombre, correo electrnico y algn comentario.

6. Una vez que se introduzca la informacin del usuario,


se crean las claves. En ese momento la aplicacin nos informa que es necesario generar muchos bytes aleatorios por lo que es conveniente que mientras se crea la clave movamos el ratn o trabajemos en otra ventana, etc.

7. gpg necesita una contrasea para proteger las claves,


por lo que nos solicita que introduzcamos una frase. S, nos solicita una frase para hacer hincapi en la impartan-

cia de la eleccin de una buena clave. Debemos tener especial cuidado a la hora de seleccionar la contrasea, ya que si algn intruso consigue la clave privada, podra mediante algn mtodo descubrir la contrasea y tener acceso a todos nuestras documentos y mensajes cifrados. En las contraseas no debemos utilizar palabras ni en castellano ni en ningn otro idioma, debemos mezclar tanto nmeros como letras maysculas y minsculas, debemos intercalar smbolos, como parntesis, dlar, etc. Una buena contrasea es crucial para el uso de gpg.

B.

Para finalizar listamos las claves mediante la instruccin gpg con el parmetro -k.

pub 1024D/15D922Be 200989-22 uid Fernando Delgago (Tecnico de 5eguridad informatica de la presa SiTour) <f.delgad~mai1.com> sub 204Bg/C1555A7B 2009-09-Z2

Fig. 4.9. lisIado de claves de Fernando.

----; / 4
Sistemas de identificacin. Criptografa ------------------~--------------------

Casa prctico 4

Generar un certificado de revocacin con lo herramienta gpg poro informar a 105 usuarios que lo clave pblica no debe ser usada nunca ms Se recomiendo que inmediatamente despus de generar los claves, el usuario cree un certificado de revocacin para lo clave pblico. De esto manero si el usuario olvidara lo contraseo o perdiese o viese vulnerado su clave privado por algn intruso podra publicar en algn servidor de Internet como el HTTP://PGPkeys.mit. edu: 11371 el certificado de revocacin poro informar 01 resto de usuarios que no debe ser usado nunca ms. Uno clave pblico revocado puede ser usado para verificar firmas hechos por el usuario en un posado, pero nunca podr ser usado paro cifrar datos. Paro esto prctico utilizaremos lo herramienta gpg con los siguientes parmetros: - k: listo todos los claves. -gen-rev oke : genera el certificado de revocacin poro la clave especificado. Debemos utilizar el siguiente formato: gpg -gen-revoke identificador _ clave, siendo el identificador_clave el nmera que identifico lo clave o el nombre o el apellido del usuario o el correo o cualquiera de los palabras del comentario.

1. Antes de revocar lo clave, debemos conocer su identificacin; poro ello listamos


los claves mediante lo instruccin gpg con el parmetro -k. 2. Generamos el certificado de revocacin mediante lo instruccin gpg con el parmetro -gen-revoke. En nuestro coso utilizamos el nmero que identifico lo clave poro crear un certificado de revocacin poro lo mismo. 3. Respondemos afirmativamente o lo pregunto. 4. Posteriormente debemos indicar lo rozn por lo que se creo el certificado de revocacin . Debido o que lo estamos generando inmediatamente despus de creor lo clave, lo razn de lo revocacin no es ninguno de los que nos propone, por lo que seleccionamos la primera opcin introducimos un cero). Despus escribimos nuestra decisin: " Este certificado se cre inmediatamente despus de crear la clave. Hoy puede ser que est comprometido o bien no vuelva a ser usado. 5. Por ltimo, introducimos lo contrasea de lo clave. 6. El certificado de revocacin ha sido creado y nos lo muestro en pantalla, advirtindonos que lo podemos imprimir y despus debemos guordarlo en algn lugar seguro, ya que si alguien se apodera del mismo, podra utilizarlo para inutilizar la clave. Todo este proceso lo podemos ver en lo Figura 4.10:

1
p~b

B
lit "11th ) Clurfn~ll.{o~

lPZ(P U'E8Z11 l009 M20 IIcaduca: 2009-111-26 11

\lId
lub

llac."n, Sub lil

i P (1) '~I II'"

2G.1'g/J.O!06DHf 2009-09-:10 " '.Uf. : 1009102011


lM~UF

.cblnhlt.dorOJuplter:- , gpg gen . ruoLe

2
3

.... n.u....

I fl;

IOZ'Pf'JHnn 11)(1901]1 Mitarfn. 5cl>til (p",'et or. e Ingt h l a.ou'en'J9

'D' f nor .UJ. un. ru6n plrl h .tvocHn: D No Ir 1110 nl"llUl'I rl16n
I ~ ~ ,hv. h. I I ~o co::prO!'etid. 1 I I chv. 11. sido ...... phud . 1 II ch_. y. no nI' en UIO

(ru . un ee rUftl!D de ' IVOC.tU" ~Irl u ta Clav.l'

I
I

5~

:/~~: ~:;!1~!~:~~~I~~e: !~:~d~~t~~:~~: ~e:~~t~I~~'~r." 5

Illmionlr 1 aqui) 4 duht6 M O ' ntroduZCI un. dttcrlpcl6n opcional; lC'bt\a con una

IP~O;'~~~~~:; Q~.rll

~
\i~ "ac1a,

clm.

Hoy puede 1 ;

Fig. 4 .10. Proceso de creacin de certiFicado de revocacin.

l8

Sistemas de identificacin. Criptografa

Casa p'rctico 5 Intercambiar claves mediante la herramienta gpg

Para poder comunicarnos de manera segura, debemos intercambiar las claves pblicas con todos aquellos usuarios con los que queramos establecer una comu-

nicacin.
Antes de poder enviar la clave pblica a otro usuario debemos exportarla. Para ello debemos utilizar la herramienta gpg con el parmetro -export seguido del identificador de la clave (como vimos en el caso prctico anterior como identificador, podemos utilizar el nombre, cualquier palabra del comentario, el correo ... ). En nuestro caso, Fernando quiere comunicarse con Macarena, por lo que debe exportar su certificado (guardar la clave pblica en el archivo fernando.gpg).

lB

~~~~~~~~~~~~~~:: ~~~~~:~~~~:~~: ~~~

Archivo fditar :ier rermlnal fernandO@Jupiter:-s gpg k

Ayuda

pUb 1924D/1SD9228E 2999-09-22 u1d Fernando Delgago (Tecnico de seguridad informatica de la ero presa SiTour) <f.delgadO@grna i l.com> sub 2848g/ClS55A78 2899-89-22 fernandO@Jup l ter:-s 2pg -output fernando . gpg --export Fernando fernandO@Juplter:-s I

Fig. 4 .11. Exportacin de las claves de Fernando.

Una vez que ha exportado la clave, Fernando debe hacrsela llegar a Macarena para que esta la guarde en su anillo de claves, lugar donde se almacenan todas las claves pblicas que se poseen. Suponemos que Macarena ha recibido la clave pblica de Fernando. El archivo fernando.gpg lo ha almacenado en su carpeta personal como podemos ver en la Figura 4.12. A continuacin Macarena debe importar la clave de Fernando a su anillo de claves mediante la herramienta gpg con el parmetro -import y el nombre del archivo a importar, como se muestra en la Figura 4.12 .
. <:.~

Archivo fditar :ier Ji!nnlnal Ayuda macarena@Jupiter:-s 15 G Docur.:entos examples.desktop II:1lgcncs Plant illa s Videos Escritorio fcrnando . gpg ' lisica Pblico macarena@Jupiter:-S gpg - -import fernando. gpg gpg : clave lSD9228E: clave pblica "Fernando oetgago (Tecnico de seguridad i ntor m atica de la empresa 5iTour) <f . delgadO@gmail.com>" importada gpg: Cantidad total procesada : 1 i!!!portadas : 1 gpg:

I I
Actividades

Fig. 4.12. Importacin de la clave de Fernando al anillo de Macarena.

En la Figura 4.13 vemos que ahora Macarena posee la clave pblica de Fernando.

9'

6_ La
ArchIvo fdltar yer rermlnal Ayuda r:1acarena@Jupiter:-s gpg k Ihome/rnacarena/ . gnupg/pubring. gpg

............. . .............. _----

pub 1024D/61C2F898 209999- 22 (( caduca: 2099 10- 22]] uid Macarena Subtil (Seguridad Informatica SiTour) ail.com> sub 29489/941888CO 2909 -99 22 (( caduca: 2999 -19- 2211

<IIlacare n a~gm,

pub 19240/1SD9228E 29999922 1 uid Fernando Oelgago (Tecn i co de seguridad informatica de la ern presa 51Tourl <f . delgadO@gm ail.com> sub 2948g/Cl555A78 299909-22

herramienta gpg, mediante el parmetro -output, permite grabar el certificado de revocacin en un archivo. Vuelve a generar un certificado de revocacin para la subclave que se guarde en el escritorio con el nombre de cert_

Fig. 4. 13. Listado de claves de Macareno .

revocado.asc.

Sistemas de identificacin . Criptografa

3.3. Criptografa hbrida


La desventaja de la criptografa de clave pblica es la lentitud del proceso de cifrado y descifrado, que obedece tanto a la compleidad de los mtodos utilizados como a la longitud de las claves. Pensemos que una longitud tpica de una clave utilizada en criptografa simtrica es de 128 bits frente a los clsicos 2048 bits que se suelen utilizar para el tamao de las claves en criptografa de claves asimtricas. Otra de las desventajas es el mayor tamao de la informacin cifrada con clave pblica frente al tamao de la misma cuando se cifra con clave privada. Todo esto nos hace pensar que lo ideal sera utilizar criptografa de clave privada para intercambiar mensajes, pues estos son ms pequeos y adems el proceso es rpido, y utilizar criptografa de clave pblica para el intercambio de las claves privadas. Veamos el siguiente ejemplo: Gustavo quiere intercambiar informacin con Virginia utilizando como clave privada "CIFRADO". Para ello, antes de nada, Gustavo mandar un mensaje cifrado con la clave pblica de Virginia, en el que informa de la clave que utilizarn ("CIFRADO,,), as solo Virginia podr descifrar el mensaje y conocer la clave que utilizarn para la posterior comunicacin.

4. Algoritmos
Los algoritmos son los mtodos que se utilizan para transformar el texto claro en el texto cifrado. Para aclarar esta definicin, vamos a analizar el cifrado por sustitucin del Csar. El algoritmo consiste en sustituir cada letra del texto sin cifrar por otra letra del mismo alfabeto que se encuentra situada en el orden del diccionario N puestos por delante. N es el valor de la clave, que como podemos ver, junto con el algoritmo, determinar exactamente la letra que sustituir a la original. El principio de Kerckhoff establece que la fortaleza de un sistema de cifrado debe recaer en la clave y no en el algoritmo, lo cual quiere decir que aunque el algoritmo sea de dominio pblico (y este es el caso de la mayora de ellos en la actualidad), si no conocemos la clave, no seremos capaces de descifrar los mensajes. Como podemos imaginar, hoy en da se utilizan diferentes algoritmos, algunos vlidos para criptografa de clave privada y otras para criptografa de clave pblica. DES, 3DES, RC4, IDEA Y AES son nombres de algoritmos de clave privada y DH, EIGamal, RSA de clave pblica, entre otros. Los algoritmos de cifrado se clasifican en dos tipos: De bloque: llamados as porque dividen el documento en bloques de bits, que por lo general son del mismo tamao, y cifran cada uno de estos de manera independiente, para posteriormente construir el documento cifrado. Cuando se enva un documento cifrado utilizando un algoritmo de bloque, primero se cifra completamente el archivo a enviar y luego se realiza su transmisin. De flujo: se diferencian de los anteriores en que se cifra bit a bit, byte a byte o carcter a carcter, en vez de grupos completos de bits; son muy tiles cuando tenemos que transmitir informacin cifrada segn se va creando, es decir, se cifra sobre la marcha. El algoritmo de nombre AS que se utiliza en la telefona mvil es de este tipo, pues segn se van generando los bits que hay que transmitir, se van cifrando uno a uno y poniendo inmediatamente en el aire.

I principio Kerckhoff es la base de la mayor parte de los sistemas actuales de seguridad, en los que la seguridad recae
en algo que el usuario sabe

(una clave), algo que el usuario posee (una tarjeta de identificacin) o algo que pertenezca a

la naturaleza del usuario luna huella digital).

~ Actividades
7. Indica cul es el algoritmo en el cifrado de la esctala y cul es la clave.

90

Sistemas de identificacin. Criptografa

5. Funcin Resumen
Tambin se conocen por su nombre ingls hash; son funciones que asocian a cada documento un nmero y que tienen la propiedad de que conocido el valor numrico, no se puede obtener el documento. Estas son conocidas por el nombre de funciones de un solo sentido. El tamao de un documento en bits podra ser una funcin resumen; tambin podra serlo, por ejemplo, la funcin que a cada documento le asocia su fecha de creacin. Y aunque es verdad que estas dos funciones son funciones resmenes, seran muy pocos tiles en el mundo de la criptografa, porque no cumplen los dos requisitos fundamentales: el primero de ellos, debe ser muy difcil que dos documentos distintos tengan el mismo resumen, y el segundo, que debe ser muy difcil, por no decir imposible, crear un documento a partir del valor de su resumen. Como vemos, si nos fijamos en el primer ejemplo de la funcin tamao en bits de un documento, no cumple ninguno de estos requisitos, pues es fcil que dos documentos tengan el mismo tamao, y an mas fcil es crear un documento que tenga un tamao dado. Esto nos hace pensar que la manero de obtener el valor resumen de un documento emplear algoritmos complejos matemticamente, para que as pueda cumplir las dos especificaciones de la funcin resumen. Algunos de estos algoritmos son el MD5 y el SHA. El aspecto que tiene el valor hash o funcin resumen de un documento utilizando el algoritmo MD5 es lDE928978E2BF219F76ElC5C2A9CCB1A; como podemos ver, un nmero escrito en hexadecimal de 32 dgitos, o lo que es lo mismo de 128 bits. El resultado de aplicar este algoritmo a un documento siempre genera un nmero de 128 bits. Sabemos que en Linux las contraseas de los usuarios se encuentro n en el fichero /etc/ passwd o en versiones ms actuales en el fichero /etc/shadow. Como imaginamos, estas contraseas no se encuentran en texto claro, sino que se almacenan en estos ficheros utilizando funciones resumen; los algoritmos que ms se utilizan son el MD5 y el SHA512. Se recomienda utilizar este ltimo pues se considera el MD5 mucho ms inseguro. En el siguiente texto se muestran las contraseas de dos usuarios, el primero de nombre Macarena, con contrasea SHA-512, y el segundo Fernando, con contrasea MD5. A continuacin se muestra un extracto del fichero shadow donde se guardan las contraseas cifradas de los usuarios de las ltimas distribuciones de Ubuntu. macarena:$6$R977XEKW$TPt4CYwdX3 85zM4BkaOXBS51V4GES 1n R04PxBOoHys/ qx/BXeEOH6wGW2vID.GRaeUfKhlvIUpg uD/7imHeNu 1: 14595:0:99999:7::: fernando:$l $U9Cre44W$V2mwkCU1 uH117zqWaqc7L/: 14595:0:99999:7::: Como se puede observar en las lneas anteriores, la contrasea de Macarena, que utiliza el algoritmo SHA-512, es mucho ms larga y por tanto ser menos vulnerable que la de Fernando, que ha utilizado el algoritmo MD5 para ocultarla.

En muchas pginas web te pue


des descargar adems de un archivo su valor resumen para as comprobar si alguien ha

modificado el archivo original

por tanto su valor no coincide con el que debera tener.

Actividades

9t

8. Bjate de la pgina http://www.blisstonia.com/softwore/WinMD5/#download


la aplicacin WinMD5, que calcula el valor resumen de un documento utilizando el algoritmo MD5. a) Crea varios documentos de texto.

b) Calcula mediante la aplicacin sus valores hash.


c) Son muy parecidos los valores resumen de los documentos?

d) Cmo son los valores hash obtenidos de dos documentos iguales que difieren exclusivamente en una letra?

Sistemas de identificacin. Criptografa

6. Firma digital
Cuando estampamos nuestra firma manuscrita en un documento, [e estamos dando a[ mismo veracidad y aceptando nuestra respansabi[idad sobre [a que en [ se diga. Por eiemp[o, cuando firmamos un contrata de trabaia estamos aceptando [as condiciones que en este se establecen y por tanta responsabi[izndanas de [as mismas. Cuando firmamos una declaracin de [a renta, estamos admitiendo que ese es e[ dinero que nos deben deva[ver a e[ que (esperemos que na) tenemos que entregar nosotras a [a Agencia Tributaria. La firma digital viene a sustituir a [a manuscrita en e[ mundo de [a informtica. Es decir, si firmamos de forma digital un documenta, [e estaremos dando veracidad y como sucede con [a firma manuscrita, no podremos decir que no [o hemos firmado nosotras; por [o tanto, seremos responsables de [o que en [ se diga. La descripcin del mecanismo de firma electrnica es e[ siguiente: Se calcula un valor resumen del documento, utilizando algn algoritmo como e[ SHA. Este valor resumen se cifra uti[izanda [a clave privada de nuestra pareja de claves pb[ica-privoda (s, has ledo bien, resulta que no slo se puede cifrar con [a clave pblica, tambin algunos algoritmos de cifrado asimtrica permiten cifrar con [a clave privada, en especial [os que se utilizan para firmo digital. Esto permite asegurar que [a nica persona que ha podido firmar e[ documenta soy yo, e[ nico que conoce [a clave privada). E[ resultado de este valor es e[ que se conoce como firma digital del documento. Como se deriva del pracesa recin exp[icado, [a firma digital nada tiene que ver con e[ cifrado del documento en s. En ningn momento hemos cifrado e[ archivo, y es que si pensamos en e[ praceso de [a firma manuscrita sucede que nunca cuando firmamos un papel [o estamos cifrando. Esto no quiere decir que no se pueda, tambin, cifrar y adems firmar e[ documento. Tambin podemos deducir que dos documentas distintos firmados digitalmente por una misma persona tendrn firmas digitales distintas, pues [os va[ores resumen del documento nunca sern iguales, y por tanto esto diferencia a este tipo de firma electrnica de [a firma clsica, pues esta ltima siempre es [a misma para [a misma persona firmante.

Texto claro

Clave pnvada utilizada para firmar

1 =,.,.&:;=".,,'P~.:.; ~ =' ' ~'P~.:.


Funcin hash
I

j
Texto claro + firma

Resumen del mensaje

Resumen firmado con clave privada

Fig. 4. 14. Esquema del proceso de firmar digitalmente.

~ Caso ,,-rdico 6
Firma digital de un documento para asegurar la autenticidad del autor y la integridad del dacumento enviado
Vamos o utilizar [o herramienta gpg con [os parmetros: archivo binario, como ficheros comprimidos, ejecutob[es ... En esto prctica vamos o ver [os distintas opciones que podemos utilizar para [a firma de un documento.

-clearsign: e[ contenido del documento o firmar no es cifrado, por [o que es legible para cuo[quier usuario sin ningn software especial. Solo ser necesaria [a op[icacin gpg para verificar [o autenticidad de [o firma. -s: firma con [a clave privada del usuario. E[ resultado es un fichero comprimido (binario) ilegible.
- b: se utiliza cuando se desea que [a firma aparezca en un fichero separado; cuando se quiere firmar un

1. Ejecutamos [a instruccin gpg - -clearsign Documento secreto.

2. Introducimos [a contrasea de [a clave privada con [a


que vamos a cifrar e[ documento.
(Contina)

Sistemas de identificacin. Criptografa

Casa prctico 6
(Continuacin)

3. Al finalizar el proceso, obtenemos un fichero con el


mismo nombre que el archivo a firmar con extensin asc (en nuestro caso Documento_secreto.asc). Como podemos ver en la Figura 4.15, en primer lugar aparece el texto en claro del documento firmado y posteriormente la firma.

Vamos a cifrar el mismo documento utilizando el parmetro -s; para ello debemos ejecutar la instruccin gpg -s Documento sec reto. El resultado es un fichero binario ilegible. Para poder abrirlo con el editor de textos le aadimos a la orden anteriar el parmetro -a, obteniendo el siguiente resultado.

Archivo fditar yer Buscar Herramientas D.ocumentos Ayuda Nuevo Abrir


BEGIII PGP SIGtIED HESSAGE Ha5h: SHAl Docur:ento secreto Que se enviar a lIacarena fincado. De esta r:anera nos as egura:os la aut enticidad y la integri dad del BEGIU PGP SIGIIATURf ve rsion: GnuPG v1.4. 9 (GUu/Unux]
iEYEA/lECAAYFAkq+jGYA(gkOhB sEcxXZloSuMA(gqzKJRl~6o(lJGTnDdq)(rl/ rz

[b EJ v

Guardar

El i
IJ

Imprimir...

Desh;:Cel Hch<lccr

I c~r

copiur Pegar

@ Documento)iecreto.ase
n51:O.

I-----BEGIN PGP HESSAGE----Version: GnuPG v1.4.9 (mlU/Linux)

/ UwAnj uyYYULD8oH3f upxKhP7Kb9a3GK "SIo'Il E -- ElIO PGP SIGIIAT\JRE-----

j A9EAwtlCVW3L r7 JZhBVgyY j CEl j Sj dVCdZfgtl eCPBoUc9BM9pdtnt ltjohhSKWSrl q4dwW4MHWZBnBAYdtDUR9UWfn231uKVrfAkztiBHCZFosousDnwOrkpaVW8IOBR cdipiI'Nz lZI9VtJwYslUkvIXI F4DiWC kmHt2G230eg 1OEEv Ps7VFTCO FBS3y j cSe YdW02sqqniEw =AgTN -----END PGP HE5SAGE-----

Fig . 4 .15. Documento firmado con opcin - -clearsign.

Fig. 4.16. Documento firmado con opcin -s.

Por ltimo vamos a analizar la salida que produce la ejecucin de la instruccin gpg -b -a Documen to_ secreto. Como hemos comentado anteriormente se suele utilizar cuando se firman documentos en binario, como los ejecutables, ficheros comprimidos ... La salida es la firma del documento separada del mismo, como se puede ver en la Figura 4.17

I~

Archivo fditar yer Buscar !:Ierramientas Qocumentos

Aluda

N~O ~r .., Gu~<!r I (mp~ir... luDocumento secreto.ase I


IJ

Deshacer fle!lacer

Cort ar Copiar Pegar

..

1lID !

-----BEGIfj PGP SIGtjATURE .. Version: GnuPG v1.4 . 9 (GtjU/Unux) iEYEABECAAYFAkq+1WEAcgkQhaSEc)(XZI06gggcgzNqPrsrEH'r14RYpHbWLEjAAEY pygAOIg6SROBJVmUWJextaBficGyD5Nl =tlH3j -----EtlD PGP SIGNATURE ....

Fig. 4 .17. Firma del documento con opcin -b.

Describamos ahora el proceso de comprobacin de una firma digital, que a diferencia de la comprobacin visual de la firma manuscrita, se tendr que realizar mediante algn mtodo informtico. El que se utiliza es el siguiente: La firma se descifra utilizando la clave pblica del firmante (has vuelto a leer bien, pues algunos algoritmos de cifrado asimtrico y en particular los que se emplean para la firma digital descifran con la clave pblica lo que se ha cifrado con la clave privada), y con ello, como se deduce del mtodo de firmado, se obtiene el valor resumen del documento. Se obtiene el valor resumen del documento utilizando el mismo algoritmo que en el proceso de cifrado, por ejemplo el SHA. Por ltimo se comparan los dos valores resmenes obtenidos en los dos procesos anteriores y si estos coinciden entonces la firma es vlida; si estos son distintos la firma ser nula.

Actividades ~
9. Comprueba la validez de
las firmas digitales creadas anteriormente. Paro ello debers utilizar el parmetro -ve r ify de la herramienta gpg.

Como puedes observar, dado el proceso de comprobacin de la firma, cualquier persona que quisiera comprobar tu firma de un documento necesitar tener nuestra clave pblica.

93
- -

, '(

..

.}W

tb:'

Sistemas de identificacin. Criptografa

7. Certificados digitales
El certificada digital es un documento que contiene fundamentalmente informacin sobre una persona o entidad, guarda su nombre, su direccin, email. .. , y una clave pblica y una firma digital de un arganismo de confianza (autoridad certificadora) que rubrica que la clave pblica que contiene el certificado pertenece al propietario del mismo. Esta ltima firma podriamos decir que es la ms impartante del certificado, as como la firma del director de un colegio es lo ms importante del certificado acadmico, pues sin ella este no tendra validez. Como podemos ver en el ejemplo, no sirve la firma de cualquier persona, sino que debe ser la del director del centro, por ser la persona en la que se confa paro dar validez a dicho certificado. Lo mismo ocurre con la firma digital, que lleva un certificado creado por algn arganismo de confianza; en Espaa es La Casa de la Moneda y Timbre la que firma los certificados digitales de los usuarios. Estos certificados nos facilitan muchos de los trmites que debemos realizar con las administraciones pblicas, podemos entregar la declaracin de la renta, consultar nuestra vida laboral y otras muchas gestiones. Todo ello gracias a que el certificado digital establece la identidad del usuario en la red.
Nombre: Ins Fernndez Subtil.
D~a:

4496430-H

Direccin: La estrella 10 Clave publica: AB56FE77 E9898FE ......... A8899808FAD55 EC8A45FBB45 ..

Fig. 4.18. Firma manuscrita.


Certificado :

?~

General DetaUes Ruta C'e certificacin

Mostrar:

I<To_ dos>
V3

El

Al igual que existen multitud de formatos para guardar una imagen (jpg, bmp, png ... ) tambin existen multitud de formatos para los archivos que alrnacenan los certificados digitales. El ms extendido y usado en Internet es el estndar conocido como X.509 Como podemos ver en la siguiente figura el certificado almaceno los siguientes campos:

Versin, nmero de serie.

jueves, 23 de septiembre de 2 .. . Macarena Subtil Marugan, Divi .. . RSA (512 B~s)


CN = SiTourCA

Algoritmo de firma (identifica el algoritmo utilizado para firmar el paquete X.509). La autoridad certificadora (en la figura emisor). El periodo de validez (vlido desde y vlido hasta). El propietario de la clave (asunto. La clave pblica. La firma digital de la autoridad certificadora. Huella digital. Uso de la clave. Direccin web donde se pueden consultar las prcticas de certificacin.

o o

OU c::: Division de certificados 0= SITOUR.5A. L = Fuentemilanos 5= Segovia C=ES E = macarena@sitour.com

o o

o
o

Motfificar propiedades...

Copiar en archivo...

I
Aceptar

o o

Fig. 4.19. Campos de un certificado.

Sistemas de identificacin. Criptografa

8. PKI
PKI son los siglas de Public Key {nfrastructure (infraestructura de clave pblica), o lo que es lo misma, todo lo necesario, tanta de hardware como de software, para las comunicaciones seguras mediante el uso de certificadas digitales y firmas digitales. De esta manera se alcanzan los cuatro objetivos de la seguridad informtica que estudiamos en la primera unidad: autenticidad, confidencialidad, integridad y no repudio. Las PKI estn compuestas de: La autoridad de certificacin, tambin conocida por sus siglas CA (Certifica te Authority), es la entidad de confianza encargada de emitir y revocar los certificados digitales. La autoridad de registro, tambin conocida por sus siglas RA (Registration Authority), es la encargada de controlar la generacin de certificados. Primera procesa las peticiones que hacen los usuarios, posteriormente comprueba la identidad de los usuarios exigindoles que les presenten la documentacin oportuna que permita verificar la identidad de los mismos y por ltimo solicita a la autoridad de certificacin la expedicin del certificado digital. Las autoridades de los repositorios donde se almacenan los certificados emitidos y aquellos que han sido revocados por cualquier motivo (haber sido comprometidas las firmas) y han dejado de ser vlidos. Todo el software necesario para poder utilizar los certificados digitales. Poltica de seguridad definida para las comunicaciones.

En Espaa para realizar numerosos trmites con las administraciones pblicas por Internet nos exigen el uso de un certificado digital que asegure nuestra identidad. Dicho certificado es emitido por la Fbrica de la Moneda y Timbre, autoridad de certificacin, que haciendo uso de numerosas oficinas de la administracin pblica (tesoreras de la Seguridad Social, oficinas de la Agencia Tributaria) como autoridades de registro verifican que la persona que solicita el certificado es quien dice ser al presentar el documento nacional de identidad en dichas oficinas.

Caso prctico 7 Instalacin de una entidad emisora de certificados


En esta prctica vamos a instalar un servidor de certificados en un host, que tiene como sistema anfitrin un Windows 2000 Server. Con esto conseguiremos que los empleados de nuestra compaa obtengan certificados digitales, tras solicitrselos a este host. Ms tarde los podrn usar para el envo de correo electrnico seguro y/o para la firma digital de documentos.

o !JI S..ooo do CootlaIo s.......


D::IS..ooodo~_.

'i'l 'J'SOl'YiciodoIrOooS.....

~~: ~
1.7101S

.J

'~"'R .:J

1. Instalamos en nuestro servidor, Jupiter,


el liS, para ello accedemos al panel de cantrol. Hacemos doble c1ic en el icono Agregar o quitar programas y dentro de ste, hacemos c1ic sobre Agregar a quitar componentes de Windows. En la lista de componentes marcamos las opciones que se ven en la Figura 4.20.
E_loIII ondo<o-,,>:
E...-z,<kxrijooncb:a

rulUl
705JJIIoIB

Fig. 4.20. Agregamos componentes de Window5.

(Contina)

Sistemas de identificacin. Criptografa

~ Casa prctica 7
(Continuacin)

2. Instalamos el servidor de certificados. Volvemos a Agregar o quitor componentes de Windows de la misma manera que en el paso anterior y morcamos la
opcin que aparece en la siguiente figura.

" .. _ ..-...,_ ......... .-,,--.u.o... _ .............


;::...:.. ........... ..,P..,,~

......... _---"

: m.tll
P-*'

.:J

:::"...'!:.:W':=:0I0a::::~.c=-.

( _ _ ..,_~

lJ~

_ .._ -- - -- --- --_ .Fjg. 4.21. Instalacin servidor de certiFicados.

E..................

r.ttU1II

3. Despus de pulsar en Siguiente, le indicamos a la aplicacin que queremos


instalar una entidad emisora de certificados del tipo Entidad emisora raz independiente (Fig. 4.22).

'...(,,,,_Il>00'' "' ................ "'-__ ''''_


r r"'4>.1,....,..~

~
~

... .. _
....:.J

po Eridod ......... ...........

,.~r- ... __.,,--f:--p-.,-_ -=. =='::::':'~O::-~l:_-:-"'-'Io""'"

rln1illod ....... ..-.............

ro.m-_

Fig. 4.22. Instalacin entidad emisora de certificados.

4. Al hacer clic en Siguiente, se abre un nuevo cuadro de dilogo, en el que debemos especificar el nombre de la entidad emisora, la organizacin, la ubicacin de la misma, etc. (Fig. 4.23).

...-

_ .

~-

IJo1""'"

1_.--- ,u.idoiI ...........


1"';' 1

15I'tuUA.

O;;;;;;;;oIo'-:-'

"01........

u---

~,~-

~"Io_

1 .... __ "" ..... -.010 ... _ l' 1- 0!l~[Zi1111;m11131

f - -

,.

Fig. 4.23. Datos de la entidad emisora.

(Contina)

Sistemas de identificacin. Criptografa

Caso p'rctico 7
(Continuacin)

5. En la siguiente pantalla, se nos permite


modificar los directorios que se van a utilizar para guardar los datos referentes a este servidor de certificados. En nuestro caso, dejaremos los que propone, por lo que hocemos elic en Siguiente.

Fi'

6. Por ltimo nos muestro un mensaje en el


que nos informa que es necesario detener el servidor de pginas web liS. Hemos creado una entidad emisora de certificados. A partir de este momento, si entramos en herramientas administrativas vemos una nueva consola llamado Entidad emisora de certificados.
cnodps
d~

---=>"'_"" ...
_l>,,~

""cr.>oU"'._'

I
Fg. 4.24. Directorios donde se guardan 105 datos del servidor de certiFicados.

Cerllfic<lte Servu de Mlcrolofl

=============---~. x

Fig. 4.25. Menso;e de aviso sobre fa creacin del servidor de certificados.

Caso prctico 8 Peticin y retirada de certificados de una entidad emisora

En esta prctica vamos a aprender cmo debemos solicitar un certificado digital desde un ordenador de la empresa a la entidad emisora de certificados, que configuramos en el caso prctico anterior.

1. Abrimos el navegador, en nuestra caso Internet Explorer. Escribimos la URL


http://jupiter/certsrv; Jupiter es el nombre del servidor de certificados. Tambin podramos haber utilizado la direccin IP del servidor en lugar de su nombre. Seleccionamos la segunda opcin, Solicitar un certificado, ya que es lo que nos hemos propuesto inicialmente.
1~ . I,jIO'''""i
'" f ..... too

iN
"' 1Ifi~ ru- fbo~_ fJ ~

J.... f'::,'l """" ......

.. ) .._

\\'9 DSA~do_"",,_

a Senlaosdo""'-'tc.tha_

BIenvenIdo Use eSle sitio web para solicitar un celtJ~cado para su explorador web, su chellle de coneo eledrnico u 0\10 programa seguro Una vez. que tUlya adqutrido un certificado, pedr;! Identificarse de una forma segura hada otras personas en elweb, firmar SuS mensajes de torTeO eleCllllico. cifrar sus mensajes de correo electrnico, y m~s dependiendo del Ilpo de certificado que haya solialado.

Selllcclonar un. tarea:


r Recupere el certlflcado CA o la lista de revocacin de ceruficados 10 Soocitar un certificado (" Comprobar un certificado pendiente

~, ~ I

.=.J
~

rrOOD Ci'!1 Hr..t1oul

~ 1 'I. 11D'to

Fig. 4.26. Solicitud del certificado.


(Contino)

97

Sistemas de identificacin. Criptografa

~casop~ ra ~ c ~ t~ iC= O~ 8 ~______________~__________________________

-1

l'
ma:

' .. , Sb O losque

(Continuacin)

Cuando creamos un certificado

2. En la nueva pantalla debemos seleccionar el tipo de solicitud; seleccionamos


Certificado de proteccin de correo electrnico, ya que lo vamos a utilizar para
enviar correo electrnico.

que est comprometido debemos revocarlo.

lo podemos hacer mediante la lnea de comandos_ Debemos escribir en el smbolo del sistecertutil -revoke serie Cdigo_motivo. NQ

.... --,_ lto. ~ c.o",.. -

~ .. I Itl ''''Ii).do<:"" " ,!,-"~,,-~ .,,,


,--~

-_
lO

...~

~ _niwrooI_ D ~- ... ~.,.~ ~ os..~"_digl:. "

.....

:.:J B0 F:t ~

CJoI.. ~

los cdigos de motivos vlidos


son los que se especifican en la

EIIglrtlpo de leUtltud

Eija el Vpo de sc~ otud que le gl5tarla hat~


So~ atlld

siguiente tabla:

de (erufcadO de usuarin
J . ;;.

.- iJ2 . 14 1 . 1 Jj .

~I!\"e .. o~ . "rJ".~,,\\.~

Sin especificar Compromiso de clave Compromiso de CA Afiliacin modificada

,..

So~ cilUd

avanzada

:So;-M. ~ r

.:J

;;-;'~

2
3

Fig. 4.27. Seleccin del tipo de solicitud.

3.

Reemplazo
Cese de operacin Certificado retenido

Nos pide la informacin de la persona que solicita el certificado digital, su nombre, e-mail. ..

5
6

Relene la slguenle m loonaan de delllJfl(aon que ud en su certJ~cadc


110mb. jF,man;,

Fig. 4 .28. Identificacin de la persona que solicita el certificado.

4. Nos muestra un mensaje de alerta similar al que vemos en la Figura 4.29. Respondemos afirmativamente a la pregunta que contiene el mensaje de alerta, ya que en otra caso no solicitaramos el certificado.
Peligro potencial para la secuencia de comandos - _

Este silo web est.S soklando Ln ooevo certflc.wo en su nombre. Slo los si:Ios web de coriIanta deber5l soIct.et certft:ados en SlJ nombre. lDesea soiI:iM tri cerficado?

11

No

Fig. 4.29. Mensaie de alerta sobre la solicitud del certificado.


(Continal

Sistemas de identificacin. Criptografa

Caso prctico 8
(Continuacin)

En la ltima pantalla se nas indica que nuestra certificada se encuentro pendiente, deberemos esperor unas das hasta que un administradar acepte la solicitud despus de comprobar que las datas enviadas san correctos . Una vez que sea admitido el certificado, el usuario que lo solicit deber recogerlo en el mismo PC en el que se solicit el certificado.
, .r

C.rtIfI=..do p.ndl.nt.

Se h.l reobido SU '" ji t1l, "'4!ndMtt

S ' ~elrbaro cebe esperr mQIH U'1 O Clrnnolla~or err~e ~ cerllfJ<:adO(,.te

' 01010

Vue fa a ste S1bO ... eb lientro ele l>'I!l o CW e:J l lIJra rea.;eral Su cel'\Jfi(,dQ

11." ,\:", \<1. "

'011 ' ''''''' ._:/,,. ,.,~. _.0 ~ ,"'ro " le ~. ,,00.'0"" '" "

r!l.:u:.

Fig. 4.30. Certificada pendiente.

5. En el mismo equipo, en el solicitamos el certificado, debemos retirorlo. Escribimos la direccin http://jupiter.certsrvyseleccionamos la tercera opcin, Com-

probar un certificado pendiente.

, ..
i ;.tl..

~.

e.

I I
E'#J

; ;; l E .

.h,I..\1

e"nv. nldo

UlI 'st' 5100 p,va I~ClIoIi U'1 etrt&CIOco Oira su ~pIoraaor IOfb. l u ~er:I' CIt ( oneo &cunoco 11 0:;0 orl9"ama s~ UIIoI m q.>! 1U)a ac:ranCl:l1nCM;~Ca&.l . poor&ldefllftaorst Of 161a 10'lIIa UQ".J"i hao. Clill pe<'lOllolS en d .. elI. ftmur IIIS mensaes oe CCOleo IIKDlICO. a lfar ~ n'II'I'IUf:1 oe coneo eIeaInco ,m.li Cepencllen:lO celtrpo ere Clm!ftc.ao Q'Je 1\01}'3 S~Cl.ldo
50I.cclon., UIII tano : ,. R~e ~ CelIJbCi(ID CA o la Ista de r!"iOClOeoo ce cerofiClOol:l$ ,. Sai e lar .... ceftJfi caao ro Ccvn;:lobar U1 ceftJI,cadoptnd<'nle

wt'

Sb''' -~ a las que


Fig. 4.31 . Solicitud para retirar certificado pendiente.

Paro leer lo informacin que

fI

6.

Elegimos el certificado, que queremos comprobar si ya ha sido admitido.


~~~~~~~~~~~~~~--------------------~ ~~

contienen los certificadas del


DNI electrnico necesitas un lec-

v .t
i'9 _ il

-~

I f,oo ~ c-o .... _ "" ... .. _~_

.. .

_--'00

tll-a;--1 I
81 43

!!..! ~...--"' el---- ~ """""'cIo""'''''.R

ID---.. . .

p .

tor de DN I; algunos teclados lo


incorporan.

O5e

! i IAI

..1I!!!i!f1l ":'

Comp robar tln' s ollcltud d. cettln ca do pondlente

1' 11"'''.

.
Fig. 4.32. Solicitud para retirar certificado pendiente.

~. '''''

.
(Contina)

Fig. 4.33. Leclar de DNJ electrnico.

Sistemas de identificacin. Criptografa

Caso prctico 8

(Continuacin)

7. Nos dar algunos avisos sobre la instalacin y nos mostrar la opcin de instalar el certificado.

Clrtm""do ImlUdo

Fig. 4 .34. Emisin del certilicado.

8. Instalamos el certificado haciendo elic sobre Instalar este certificado. 9. Respondemos afirmativamente al permiso que nos solicita para agregar los certificados.

Este stIQ 'MIlI eot6 ~ I n ) o n>6s ~ I aste 1IqJpa. PerJrD- qua un 1Ilo 'MIlI <JIII no es d.. con'w.z8 fICtwIce RI5 catfbdcs ~ un lIo$gO por. '-~. El dIQ l'I'eb portIi lnItaIar ClI!tflc.-!os en los qJII no caiIa, lo <JIII poa,' ,1:SlI:1Ir en <JIII P1I'7...a5 qJe no sm d.. arIIan:a se ~ en este lICJ.IIIlo v lCaIdesen a RI5 detos.
lDMM pennb> QW aste P"OQI'IIfIII ~ los a.tfIca:Ios1 Haoa de en S JI arilo en ...te 1Ilo...b. Haoa de en No si no a:t& en ,y.

Fig. 4.35. Aceptamos aadir el certiFicado.

10. Nos muestra una pantalla en la que nos informa de que el certificado ha sido
instalado. I empleadas se conectan desde su casa a la red corporativa haciendo uso de tarjetas inteligentes que contienen la informacin necesaria para el acceso.

Por ltimo, comprobamos que el certificado ha sido bien instalado. Abrimos Internet Explorer y hacemos elic en Herramientas, opciones de Internet. Hacemos elic en la pestaa Contenido y hacemos elic en Certificados.

~I""""I .... " ' - I

lnfonnadn del certlficado

Este [~rtlflcado est destinado a 105 siguientes propsitos:


oProtegll

m rnensajel; di! r;orraa dectr6nico

EmItido por!iTcuCA

Vlido desde 22/09/2009 hasta 22/09/2010

7> TIene trlad.sve privada witspOilkiLe a estll =tr~.

...., ""' _ =. d ;d :"' _ ""':O'


Fig. 4 .36. Certilicada de Fernando.

100

Sistemas de identificacin. Criptografa

Caso flrctico 9

Mandar correo electrnico haciendo uso de un certificado digital utilizando como gestor de correo Outlook Express

Se supone que el usuario tiene configurada una cuenta de correo en Outlook Express.

1. Debemos asociar nuestro certificado de usuario a nuestra cuenta de correo.


Para ello en el men de herramientas del Outlook Express seleccionamos opcin cuentas y hacemos ciic sobre Propiedades.
Internet . ,....."

Cualquiera di,p...

Cerrar
Fig. 4.37. Men herramientas de Out/ook Express.

2. Hacemos ciic sobre la pestaa de seguridad.

'

Propiedades de Sitour

. '

IX

G.".,O/ I~ I~I Segyidad O~ 0.",,0<1..

Cuenta de ceneo
Escriba el nombre que prefiera para referirse a 10$ @ ...." servidOfe$. Por ejemplo, "Trabajo" o ''Servidor de correo de Microsoft",

siloUl
Infonnoci6n do tnIJlIrio
Nombre: Drgarizacin:

IMaca~ena Subtil Marugan


Imacarena@~jtour.e$

Direccin de correo e\eclrrice: Ditec:dn de re$puesla:

M IncIui le cuenta al recibir correo e1eclrnico o sincronizar

Aceptar

Fig. 4.38. Seleccin pestaa de seguridad.

(Contina)

Sistemas de identificacin. Criptografa

Caso p'rctico 9

(Continuacin)

3. En la ventana de Seguridad, hacemos clic sobre el botn Seleccionar del Certificado de firma sobre el certificado expedido a nuestro nombre. Si no apareciese nuestro certificado en esta ventana debe ser porque cuando rellenamos la instancia al solicitar el certificado pusimos uno correo electrnico diferente al que estamos utilizando.

Fig . 4.39. Seleccin del certificado.

4. Cuando queramos enviar correo firmado debemos marcar la opcin firmar digitalmente que se encuentra dentro del men Herramientas a bien hacienda clie sobre el icono adecuado.
lI (ompra de billetes
-

- --

-------Insertar Formato

..

Archivo

Edldn

Ver

111 Para: II! CC:


Asunto: Arlal

JFernando<ventas)

I R.

lcompra de billetes

La compra de los 10000 billetes de avin encargados por el director.. .

.. Fig. 4.40. Envo de correo firmado digitalmente.

La nica farma que tiene el destinataria de comprobar la autenticidad de la firma es mediante el certificado digital del remitente, pues este se ha mandado con el correo electrnico, por lo que puede comprobar la veracidad de la firma. Adems al tener el certificado del remitente podr hacer usa de su clave pblica para mandarle correo cifrado can lo que nos aseguramos el na repudio, la confidencialidad e integridad de la informacin.

Sistemas de identificacin. Criptografa

Comprueba tu a~rendizaie ~
Aplicar mecanismos de seguridad activa describiendo sus caractersticas y relacionndolas con las necesidades de uso del sistema informtico 1. Inventa un mtodo de cifrado simtrico para comunicarte de manera segura con un compaera. Describe sus caractersticas. 2. Describe las caractersticas del morse como mtodo de cifrado. 3. Durante la Segunda Guerra Mundial se desarrollaron numerosas mtodos de cifrado para ocultar la informacin al ejrcito enemigo. Realiza una investigacin que recoja los mtodos de cifrado utilizados durante dicha poca. 4. Descubre el resultado de cifrar mediante Vigenere la siguiente frase: La mquina Enigma fue utilizada por los alemanes utilizando como palabra clave secreta. 5. Cifra mediante el algoritmo del Csar la frase: "El gran avance de la criptografa tuvo lugar durante el siglo xx utilizando el alfabeto castellano. Realiza el cifrado de la frase anterior utilizando el mismo algoritmo con el alfabeto ingls. Has observado alguna diferencia o por el contrario el alfabeto no influye? 6. Relaciona mediante flechas: MD5 Esctala Csar Esteganografa Vigenre IDEA A5 EIGamal 7. Sistema de sustitucin Algoritmo clave privada Funcin resumen Polialfabtico Sistemas de sustitucin Sistema de transposicin Algoritmo clave pblica Algoritmo de flujo b kdv.wd ha vdxfh, Iqfolq<;:qgrvh d vx shvr, do uOr txh oh ehvd, yxhoyh xq ehvr. Asegurar la privacidad de la informacin transmitida en redes informticas describiendo vulnerabilidades e instalando software especfico 9. Instala la aplicacin gratuita pgp que podrs descargar de la pgina hllp://www.inicioo.com/descarga/win/ seguridad/pgp.htm. 10. Crea las parejas de claves que te permitan realizar cifrado asimtrico mediante la aplicacin gratuita pgp. 11. Cifra un documento utilizando la aplicacin del ejercicio anterior.

12. Mediante la aplicacin anterior enva mensajes cifrados a tu compaero y descifra los recibidos. 13. Como hemos comentado en el apartado de certificados, estos nos facilitan muchos trmites por Internet. Solicita un certificado a la Casa de la Moneda y Timbre accediendo a la pgina de www.cert.fnmt.es. Posteriormente debers pasar por la oficina de registro para identificarte y retirarlo segn las instrucciones que aparecen en la propia pgina. 14. Consulta los puntos del carnet de conducir con el certificado digital solicitado en el ejercicio anterior. Solicita el certificado de empadronamiento. 15. Indica qu otros trmites puedes realizar con el certificado digital. 16. Consigue un certificado digital de un compaero y mndale un mensaje cifrado a travs de Outlook Express a su cuenta de correo personal; tu compaero deber descifrarlo utilizando tambin Outlook Express. 17. Investiga lo que contiene en su chip el DNI electrnico, para ello entra en la pgina web del Portal Oficial sobre el DNI electrnico: hllp://www.dnielectronico. es/Guia_Basica/descrip_fisica.html. 18. Haz uso de la esteganografa para ocultar un mensaje tras una fotografa. 19. Enumera los componentes de una infraestructura de clave pblica y explica sus funciones. 20. En las ltimas versiones de la distribucin de Ubuntu las contraseas de los usuarios se guardan cifradas utilizando el algoritmo SHA512 en el fichero /etc/shadow. Contesta a las siguientes preguntas: a) Qu pasos hay que seguir para almacenar las contraseas cifradas utilizando el algoritmo MD5?

Indica el mtodo que se utiliza en el cifrada de la palabra computacin:

nicatupmoc ocpmtucain

0315131621200103091514
8. Descubre la rima de Gustavo Adolfo Bcquer que se encuentra oculta en el siguiente prrafo: ehvd ha dxud txh jlph eodqgdphqwh odv ohyhv rqgdv txh mxjdqgr ulcd; ha vro ehvd d od qxeh hq rfflghqwh b gh sausxud b rur od pdwlcd; od oodpd hq ghuuhgru gho wurqfr duglhqwh sru ehvdu d rwud oodpd vh ghvolcd;

b) Qu comando hay que utilizar para que las contraseas de los usuarios se guarden en el fichero que utilizaban las distribuciones antiguas?

1 /4

~~==~====~~~-------------

Sistemas de identificacin. Criptografa

Esdtala Palybias
Historia

Csar
Vigenere

"--~_.:.......::._--

Clasificacin mtodos criptogrficos

--C

Transposicin

Sustitucin

Criptografa simtrica

Criptografa asimtrica

Criptografa hbrida

Algoritmos

-C

Bloque Flujo

Funcin resumen

Firma

Certifcadas digitales

PKI

l\J~ udlOJcdl

Seguridad activa en el sistema

En esta unidad aprenderemos o:

Instalar, probar y actualizar aplicaciones especficas para la deteccin y eliminacin de software malicioso. Clasificar y detectar las principales incidencias y amenazas lgicas de un subsistema lgico. Aplicar tcnicas de monitorizacin de accesos y actividad identificando situaciones anmalas. Valorar las ventajas que supone la utilizacin de sistemas biomtricos.

y estudiaremos:
La seguridad en el arranque y en particiones. Las actualizaciones y parches de seguridad en el sistema y en las aplicaciones. La autenticacin de usuarios. listas de control de occeso. Lo monitorizocin del sistema.

El software que vulnera la seguridad


del sistema.

1 /5

Seguridad activa en el sistema

----~----------------------------------

l. Introduccin a la seguridad del sistema


El ttulo del tema hace referencia a un concepto que vimos en la primero unidad, la seguridad activa, definido como el conjunto de medidas que previenen o intentan evitar los daos en el sistema infarmtico. Se trata de estudiar qu mecanismos de proteccin podemos utilizar en nuestro equipo infarmtica para evitar accesos indeseados de intrusos (personas a programas informticos). Aprenderemos a mejorar la seguridad en el acceso al ordenador mediante el uso de contraseas en la BiaS y en el gestor de arranque. Tambin aprenderemos a impedir la carga de un sistema operativo desde dispositivos extrables, memoria externa USB, CD/DVD ... , a configurar las contraseas en las cuentas, a mejarar la seguridad ante los ataques definiendo polticas de contraseas y mecanismos de autenticacin, y par ltimo, auditaremos todas las acciones anteriores.

2. Seguridad en el acceso al ordenador


Para evitar cualquier acceso indeseado a nuestra equipo debemos asegurar el arranque del mismo mediante el uso de contraseas. Si analizamos el procesa de encendida del ordenador, recordaremos la importancia que tiene la BiaS en el mismo; es la encargada de localizar y cargar el sistema operativa o gestor de arranque.

2.1. Cmo evitamos que personas ajenas modifiquen la BIOS?


El uso de contraseas para acceder a la BIOS evitar que personal na autorizado realice modificaciones indeseadas en la configuracin de la misma, as como cambios en la secuencia de arranque, lo que permitira la puesta en marcha del equipa desde medias extrables y el acceso a los datos almacenados en el mismo, vulnerando la confidencialidad de estos.

Q
Debida a los numerosos fabricantes de BiaS que hay en el
mercado, recomendamos consul-

Caso p r::r .;: :.;: c! ::; ic "' o :...:. l _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _'"--!


Definimos lo clave de supervisor para proteger el acceso a la BI05

tar el manual de la placa base


para ver las instrucciones especficas.

Can esta prctica vamos a proteger el acceso a la BIOS contra personas na autorizadas y as dificultar el acceso al equipa a dicha personal.

1. Al entrar a la BIOS
accedemos a la pantalla principal (Fig. 5.1). Nos desplazamos por el men hasta la opcin Security que se muestra en la parte superior de la imagen (Fig.S.2).

loglCU D I!lbltte A: J.evICY D listlllle B:


Pr IJ\olry lI.l!lter

(I ,Wl .25 111


[lIMbl . .

< 1Ab> . Clhlfl-fab>. or <Eatm-> selet1.l rie l .

Pr INry SluC!
SCCllIlcary nu ter1

,,."",
11.,,.,,
640 IIB

!lAIYre Ulrtua l
[ ~rt1

Ulrtul l

Secundlry Slaue kybo.trd


Fea t ll~

Para entrar en la BiaS debemos pulsar la tecla Sup o F2 al iniciar


el ordenador, aunque esto real-

Stp tetl IbIory : tlendl!d IItRorlF

2!i1l20 Ka Bool - lI lIIl O lillllllJ:lUC Scn:cn : lD l .... 11IiJ

mente depende de la BiaS del equipo. En el libro se ha hecho uso de la BiaS de VMWare.

Fig. 5.1. Men principal BiaS.

(Contina)

Seguridad activa en el sistema

________ Caso prctico 1


(Continuacin)
Ita Speclftc Help
Superu lsor PasS&IOrd Is : Cleal' User PasS&IOrd ls : Cleal' Se l User PaSS&lOrd
"

A Supen lsor PUSIIIJl'1I

La Figura 5.2 muestra las opciones de seguridad que po demos configurar y el estado de las mismas.
A

LEll lerJ

"

GIl!

controls atce5!S to the setup utlllq,.

Passuord on Il001 :

tD1 Stlbled J

Como podemos ver en dicha figura, la contrasea de Supervisor est vaca (e/ear); con esta opcin permiti mas la modificacin de la BIOS a cualquier persona. As, un intruso podra acceder a la BIOS y modificar la secuencia de arranque del equipo (Primero desde CD, segundo desde LAN, tercera desde HD).

El intruso podra reiniciar el ordenador con un CD pra visto de software malintencionado que le permitira descubrir a los usuarios y las contraseas del equipo. Con la informacin conseguida, tendra acceso a los datos confidenciales de todos los usuarios del sistema.

Fig. 5.2. Men Seguridad.


tt,lin IldUdlUt:J

I'IIIIImIIlllUU,t:p Secur ltg _ _ utllltot !!!!! PUUJ'f Ituut

Con el fin de evitar los posibles intentos de modificacin de la BIOS, definimos una nueva contrasea para el Supervisor.

lJ.lt

StJperu lsor P aSS&.lOrd fs : Clear User Passuord fs : Clear

2. Pulsamos Enter en la opcin Sel Supervisor Password (Definir clave del Supervisor).

3. Se abre un nuevo cuadra de dilogo (Fig. 5.3) en el


que escribimos la contrasea para el Supervisor y posteriormente la verificamos escribindola nuevamente en el campo de confirmacin. A continuacin nos avisar de que los cambios se han realizado con xito. Como vemos en la Figura 5.4 la contrasea de Supervisor figura como asignada (Sel). A partir de este momento siempre que queramos acceder a la BIOS nos exigir que escribamos la contrasea de Supervisor, en caso contrario denegar el acceso.

Fig. 5.3. Introduccin de contrasea.


n ,llll

4. Otra medida de seguridad adicional que podemos


Ita Speclflc Help

Ildu,IIlCl'd

Superulsor I'assuord fs : Seh User Password ls : Clcar

Set lJser Passuord Se1 Superulsor Passuord

[[nterJ
[[nter]

Enables pesuord entry on boot

configurar en la BIOS: evitar que personal no autorizado acceda al sistema introduciendo la clave de Supervisor en el momento de arrancar el equipo. Para ello activaremos la opcin de Password on bool (contrasea en el arranque). Es decir, la contrasea que definimos en la BIOS ser solicitada al usuario tanto en el acceso a la BIOS como en el acceso al sistema operativo o gestor de arranque. En resumen, con estas medidas hemos evitado que personas no autorizadas puedan modificar la configuracin de la BIOS permitiendo, por ejemplo, el arranque del sistema mediante dispositivos extrables, y acceder as a los datos almacenados en el equipo vulnerando la confidencialidad de estos.

Fig . 5.4. Contrasea Supervisor en arranque de la BIOS.

~/5

Seguridad activa en el sistema

----~----------------------------------

2.2. Cmo proteger el GRUB con contrasea?


Si se te olvida la contrasea de

la BIOS, tendrs que abrir el pe y quitar durante un rata la pila de la placa base. Despus volvemos a instalarla

Para evitar que personas no autarizadas tengan acceso a la edicin de las opciones de arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una
contrasea.

y ya

tenemos

reseteada la BIOS can la configuracin del fabricante.

Caso "rdico 2 :..-_ _ _ _ _ __

Definicin de contraseas en el GRUB en modo texto


Durante este proceso, vamos a modificar el fichero que almacena la configuracin del gestor de arranque (GRUB), por lo que es recomendable realizar una copia de seguridad del mismo, para poder restaurarla en caso de que se produjese algn error en el arranque como consecuencia de las modificaciones realizadas.

~ ACtiVidades.
1. Un tcnico de seguridad
informtica inexperto tiene protegido el acceso a la BIOS mediante la contrasea de Supervisor. Cuando otras usuarios pretenden entrar en la BIOS de los ordenadares les solicita la clave del Supervisor. Este no
quiere comunicar esta

1. Para ello, abrimos un nuevo terminal y tecleamos las instrucciones que aparecen en la Figura 5.5. Estas instrucciones realizan una copia de seguridad del fichero
menu.lst y la edicin del mismo.

root@Jupiter:/home/administrador# sudo cp /boot/grub/menu,lst Iboottgrub/copiam enu.lst root@Jupi t er:/home~ministrador# sudo gedit Iboot/g rub/menu.lst

Fig. 5.5.

Instruccin para edifor menu .1st.

2. Buscamos la lnea #password topsecret. 3. Borramos la almohadilla, es decir le quitamos el comentario y cambiamos la
contrasea topsecret por la que nosotros queramos; en nuestro ejemplo hemos elegido patato (Fig. 5.6). Se guardan los cambios en el fichera menu.lst y se reinicia la mquina para prabar la modificacin realizada.

contrasea a los usuarios de los equipos e idea una solucin para solventar el prablema: definir la
contrasea de usuario en

la BIOS. Indica los pasos que debe realizar.

2. Desactiva la opcin de la

BIOS, en caso de tenerla activada, que sirve para encender el equipo de forma remota a travs de la red.

Imprimir... I Deshacer Rehacer

Cortar Copiar Pegar

swo rd [ ' -- md5 ' 1 passwd

in the first section of a menu file, disab1e a11 interactive and entries protected by the

Windows 95/98/NT/2GGG El gestor de arranque GRUB (Grand Unirier Boatloader) permite seleccionar entre los distintos sistemas operativos que ten-

(hd8,8

Fig. 5.6 . Modificacin del parmetro password en el archivo menu . 1st.

gamos instalados en el equipo. Este gestor es el que habitualmente instalan por defecto las
nuevas distribuciones de siste-

mas GNU/Linux.

Para finalizar reiniciamos el equipo y comprobamos, simulando ser un usuario que no conoce la contrasea, que no podremos modificar las opciones de arranque que nos muestra el gestor de arranque.

Seguridad activa en el sistema

_ _ _.:: C!:! as ~ o ~IRrctico 3 Definicin de contraseas cifradas en el GRUB en modo texto


Las contraseas para acceder a los sistemas operativos gestionados por el gestor de arranque

1. Debemos abrir un nuevo terminal y escribir grub.


2. A continuocin, como podemos ver en la Figura 5.7, escribimos el subcomando rndScrypt que nos permitir encriptar la contrasea que queramos poner. 3. Escribimos la clave a codificar y el programa nos muestra el password codificado. 4. Par ltimo, para salir del grub debemos escribir quit (salir).

deben cifrarse. Si nos descubren la clave que permite acceder a


lo edicin del GRUB veran lo

contrasea y por tanto accederan al sistema. Si por el contra-

rio la clave se encuentra cifrada veran una cadena de caracteres sin sentido.

suppo rted.
wo rd . TAB poss i ble completions of a devi ce/fi lenam e. ]

For

comm and

com pletions . A nywhere else TAB l i sts t he possi ble grub> md5c rypt
Password : ***********

Encrypted: SlSgR24C/S rgwwCuiY nkfl4osBpe4m O . grub> quit

Fig. 5.7. Encriptacin de la contrasea.

5. Una vez encriptada la contrasea, deberemos copiarla en el fichero rnenu.lst, como podemos ver en la Figura 5.8. Fjate que la lnea no es similar a la de la prctica anteriar, ya que se ha aadido la opcin --rndS, que indica que la contrasea est encriptada.
.' if Archivo !;ditar Ver .Il.uscar Herram ientas .Qocumentos Aluda

Podemos abrir un nuevo terminal de diversas maneras: pulsando ALT + F2, que nos abrir uno ventano en lo que debe-

mos escribir gnorne-terrninal


Copiar Pegar

Nuevo Abrir

lb

rE

Guardar

la l

Imprim ir...

Deshacer Rehacer

I Cortar ~

IFig. 5.91 o bien haciendo elic

sobre Aplicaciones, Accesorios y Terminal.

~ ;l

.,

1## passwo rd [ ' - -md5 ' 1 passwd I~_;!,used in t he fi rst secti on of a m enu file, di sable all i nteracti ve

I:U~~~~~Ol (m enu entry edi to r command ' lock ' lit e.g. passvlO rd topsec r et
In'....

and command -linel

and entries protected by t he

( #, .,".~asswo rd - -md5 SlSgLhUO/Sal'178kHK1QfV3P2b2znUoe/ -- m d5 Sl$gR24C/$rgwwcuiYnkfl4osBpe4m O.

fo
1; exam ples 1# title 1 # root
Windows 95/98/NT/ 20ee
11
l onome- ttrml ~ 1

1#

(hde,el

1::]
b:
~ " C: .:_ rI

m akeactive
1>

o Ejuuta r en!Jna wmlMI IEjecutarton el arthi vo..1


r.1 ostrllr la ll sUl de plltadones co nodd15

Fig. 5.8. Contrasea de acceso a GRUB cifrada.

( Iiil''','' I

I Q ,;ancelar 1 l e

Fig. 5.9. Arranque Terminal.

109

Seguridad activa en e! sistema

Caso R :.: r"' "" ct "ic '"' 0 '-4 ..:.._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--t

Establecer contraseas al arranque de 105 sistemas operativos controlados por el GRUB


Con esta prctica evitaremos el acceso a los sistemas operativos gestionados por el GRUB a personal no autorizado.

1. Editamos el fichero de configuracin del GRUB, menu.lst y al final del mismo


buscamos las lneas donde se define el ttulo del sistema operativo (title) ya con tinuacin escribiremos password --mdS y la contrasea .

.
~ menu.lst

:"

Q, ' "

Archivo .Editar ~ .a.uscar__ ..!!:.~!Tllenta~ocumentos Aluda _ _ _ _ __ _ _ 1

N~O ~r v Guardar I Imp~ir... I Deshacer


01
## ## End Default Optians ##

r ehacer

I c!

r c! ar 1': ;;1

v I;

title Ubuntu 9.94, kernel 2.6.2811generic password patata uuid 66d4a68S9Bde4B7cb4d4 7237cb47799b kernel /boat/vmUnuz 2. 6. 2s-11-generic roat::UUID::66d4aSBS -BBde-4B7c' b4d4-7237cb47799b ro quiet splash initrd /boat/ ini t rd. irng- 2.6. 28-11-generic quiet title Ubuntu 9.84, kernel 2.6.2811generic (recovery made) password rnd5 SlSAgZW7/SSl35rvzlRkP!ChgW9pUU9/ uuid 66d4aSB5 Bsde4S7c b4d4 7237cb47799b kernel /boattvmlinuz 2.6.28 -ll-generic raot=UUID=66d4a885 -8ade-487cb4d4-7237cb47799b ro single ini trd !boot!ini trd. img -2.6. 28-11-generic .,, it; tl",' -_ _- 'lIhIUltJ..L...9.-B4
m e n te~tR "' . '_

_ _ _ _ _ _ _ _ _ _ _ _ _...Jl..J

Fig. 5.10. Contrasea de acceso al sistema Ubuntu cifrada.

~caso" ~r~ ~ ct~ ic~ 0~5 ~--------------------------------_ _--,


Establecer contrasea del gestor de arranque mediante lo aplicacin startupmanager en LINUX, distribucin Ubuntu 9.04, para evitar el acceso a 105 sistemas operativos ges tionados por el GRUB o personal no autorizado utilizando uno aplicacin visual

1. En primer lugar debemos instalar la aplicacin en


Archivo .Editar flquete tonfiguracln A Y lIda

Re~rgar
lbdD

Marcartodas

I~ctuallzaclones

lIp1i GIr

prop~ades I
I Versin Instalada I ltima
1.9.12-

Ubuntu mediante el gestor de paquetes Synaptic, como podemos ver en las Figuras 5.11 y 5.12.
:~

startupmanager

'H

El

I Paquete startupmanager

Instalando software
1- 1

lOs cambios marcados se estan aplicando ahora . Esto puede llevar algo de tiempo. Por favor, espere.

I~.~I~~~~~~~~[)J IObtener captura de pantalla I


.5.ecclones
~tado

Grub and Splash screen conflgurntlon

Ejecutando disparador postinstalacin doc-bqse O Cerrar esta ventana automticamente tras aplicarse los cambios con xito
1> Detalles

Origen filtros per.;onaUzadas Besultados de bsqueda

StartUp-Manager configures sorne settings for grub and splash screens (Currently only Usplash). It provides an easy to use interface. lt Is origlnally a Ubuntu project. adapted for Debi an.

....=.., __

El

I
I

~ ~enor I

l!.E.!. quetes listados, 1179 Instalados, o rotos. Oeara Instalar/actualizar, Opara desInstalar

Fig. 5.12. Instalacin starfupmanager. Fig. 5.11. Gestor 5ynoptic.


110
(Contina)

Seguridad activa en el sistema

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _.....;C ::::a :::s :.:: a :..lflrctico 5


(Continuacin)

2. Una vez instalado, ejecutamos el programa accediendo a Sistema> Administracin> Administrador de Arranque (Fig. 5.13).

3. Hacemos clic sobre la pestaa de seguridad, activamos la opcin de Proteger con contraseo e( cargador de arranque y escribimos la clave elegida como podemos ver en la Figuro 5.14. Para finalizar reiniciamos la mquina y comprobamos cmo afecta el cambio a la configuracin del arranque.

'fE

Acerca de GNOM E

01' Acerca de Ubuntu


Fig. 5.13. Administrador de Arranque.

fIl

COntroladores de hardware

-1t. creador de discos de arranque USB

.,

Administrador de Arranque

e x

opciones de arranque

IAspecto Iseguridad IAvanzadol

Opciones de proteccin
~

Proteger con contrasea el cargador de arranque

O Proteger con contrasea el modo de rescate O Proteger con contrasea las opciones antiguas de arranque
Cambiar Contrasea COntrasea:
COnfirmar contrasea:

IActualizar contrasea
lA
liij;

l l I
~

1:

I I

l'

Q
I ~ AYlld 1

COntrasea modificada

I ~ Aceptar I I ~ Qlrrar I

Fig. 5.1 4. Configurando contrasea en sfarfupmanoger.

Actividades ~
3. Haz el Caso prctico 5 ejecutando el programa directamente en el terminal. Recuerda que debers tener privilegios de administrodar para poder realizarlo. 4. Comprueba si el programa startupmanager escribe las contraseas en el archivo menu.lst del GRUB cifradas o en texto clara.

Seguridad activa en el sistema

2.3. Cifrado de particiones

En este apartado vamos a estudiar cmo proteger la confidencialidad de los datos almacenados en los distintos volmenes del equipo mediante el cifrado de particiones. Cualquier software de encriptacin de disco proteg", la informacin contra el acceso de personas no autorizadas.

~ Casa prctica 6
Ci rar una particin en Windows Con esta prctica conseguiremos proteger una particin de Windows, la informacin no ser accesible para aqueIlas personas que no conozcan la clave. Para realizar esta actividad vamos a utilizar un programa de cdigo abierto, gratuito, DiskCryptor (hHp://www.diskcryptor.de/en/downloads/). Para instalar esta aplicacin slo necesita mos 10 MB de espacio en disco duro y Microsoft Windows

l. Nos descargamos DiskCryptor 0.7, lo de scomprimimos


y hacemos doble clic sobre el archivo dcrypt que se encuentra en la carpeta i386 (Fig. 5.15); a continuacin respondemos afirmativamente a la pre gunta sobre la instalacin del controlador DiskCryptor. Tipo
Archivo de sistema Extensin de la apl ... Aplicacin Aplicacin Archivo de sistema Aplicacin Tamao
17 KB 140 KB 47 KB 123 KB 136 KB 12 KB

I Nombre
~ de_lsf.sys ~ de.pi.dll
~ deeon

I Fecha modificacin

Etiquetas

Iii: derypt
~ derypt.sys ~ diskspeed

31/05/200914:50 31/05/200914:51 31/05/200914:50 31/05/200914:50 31/05/200914:50 31/05/200914:50

Confirm

L~-""'J

rO
I

Insl.1I DiskCryptor driver?

II:!

sr

No

Fig. 5.15. Inslalacin del conlrolador DiskCryplor.

2.

Una vez instalado ejecutamos la aplicacin dcrypt.

I!ii: DiskCryptor 0.7.435.90


Fil e Vo lume!; Tool5

.
He1 e

.
L.b~l~
WinRE
Vistzl Nuevo vol

l o l@)1 13
H ome~

r
I

I Disk Orives

f>lount

I
I

I
(3

Size I

Status

I
boot

I
oyo

1.46 gb E) ;,: 143gb E) Q,: 1.63 gb "" HI.-DT-ST D\'IlAAM GSA-T2llN Obytes oiJ .: IL "" HI.-DT-ST DVORAM GSAT2llN G!J E: Obytes

TOSHIBA MKl637GSX 13 yolumel

~ncr ypt

NlFS NlFS NlFS

QeClypt

MountAD

!::!nrnount AH

Ij I I! I

I
(Conlina)

Fig. 5.16. Programa DiskCryplor.

112

Seguridad activa en el sistema

Caso prctico 6
(Continuacin)

~I 9

Como hemos visto en la Figura 5.16 la aplicacin visualiza las unidades de disco que puedes encriptar. En nuestro caso, lo que queremos encriptar es la D:, unidad dedicada a datos.

3. La seleccionamos y hacemos clic sobre el botn Encrypt (cifrar). Posteriormente deberemos seleccionar entre los distintos algoritmos de encriptacin (A ES, Twofish, Serpent, AES-Twofish, Serpent-AES, AES-Twofish-Serpent ... ) y hacer clic en el botn Next (siguiente).

Illi: OiskC'}'Ptor 0.7.435.90


File Volumes
To o l ~

Ji~
Hel ~

..

statu, 1
NTFS NTFS NTFS

1 = I@] I
rllount

13

H o mep a~e

!Disk Orivos

I
g

Size

labell...:r=l
'f1nRE
Vista Nuevo vol

TOSHIBA MK1637GSX 13 yo/umel


g
~:

' " Q.: I = ",.nT~

1.<6 gb 143101b 1. 63 101b

boot

",crypt
-ecrypt

oY'

Mount AlI

\Device\HarddiskVolume3 Encryption SeWngs

U;U

U,nrnount Al!

I I I I I
!

A1lO1oritnm: Vfpe Mode:

IAES-Twofish-Serpent INone

3
..=J

'.

Fig. 5.17. Seleccin del algoritmo de encripfacin.

4. En la siguiente pantalla, deberemos escribir la contrasea de encriptacin. Adems, en este paso la aplicacin nos infarma de la vulnerabilidad de nuestra contrasea segn un grfico. La contrasea que hemos
e

escrito es $1 Nab74c$b!@12 y es considerada de dificultad Media. Pulsamos OK y despus de unos minutos tendremos cifrada la unidad y fuera del alcance de personas que no conozcan la clave de cifrado.

\Device\HarddiskVolume3 Volume Password

~
I

password:lzzzzzzzzzzzzzc confirm:lzcxzzzzzzzzzzz
StabJs: Correct Layout: QWERTY Password Rating

I I

.how Password Use Keyles !;.eyfiles


1

1 :'

l'
I

::::1
Digits CapsLatin

Medium 5mall Latin

"
l'

5pecial 5ymbols

I !;.ancel

.ad<

I OK

Fig. 5. 18. Configuracin de la contrasea.

Seguridad activa en el sistema

Casa rdica 7

Cifrar una particin en Linux Vamos a aprender o encriptar una unidad USB en Linux con el programa TrueCrypt, aplicacin gratuita que nos podemos descargar de la pgina hHp://www.truecrypt.org. Con ello conseguimos que aquellas personas que no conozcan la elave no puedan acceder a la informacin almacenada en la unidad USB.

1. Para instalar TrueCrypt, debemos descargarnos la versin para la distribucin de GNU/Linux del programa (en nuestro caso Ubuntu) de dicha pgina, descomprimirlo y ejecutar el programa de instalacin. 2. Tras instalarlo, ejecutamos la aplicacin y veremos una ventana similar a la Figura 5.19.

~, ~,

". "'....,

~,
~,

~.
~, ~,

~. ~.

... u

~" ~"

l' "11" I lo ; [1~;;;;~~===~~~~I .S! I I I I Ia _ _


\o1I1um.

..
5.1.&1. ...

I
I

ilI t::! ....uulV.hlllury

~Ium. Ibol,,,.

s.lnl Ctvie.".

:1

M OUl'll

I I!IIIO.Mount O.-.im I 1

01 11110II1II-"1

I!

,,.

Fig. 5.19. Ventana principal TrueCrypt.

En la Figura 5.19 vemos una lista de todas las unidades de TrueCrypt. Como acabamos de instalarlo, no tiene ninguna de ellas asignada. 3. Para cifrar la unidad de USB, debemos hacer elic en el botn ereate Volume (crear unidad). A continuacin, se abrir una ventana, en la que se muestran dos opciones:

La primera de ellas es la que el programa recomienda para el personal inexperto. En este caso na es necesario formatear la unidad, solo crea una carpeta donde su contenido ser cifrado. 4. La segunda opcin ser la que seleccionaremos para alcanzar nuestro objetivo. La aplicacin nos advierte que al realizar esta eleccin se formatear la unidad y cifrar la particin. A continuacin, deberemos ver una nueva pantalla similar a la Figura 5.20 .

ereate an encrypted file container (crear una carpeta


cifrada).

ereate a volumen within a parlilion/drive (crear una


unidad para una particin a dispositivo).

Volurnc Type
<J 1 11andl,d bu lCm>I ::!!.!!ci!!J 111..,,111, 1p1llft ~ Y'~ "0/1111 n ..11 Mlmll.,.,oc~

1'C1um.,

o HI.IId.n ltU'Cl'l'Il1 .... 1\Jm1

~~~':':~~:::~::=~'::~~::::~7 L!~=~.
w ......

nuy h.,~.ft Ih.

)'OY "" '~" od by

.,mola""lo r.....' " ...

duo! " 1>I""tnl.1/m1 1 ..u! .d h<!:IM...un. tI~)'OY l ~t.<o . ,.., . lulllOf\I l0lII00 .. 'lIVIaUt9 ti.. pnrr.td 10 r-

..

'-____________________________F _ig _._5 _._ 20 _._S _e_k _c_ c_ 0_ n_d _e_t_ ~ _o_d _e __ un _i_ d_ ad _. _________________________________ (Contin~ )

Seguridad activa en el sistema

r
9

...._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--'C ~ a.5o prctico 7


(Continuacin)

5. Seleccionamos la primera opcin Standard TrueCrypt volumen (crear una unidad TrueCryprt narmal) y hace
mos clic sobre el botn Next.

6. En la siguiente pantalla (Fig. 5.21), debemos seleccionar la unidad a formatear. Hacemos clic en el botn Select Device (seleccionar dispositivo).

Volume Location

~------------------~I~I ~~~
!ill Heversilve hlstery

A devlc:e-hcsted 1lueQypt vclume can be created wlthln a hard disk panltlon, sol!d-state drive, USB memory stick, and other stomge device5. WARNING: Note that the panltionJdevice wil! be rorrnatted and al! data currently stered en it wlll be lest.

Fg. 5.21 . Seleccin de dispositivo.

Aparece una pantalla (Fig. 5.22) con todos los dispositivos de almacenamiento que tenemos conectados al ordenador. Seleccionamos el dispositivo USB reconocido en nuestro caso como /dev/sdb 1 de 483 MB. Dependiendo de la distribucin de Linux y de los distintos dispositivos conectados en el equipo puede ser reconocida con otro nombre .

8. Posteriormente, como podemos ver en la imagen (Fig.


5.23), debemos seleccionar el algoritmo de encriptacin. Las opciones son numerosas, AES, Blowfish, Serpent, Twofish, AES-Twofish-Serpent ... En nuestro ejemplo hemos seleccionado el algoritmo AES-TwofishSerpent RIPEMD-160 para generar la clave. A continuacin hacemos clic sobre el botn Next.

... ., .
Oevlce .... {dev/sda: Idev/sda1 {dev/sda5 Idevfsda6 .... /dev/sdb: {dev/Sdb1 Slze Meunt Olrectcry 10,0 GB
3,7 GS { 4,7 GS (heme

--

Encryption Options
EncryptienAlgerithm - -

1,6 GS
494 MB

~IAE .::':...Two = ",:.. h.;:; ",,~:::'":..'__________--'-':11

Int

Threa ciphors in iiI cascado operating in XTS meda. Ellch bloc\:: is


4!B MS /media/disk

first encrypted with Serpent !2S6-bit kay), thao wilh l'wcfi$h (2S6.bit kayl. and finallywith AES (2S6bit key). Ellth cipher usos its OWI\ key. AlI key5 are mutually m/apandent.

Moro jnfpUVt!90

Hash Algcrithm

~!~ pEEM~D;:.16O===: .. JJ: Infpuva!jgo po bp!b BIgQri!bmt

IO &anceJar l

IQ

AlIl da

I <frev

1 I tloxt>

IO &oncelarl

Fig. 5.22 . Seleccin de particin.

Fig. 5.23. Eleccin del algoritmo de cifrado.

9. Aparece una nueva pantalla (Fig. 5.24) en la que introduciremos la contrasea. En este punto, la aplicacin nos advierte de la importancia de elegir una buena contrasea; que no sean palabras que podamos encontrar en diccionarios o combinaciones de varias. La clave no debe tener informacin personal como nombre o fecha de nacimiento. Una buena contrasea debe ser una

combinacin de letras maysculas, minsculas, nmeros y caracteres especiales, $,+,-@, ... Recomienda que el tamao de la misma sea de ms de 20 caracteres. Cuanto mayor sea el nmero, menos vulnerable ser la
contrasea.

TrueCrypt admite contraseas de hasta 64 caracteres.


(Contina)

~/5

Seguridad activa en el sistema ~--~----------------------------

~caSOp. ~ r ~ ~ ct ~ ic ~ O ~ 7 ~

______________~______________________~________________________--,

(Continuacin)

10. Si activamos la opcin Disp(ay password (visualizar clave), podemos ver los caracteres de la contrasea. Escribimos la elave y hacemos elic en el botn Next.

~ u~ "~' :~:"~ ~': .": ~:~~ "~ ' ~==~~:E~ f~~::::~: Volumc Pll.'l'iword
,."......"i!; .. ...... .. .. .. .. .. .. e.mm FOI,,,,,r<I: l!:
D~e!!.'3:
o u.I..,.N..

~~~~~~~~~~~~5

,,,..,_... ... lhot,,,"d,. .......... F.. ....,,.,.."' .... ; """,..._<rlt.WvI ..,.,lhot ..,Ib.
_u.....,~

+ 01"", ,.. o"",,,,'" <h .. ,~. po ..... '" """""'11 01 rmn _10 ' _... (1ho'""1"."'.,,~ .. ). n,.m ....... po .. tl. Io~" .... <.,.",,, .,.

..'''''oI~p"o.nd ...... ",. loto." . ..m......... ,.,,;01 tIIoru'tn. , ..."


, .,. ... .. Q. . . F........-d .......... ""'''~n

_" .....
,_

... , ... .., "'7".,...... , ..... oINt~ . ..nool:lIlOC.' "'Y


~

'1( .... <_.,,IoI~J . .,.wt~\OOI'd,I ,

Fig. 5. 24. Definicin de contrasea.

11. A continuacin, debemos elegir el tipo de sistema de


ficheros que utilizaremos en nuestro USB. Debemos tener en cuenta dnde vamos a utilizar el dispositivo; si solo lo fusemos a utilizar en Linux, lo formatearamos en EXT3, pero si adems quisisemos utilizarlo en Windows, deberamos formatearlo en FAT. Como nosotros lo vamos a utilizar indistintamente en Linux y en Windows, lo formateamos con el sistema de archivos FAT. Antes de formatear la aplicacin nos recomiendan que hagamos movimientos con el ratn. Estos calcularn los valores aleatorios que se utilizarn para crear la elave de cifrado. Si ests seguro de que no tienes ningn dato importante que pudieses perder en el USB puedes
Lugares

seguir con el proceso dando formato al dispositivo. El proceso ha finalizado, la unidad ya est preparada poro que todos los datos que introduzcamos en ella sean cifrados automticamente, es decir que trabaje de forma transparente para el usuario.

12. Antes de utilizar la unidad USB debemos montarla


con la aplicacin TrueCrypt, para ello debemos volver a la pantalla inicial de dicha aplicacin (Fig 5.19) Y hacer elic sobre Se(eet Deviee (seleccionar dispositivo). Se abrir una ventana similar a la de la Figura 5.22, donde elegiremos la unidad que hemos cifrado. A continuacin la aplicacin solicitar la contrasea. Una vez que introducimos la contrasea, la unidad se monta como truecryptl (Fig. 5.25).

1 Sistema f!@ O

([C) Carpeta personal

!,
1:
I

; Escritorio
O Documentos O Msica ID Imgenes El Vdeos
~ Equipo

I!
l'

W Ubuntu 9.04 i386


{;d
Disquete

~ Soporte de 507,5 MiS


1 '=

IQ t~CryPtl
;m DQd

tnuecryPtll

Fig. 5.25. Unidad montada.

Seguridad activa en el sistema

2.4. Cuotas de disco

La mayora de las sistemas operativos poseen meconismos pora impedir que ciertos usuarios hagan un uso indebido de la capacidad del disco, y as evitar la ralentizacin del equipo por saturacin del sistema de ficheras y el perjuicio al resto de los usuarios al limitarles el espacio en el disco. Las cuotas de disco se pueden configurar en funcin de varios criterios, segn usuarios, grupos o por volmenes. Veamos esto ltimo con ejemplos: Supongamos una familia de tres miembros, Macarena, Fernando y Gustavo. Podramos establecer una cuota de disco para Gustavo de 2GB, para Macarena de 2GB y para Fernando que suele manejar planos que ocupan mucho espacio, le permitimos una cuota de 20 GB. Es decir, cada usuario puede tener una cuota distinta en funcin de sus necesidades; no tienen por qu tener todos la misma. Supongamos la empresa de construccin SiCom, en la que los usuarios se encuentran clasificados por grupos, Contabilidad, Arquitectos y Direccin. Repartiremos el sistema de ficheros entre los diversos grupos en funcin de las necesidades de los mismos. El grupo de Contabilidad suele trabajar con archivos Excel y Word, de pequeo tamao, al igual que el grupo de direccin. Sin embargo, el grupo de Arquitectos necesitan mucho espacio, ya que suelen trabajar con herramientas CAD. En funcin de las necesidades anteriores y el nmero de usuarios adscritos a esos grupos se definen las cuotas, 20 GB para el grupo de contabilidad, 8 GB para el grupo de direccin y 1 TB para el grupo de arquitectos. Supongamos que en un PC hay dos particiones, una de las particiones podra tener cuotas de usuario muy restrictivas y en la otra particin tener otras cuotas menos limitadas o incluso ni siquiera tenerlas.

Herramientas CAD. Son aplicaciones de Diseo Asistido por

Ordenador.

... . ~
Las cuotas de disco en Windows solo se pueden utilizar sobre volmenes con sistemas de fiche-

ros NTFS.

Cuidado con ser excesivamente restrictivo con la cuota. Podramos impedir incluso el inicio de sesin de un usuario, por no tener suficiente espacio para crear su carpeta en Documents

and Settings.

Activacin y uso de cuotas de disco en Windows

Para activar las cuotas de disco en una particin en Windows debemos seguir los siguientes pasos: Debemos hacer clic en el botn derecho sobre la particin donde queremos establecer las cuotas y elegir la opcin ProGeneral Heuamienlas Hardware I Compartir Cuota ' -_ _ _ _ _ __ - ,

piedades.
Habilitamos la administracin de la cuota seleccionando la casilla (Fig. 5.26). Si solo queremos hacer un seguimiento del uso del sistema de ficheros por parte de los usuarios y grupos no seleccionaremos la siguiente opcin que muestra la Figura 5.27, Denegar espacio de disco a usuarios que excedan el lmite de cuota.
~ I_ ." _

Estado: Las cuotas de disco estn deshabilitadas q{labilital laadministrllcin de cuota

~ enegar e:pacio de dl:CO a u:uali01: Que e:.:ced"n et lmite de cuota


Seleccionar el limite de cuota predetermlrllldo p<:ra !1 ue vo~ u ~ u wio;
trl

e:te VG t~lm e rl:

1,10 F mi\aru:o de di:co


Llm:tar e:;ncio de di:co a

I s u~ lirrr.te

""". ,_
'n '"

........

.v-.
'-...
c...... j ,.;:., ...
." "
ll" '"

E~t,btecer el nivel di; idvl!llenc.a en IS1 !1 lrnlte

I ~I=~vl
I LI_ ' - ' .vJI

.."'.

'~

...<t.

.."". Iil.,,,,.
, il ., ....

.."'.

'.........

\........

u... , ,, ,....

Se li?cci on ii ~ 1 3 ~ OP CiOll !!~

de registro de cuola pera e:le volum en

'.,"'. ~ """.

"" " , ~" " 1~1" '" .,..,,,,


n ,~ HI

..

", '" """" ........,


" """
s:.."""

o Regl:tr.;,r

~ UCC:D cUOindo un u:uar io e ~ce da ~ u 1 1 m:te de cuola

O Aeg::lrar :U :t::O cU:'lido un u:ualio eMced::. ~ u nivel de adyerlenci

[ Valores da cuota ..

. ;

-,,

Fig. 5.26. Cuotos.

Aceptal

Cancellll

I,p!:car

Seguridad activo en el sistema

Para ejecutar el visor de sucesos podemos escribir evenfvwr. msc en la consola o en el men

Si por el contrario queremos limitar el espacio del sistema de fi cheros a los usuarios, debemos definir lo capacidad de disco de lo que van a disponer cada uno de ellas, as como del nivel de advertencia y activar la opcin de Denegar espacia de disco a usuarios que excedan el lmite de cuota.
Propiedades de Disco IDeal (e:)

ejecutar de Inicio, o ir a Panel de Control> Herramientas


Administrativas > Visor de Sucesos.

L1l~

Estada: lM ewtas de mctl edn deshabitada:

o Habitar la admristracin de cuota o Denegar espacio de lisctl a lmlare: que excedan ellrmie de cuot.,
SeIecc:ions ellrttie de cuolapedetenmaoo par., lIJeVOS usuarios enWe vobnen:

O No 5rMet UUI de disco 0l.ri<>.,...;ode_.

~ Actividades
5. Piensa de qu forma un administrador de un servidor de correo electrnico podra asignar 100 MB de espacio en disco o usuorias de paga y 5MB 01 resto de usuarios regi stradas. 6. Creo un usuaria y osgno le uno cuota de ton solo 1 MB. Puedes arrancar una nuevo sesin con este usuario? Justifico lo respuesto.

Est"ecet el rive! de

l' 11 GB vi ~tencia en 1~ 900 ;;;==~1 ~ t M~ B=='~~I

Seleccionar las opciones de r~tro de cuota para este volumen:

O Aegi$trar suceso cuando Ir!lmlao exceda su I(mite de CI..IOla O Aes;wet suceso cuando Ir! ~ ~ tu rivel de .advertencia
Vm e: de cuala...

Fig. 5.27. Limitacin de espacios .

Si se marcan los dos opciones que aparecen al final de la Figura 5.27, el sistema opera tivo registrara los eventos, haber superado el nivel de advertencia o haber superado el lmite de cuota, en el visor de sucesos. El usuario puede ver mediante el visor de sucesos dicha informacin (Figs. 5.28 y 5.29).

11 Visor de sucesos -- -

-- -

[)@]l:8}

------ Propfedades de Suceso


Suceso

---r:1l ~

I
n :ti l"' ~I I IS

InfDrmadYI

16/0712009

16/07/2009 '6/07/2009 16/07/2009 '6/07/2009 16/07/2009

17.56:36 17:55:59 17:55:52 17:5:52 17:55:4i 17:55:44

rtfs
SeM:e Cottrol Manaoer Setvi::e eooool M.wger

-""'"""-

SeM:e (<<tro! Manager _""'01",,-

....... ....... ....... .......

.......

Disco

Fecha: Hora: Tipo: Usuario: Equipo:

17:56:36 Informacin
ANA3\Pedro

Qligen: Nlfs Calegorfe: Disco Id. suceso: 36

---.!J
~ ~

ANA3

Desc,~

Un uwario ha alcanzado su umbJaI de cuota en el volumen C:. Para obtener ms informacin. vea el Centso de ayuda}' soporte tMCO en http://oo.m icrosolt.com/lwlinkJevents.asp.
I

~.

Datos:

B ytes

O YJord
__ D ... O.
f; [J

0000 : 06 00 44 00 az 00 9Z DO 000 8: az 00 00 00 Z4 00 04 40

I
:Yl

I~

0010: 00 00 0 0 00 00 00 00 00

. ... .. ..

~
Fig. 5.28. Visor de sucesos.

A~eplaJ

[ Cancela

Ap ~c ar

Fig . 5.29. Propiedodes de suceso.


1 18

Seguridad activa en el sistema

Cuotos de usuorio en UBUNTU

Para gestionar las cuotas de discos en Linux vamos a utilizar la herramienta de configuracin del sistema conocida como Webmin. Esta herramienta no viene instalada por defecto con el sistema operativo, as que tendremos que instalarla utilizando el gestor de paquetes Synaptic o utilizando el comando apt-get. En este caso, vamos a realizarlo utilizando la orden apt-get. Debemos seguir los po sos que se detallan a continuacin. Para que el comando apt-get funcione e instale correctamente esta herramienta, debemos aadir el repositorio http://download.webmin.com/download/repository sarge con trib al final del fichero sources.list mediante la orden gedit, como vemos en la Figura 5.30.

~.

'.

" ff

En caso de no tener instalado el paquete quota permite definir las cuotas de disco en Linux) usa remos la orden apt-get install guota.

root@ana root@ana-desktop:-# gedit letc/apt/sources.list root@ana-desktop:-# cd Iroot root@ana-desktop:/root# wget http.llwww.webmin.com/jcameron-key .asc 2999-07-20 13:97:59-- http://http.//www.webmin.com/jcameron-key.asc Resolviendo http .... fall: Nombre servicio desconocido. wget: no se puede resolver la direccin del equipo ahttp.n root@ana-desktop:/root# wget http://www.webmin.com/jcameron-key.asc -2909-07-20 13:98:39-- http://\~.webmin.com/jcameron-key.asc Resolviendo www.webmin.com ... 216.34.181.97 Conectando a www.webmin . com I216.34.1S1.971:S0 ... conectado. Peticin HTTP enviada, esperando respuesta ... 2000K Longitud : 1329 (l,3K) [text/plain] Guardando: ajcameron-key.ascn
la8%[ 2889-a7-28 13,88,43 114,a Ha/51
>] 1.329

--.-K/s

en 9s

'jcameron-key.asc' guardado [1329/1329)

root@ana-desktop:/root#

Fig. 5.30. Comondos. A continuacin, debemos ejecutar los siguientes tres comandos que aparecen en la Figura 5.30 para aadir la clave pblica, pareja de la privada, con la que se ha firmado el repositorio. Por ltimo, actualizamos e instalamos la herramienta webmin, mediante la ejecucin de los siguientes comandos (Figs. 5.31 y 5.32).
1 111
Archivo .Editar yer !ermlnal AY.IIda
iJlliij

root@Jupiter:/hor::e/adr.linistradorl apt-get update Obj http://es.archive.ubuntu.com jaunty Re\ease.gpg Obj http://security.ubuntu.coCl jauntysecurity Release.gpg Ign http://securi ty. ubuntu. coc! j aunty security/m~in Translationes Ign http://securi ty. ubuntu. COel j aunty security/restricted Translation-es Ign http://securi ty. ubuntu. coc! j aunty security/universe Translationes 19n http://securi ty. ubuntu. COel j aunty securi ty/llml tiverse Translation-es Des: 1 http://es.archive.ubuntu.co!:! j aunty/main Translationes [606k61 Obj http://security.ubuntu.coC! jauntysecurity Release OOj http://securi ty. ubuntu. cor.! j aunty security/main Packages Obj http://download ....ebmin.coCl sarge Release.gpg 19n http://down\oad ....eor.lin.col1 s~rge/contrib Translationes Obj http://security . ubuntu. cor.! j aunty security/restricted Packages OOj http://security.ubuntu.coCl jauntysecurity/mdn Sources OOj http://security . ubuntu. COI1 j aunty security/restricted Sources Obj http://securi ty. uOuntu. COCl j aunty security/universe Packages Obj http://security.ubuntu.col':l jauntysecurity/universe Sources ~ Obj http://security . ubuntu. COI':I j aunty security/mul tivef5e packa!f!s Obj http://securi ty. ubuntu. coc! j aunty security/~ul tivene Sources Obj http://download ....ebr.lin.colll sarge Relea5e 19n http://download.webmin.col':l sarge/contrib Packages Obj http://download ....eblllin.cor.l sarge/contrib Packages r;-1 16\ 11 Translation-es 114035/60SkB 16\1 12.3kB/s 405 ~
.

6J'Chlvo .l;ditar yer ~rmlnal AyJ,ida , -_ _ _~_ _ _ _ _ _ ; adl':linistrado~Jupiter:S apt-get instan weomin El

Fig. 5.31. Orden apt-get update.

Fig . 5.32. Instalacin webmin.

Seguridad activa en el sistema

Para ejecutar la aplicacin tendremos que abrir un navegador web, en nuestro caso Firefox, e ir a la siguiente direccin https://localhost:10000. Es muy probable que al acceder a dicha direccin el sistema nos devuelva un error como el que se muestra en la Figura 5.33.

localhost:l0000 usa un certificado de seguridad no vlido. No se confa en el certificado porque est firmado por s mismo. (Cdigo de error: sec_error_untrustedjssuer)

Fig. 5.33. Error del certificado.

Para solucionar dicho error debemos crear una excepcin. A continuacin aparecer una pgina como la que se muestra en la Figura 5.34.

archivo f-ditar

~er

" re

Hiz.torial

Marcadores

Herramienas AY.I.I.da

ti

I!] https:fl10calhost:lOOOO/
~ l.atest

1" I

~v lGoogl e "'l.

f;jj Ms visitadosv . Getting Started Login

Headlinesv

ti)

WehOiIn

You must enter a usemame and pas5word to login to the Webmin server on localhost. Username lroot Password

I~ .~ .~ .=: .=: .=: .:: I ===~

O Remember login permanently7

~ I clearl

Terminado

localhost:l0000

Fig. 5.34. Formulario de conexin a lo aplicacin Webmin.

Introducimos como usuario al administrador root y la contrasea del mismo. A continuacin veremos una nueva ventana como la que se muestra en la Figura 5.35.
Si no tienes una particin inde, . lo ."'"

pendiente para /home, puedes


crear una nueva particin y realizar el caso prctico sobre esa particin.
".1

,.""..""
u",....

".,..."" "o.......
u " ",..

" .... !<ro>

~webmin
.."m ....'"..".
" " " .... g ...

u,..,_ ...
",~

_.

'_.n ... '...

'.m

l'
1 ,'
1 ,'

(' < ,' ''"' ... ~"''.... :: ' . ~.,h ... ~' ., o "" ... I
A

tJ. " .... ,.~ .-. L. "

.... ""'.....,. "",..,........,.

CPU ," O<l_,..,

...... ,""'I"""' ... ~..

"').J" ""~ ,,,.='"

"',"""' ..... 1" ~' ... "'.j


" . ,. . .. " ..1. " ..... "'.,

'n 'U """'.""""'.".",,"'"',,

l'

'-",...."'.p...
, ....,. . . . ..",.., ... ''''' .... .. ' ' ...... 001. ...... ' _ UW. "'" <" ~ ""...".,.,. ...... 01

li
... ...,.",""""u

""' " . p.e> ~ ' ....... j ro

1-01,-""",- 1

_.- --

Fig. 5.35. Pantalla inicial webmin.

Como podemos ver, este programa es una aplicacin web que se puede utilizar para configurar multitud de opciones del sistema.
120

Seguridad activa en el sistema

Como vemos en la Figuro 5.35, la pgina de entroda tiene un marco a la izquierda con un men. Escogemos la opcin Sys/em (sistema) y dentro de esta la opcin Disk and Ne/work Filesys/ems (Disco y Sistemas de archivos en red). Una vez realizada la seleccin, el marco de la derecha se actualiza visualizando todos los sistemas de archivos de nuestro equipo (Fig. 5.36).
o
~

-e o
Ii! MIiI ... . iu do. lO')"" rool D llllbmin e S)"ll m E100IU~ .nd Shutclo "" Ch.ng o p."wo,d.
O"'OuOI~'

[l hllp. ~floco~oll,O OOOI

1 - ) IICH "

4\1
5" ,,01, Does ..

Oo G.ttin~ 5tart.d Q u tl'! H..

: '" C '= '_ -____

M,dul. Co"ig

I Add moun!. IT)"pl' 1~"."~"~'~""~,,'~ .m ;;;Ji," ~.~1

=====:: :, !j:I

Disk and Network Fllesystems

"'

'o".andr~ "wo'" fJ.'Y.!t.m~

.m,

MaUllllld.-.

typa
K omo f~ .. ystom

Iprod

I (Roc! ,*,,~t.ml

FoI .. y".m Boc'u~


logf"" Rot.t,on r!:ME T)'p l P"'g,am,
PAAt"uth .nt"~llon

,horno
\Ilrtu~M . 'T>0'Y

Unu.<N.tive f ....Y'I.m l..tl ) Unu. l i " ;"'" f'",y" . m I b 'JI


VlrtullMomol)'l , WlIp)
UD f.1 50~660

."
"~
v.rio ck
devpl s

lD~.tlall

Und
.~
,~

m. d.a,d,cmO ml d.:ofIoFPYO

IluM",gP,.,. " ..
Sch.dulod Comm.nd.

sch"dul , d (,on lob.

sch ....,. P"'~.g ..


5)":om OoCum O nl"li," sysl om leg' U " .nd Group.
[) Slrw ..

Idov,hm

UnmownT)"p . S"l5fS RAM Di. \: II m p l.1 fW.l Oi, k II mpl. , RAM o;,\: IImplol fW.l o.. k II mpl.)
PT5 fd"Y'I. m 1<I~I1 fW.l Di,\: IImpl.1

Pl n nian w:th 10 ~g~ ctsb l dgf 5<798 17 16 . 99c . 51 p~ n~io n wrth ID 5:dl l c47 caa7477 2b l coce d.. lI. o Pa n nion -...th 10 50 lc 7 C2 071b~ 4B7r. 6 4 1 od l47b 90 dc 7f / doWICdO floppy d-.\: o

'" ,,'

In Ulft' S..... d' ,,, ,,, ,

"'~ ' ~>m

., ., .,
~
,~

o oth. ..
o
O

/d"'/pt. ... . 2l.g on.",/VOI.I<I . ",)'IJi<.m.~ ,unty !homl/omilio/.q.fo

SECUMYf5
FU5 E.GVFSfU5E OA.EM OtJ

""

ncutll)"h '1.f fuII.d m on

Nl tworlring ~ _

., .'", .,
,,, ,,,

,., '" ,,, '" ,,, '"

'" ,,, '" ,., " ,"


'"
';'

..

'" ,., ,,,

I ,o.dd mollnt IT)"p .: I""pi. fd..yollm (ti.)

:l
Ioc llha.! :ICOCO

e u " v, od .h d ,!"
hllp. ~~aC a~o": DOOO/IYIQuntJ . r!.1_mQ "n\.< !ti'ind._2

Fig. 5.36. Disk and Nelwork Fi/esys/ems.

De todos ellos nos vamos a centrar en el directorio /home, que est montado en una particin independiente y es la idnea paro activar las cuotas de usuario, por ser en ella donde se guardarn todos los archivos de los mismos. En el marco de la derecha de la pgina, seleccionamos con el rotn la opcin /home, que nos llevar a una nueva pantalla (Fig. 5.37).

~I
~ t-IlO

..,;.hdo.- . G, Ung SI.,"d


~

DI..al I HU.r.no .-

lO;"""", [J w.bm"
O Sy>lom
B"I"" ."dSh~1d""",,

Edlt Mount
l!homo
5 .... Mounl l
~ ...... rul mounl at boct
,",01Oll
r~ ,

Ch. n"P,,,.r.;d.
c,,~ Quo'~'

IQ
O Unmount

51nU3GlI/ fr uU31lB

D"'.n~II.I,,",k

O s ...... 0 00(\' ......

F ' ''Y'um,
F.r"y>"ma"h~

'og .r, Rou "on


'""ME Ty.>, ..

P~ " ~ e>1h".I,:>'''"

"""m.

Mounl no .. ' ID e h lCl< nt .. ylI, m a l bool1 O Un"" II.U... fU ...,...I, m

""""n, P'o <o" .. S,h,dul, d Ccmm . n~. Sd"dul,dC"n),b.

O oth drlli,.

S,.""" D.,"m,"'."'"
Un "

soh" o Pa< ";"


~Y"'""9

. nd~,..,"",

0 5 ...... " 0 01" . ..

A110 .... &,u\lon 01 ~tn~rl c.,

Mo .. " .. r. 'o \\lounl 11<1.

O U.,,,,, run 9 U H. nI"oro


O C.... I..

o y"
O

I~o

Aut on Dn 8fTO'

Somh: 1

UV """" "" .

~Q
O h. (!I I "

n. (i "o

11IIIIIIII
R, .. rvo 'P O< . lo. Uro up

A _ . ...... , _ , __ TOrmino do

Fig. 5.37. Edil Mounl.

En esta nueva pgina, tendremos que poner la opcin Use Qua/as? (usar cuotas?) con el valor User only (slo usuario), pues vamos a aplicar las cuotas de disco por usuario y no por grupos. El siguiente paso consistir en establecer las cuotas que queramos a cada uno de los usuarios del sistema. Para ello elegiremos en el marco de la derecha la opcin Sys/em (Sistema) y en ella la opcin disk qua/as (cuotas de disco), como podemos ver en la Figura 5.38.

121

Seguridad activa en el sistema

----------- ----------------------

.eo
~ M"

Tii'i\'

& ] http'Jlocalho.t :IOOOO/

"<.1

lI.ilado.- Oo Gltting slanld Sll Llt .. t H.. d~nn" Help . r.lodul o Co,.(,g
S'utdo",n Fl!lIlvslem l\IPII

tos,n,r".t el Wl bmin

Disk Quotas
MOUl1ll1d Fram Panition with ID 52 d( lc4 70aa7 4772b.l llc ec6daa lfu

o Sysum
eootup
~nd

statu.
u n r ouotas Active

AclJan
e. ~bl .

(h~ng ~ I'ao<w""" D"~Ouota e i.k and ttot"'",.

Quet..

F~"Y'tem ,
',I~ .y.tem

I Edil Uu rQu.lu : 1 [1====JIQ

Ent., or 011"1 I unr. Ind c~(k Ihi, bUlton lo lI"whi. quol .. on aH fd.'Y'tom .

83Ckup

filt IIct~ti.n rI!ME Type Program. PAMAuthonll<at<cn Running Prcc . ..u htlp'11ocl!hc.t:IOOOO/quctoJ
L<lg

Fig. 5.38 . Cuotas de disco. En esta nueva pantalla aparecen los sistemas de ficheros poro los que se hayan estable cido cuotas de disco, que como se ve, solo se ha realizado en la particin /home. Si morcamos con el ratn la opcin /home, iremos a una nueva pantalla que contiene una lnea por cada usuario del sistema (Fig. 5.39).

e.rchivo

d~ .r

~.

Hiltorill /:I1" l do,", Hlmomiontls

~da

~ M"lIlhdo .

(JIo GltI1ngSlanod IDLIIluIHud!in .. -

LC\j1n:rc ct

Cl Wlbmin
El Syst l m

'"

/\oul. l"de< Help ..


Un, 11.1
C 113u~t

Fllesystem Quotas
Al User Quotas on I hol:le
quelo,
Em~ 1n~ti (OC.llon,

C". Ou~l3<

OoclUp ~nd Shutde,.", change Pauwo,d,

C". "nO tt.tv.'crx

Fd lSjf>tem. Fd uy .tem 8.'.up Log F~. Retotr~n ~I;I~E Typ . P,o~ .. m. PAM Al.<\h.r.t,calron
p'Oto .... Sch.d"l.d Ccmma~d,
n"nmn~

o rocl
O pope
O ~n a

34.65 MB
~;lr-1!3

Un~m~ l d

1 6 ~a

, "' un!:miUd

Schod"lod C,onJob.
SO~WOfe

so lee' ~ l . l lnvo 't loct ron. 1ed;t gfa, . trmo. I eh". I updat, S, I"I.d UII ... I

."'

Unlimit.d
Un f.m~.d qu~la.

Unt:m~.d

unJ;mt.d

no ,

ur.!mdt d

u<>lm:t. d

unlan:tld ul'!!:mit.d

Pa:kao.,
locllho.I,IOOOO

Ttrmin l do

Fig. 5.39. Cuotas de los usuarios.

Por ltimo, slo nos quedo seleccionar los usuarios o los que queremos asignarles cuotas de disco y establecer las mismas. Para ello se seleccionar el usuario elegido, apare ciendo uno nueva pantalla como la que se muestra en la Figura 5.40.

e.rchivo dilo,

-e

~r

H!.1lorial t:!1" adc,.. HI""miln81 "rIIoa

(3 S' (l htp.~~ocathost:IOOOOI

!l:J M.lI.nado. CJo o IUi1l; Stand Eil Lltnl H..dl:n .. Login, .oel !I w.bmin [l Sysl lm
Boclup ond Shutd,,,,,

"'

~Iodulllnd

Hl lp.. QUDln fa n r"p. on J h ...


50ft kltobyt .. llmll Kllobytos used 5011 m . llmll FU.. u ll d

Edlt User Quota


O Ur.!,rTt.d \i)
5.7] M8

ehan;. Pa"wor~. Ci'\:Ouetn.


Di . \: ,"drlotw",\:

~~

Ha,d Idlobyto IImlt Av.. lI .. ble spa, . O" dllk

O Un!,m,'u d lIiI

1.85 GB 1011111 .65 G8 Jr.. @I untm;l l d

F.I "y,r. m. Filo'y,r em nat!:up lag Fd . llotaloon t.I:M~ Type Pro~"m' PAM ;"l.<\he"toc.toon
Runn : n~

@ Ur.!'m~.d

r==::J

Ha,d 111 . Ilmll


A\l3113blo ni .. on dis k

r==::J

171

122400Iolll/ 121947fr ..

I Updlto I
I U,t All o".t .. 1

P'm .....

s,h. du rod eemm.nd. s , h.dul . d (renJ ob,


Scftw3r.
P"b~

(1".lhi. b"lI en lo d"pl.y a ti.1 cI.nJ,lu)'1t.m. on...t.thlhi. " .. r hll d.. k quet ... ..,th ~.nk. \0 .d~ Ih om .

Sl"'tom Cecume nr.t.:n

.. Rournteu,.rL<t
lo,"tho.I:IOOOO

llInrin~do

Fig. 5.40. Asignacin de cuota a usuario.

Uno vez definidas las cuotas, hacemos dic sobre el botn Update (actualizar). Si quisi sernas poner cuotas a otro usuario, repetiramos el proceso anterior.
122

Seguridad activa en el sistema

3. Autenticacin de los usuarios


Segn la Real Academia Espaola, autenticar se define cama "dar seguridad de que alguien a alga es la que representa a parece. Los mtodos de autenticacin, en nuestro caso, son los mecanismos que una mquina tiene para comprobar que el usuario que intenta acceder es quien dice ser. Estos mtodos se pueden clasificar en tres grupos, en funcin de los medios que se vayan a utilizar para identificarse:

Actividades

9J

7. Define una poltica de


contraseas para la red del aula. Dicha poltica deber incluir los siguientes apartados: Objetivo del documento. mbito de la aplicacin (a qu usuarios influye). Formato de las contraseas.

Algo que el usuario sobe y que el resto de las personas desconocen: es lo ms


utilizado. Lo usamos poro acceder a nuestra cuenta de correo electrnico, para conectarnos a Tuenti. .. (utilizamos un nombre de usuario y una contrasea que solo
conocemos nosotros).

Algo que el usuario posee, por ejemplo, una tarjeta de identidad. Alguna caracterstica propia del usuario, rasgos fsicos o comportamientos. Ejemplos: la huella dactilar, caracterstica utilizada en el DNI para identificarnos; la retina, la manera de teclear... A este tipo de medidas se le conoce como mecanismos biomtricos.

Longitud de las contraseas.

Tiempo de vida de la contrasea. Forzar el historial de


contraseas.

Hay sistemas de autenticacin que combinan distintos mtodos para alcanzar un mayar grado de seguridad; pensemos cuando vamos a sacar dinero de un cajero automtico, que primero debemos insertar nuestra tarjeta de crdito (algo que poseo) y luego solicita el nmero de identificacin, PIN (algo que conozco).

Indica tras cuntos intentos se bloquear la


cuenta.

,.

3.1. Polticas de contraseas


En la mayara de los equipos infarmticos, la autenticacin de los usuarios se realiza introduciendo un nombre y una contrasea. Cada usuario tiene asignado un' identificador y una clave, que permitirn comprobar la identidad del mismo en el momento de la
autenticacin.

Como es lgico pensar, la seguridad del sistema va a estar fuertemente relacionada con la buena eleccin de la contrasea y la confidencialidad de la misma. Par este motivo, las empresas suelen tener definidas polticas de contraseas donde se establece la longitud mnima de la misma, su formato, el tiempo que ser vlida, etc. A continuacin, vamos a estudiar las caractersticas que debe cumplir una buena contrasea:

No deben estar formadas por palabras que encontremos en diccionarios, ni en espaol ni en ningn otro idioma, ya que cualquier programa de fuerza bruta lo descubrira con facilidad. No deben usarse slo letras maysculas o minsculas, porque se reduciran las combinaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef. No deben estar formadas exclusivamente por nmeros, por el mismo motivo que en el caso anterior. Ejemplos: 273456, 373009. No debemos utilizar informacin personal: nombre de nuestros familiares, fecha de nacimiento, nmero de telfono ... ya que cualquier persona cercana a nosotros podra descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en las preguntas que te realizan determinadas pginas (correos electrnicos) cuando no recuerdas la contrasea. No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier programa creado para este fin lo descubriria en un corto espacio de tiempo. No debemos repetir los mismos caracteres en la misma contrasea.

~/

Seguridad activa en el sistema

o o o o

No debemos escribir lo contraseo en ningn sitio, ni en papel ni en documentos electrnicos que no hayan sido encriptodos. No debemos enviarlo en ningn correo electrnico que nos la solicite. No debemos comunicarla a nadie por telfono. Debemos limitar el nmero de intentos fallidos. Si excede el nmero mximo de intentos permitidos, el usuario debe quedar bloqueado, par lo que tendr que ponerse en contacto con el tcnico de seguridad. Es lo que ocurre en los cajeros automticos, si te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se descubra el nmero secreto. Debemos cambiar las contraseas de acceso, dadas por defecto por los fabricantes de routers y otros perifricos, que nos permiten el acceso a la red. No debemos utilizar la misma contrasea en las distintas mquinas o sistemas, ya que si nos la descubren, haramos vulnerables el resto de equipos a los que tenemos acceso. Las contraseas deben caducar y exigir que se cambien cada cierto tiempo, al menos una vez al ao. No debemos permitir que las aplicaciones recuerden las contraseas.

o o

o o

Por lo tanto, las contraseas deben ser cadenas de caracteres que incluyan tanto letras maysculas, minsculas, nmeros y caracteres especiales sin ningn tipo de lgica aparente. La longitud de la misma debe ser superior a ocho caracteres, aunque lo ms recomendable es que supere los quince. Algunos consejos para poder recordar la contrasea, ya que como hemos comentado anteriormente no podremos escribirla en ningn sitio, sera elegir palabras sin sentido pero que sean pronunciables, o bien elegir la primera letra de una frose que recordemos por ser parte de una cancin que nos gusta, o de algn recuerdo, por ejemplo: Nac el 6 de junio del 65 en Madrid cerca de las 6 de la madrugada, Ne6dJd6eMcdl6dlm; para complicarla, se puede poner algn smbolo especial en una posicin que podamos recordar. Si cumplimos con todas las recomendaciones expuestas anteriormente, haremos que cualquier intruso que intente descubrir la clave de acceso mediante programas de fuerza bruta, como John the Ripper o similares, tenga que perder mucho tiempo y desista del proceso. Recordad, una controsea mal elegida o mal protegida puede suponer un importante agujero en la seguridad del sistema. Para aquellos de vosotros que no tengis mucha imaginacin para crear claves, hay multitud de programas que os permiten generar contraseas con las caractersticas que vosotros queris. Ejemplos de esos programas son Max Password y Password Generator.

~ Actividades
8. Descargaos la aplicacin John the Ripper (www.openwall.com) y comprobad
los tiempos que tarda en descubrir contraseas: o Formadas por una palabra que podis encontrar en el diccionario, por ejemplo patata. o Formadas solo por nmeros 373009. o Formadas por palabras invertidas, por ejemplo patata al revs, atatap. o Formadas por palabras en otros idiomas, computer. o Formada por un conjunto de caracteres sin sentido: $lAh%4Unb89{3.

24

Seguridad activa en el sistema

3.2. Sistemas biomtricos


Los sistemas biomtricos, se utilizan para autenticar a los usuarios a travs de sus rasgos fsicos o conductas. Estos sistemas se estn popularizando en la actualidad; podemos encontrar porttiles que nos obligan a autenticarnos para acceder a su sistema operativo a travs de la deteccin de la huella digital. Otro caso similar nos lo encontramos en Disney World, la identificacin de los usuarios que paseen entrada vlida para varios das, se realiza mediante sistemas biomtricos; de esta manera, se evita que un grupo de amigos saquen entradas para varios das aprovechando el descuento y que posteriormente accedan al parque en distintas das repartidos en pequeos grupos.

Cmo funciona un sistema biomtrico?

El funcionamiento del sistema biomtrico se compone de dos mdulos, el de inscripcin y el de identificacin (Fig. 5.41 l. El primero de ellos, mediante sensores, lee y extrae la caracterstica que identifica al usuario, almacenando el patrn en una base de datos. El mdulo de identificacin lee y extrae la caracterstica que reconoce al usuario. Ese patrn es comparado con los que se tienen almacenados en la base de datos y se devuelve la decisin sobre la identidad del usuario.
,- .
- - - - - - - - - -- - -. - - - - - - - - - - - - - - - - - - - -- - -- - - - - - - -- - - - - - - _. - - - - - - - - - - -

-.

Rasgos

I -H.~

Lectura sensores

Extraccin patrn

'-- ----- ---- ---- -----1

Mdulo de inscripcin

, _. - -- - --- -- -- -- -- -~~

--n
: :

I~I~

j - - - - - - --- - - - -- - - - - - - - . - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -[ Rasgos

U
Fig. 5.42. Sistemas biomtricos.

~ :

Lectura sensores

Extrac~ln patron

Comparacin patron

: .

.. --

--

Mdulo de identificacin

1 -- ----- --- --- .--- .-~

Fig. 5.41. Funcionamiento de un sis/ema biomtrico .

Los tipos de sistemas biomtricos ms populares son: o Verificaciones anatmicas: - Mano: huellas dactilares, geometra, venas. - Rostro: geometra. - Patrones oculares: retina, iris. o Verificacin del comportamiento: - Timbre de la voz. - Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario. - Longitud y cadencia del paso.

y
Q

----~----------------------------------

Seguridad activa en el sistema

3.3. listas de control de acceso


Las listas de control de acceso, tambin conocidas por su sigla en ingls ACL, mejoran la seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios que tiene un usuorio de forma individual sobre un determinado fichero, es decir, permiten o limitan el acceso a los archivos de manera individual sin tener en cuento el grupo al que pertenece el usuario. Caso prctico 8 la palabro elave ael en las opciones de montaje de dicho fichero.

Definir listas de control de acceso en Ubuntu 9.04 para res' tringir el acceso a los archivos

1. Para poder hacer uso de las listas de control de acceso


debemos comunicarle al sistema en qu particiones vamos a querer usarlas. Para ello, necesitamos configurar el fichera /etc/fstab. Los sistemas de ficheros montados con ACL, tendrn

2. En nuestro caso, adems de las particiones de root


y swap, tenemos una tercera dedicada al almacenamiento de datos; en esta ltima, vamos a configurar la lista de control de acceso; para ello modificamos el fichero fstab (Fig. 5.43), aadiendo la lnea correspondiente a dicha particin (Fig. 5.44.)

,archivo ;:ditar Yer Jl!rm ....I"C"' ;:. I..:A "' ,, d ""_ _ _ _ _ _ _ _ _ _ _ _ _ _

aiiiiliifst rador@Jupiter:: 5

r:11

su

Para comprobar que la distribucin de LINUX sobre la que vas a trabajar soporta ACL, debes
utilizar el comando grep, como se muestra en la imagen.

Contrasea: root@Jupiter:/hor.:etadr.linistradorll gedi t /etc/fstab

Fig. 5.43. Edicin de fichero fstab.


r.~
0 0 ... -

1Er~rm'~l:'~t

_...
..

. " .i\i)j!3)o3IT1l
M

= @i

",,--

,",,, .,, '''''''"''''-~- .,

Archivo ,Editar

yo< fluscar Qocumentos Aluda

g::::;':.;:,,,::-;:,"".' " ",,,,,,,,,,,., "",,, .m,,,, " ."". ""_,


::::-!,;,:,_!e.:,~~.,

[()
Gl fstab

Nuevo Abrir

El

~ . ... I Deshacer Gua~ar I Imprimir

Re t:acer

I Cortar ""

Copiar Pegar

I@ I

[1,

"",,,,,,,,,,,,,,,,,,,,'1

01

11 Use
Fig. 5.46. Comprobacin ACL.
proc

11 letc/fstab: static file systern information.

' vol id --uuid' to print the universally unique identifier tor a

11 <file system;:. <tnount poinb

11 device; this rnay be used with UUID= as a more robust way to name devices 11 that works even if disks are added and removed . See fstab(5).

Para configurar las listas de con-

<type;:. <options;:. proc defaults Iproc 11 / was on dev/s dal during installation UUID=3d399d92 -e635 -43eb -9f4d -a1787971 ffle / relatime,errors=remount-ro 9 1 # /home was on Idev/sda5 during installation UUID=97f379ae-93aS-4668 -b949 -ded3a139cce7 /home relatime 2 11 swap was on dev/sda6 during installation UUID=2e99a71 f -5dfa -491 f -897b-d74d9161a35d none

<dur.lp;:, <pass;:. , , ext3 exO swap

,
,

trol de acceso (ACl) debemos realizarlo bajo el perfil de administrador.

dev/scd9
Idev/fd9

'"

/dev/sda5

/media/cdrom9 Ir.ledia/floppye Ir.:edia/datos

udf,iso9669 user,noauto,exec , utf8 9 rw,user,noauto,exec,utf86 auto auto rw,user,auto,exec,ac19


B" 1 I..n 17, eol1

, ,,
INS

I Texto plano" 11 Ancho de la tabulacin:


Fig. 5.44. Fichero fstab.

3. A continuacin, procederemos a montar la particin nuevamente (Fig. 5.45).

~ Actividades
9. Qu
diferencias hay entre el uso de las ACL y el de la orden chmod?

1,

~j

J _

- t

.Brehivo

.Editar yer Terminal

Ayyda

root@Uupiter:/ home/administrador# mount -o remount,acl /dev/sdaS root@Jupiter:/home/administrador#

Fig. 5.45 . Remon/or unidad.


(Contina)

Seguridad activa en el sistema

Casa prctico 8

=.
archivo Editar yer Iermlnal Ayuda root@Jupiter:hot.leadminlstrador# ls -1 total 348 drwxr-xrx 2 administrador administrador drwxrxrx 2 administrador administrador rw-rr 1 administrador administrador rwx- 1 administrador administrador -I"W)("'--- 1 administrador administrador drwxr-xr-x 2 administrador administrador -rwx"'--- 1 administrador administrador ros . png -rwx- - - - - - 1 adr.'linistrador administ rador drwxr-xr-x 2 administrador administrador rwx---- 1 administrador administrador .rwJ(-- 1 administrador administrador drwxrxrx 2 administrador administrador -!"\Jrr 1 root root dl"l/xrxrx 2 administrador administrador -rwx 1 administrador administrador drwxr-xr-x 2 administrador administrador root@Jupiter:heme/administrador#

(Continuacin)
G
1
1

4896 2099-87-31 22 35 4096 2009-09-82 23 41 3572089-07-312233 94677 2089-87-22 18 41 3B868 2889-87-22 18 52 4896 2089-87-31 22 35 72664 2089-87-22 10 50 lB157 2889 87 - 22 Hl: 47 4896 288987-31 22:35 19165 28896722 18:32 18383 20696722 18:38 4096 2809-0731 22:35 332809-0902 23:53 4896 2089-8731 22:35 33834 2889-07-22 10:56 48962889-87-3122:35

DocUr.Jcnto 5 Escritorio examples.desktop gedit . png getfacl.pn[l Ir.Ja[lenes listado de fiche r.Jontaj c _png r hisica pantallazol.png pilntaltazo . png Plantillas prueba Pblico sctfacl.png Videos

Para realizar el ejemplo, root ha creado un fichero llamado prueba.

I ~

Fig. 5.47. Ficheros de un directorio.

1 1:1
An:hivo "ditar yer TermInal Ayuda r oot@Jupiter:/hor.leadr:1inistrador# getfacl # file: prueba # owner: root # group: roet user:: rugroup:: ro. other:: r--

p~ ," " ,;; b, ;;--------------r.l l

4. A continuacin, mediante el comando getfacl, vamos a ver la informacin que almacena la lista de control de acceso del fichero prueba y del directorio actual. Nos informa del nombre del fichero, del propieta rio, del grupo y lo que ms nos interesa, los permi sos del propietario (user::rw), del grupo (group::r..) y del mundo (other::r..). Lo mismo para el directorio actual (Fig. 5.48).

reot@Jupiter:/heme/administrador# getfacl # file: . # owner: administrador # group: administrador user:: rwx group:: r-x other: : r-x roo t@Jupiter:/homeadministrador#

Fig. 5.48. Resullada comando getfacl.

an:hivo Editar yer Terminal AYlJ.da root@Jupiter:/home/administrador# setfacl -m user: fernando: rw- prueba root@Jupiter:/home/administrador# getfacl prueba # file: prueba # owner: root # 9 roup: root user:: Nuser: fernando: n.ogroup::r- r:msk:: 1"1/' other:: r-'

5. A continuacin, vamos a darle permisos a Fernando, para que pueda leer y modificar el fichero prueba. Paro ello, debemos utilizar el comando setfacl con la opcin m, que nos permite modificar la ACL, y por ltimo, comprobamos que . se ha realizado la modificacin solicitada (Fig. 5.

49).
~'~

root@Jupiter: heme/administrador#

'------------------~~~~~~~II Fig. 5.49. Resullado comando setfacl.

Seguridad activa en el sislema

Casa ~rctico 9 Definir listas de control de acceso en Windows utilizando el comando cacls para evitar el acceso a los ficheros a usuarios no autorizados

l . . Para la realizacin de esta actividad debemos tener creados al menos dos usuarios: Usuario 1 y Usuari02. 2. En la carpeta Mis Documentos del Usuariol, crearemos otros dos directorios: Confidencial y Datos compartidos. 3. El Usuario 1 quiere permitir que Usuari02 pueda leer documentos que hay almacenados en Datos compartidos. En estos momentos eso es imposible, el Usuari02 no tiene permisos para acceder a Datos compartidos. Qu podemos hacer? Modificar la lista de control de acceso para permitirle entror a la carpeta Datos compartidos. Adems, debemos permitir el acceso a la carpeta Usuario 1 de Documents and Settings y al directorio Mis Documentos. Paro ello debemos ejecutar la instruccin cacls, cuya sintaxis es: Cacls fichero /parmetros Los parmetros son:

11.- Cambia

las ACLS de los archivos especificados en el directorio actual yen todos sus subdirectorios. le.- Modifica la ACL en vez de reemplazarla. Este parmetro es muy importante, supongamos que queremos darle permisos al Usuari02 y no utilizamos este modificador; entonces se reemplaza la ACL antigua por la nueva, no permitiendo al Usuario 1 acceder a su informacin. Ic.- Fuerza la modificacin aunque encuentre errores. Ig usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total).Concede derechos de acceso al usuario. IR usuario.- Suspende los derechos al usuario. Ip usuario:perm.- Sustituye los derechos del usuario especificado. Id usuario.- Deniega el acceso al usuario especificado. La instruccin cacls permite modificar las listas de control de acceso a los ficheros. Segn la sintaxis anterior, debemos ejecutar el comando que aparece en la Figura 5.50.

Fig. 5.50. Modificacin ACL del directorio actual y subdirectorios.

El resultado es que el Usuari02 puede entror a todos los directorios y ficheros que cuelguen del directorio Usuariol, o lo que es lo mismo, puede visualizar cualquier documento de dicho usuario. Como toda la informacin del Usuario 1 est almacenada en dos carpetas, Confidencial y Datos Compartidos, para que no tenga acceso el Usuari02 al directorio Confidencial del Usuariol, debemos ejecutar la orden de la Figura 5.51.

"
C: ' D'U. llmnl . "mi , 1\' In ! : N

_ [J

~;,'lllll'l

' " :: ll,''!ul )" " l . "Mi :.. ,lu;"rU'nlw.'( oIlJ !Iclle!.,I" / c / 11

11:"1111:1

Fig. 5.51. Denegacin de acceso a carpeta confidencial.

-----------------------------------

Seguridad acliva en el sislema

5'-...CI

4. Vulnerabilidades del sistema


Windows publica las actua li zaciones los segundos martes de
coda mes, conocido como Patch Tuesday (martes de correccio

Los sistemas operalivos son pragramados y sometidos a numerosas pruebas anles de ser lanzados al mercado, pero no se descubren sus verdaderas vulnerabilidades hasta que los expertas en seguridad" (hackers, crackers, virus.. .), lo someten a sus duras pruebas. Entonces, esos agujeros son corregidos con la mayor celeridad posible por los programadores del sistema . Por el lo, siempre debemos mantener el sistema aclual izado.

nes), a no ser que sea una adua


]zacin crtica , en ese caso se
publica seg n se termine.

4.1. Evitar vulnerabilidades en Windows


Poro evitar los vulnerabilidades en Wi ndow s, debemos mantener el sistema aclualizado con los ltimos parches. Esto lo podemos realizar de distintas maneras: Windows praporciona un servicio de aclualizaciones automticas a lravs de la Web, denominado Windows Update, ubicado en windowsupdate.microsolt.com. Si nos coneclamos a esta pgina, el servicio analiza el sistema operativo y determina las aclualizaciones que es necesario descargar. Olra manera es configurar el sistema operalivo paro que realice las descargas de las aclualizaciones automticamente. Para ello debemos pulsar el baln Inicio de Wir,dows Vista, hacer clic sobre el Panel de Control y seleccionar la opcin de Windows Update (Fig . 5.52).

........[i)

--...,...
o,ac.... ... ~

'i>
...
~

~.

-- <&
~
I~
...

0 , - . ..

,_,:Mf ......
,~

"'_ SoL

l!!f:J ... i]J


v.........
..,~

~
~

_.~

1_ . -=t

_ .- ~,~ ,q

.~

p~

...... ........... ,
~

""'~

l~

,-

w_
-."

~ ". ,,-

w_
~

Fig. 5.52. Panel de control.

A continuacin, se abre una nueva ventana similar a la que se mueslra en la Figura 5 .53 .

\'linrlaw> Upd.te

[@ 0esa '9M~ l\st.lI.lI.1OU.)l juo""'p.lJ'3dequipo

I
~;

-_ ... - -..... ......... _ _ ,.-..w_


_ _ ... _

:.::!.=::::u:.::.!!~:~n: " l[i~ !!> ,~~ ";;;;;;JI


~ ~
_ ~

. ,,"""'.....-.... .......
", ,, ,, ~,,
_ , ~ .

Joto, . InlG!

s .~w _

_ .... ...,,-.,....oie"

_ _.. ....:ten.ld.",...
oa-_

1ioy . I<> Ul . ~

...... , .... UO! .. ~ )

Fig. 5.53. Windows Updote en Windows Visto.

~/5

Seguridad activa en el sistema

----~----------------------------------

En esa ventana podemos buscar actualizaciones, cambiar la configuracin, consultar el historial de actualizaciones, restaurar actualizaciones ocultas y ver las preguntas frecuentes sobre el proceso de actualizar el sistema. Como estamos intentando configurar las actualizaciones automticamente, debemos hacer dic en la opcin Cambiar configuracin, que se muestra en el marco izquierdo de la Figura 5.53.

00 ~ ..

Wi!ldaws Upd.!!! mbiar configuf.ciOn

Elija la forma en que Windows puede instalar las actualizaciones


(ulndo ti equipo HU cantct.do, Windaws puede comprobar lutom'tic.mente In adu.liucicnH e imt.llIlu I/undo uu ccnfigu,',in. Cuando utn dilponiblu nuevll .dll. liucienes, plltde instabtlu .ntH de ap'g,r ti equipo. Informa cin soln!! ActuJIi::Jdont5 lutom alicJs de Window!
r i:ll, @ InsUlar.ICt!WIDdonesluwm!t1umente(recomendado)

[mUlu nuevu .ctulli:.tciones.:

1101l051011llU

.I,ln ~

CI Busca! . du.liuciones, pero ptrmtirme elegir si desto descargarlu t instllllln


r L'JII

e No bUSC4r 'du,linciona (1\0 recomendadD)


El equipo str' misvulntllblt menua dt seguridad y problunas de rendimiento sin Ju IctualIadcnes ms redmtes.

Actuali",cicnes recomendadas O lnduir lu actuaJi::adonu recomendadu cad. ve..: que se descar!luen o instalen actualizadones, g clda vu que recib. un. nclifi"cin ,obre tJln. Nota; u posible que Windcws Update se actulli,e lulom'liclmenle antu de que busque ctras actualIldones. Lea la d~c!",.ci6n de nnv3cid . d ~n I'nu .

0 Aceptu

II

C.ncetn

Fig. 5.54 . Configuracin Actualizaciones.

En la nueva ventana (Fig. 5.54), seleccionamos la primera opcin, Instalar actualizaciones automticamente (recomendado), definiendo cundo queremos que se instalen las nuevas actualizaciones. Como sabemos que Windows suele publicar las actualizaciones los martes, lo podemos configurar para que se instalen los viernes a las 20:00 horas, de esta manera, nos aseguramos que no han dado problemas los parches publicados. Otra opcin que podemos seleccionar en la misma ventana es Descargar actualizaciones, pero permitirme elegir si deseo instalarlas; como su nombre indica se descargan las actualizaciones, pero no son instaladas hasta que no demos la oportuna orden. Otra seleccin posible es Buscar las actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas; de esta manera, no se descargan las actualizaciones, ocupando espacio en el disco duro hasta el momento en que las instalamos. Por ltimo, podemos optar por no buscar las actualizaciones; en ese caso somos los responsables de acceder a la pgina de Windows Update y determinar las actualizaciones que necesitamos para mantener nuestro equipo sin vulnerabilidades. De la misma manera que mantenemos actualizado el sistema operativo, debemos mantener actualizado los programas que tenemos instalados y, por supuesto, el firmware de los distintos perifricos que conectamos al equipo: router, switch, etc. Como perderamos mucho tiempo consultando la pgina de cada fabricante para ver si han publicado nuevas actualizaciones de las aplicaciones instaladas, podemos utilizar algunos de los numerosos programas gratuitos que existen. Estos se conectan a Internet y nos informan de si hay nuevas actualizaciones publicadas que an no tengamos instaladas. Algunos ejemplos de dichos programas son APPGET, SUMO, LOGICIEIMAC.COM, APPFRESH, UPDATE NOTIFIER (http://cleansofts_org), etc.

Seguridad activa en el sistema

5. Monitorizacin del sistema

Con lo monitorizacin del sistema vamos a poder auditar los eventos que se han producido en nuestro equipo.

5.1. Monitorizacin en Windows


Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr. msc. En la Figura 5.55, podemos ver que guarda informacin de los sucesos de aplicacin, seguridad y sistema.
-----IJ Visor de sucesos

Ayud.

--

flJI
L

.""""" . [il111!@ I r,1""""'60


AaJ6n
" . <0. .

Irl~~

Vo<

I I
IV= de """'" (loc"l
Nombre

\1 Seguridad ! S"tstemo!l

I 1100
Regl ... Regi ... Regl ...

I
Registros de error de aplicac ... Registro de audiroria de seg ... Registros de error del sistema

I TarMio
~
~

Iill Apl<odn Iill Seguridod Iill"''''''''

"

Fig. 5.55. Visor de sucesos Windows.

Esta informacin es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config. Es muy impartante configurar correctamente el tamao y el acceso a los mismos. El tamao debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lgico, para evitar que 105 intrusos borren sus huellas slo debern tener permisos de control total el tcnico o tcnicos ,?ncargados de la seguridad del sistema.

5.2. Monitorizacin en Linux


Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Sistema > Administracin> Visor de archivos de sucesos.
- .... ~ .Archivo fditar ~jsta
~

."
Ayyda

' ~ Q~I '

(-j 15~N-.,t!Ml~

Xorg.O.log Xorg.20.log
V"

-. Se p 3 oo;;;;i Jupiter SU[18114]: +;~;/i';dmi~i~~~ad~;; r~lll Sep 300:22 :11 Jupiter su[18114]: pam unix( su:s ession): se

~'

auth.log mircoles, 2 sep jueves. 3sep auth.log.O boot

bootstrap.log
~ ~ ~ ~

daemon.log daemon.log.O

Sep Sep - Sep Sep Sep Se p Sep =Se p - Sep Sep

300,22 ,11 Jupiter dbus -da emon, Rejected send message' l

debug debug.O
dmesg dmesg.O

dpkg.log
v

300: 27:11 Jupi ter 300:27:17 Jupi ter 300: 27: 28 Jupiter 300:27: 28 Jupiter 3 00 :27: 2B Jupiter 3 00 :27 :35 Jupiter 3 00 :27 :35 Jupiter 3 00: 27 :35 Jupiter 3 00: 27: 35 Jupiter Sep 3 00 :27 :36 Jupi ter Sep 3 00:27 :36 Jupite r Sep 3 00:27:36 Jupiter Sep 3 00:27:36 Jupi ter Sep 3 00:27:36 Jupiter Se p 3 00 :27:36 Jupi te r Sep 3 00 :27:36 Jupi te r
( '"

su[18114]: pam_unix(su :session) : se ~ gdm[27 59]: pam unix(gdm :session): s gdm[2759]: pam-unix(gdm:session): s gdm{2759]: pam-ck connecto r(gdm:ses gnome -keyring -daemon[ 18441 ] : adding dbus -daemon: Rejected send message, dbus -daemon: Rejected send message, dbu s-daemon: Rejected send message, dbus -daemon: Rejected send message , dbus-daemon : Rejected send message , dbus -daemon: Rejected send message, dbus-d aemon: Rejected send message, I dbu s-daemon: Rejected send message, dbus -daemon: Rejected send message, dbus -daemon : Rejected send message, dbus -da emon: Rejected send message. :022009

303 lineas (78,4 K iB) - ltima actualizacin: lllu Sep 301:

IIL

El

Fig. 5.56_ Visor de sucesos Linux.

~/5

Seguridad activa en el sistema ------~---------------------------------------Para simplificar lo auditora, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Poro auditor los entrados 01 sistema utilizaremos el comando last (Fig. 5.581, poro auditor los accesos fallidos usaremos el comando lastb (Fig. 5.591 Y poro los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601. Los ficheras donde se guarda la informacin se encuentran ubicados en el directorio

/var/log (Fig. 5.571.

Vocabulario
administradon@Uupiter:/var/log$ 15
apparmo r i1pt
di5t~upgrade

Lag. Es el registro de un evento que se produce en el sistema.

dmesg

auth.log
auth . log.e auth . log . l.gz

dmesg.e
dmesg.1.gz dm esg.2.gz

auth .tog .2.gz


boot bootstrap.log btmp

dm esg.3 .gz
dm esg. 4 . gz dpkg.log dpkg .10g.1 exi m 4 fa11109 fontconfig.log

btmp.l Con soleKit cup s

syslog . 5. gz udev lpr.log unattcndcd-upgrade s mail.err user .log ma11.1nfo user.log.o mai1.109 user .10g.1. gz llIail.warn user.log . 2. gz messages wpa supp11cant . log messages.9 \</pa: s upplictlnt . lag . l . gz messages.l . gz wpa_s upplicant.log.2.gz m essages . 2 .gz wpa_s upplicant.log. 3.gz ne liS wpa_s upplicant.log . 4 . gz

kern .log . 2. gz lastlog

daemon.log
daem an. tog . a daem on . log . l . gz daem an. lag. 2 .gz

fsck
gdm insttltter jockey.log

pycent ralo log wtmp


sam ba syslog syslog . e syslog . l .gz systog . 2 .gz syslog.3.gz syslog.4 . gz

debug jockey.log.l debug . e kern.tog debug . l . gz kern.tog . a debug.2.gz kern.tog.l . gz administ rado r@Jupiter:/var/10g$

wtm p.l Xorg.9.1og Xorg.9 .1og.o1d Xorg.29.1og

viene de weB lOG. Fig. 5.57. Ubicacin /ogs de Linux. A continuacin, vamos a ver unos ejemplos de los comandos vistos anteriormente.
~

.
El

Archivo bfitar ')[er Jenninal Ayyda root@Jupiter:-# last fernando pts/2 192.168.1.35 fernando ptS/ 2 192.168.1.35 root ptS!l jupiter administ pt5/9 :9.9 administ ptS/5 jupiter.locat administ pt5/4 jupiter.locat :0.0 administ ptS/3 administ pt5/2 jupiter administ pt5/1 jupiter administ pts/o :0. 0

lhu Thu Thu Thu Thu Thu Thu Thu Thu Thu

Sep Sep Sep Sep Sep Sep Sep Sep sep sep

3 00:52 3 00:46

3 00:45 3 00:43 3 00:38 3 00:37 3 00:31 3 90:30 3 00:30 3 00:29

. . . . .

5titl togged in 00:47 (00 :00) stitt togged in 5t1tt togged in 09:38 (00:00) 09:38 (00:91) eO:38 (00:07) 00:38 (00:97) 00:38 (00:08) 00:38 (00:08)

Fig. 5.58. Resu/lado comando lasto


.' . ... (;;;,

Archvo .;:ditar Ver Jermnal Ayyda ana@ana-desktop :-$ lastb fernando fernando tty7 :0

Thu Ju\ 23 13:49 . 13 : 49

(66:66)

btmp begins Thu Jul 23 13 :49:28 2989


ana@ana-desktop : -$ lastb

Fig. 5.59. So/ido comando lastb.

Archivo .Editar root@Jupiter:-# Nombre fernando root@Jupiter:-#

')[er Jenninal Ay.uda lastlog u fernando Puerto De pts/2 192.168.1.35

ltimo jue sep 3 09:46:59 +9290 2099

Fig. 5.60. Resu/lado comando lastlog.


132

Seguridad activa en el sistema

6. Software que vulnera la seguridad del sistema


En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... ) como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del sistema.

6.1. Clasificacin de los atacantes


Los atacantes se pueden clasificar segn el tipo de ataque: Hackers: son personas con grandes conocimientos informticos y telemticos (expertos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulnerabilidades. La principal motivacin de los hackers es seguir aprendiendo y mostrar las vulnerabilidades de los sistemas al mundo. En ningn caso buscan un beneficio econmico o daar la estructura del sistema. Podramos hacer un smil con una persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado all, para informar de la vulnerabilidad de la misma. Tambin son conocidos como hackers de sombrero blanco. Crackers o hackers de sombrero negro: el trmino hacker fue utilizado por los medios de comunicacin de forma genrica, para referirse a cualquier intruso en un sistema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers inventaron una nueva palabra para designar a aquellas personas que rompan las barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban un beneficio econmico o bien porque por venganza daaban las estruc.turas de los sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers criminales, hackers cuyas intenciones son maliciosas. Phreakers: son expertos en telefona. Son conocidos como los phone crackers, los crackers de la telefona, buscan un beneficio econmico saboteando las redes telefnicas para realizar llamadas gratuitas. Ciberterroristas: san expertos en informtica y en intrusismo en la red, que ponen sus conocimientos al servicio de pases y organizaciones para el espionaje o sabotaje informtico. Programadores de virus: son expertos en programacin, en sistemas y en redes, que crean pequeos programas dainos, que por uno u otro motivo llegan a la red y se distribuyen con rapidez ocasionando daos en los sistemas o en la informacin almacenada en los mismos. Carders: atacan los sistemas de tarjetas, especialmente los cajeros automticos. Sniffers: lo podramos traducir como colilla, son las personas que se dedican a escuchar el trfico de la red, para intentar recomponer y descifrar los mensajes que circulan por la misma. lammers: tambin conocidos como wannabes o script-kiddies o c1ick-kiddies, son chicos jvenes que sin grandes conocimientos informticos, se creen verdaderos hackers y se lo hacen creer a los miembros de sus pandillas. Estos slo se han descargado herramientas o programas de Internet para realizar ataques informticos y los han puesto en marcha sin saber cmo funcionan. Los verdaderos hackers muestran una gran repulsa hacia los lammers. Newbie: son los hackers novatos, empiezan a aprender y van superando los primeros retos para llegar a ser verdaderos hackers.

Luser es el trmino que utilizan Jos atacantes para referirse al usuario que va a ser atacado.
Es la abreviatura de Local USER.

La palabra hacker ha sido

i-

zada errneamente por la prensa para referirse a aquellas personas involucradas en cualquier

acto que ataque la seguridad


informtica, sin tener en cuenta

el fin del misma.

Seguridad activa en el sistema

6.2. Tipos de ataques


Podemos hacer una primera clasificacin de los tipos de ataques segn los objetivos de seguridad que vulneran.

Interrupcin, este tipo de ataque vulnera la disponibilidad de un recurso del sistema o de la red. El recurso no podr ser utilizado. Ejemplos, denegacin del servicio, el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de un disco duro, cortar una lnea de comunicacin, deshabilitacin de un sistema de ficheras (umount).

r
Interrupcin

Fig. 5.61. Interrupcin.

Intercepcin, ataca la confidencialidad. Un intruso accede a informacin almacenada en nuestro sistema o al que hemos trasmitido por la red, es decir, la informacin ha cado en manos de personal no autorizado. Ejemplos, captura de informacin en la red o copia de archivos no autorizada.

Intercepcin

Fig. 5 .62. Intercepcin.

Modificacin, ataca el objetivo de integridad. Los datos han sido manipulados por
personal no autorizado en algn momento entre su creacin y su llegada al destinatario. La informacin que se dispone despus de un ataque de estas caractersticas no es vlida ni consistente. Ejemplos, las modificaciones de programas para que realicen acciones diferentes a las prapuestas originalmente, modificar un mensaje transmitido por la red, DNS spoofing, ...

Modificacin

Fig. 5.63 . Modificacin .

Fabricacin, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones destinadas a conseguir que el praducto final sea similar al atacado de forma que sea difcil distinguirlo del original. Por ejemplo, el phising .

ot:.JI'J-----l

O
\

=F=abrica=cin=

Fig. 5.64. Fabricacin.

Seguridad activa en el sistema

Otro tipo de clasificacin se puede realizar en funcin de la forma de actuar de los ataques: Spoofing o suplantacin de la identidad: la tcnica de spoofing (engao o falseamiento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de switch como elemento de interconexin entre los diferentes Pe. Este ataque consiste en falsear algn dato de un PC atacado. Existen distintos tipos de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en engaar a la tabla arp que los equipos guardan en memoria, tabla que simplemente asocia una direccin fsica o mac de una tarieta de red con su IP (Fig. 5.65).

El comando ARP pe rmite ver o modificar lo s entradas de la tabla de IP-MAC.

Fig. 5.65. Tabla ARP de PC atacado antes de realizar ARP Spoofing. Con esta tcnica de engao podemos hacer creer a un PC atacada que la direccin fsica de otro PC, tambin atacado de la red, es la del PC del atacante, consiguiendo con ello que todo el trfico de red entre los dos PC atacados pase por el PC del atacante (Fig. 5.65); es lo que se conoce como man in the middle (hombre en medio): En la Figura 5.66 podemos ver como la MAC de la direccin del PC atacado (192 .168.0.134) ha sido modificada con la direccin fsica (00-Of-ea-16-8e-59) que es la direccin fsica del atacante.

Fig. 5.66. Toblo ARP del PC otocodo tros el ARP Spoofing. Otra versin de este tipo de ataques es el DNS spoofing o engao de DNS, que consiste en falsear la respuesta del servidor DNS sobre una peticin y darle una direccin IP diferente a la real. Es decir, que cuando un PC atacado pide por eiemplo la IP de www. mibanco.es a su servidor DNS, el equipo atacante falsear el paquete de datos de los DNS con la respuesta y le puede engaar dndole la IP de otra equipo cualquiera. As en vez de conectarse a su banco se conectara a otra PC diferente pudiendo falsear la pagina de entrada de su banca electrnica y capturando sus claves de acceso a la misma. Veamos estas dos tcnicas mediante una prctica realizada con el programa CAIN que te puedes descargar de la pgina http://www_oxld.it/cain_html.

Seguridad activo en el sistema

~ Caso prctico 10

ARP spoofing y DNS spoofing


En esta prctica, vamos a hocer que cuando un usuorio desde un PC atacodo resuelvo lo IP asociada al nombre www.google.com. en vez de contestarle con la direccin real, obtendr como repuesta la IP de un equipo de nuestra red. Antes de hacer el DNS spoofing tendremos que realizar un envenenamiento de la tabla ARP, para osi cambiar las tablas IpMAC del PC atacado y del router y redirigir todo el trfico que va desde el PC atacado hacia el router a travs del PC del atacante. Como vemos en la Figura 5.67 antes del ataque, el DNS resuelve la direccin de Google can su direccin IP real (209.85.229.147) .

Fig. 5.67. Ping a la direccin www.google.com. Despus del atoque, el atacante modifica la direccin devuelta par el DNS por una direccin que el atacante configura a travs de la aplicacin CAIN. Para realizar esta prctica debemos seguir dos sencillos pasos:

1. El primero, crear una entrada de envenenamiento ARP (Fig . 5.68). Con esto con seguiremos que todo el trfico entre PC atacada y el router sea redireccionado
al PC del atacante .

Fig. 5.68. Entrada de envenenamiento.

2. El segundo paso, consiste en introducir una entrada de DNS spoofing (Fig. 5.69) consiguiendo que cuando el atacado se quiera conectar a Google realmente se conectar al equipo con la IP 192.168.0.134. (Contina)

Seguridad activa en el sistema

5~

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _,: c:::; o.:;; so ::..prctico


(Continuacin)

109
MAC. Media Access Control,
es un nmero de 48 bits que
generalmente se expresa como

12 digitas hexadecimales, y que


identifica de forma nica a cada

tarieta de red ethernet.

,
l'J'R-tMAPS(O) APR-ltW'5(O) j\ffi-SIPS(O)

192.1l1li.0.134

~6

Fig. 5.69. Entrada de DNS spaafing. Como se puede ver en la siguiente imagen, cuando hacemos un ping a Google desde el equipo atacado devuelve la direccin que ha configurada el atacante

(192.268.0.134).

Fig. 5.70. Resultada de la entrada de DNS spooting. Como es lgico pensar, esta tcnica se puede utilizar para cometer fraudes en intranets o redes corporativas reenviando al atacado a una pgina muy similar a la original, pero falsa, por lo que el intruso podr ver sus claves. Contra este tipo de ataques podemos luchar creando las tablas ARP de los equipos expuestos de forma esttica mediante el comando ARP.

Sniffing o anlisis de trfico: como hemos comentado en el epgrafe de tipos de atacan tes, este tipo de ataques consiste en escuchar el trfico de la red.
En las redes de rea local que utilizan el HUB como medio de interconexin entre los equipos, esta tcnica se convierte en un juego de nios; como sabemos, los hubs o concentradores repiten toda la infarmacin recibida por cada uno de sus puertos. Para dificultar el uso de esta tcnica, debemos sustituir los concentradores por switchs o conmutadores, ya que estos ltimos al tener definidas las tablas de direccionamiento (CA M Control Addressable Memory) slo mandan la informacin recibida por el puerto adecuado. Pero es tan fcil como utilizar una tcnica de MAC flooding, que consiste en saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento y terminen funcionando como concentradores, es decir, que reenvan la informacin recibida por todos los puertos por no saber por cul de ellos debe enviarla.

i /5
q

~--~----------------------------------

Seguridad activa en el sistema

Caso prct.:: ic ::: o:.,.l :..l =---_ _ _ _ _ _ _ __

Comprometer uno sesin telnet entre dos equipos atacados


Para la realizacin de esta prctica hemos utilizado tres equipos conectados a la misma red mediante un switch. Volveremos a utilizar la misma aplicacin que en el caso prctico anterior, CAIN, con la que envenenaremos mediante la tcnica del ARP spoofing el trfico generado entre los dos PC atacados consiguiendo visualizar el contenido de la sesin telnet entre los mismos.

1. Como puedes ver en la siguiente imagen (Fig. 5.71),


se est envenenando el trfico entre dos PC; uno con la direccin IP 192.168.0.134, que ser el que inicie la sesin telnet, y otro con direccin IP 192.168.0.136 que es quien tiene en ejecucin un servidor telnet.

2. En el siguiente paso, vamos a ver como el sniffer escu cha el trfico generado entre los dos PC atacados durante una sesin de acceso remoto.
En primer lugar Emilio inicia una sesin telnet autenticndo se mediante su nombre y usando como contrasea patata (Fig. 5.72). En la siguiente imagen, vemos como el sniffer mediante la aplicacin CAIN ha sido capaz de comprometer nuestra sesin telnet (Fig. 5.73). El intruso ve el nombre de usuario y la contrasea utilizados para la conexin y posteriormente la ejecucin del comando dir realizada durante la sesin por el atacado.

Fig. 5.71. Envenenamiento del trFico entre dos PC

Fig. 5.72. Inicio sesin fe/neto

: [7: lota [7: lefa [10: ah (10: af u o[10: 9fama [10: 101'11 D [10:Ufll a[la: 12fl1l1 a [lo: l11'oa [lO: 14 f
0 (3:31'

[7: 3. fdlda [7: ] 5fri a (7; 36fr D[7: ] 7f

Fig. 5.73. Te/ne! comprometido.

Seguridad activa en el sistema

Conexin no autorizada a equipos y servidores: este tipo de ataque consiste en descubrir distintos agujeros en la seguridad de un sistema informtico y establecer con el mismo una conexin no autorizada. Ya sea porque hemos descubierto las controseas de algunos usuarios, como en el caso prctico anterior, o bien utilizando aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir el acceso al equipo desde el exterior.
Puedes descargarte una versin

Intraduccin en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos o gusanos son conocidos como malware, programas malintencionados, que infectan nuestro equipo daando de mltiples formas nuestro sistema.
- Los virus son programas que se propagan entre los equipas. Su cdigo se adjunta al de otro programa existente en el sistema para facilitar la propagacin del mismo y causar los daos para los que han sido diseados por el creador. La caracterstica principal es que su cdigo ha sido escrito con la intencin de que se vaya replicando para as infectar el mayor nmero de equipos posibles. Ejemplos famosos de virus son Barrotes, Viernes 13 ... - Las gusanos son diseadas con el mismo fin que los virus, que se propaguen por la red. Se diferencian en que stos no necesitan la intervencin del usuario, ya que no se adjuntan a ningn otro programa, sino que son distribuidos de manera completa par la red consumiendo en la gran mayora de los casos un gran ancha de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos ejemplos famosos de este tipo de programas son Sasser y Blaster. - Las troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayora de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.

demo de 30 das del antivirus ESET en http://demos.eset.es/. En el sitio podrs elegir entre ESET NOD32 Antivirus o ESET Smart Security. Puedes solicitar
ms informacin a tu profesor.

.. . 'J'
Debes cambiar las contraseas

que ponen por defecto los fabricantes a los distintos perifricos que nos permiten la conexin a Internet paro evitar conexiones no autorizadas a los mismos.

Estas daos varan desde aquellas que no realizan ningn perjuicio al equipo infectado hasta otros que realizan verdaderos destrozos irreversibles en nuestro sistema. Para evitar el ataque de este tipo de programas se han comercializado aplicaciones denominadas antivirus que mantienen actualizadas sus ficheros de firmas parci detectar y eliminar los programas con cdigo malicioso. Ejemplos de antivirus son Panda, Norton, AVG, etc. Todos ellos tienen antivirus on-fine (en lnea) que en la mayora de los casos slo permiten detectar si nuestra mquina est infectada. Es aconsejable tener instalado un antivirus, teniendo en cuenta que todos ellos ralentizan tonto el arranque como el normal funcionamiento del equipo por consumir recursos del equipo.
Algunos virus famosos:

El virus FORM hace sonar los das 18 de cada mes un pitido por cada tecla pulsada. Esto
simplemente se puede considerar una broma ms o menos incmoda.

El virus VIERNES 13 borra los programas utilizados en dicho


da afectando exclusivamente a los archivos ej ecutables. Generic Backdoor, permite a los intrusos acceder de manero remoto al ordenador

actlv e scan 2-0 ""',"""""' '''...... ,,,,..

afectado, por lo que compromete la confidencialidad de la


informacin almacenada en el
..-. ""' ~

................",'"".. """"""'_....,."'''' ........


..',,,,.., ....""""

...."....., ...... ..,.. ... '-w""' ,,,, __ ... . _ ., ....'."n""

equipo .
Sasser, es un gusano qu e aprovechando una vulnerabi-

""'......

''''''''''0:.'''. '',,,,,,,,,,

=-c"""'.., . ~..""

lidad de Windows, apagaba el equipo . Elk Cloner, programado por Rich Skrenta a los quin ce
aos de edad, es considerado el primer virus d esarrolla-

Fig. 5.74. Anfivirus online de Panda.

do y expandido por la red . Afectaba a los equipos con sistemas MAC instalado.

~/5
Q

~--~----------------------------------

Seguridad activa en el sistema

Caso prctico ::...,: 1 .:: 2_ _


Por ello vamos a cambiar lo configuracin del anlisis paro que no se realice en todos los arranques sino slo los viernes.

Configurar el anlisis en busca de virus y otras amenazas del Antivirus Panda


Como hemos comentada anteriormente, los antivirus ralentizan el arranque de los equipos debido al anlisis en busca de malware que realizan en cada uno de los arranques.
l.eJ.ID.!.JLJ'
~
Internet SecurltYJ
0 ' -

1. Una vez arrancado el antivirus debemos hacer e1ic sobre la pestaa Analizar (Fig 5.75) .

C3 Programar la ejecucin de anlisis

I=),@] ~l

Amillsrs en busca de virus y otras amenazas


...... n... 10lla mlPC

I
@ ~r .,.....r 1, o'cuDd" d

Annsls programados

Actualmente estID definidos los slgulentes anatisis programados.

<0

~ An!r!:is al nao de WJI'Ido.'1S

Nuevo enlsls, ..

fl.lIi,,,

ConfIourar anlisis .. ,

~
~

ANlb u r t l to", o

AIIaliu t otro I_

o.

De tectilr vulnerablll dedes

_.Ilor.
Fig. 5.76. Progromar anlisis.

11
1

Aceptor 1I Cancel"

Fig. 5.75. Anlisis Panda.

2. En el marco derecho de la Figura 5.76 hacemos e1ie en Programar la eiecucin de anlisis. Aparece una nuevo
ventana (Fig 5.77) en la que se nos muestran dos balones; el primero de ellos permite generar un nuevo anlisis y el segundo permile modificar la configuracin del anlisis programado. En nuestro coso queremos modificar la periodicidad del anlisis, por lo debemos hacer e1ic en el botn Configurar anlisis .. .

3. En la siguiente pantalla (Fig . 5.77) hacemos e1ic sobre el botn Planificacin.


4. Aparece una nueva ventana en la que podemos definir
cundo queremos que se haga el anlisis. Como queremos que se realice todos los viernes debemos hacer e1ic sobre lo ltimo opcin, seleccionando en el desplegable el da (en nuestro caso Viernes), en el que queremos que se haga la comprobacin (Fig . 5.78).

:3' Configu rar anlisis


~

o ConfigunI::in del W fosit . Inicio de Wirul oWJ


An'hIs I AccIone5 ! Alertas PrO\ll"lIII'IIIdot ' -_ _ _ __
An A!;si~al lni do ---

uu
_ _ _ __ _ ,

Editar elementos a analizar

Pulsa en Editar para seleccionar los ~ementos que sern aM~ZZldo5.


Editar ...
Conflguradn del anlisis
~

fJ>

_ __
(\Ir;

IrdtII Cll!1 que perioOOdad qo,RrH

se efb:ie el an.fuis 61 iOOa .

O ...... O Ctd& OCtd&

~ .,.encue:;

6es

..cJ

Pulsa on eontigtncin para modificar las prcpiedodos del anOtisls, si no se aplicar la configuracin por defl!:do.

0 ""
1

l v~

I ConfiQuractn...
Configuracin de la programadn

tf!jJ

Pulsa en planificacin para moficar la programaOn d~ anlisis.

I
8Ceptar

Plantftcact6n .. .
1

~ancetar

Fig. 5.77. Configuror anlisis.

Fig. 5.78 . Configuracin de la periodicidad del anlisis.

Seguridad activa en el sistema

Keyloggers: la traduccin literal de esta palabra, registrador (Iogger) de teclas (keys), nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta maliciosa para conocer todo lo que un usuario escribe a travs del teclado, incluso a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos existen herramientas hardware y software. Los perifricos diseados para tal fin pueden ir desde un teclado en apariencia idntico a uno normal pera que contiene una memoria no voltil donde almacena la informacin escrita o bien mediante un pequeo dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado. Denegacin del servicio: este tipa de ataque tambin es conocido par sus siglas: DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con el propsito de interrumpir el servicio que estn ofreciendo. Es conocido el ataque DoS que realizaron piratas informticos de la antigua Unin Sovitica y que paraliz el acceso a Internet de los estonios, tras la decisin del gobierno del pas bltico de retirar una estatua que conmemoraba a los muertos soviticos durante la Segunda Guerra Mundial. Tambin son conocidos los ataques de este tipo lanzados contra los servidores raz del sistema de nombres distribuido DNS, con el fin de dejar Internet paralizada al no poder disponer los usuarios del servicio de resolucin de nombres. Entre los mltiples tipos de ataque DoS se pueden destacar los siguientes: - La mayora de los ataques de denegacin de servicios son realizados al unsono desde mltiples mquinas que han sido convertidas en zombies por crackers de la red, llamndose en este caso DDoS, ataque de Denegacin de Servicio Distribuido. - Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un tamao de bytes muy grande, lo que bloqueaba las conexiones en los antiguos sistemas operativos; en los actuales este tipo de ataque est subsanado y por tanto se puede considerar como historia. .' Vocabulario

Zombie. Ordenador en el que un hacker de sombrero negro ha conseguido instalar software malicioso para hacerse con el control del mismo. Spam. Tambin conocido como correo basura. Correo habitualmente de publicidad que no ha sido solicitada.

Inundacin de peticiones SYN: ms conocido por SYN Flood, consiste en hacer una peticin de establecimiento de conexin a un servidor y no responder a su aceptacin de conexin, bien sea porque se false el paquete de peticin con una IP falsa o por alguna otra causa. Este tipo de ataque provoca una saturacin en las conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden llegar a producir un colapso del servicio ofrecido con la consiguiente denegacin de servicio. Mediante el simple uso del comando netstat (comando que nos permite ver el estado de las conexiones) se puede ver si estamos siendo vctimas de un ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers que paren el trfico de IP que puedan ser falseadas. Dialers: tambin conocidos como marcadores telefnicos, se hicieron muy famosos a principios de los aos noventa cuando la mayora de la gente se conectaba a Internet mediante mdem. Son programas de conexin a Internet mediante mdem, que realizan una llamada a un telfono con tarificacin especial, como aquellos que empezaban por 905. Estos pragramas actuaban sin la intervencin y sin el consentimiento del usuario provocando una factura telefnica desorbitada. Hoy en da con las conexiones ADSL los dialers casi han desaparecido en la mayora de los hogares.

Ingeniera social: es un ataque que afecta al objetivo de confidencialidad de la seguridad informtica. Esta tcnica consiste en obtener informacin secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos. Habitualmente los ingenieros sociales utilizan el correo electrnico, pginas Webs falsas, el correo ordinario o el telfono para llevar a cabo sus planes. Los ejemplos ms llamativos de estos ataques son el phising y el uso de una mquina atacada para la envo de spam.
141

Seguridad activa en el sistema

Phishing: es una tcnica de engao al usuario, que intenta adquirir informacin confidencial del mismo suplantando la identidad de otros personas, organismos o pginas WEB de Internet. Uno de los mtodos de Phishing ms utilizados hoy en da consiste en colgar en Internet una pgina que es copia idntica de alguna otro, como puede ser la de alguna entidad financiero o banco.
El engao consiste en que si alguien confunde esta pgina falsa con la original e introduce en ella sus datos personales como puedan ser el nmero de tarjeta o el PIN de la misma, estos nmeros se les manda directamente a los creadores de la estafa, que consiguen as tener en su poder informacin que puede comprometernos. La manero de no caer en estas estafas es tener en cuenta que nunca los bancos ni organismos oficiales piden a travs de correos electrnicos datos confidenciales. Tambin debemos mirar con cautela las direcciones URL de las pginas visitadas, pues sucede a menudo que si la direccin real es por ejemplo www.mibanca.es. la direccin que utilizan este tipo de delincuentes para diseccionar la pgina ser algo as como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una pequea diferencia que a primero vista no se notar pero que obligatoriamente ha de tener. Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros, pero actualmente estos ataques han afectado a otros organismos, como el INEM, Cmaras de Comercios de diferentes ciudades y ltimamente a la Agencia Tributaria (Fig. 5.78). En este ltimo caso, el ataque consiste en la remisin de un correo electrnico que informa que el receptor del mensaje tiene derecho a un reembolso de impuestos inexistentes. Pero para poder disponer del dinero, el receptor debe enviar los nmeros de cuentas bancarias y tarjetas de crdito.

~ Actividades
10. El navegador Internet Explorer a partir de la versin 7 incluye la funcionalidad Filtro de suplantacin de identidad. Paro configurarlo debemos acceder a las Opciones avanzadas del men de Herramientas (Opcio-

nes de Internet).
En la ficha de Opciones avanzadas podremos activar la comprobacin automtica de sitios web en el apartado de seguridad. De esta manera siempre que accedamos a una pgina comprobar su autenticidad inmediatamente.

tWJ

, . , GOII [ UIO
O[UI.I.II

;&

Agencia Tributaria
D RSS

Pc!lil;ll

I:ngii~lica

I Mapa Web I Accesib i!il:llld I Ayuda

la Agencia Trlbutarla

-seleccione portal-

...

Ir al portal

I
)

(1q~ On,Io' Virtual


Inldo :. La Agenda Tributaria ) Sala de prensa

Notas de prensa

o El Ministerio de Economia y Hacienda a.dyierte de un intento de fraude a travs de Internet que utiliza su nombre y su imagen 15.jullo.2009. Gabinete de Prensa

Acceda directamente

Agencia Tnbutaria El engao hace referencia a un reembolso de impuestos inexistente. 14 de julio de 2009. El Ministerio de Economia y Hacienda ha detectado hoy un importante envio de comunicaciones por correo electrnico en el que se utiliza fraudulentamente su nombre y su imagen. En el envio se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale supuestamente beneficiado . Para poder disponer del dinero hay que aportar datos de cuentas bancarias y ta~etas de credito. El Ministerio de Economia y Hacienda, a Iraves de la Agencia Tributaria. ha tomado las medidas necesarias para perseguir este intento de fraude y recuerda que la mejor medida es la prevencin de los usuarios ante comunicaciones sospechosas que incluyan la peticin de datos bancarios . Ni el Ministerio de Economa y Hacienda ni la Agencia Tributaria solicitan informacin confidencial, ni mimeros de cuenta, ni numeras de ta~eta de los contribuyentes. por correo electrnico.

I Calend~rio

~ AUnCJiC
del ccntnbuyente CaM de Servicies CertirJC8dcs Eledr6niCcs Descargll de prcgrllffi3s de ayuda Modelos y IcrmuillrloS UCrm.:!wn y cri!eri:ls intcl1lrellltivcs Preguntas Tli:ulllrUs (.FORMA)

la

I~ Enlace s relllcionDdos
I,Iinislelio de Eccnorr6 y H~ciendft [8

Fig. 5.79. Configuracin momento anlisis.

142

Seg uridad activo en el sistema

Comprueba tu aprendizaje "


Aplicar mecanismos de seguridad activa describiendo sus caractersticas y relacionndolas con las necesidades de uso del sistema informtico 6. En un pequeo colegio es necesa rio que los alumnos compartan los equipos de un aula de informtica. Los perfiles de los alumnos que comparten el aula son: Alumnos de gestin administrativa. Estos utilizan los equipos para aprender mecanografa y el paquete ofimtica de Microsoft. Alumnos de construccin que utilizan Autocad paro la realizacin de planos y PRESTO para el clculo de presupuestos. Alumnos de un curso de JAVA, los cuales utilizan un compilador de dicho programa. Se ha observado que los alumnos del curso de JAVA se dedican a instalar juegos en los equipos de manera indiscriminada, por lo que se estn viendo perjudicados sus compaeros. Cmo podemos solventar la situacin? Qu medidas tomaras? 7. Esta actividad se deber realizar en grupo. Descarga de la pgina web http://www.effetech.cam/download/ el programa MSN sniffer e instlalo en uno de los equipos de la red. Otros dos compaeros deben hacer uso del Messenger manteniendo una conversacin entre ellos. Puedes ver la conversacin mantenida desde tu equipo? En caso de que la respuesta sea negativa Por qu no puedes visualizarla? Cmo podras llegar a visualizar la conversacin? 8. Descarga EffeTech HTTP Sniffer de la pgina Web http://www.effetech.com/download/ e instlalo en uno de los equipos de la red . Otro compaero debe visitar distintas pginas Web. Puedes ver las pginas que visita tu compaero? En caso de que la respuesta sea negativa , por qu no puedes visualizarlas? Cmo podras llega r a visualizar las pginas que visita tu compaero? 9. Captura las contraseas de inicio de sesin de otros usuarios de tu red y envalas al crackeador de contraseas para ms tarde intentar averiguarlas. Qu mtodo utilizas para averiguarlas? Fuerza bruta, diccionario o Rainbow tables?

1. En multitud de noticias podemos leer que el despecho de los empleados dispara el robo de informacin en los empresas. El 28% de lo sustraccin de informacin se produce o travs de los memorias externas USB. Paro evitar dichos robos podemos deshabilitar estos o travs de la BIOS. Accede a la BIOS y desactiva los dispositivos USB. Otra forma de protegernos contra dichos robos es desactivando dichos dispositivos USB a travs del sistema operativo. Enumera los pasos que has realizado para desactivar dichos dispositivos a travs del Sistema Operativo.
2. Spoof Guard es una herramienta que nos ayuda a discernir si estamos siendo vctimas de un ataque malintencionado de spoofing o de phising. Esta aplicacin aade un semforo en la barra de herramientas del navegador que nos indica la peligrosidad de la pgina . Descarga el programa de la pgina http://crypto. stanford.edu/SpoofGuard/, instlalo y comprueba que dependiendo de la luz del semfaro lo pgina que visitas no ha sido atacada o por el contrario es una posible pgina web fraudulenta. 3. Modifica el fichero de configuracin del gestor de arranque (GRUB), rnenu_lst, para que bloquee el arranque del test de memoria . Indica los pasos que has realizado para alcanzar el objetivo. 4. Descarga la demo de la aplicacin Biopassword de http://smortadvisors.net/biapassword/demo.php, instlala, configrala y comprueba que si escribe otra persona diferente o la que ha realizado el mdulo de inscripcin lo reconoce y produce un error diciendo que tu forma de escribir no se corresponde con el patrn registrado. 5. Descarga el antivirus AVG de http://free.avg.com/, instlalo y haz una comprobacin del estado de tus dispositivos de almacenamiento. Aseguror la privacidad de la informacin transmitida en redes informticas describiendo vulnerabilidades e instalando software especfico

Seguridad activa en el sistema

--------------------------

Evitar acceso a BIOS

--Seguridad en el acceso al ordenador Cifrado de las particiones


Cuotas de disco Autenticacin de los usuarios

-(
Proteger el gestor

de arranque GRUB

Polticas de contraseas -( Sistemas biomtricos

Monitorizacin del sistema

Tipos de atacantes

Tipos de ataques

Software para evitar ataques

144

lLD ri1 U ~ (9] cdJ

Seguridad activa en redes

En esta unidad aprenderemos a:

Minimizar el valumen de trfico na deseada utilizando sistemas de seguridad. Aplicar medidas para evitar la monitorizacin de redes cableadas. Clasificar y valorar las propiedades de seguridad de las protocolas usadas en redes inalmbricas. Identificar la necesidad de inventariar y controlar las servicias de red.

estudiaremos:

Seguridad en la conexin a Internet. Protocolas seguros. Seguridad en accesos en red. Seguridad perimetral. Monitorizacin en redes cableadas. Seguridad en redes inalmbricas.

:utb~

;~tl.4!/,

~/

7 6

Seguridad activa en redes

l. Seguridad en la conexin a redes no fiables


Cada vez que nos conectamos a Internet se produce un intercambia de informacin entre nuestro equipa y la red. Este intercambia es necesaria paro que podamos acceder a la informacin y servicias de Internet, pera si na tenemos garantas de seguridad es necesario limitar la informacin que es enviada, ya que en otro caso podra ser utilizada
sin nuestro consentimiento.

Pensemos en la infarmacin que se transmite cuando navegamos por la Web -estamos enviando la direccin IP de nuestra mquina y la pgina Web desde donde hemos llegada- a cuando participamos en servicias de noticias y foros, donde enviamos nuestra direccin de correo electrnica, par eempla. Si alguien se hace can esta informacin podramos vernos afectadas par grandes volmenes de trfico no deseado y ser victimas de un ataque de denegacin de servicia. Ningn dispositiva, par sencilla que sea, est libre de sufrir un ataque, par la que es muy importante minimizar las pasibilidades de que esta ocurra. Existen diversas herramientas que nas permitirn proteger los equipos de la red, como los cortafuegos y los proxys, que veremos en las Unidades 7 y 8, Y las tcnicas y herramientas que abordaremos en las siguientes apartadas de esta unidad.

TwiHer se cae vctima de un 'ataque malicioso'


Facebook tambin ha sufrido problemas similares, aunque ms limitados
El popular sitio de 'microblogging' Twitter ha anunciado que ha sido vctima de un
ataque malicioso, concretamente un

ataque de denegacin de servicio (DoS), algo que ha dejado sin acceso al servicio a millones de usuarios durante un espacio de tiempo de al menos dos horas a lo largo de la tarde. En un breve comunicado en http://status. twitter.com, la compaa ha anunciado que se estn "defendiendo de un ataque de denegacin de servicim>, y anuncian que el sitio ya funciona, aunque advierten que siguen defendindose del ataque y tratar de recuperar la normalidad. La otra gran red social, Facebook, tambin ha sufrido problemas similares, aunque ms limitados. Los usuarios de la pgina vieron retrasos al registrarse y al actualizar sus perfiles. Un portavoz de

Facebaok ha indicada que la Web haba sufrido al comienza del da "problemas de red vinculadas a un aparente ataque de denegacin de servicim>. Desde aproximadamente las 15.00, hora espaola, Twitter ha estada inaccesible o can serias dificultades para el acceso de sus millones de usuarios en toda el mundo durante varias haras. La noticia de la cada de Twitter ha dado enseguida la vuelta por la blagosfera en toda el mundo. [... ] Se llama ataque de denegacin de servicio a la manera de sobrecargar de peticiones a un servidor, de manera que el alud de solicitudes llega a un punto en el que el servidor na puede atenderlos y deja de dar servicio a los usuarios.
MADRID,

DE AGOSTO DE

2009

(elmundo.es)

Seguridad activa en redes

1.1. Spyware en tu ordenador


Navegar por Internet, recibir correas can archivos adjuntas a inclusa instalar algn programa con licencia Freeware sin leer sus condiciones de uso pueden traer un invitada inesperado a nuestro equipa, un spyware. Pera, qu es un spyware? Su nombre, formada por lo conjuncin de las palabras spy y software, viene del de las clsicos espas, cuya misin era la de recopilar informacin y enviarla a sus contactas para que estos pudiesen beneficiarse de ella. Un spyware es, en definitiva, un pequea programa que se instala ' en nuestro equipa can el objetivo de espiar nuestros movimientos par la red y robar nuestras datas, de moda que a travs de l puede obtenerse informacin como nuestro correo electrnico y contrasea, la direccin IP de nuestro equipo, nuestro telfono, pginas buscadas y visitadas, as coma cunto tiempo se pasa en ellas, u otros datos igualmente importantes como las descargas realizadas, las compras que hacemos por Internet e incluso el nmero de tu tarjeta. A medida que recopilan esta informacin la envian a empresas de publicidad de Internet para comercializar con nuestros datos. Este tipa de software se instala sin que tengamos conocimiento de ella y trabaja en segundo plano, de moda que no nos damos cuenta de su presencia, aunque existen una serie de indicios que pueden alertarnos de que estn ah: Cambian las pginas de inicio o bsqueda del navegador. Se abren pop-ups por todos lados, incluso aunque no estemos conectados ni tengamos abierto nuestra navegador, llenando la pantalla, como puedes ver en la Figura 6.1 .

Actividades

9'

1. Busca informacin sobre


diferentes herramientas que permitan bloquear spyware u otro cdigo malicioso en nuestro equipo.

2. Instala y estudia el funcionamiento de la herramienta SpywareBlaster, que puedes descargar desde: www.infospyware.
como

Otra herramienta alternativa que puedes analizar SuperAntiSpyware, que puedes descargar desde http://www.superantispy
wa re .com.

, . .... 't ..

Fig. 6.1. Popups. Aparecen barras de bsquedas de sitias como Hatbar, etc., que na podemos eliminar. Falsos mensajes de alerta en la barra de Windows (al lado del reloj) de supuestas infecciones que no podemos eliminar. Este tipo concreto de malware se denomina rogueware o fakeav (de FAKEAntiVirus), y se aprovecha de la falta de formacin de los usuarios para tratar de instalar un programa de dudosa finalidad. Cuando navegamos por Internet hay veces que no se llega a mostrar la pagina Web que queremos abrir, ya que el trfico de red va cada vez ms lento. Malware. Es la abreviatura de Mal;cius Software. Es el trmino que engloba todo tipo de programa cuya finalidad es daar
o causar un mal funcionamiento de un sistema informtico.

~/6 q

Seguridad activa en redes

----~----------------------------------

Caso prcti."' co " -' l __________~_ _ _ _ _ _ _ _ __


Para hacernos con una primera idea de qu nos indica cada una podemos seleccionarla y pulsar Info on selected Item ... 1

Deteccin de Spyware/Malware y Virus con HijackThis


HijackThis es una herramienta gratuita para Win d ows que nos permite detectar y eliminar intrusos de nuestro equipo. HijackThis no distingue entre las entradas seguras e inse guros en sus resultados, pero nos permitir seleccionar y quitar manualmente las entradas indeseadas del sistema. Cuenta con un foro de ayuda para usuarios inexpertos don de, si subimos el log proporcionado por la herramienta, se nos informar de cuales son las referencias de los elementos causantes de los problemas de nuestra equipo y cmo eli minarlas, en ocasiones utilizando herramientas adicionales.

t I.
.,

.. , ~!

, ,

: ,

,~;.;;;;:~" : , 2j~;= "

"

1. Descarga HijackThis desde su pgina oficial, www. infosyware.com, e instlalo en tu equipo. En esta misma
pgina puedes encontrar el manual de la herramienta y el foro de ayuda.

:i.,fu ~ -"'=-.J - - I ~.~ I ~~==~ ~~ -._ ~ I


Fig. 6.3. Resultado del anlisis de Hijack This.

2. La instalacin apenas dura unos segundos y aparecer


el men de inicio de la aplicacin, que puedes ver en la Figura 6.2. Selecciona la primera opcin Do a system scan on/y, para analizar tu equipo.
1= ![3.'RE3

Nos mostrar una ventana similar a la de la Figura 6.4, donde se indica que la entrada Rl corresponde a las pginas de inicio y el asistente de bsqueda del lE. Como vemos, la informacin aparece en ingls, pero si tienes alguna duda puedes consultar el manual, donde encontrars la informacin en castellano.

I!

Da l'PI.m Kln ,lid AVI llogfiIe

011liltd nlolmlticn cm itlm 111,


A RC9iJlryy. luf thU huI/un I;l"1.Ud Ind 11 nal plllllnl in. dtflult Windll'W' nshll no/ lIudcd, pOllibly rU\l~ng in. eh,ng,dtE Sil/eh PI;" 5tlrt Pli" 5urc:h BI. Plg. cr5nrc:h AniJllnt.

Da, ~tRm Kan only

(Adicn tlk,,,, R fg;Jlry y. lul j, o;I.I".d)

Opm 0","1 HijldlThls Qulck5tart

Fig. 6.4. Informacin de la entrada R1.

5. Una alternativa ms aconsejable si somos usuarios


inexpertos es consultar el foro de ayuda, como hemos hecho en este caso. Las entradas que nos indican que debemos corregir son las que aparecen ya seleccionadas en la Figura 6.3. Pulsamos FixChecked (marcado con un 2 en la misma figura) para limpiar el equipo y aceptamos que los registros se borren permanentemente. As nuestro equipo quedar libre de malware.

Fig. 6.2. Men de HijackThis.

3. En unos instantes se habr generado un registro en la


siguiente pantalla de la herramienta (Fig . 6.3).

4. Cuando empezamos a trabajar con esta herramienta el


problema resid~ en detectar qu entradas son las que hay que corregir.

I~. l

~ Actividades
Analiza el significado de los registros eliminados en el Caso prctico 1, que puedes ver ella Figura 6.3.

Seguridad activo en redes

2. Protocolos seguros

En ocasiones, cuando nos conectamos a determinados servidores, podemos ver que la direccin Web que aparece en nuestro navegador comienza con https, en lugar de con el habitual http. Esto se debe a que nos acabamos de conectar a un servidor seguro, que encriptar los mensajes que nos enve por la red para que salo nuestro equipo pueda interpretarlos.

HTTP trabaja por defecto el puerto TeP 80 Y HTTPS lo hace en el puerto TeP 443.

2.1. Protocolo HTTPS


El protocolo HITPS es la alternativa segura al uso de HITP. Sus siglas corresponden a Hyper/ex/ TronsFer Pr%ca/ Secure, es decir, protocolo seguro de transferencia de hiper. texto y se emplea para conexiones a pginas Web en las que hay que proteger los datos que se intercambian con los servidores. El objetivo de HTTPS es proporcionar una conexin segura sobre un canal inseguro. Se basa en el intercambio de claves y el uso de certificados vlidos, verificados por una autoridad de certificacin que garantiza que el titular del mismo es quien dice ser, de modo que un atacante no pueda hacerse pasar por, por ejemplo, nuestro banco. Podemos verlo de manera habitual cuando accedemos a las pginas Web de tiendas en lnea, servicios donde sea necesario enviar datos personales o contraseas o entidades bancarias, como se muestra en la Figura 6.5.
l

:::':"ff.:-::~:': - =::==

__ -_ o'-'

..._ .._ ..- ....-.... --"_.._M __ ,_


._._~ --

'-~-_ . '--'.-"" .'

_-

_~-.-l

""-;::"="''''.,,. Q =:: -.:.,..-._._.


p

es>

=-_=,:;--

... _--_._._ -_.-_.... ... _._------_..


.....---- -_.
-.-._- ~ --

Fig. 6.5. Accesos mediante hltps.

Actividades "
4. El protocolo https es tambin utilizado por los servidores de correo electrnico, como gmail, pero no siempre est activado. Investiga cmo configurar una cuenta de correo de gmail para activar https, protegiendo as nuestros datos. 5. Un navegador no siempre identifica un certificado como. vlido para acceder a un servidor usando https, en general debemos rechazar dicho certificado pero hay veces que estamos seguros de la confianza del sitio Web. Conctate a moa dle.dit.upm.es utilizando firefox y realiza los pasos necesarios para agregar una excepcin para este certificado.

Seguridad activa en redes

2.2. Protocolo SSH


El protacolo Secure Shell (intrprete de rdenes seguro, SSHI nos permite acceder a equipos rematas o travs de una red y copiar dotas que residen en ellos de formo segu ra, utilizndose cama alternativo al uso de Telnet. Cualquier equipo puede configurarse como servidar ssh, incluso nuestro PC domstico, tanto si utilizamos coma sistema apeo rativa Windaws cama si usamos Linux, instalando una pequea aplicacin y configurn dolo adecuadamente. Su formo de trobaiar es similar a la de Telnet, pera incorpora tcnicas de cifrada que protegen la informacin que viaia par la red, de moda que un snifler na pueda hacerse con el usuaria y la contrasea usados en la conexin, ni otras datas que se intercambian.

otros protocolos seguros

como SSL (Secure Socket Layer),


que se usa principalmente para trasferencia de hipertexto pero

ofrece la posibilidad de usarlo


como alternativa segura en otros

protocolos.

~ Caso prctico 2
Instalacin de un servidor SSH en Windows XP En este coso prctico veremos cmo realizar uno instala cin bsico de un servidor ssh sobre un sistema Windaws, de moda que podamos conectarnos con l de forma rema ta y seguro.
@ OpenSSH for Windows 3.8.1pl-l Setup

."."""'"
@

Please wait wh!e 0penSSH for WndcrNS 3.8. 411-1 Is being instaeed.

1. Descargamos OpenSSH poro Windows desde http://


sshwindows.sourceforge.net/. El archiva descargada tiene formato .zip, as que extraemos el eiecutable que contiene y hocemos doble clic sobre l poro comenzar lo instalacin. 2. El asistente de instalacin nos guiar en los posos que hemos de realizar paro llevar o coba lo instalocin . Aceptamos la licencio e instalamos todos los campo nentes del paquete en C:\OpenSSH. 3. Durante el proceso de instalacin nos aparecer uno advertencia como lo que ves en lo Figura 6.6, que nos indica que debemos modificar el archivo passwd poro poder conectarnos posteriormente 01 servidor y donde encontrar lo informacin necesaria paro realizar dichos cambios, en el paso 6 veremos como hacerlo. Acepto mas y finolizar lo instalacin. 4. A continuacin es necesario aadir los grupos de usua rios de la mquina y crear los usuarios que van o tener acceso o lo informacin contenido en el servidor, poro lo que debemos trabaiar desde lo lnea de comandos de Windows. Vete 01 botn de inicio, y en eiecutar escribe cmd y utilizo el comando cd paro situarte en el directorio C:\OpenSSH\ bin .

OpenSSH for Windows 3.a,lpl-l Setup

A V

Before starting the OpenSSH service you MUST edit the C:\OpenSSH\etc\passwd file. Ifyou don't do this. you will not be able to log in through the SSH server. Please rud the readme,txt or quickstart.txt file for information regarding proper setup of the. pa5swd

file.

Aceptllr

Fig. 6.6. Advertencia de /a insta/acin de SSH.

5. Podemos aadir grupos locales (con lo opcin -11 o de dominio (con lo opcin - dI, segn lo instalacin de nuestra red, de modo que se adecue el uso de esta herramienta (tpicamente de Unixl o sistemas de Microsolt. En nuestro coso utilizamos los grupos locales, que aadimos 01 fichero de configuracin utilizando lo pri mera orden que ves en lo Figuro 6.7. 6. A continuacin aadimos 01 fichero C:\OpenSSH\etc\ posswd los usuarios que vayan a tener acceso 01 ser vidor, como nos indicaba el aviso de instalacin (Fig . 6.61. los usuarios pueden ser locales (-11 o de dominio (-dI, como los grupos.

"

C:\WINDOWS\system32\cmd.exe
-1 -1

:. l~ ..~_.
!P'()U))

C: ,OllcnSSIl,hin)~)<~fl'OltP
e: '
OIle n S SII ' h in
> FIJ<lJd~ ~ \Id

__ 'c tc '

El
(Contina) )

) > ' e t e ' 11<\ :;:. \Id

Fig. 6.7. Advertencia de /a instalacin de SSH.

Seguridad activa en redes

_ _ _~_ _ _ __________......:C :::!, aso Prctica 2


(Continuacin)

7. Como ltimo paso modificamos la carpeta a la que nuestro usuaria acce der por defeda. Para ella abrimos utilizando el bloc de notas el archivo C:\
OpenSSH\etc\passwd, donde vemos la siguiente lnea: Admini strador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Admi nistrador, S-1-5-21-322932897 0-15 409659 53-255827466 5-50O :/home/ Adminis trador:/bin/switch /home/Administrator seala a la carpeta por defedo de Windows para el usuario administrador (C:\Dacuments and Sellings\administradar). En nuestro casa, queremos que se acceda a la carpeta C:\DatasServidor. Para acceder al disco C: hemos de usar una nota cin un tanto especial, propia de OpenSSH /cygdrive/c/, de moda que modificando la lnea quedara : Administrador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Ad ministrador,S -1-5- 21-322932 8970 -154096 59 53-255827466 5-50 0:/ cygdrive/c/DatosServidor :/bin/switch

8. Slo queda arrancar el servicio. Podemos arrancarlo desde la opcin Servicios de Herramientas Administrativas (panel de control) o utilizando la orden net start opensshd desde la lnea de comandos y el servidor SSH comenzar funcionar (Fig . 6.8).

Fig. 6.8. Arranque del servidor SSH.


9. Podemos comprobar que el acceso es correcta testeando desde el mismo servi dor, recuerda que en la instalacin uno de los componentes era el cliente ssh. Para ello abre otra consola de lnea de comandos y escribe ssh administrador@jupiter, que corresponden al usuario y al nombre del equipo, tras lo que te mostrar la advertencia de uso del servicio. A continuacin te pedir la contrasea del usuario (Fig. 6.9). Escrbela y acceders a la carpeta del servidor SSH que definimos en el punto 7. Para salir basta con que escribas exit.

Actividades "
6. Realiza el proceso de
instalacin de un servi dor SSH sobre un equipo con un sistema operativo Linux. Puedes utilizar el mismo paquete que para Windows en su versin correspond iente. Encan trars los archivos y la documentacin necesaria en hllp://www.openssh. com/
151

Seguridad activa en redes

3. Seguridad en redes cableadas


Tradicionalmente los redes cableadas se han considerado ms seguros que las redes inalmbricos, de las que hablaremos en el Apartado 4. Pensemos simplemente en la red local de uno oficina, una red aislado y confinado en un edificio, cerrar la puerto y denegar el acceso 01 reci nto bastara paro protegerla de
intrusiones.

Desgrociodomente esto no es ton sencillo: el uso de Internet y la evolucin de las comunicaciones han hecho que los emplazamientos de los equipos de uno mismo red no sean nicos, sino que puedan situarse o miles de kilmetros de distancio, pero sigue siendo necesario mantener la conectividad entre ellos. Lo necesidad de proteger los redes, tanto cableados como inalmbricos, es indudable, pero, cmo lograrlo? En esto unidad abordaremos cmo protegernos de las intrusiones externos o nuestro red mediante el uno de redes privados virtuales (VPNI y como detector y contrarrestar los intrusiones internos.

3.1. Red privada virtual (VPN)


Es el acrnimo de Virtual Private Network, red privada
virtual.

Comunicar equipos remotos de modo directo es imprescindible en muchos organizaciones, independientemente de donde se encuentren fsicamente, y esto necesidad crece cada da ms. Los redes privados virtuales permiten, mediante el uso de Internet, establecer esto conexin realizando una inversin econmico bastante moderada . Adems, como utilizan protocolos de seguridad, el acceso o los recursos tiene carcter privado, por lo que uno persono podra acceder o los datos de la empresa en la que trabajo con la misma tranquilidad que si se encontrase en su oficina .

o
Muchas grandes empresas estn

Qu es una VPN?

apastando por el te letra bajo. Sus


empleados rea lizan las mismas funciones que haran en la ofici

Uno VPN o red privado virtual es, bsicamente, uno red virtual que se creo dentro de otro red, habitualmente Internet. Paro un cliente VPN se trato de uno conexin que se establece entre su equipo y el servidor de su organizacin, pero lo manera en que se realizo esta conexin es transparente paro l, simplemente los datos le son enviados de lo mismo manera que si llegaran o travs de lo LAN o la que se conecto.

na pera desde sus propios domicilios, conectndose a los servi

dores de la empresa mediante redes privada virtuales.

Cmo funciono una VPN?

Los VPN se basan en establecer un tnel entre los dos extremos de lo conexin y usar sistemas de encriptocin y autenticacin para asegurar la confidencialidad e integridad de los datos que se transmiten. Lo autenticacin en redes virtuales es parecido 01 sistema de inicio de sesin (utilizo un usuario y su contraseo" pero es necesario tener especial cuidado con lo seguridad de estos datos, por lo que lo mayora de los VPN usan sistemas de autenticacin basados en el uso de claves compartidos. Uno vez establecido lo conexin, los paquetes de datos se envan encriptados o travs del tnel virtual (que se establece sobre Internetl. Poro encriptor los datos se suelen utilizar claves secretos que son solo vlidos mientras dure para lo sesin.

Instalacin y configuracin de una VPN

Cuando implementemos una VPN, ser necesario realizar lo instalacin y configuracin de dos portes bien diferenciados, el servidor y el cliente.

Seguridad activo en redes

los sistemas operativos Windows, por ejemplo, incorporan una utilidad para establecer redes privadas virtuales de un modo sencillo y guiado, mediante la configuracin de una conexin de red avanzada. Existen muchas aplicaciones software que nos permiten crear VPN, que ofrecen diferentes niveles de seguridad y posibilidades distintas para lo configuracin. Es el caso de Hamachi logMeln, que puede utilizarse aunque tu equipo est detrs de un proxy o utilices un router NAT para conectarte a Internet. Caso p'rctico 3 Creacin de una red privada virtual Como ya hemos visto, el uso de redes privadas virtuales permite estoblecer canales de comunicacin seguras entre equipos remotos. logMeln Hamachi es una herramienta que nos permitir configurar nuestra propia VPN, tanto en el lado del servidor como del cliente, y establecer una lAN virtual con hasta 16 equipos de modo gratuito. En este caso prctico realizaremos la instalacin del servidar y crearemos una nueva red a la que posteriormente se conectarn los clientes. Configuracin del Servidor Windows 1. Entra en la pgina Web de logMeln, http://secureJogmein.com/US/home_ospx, y en Products selecciona logMelnHamachi. 2_ Descarga la herramienta para empezar a trabajar. Es conveniente que te registres antes; es gratuito y podrs centralizar lo gestin de tu red utilizando tu cuenta, que se asociar a la aplicacin. la aplicacin que debes descargar se denomina Hamachi.msi, la encontrars siguiendo las instrucciones de uso alternativas. 3_ Haz doble clie sobre Hamochi.msi y ejectala para comenzar la instalacin . Selecciona el lenguaje correspondiente en la primera pantalla (Fig. 6.10) Y pulsa siguiente hasta que aparezcan los trminos de la licencia . lela 'y acepta, si ests de acuerdo. 4_ En la siguiente pantalla te indica que para facilitar la gestin, se asocia la instalacin a la cuenta con la que te has registrado (Fig. 6.11).

Lengullge Selection

Asocillr el diente
.""'.....udol..OO"lo/n.

11

una cuenta de logMeln

' I.... Io~ ....... blliorCHdol..OO"lo"'I\ImId'II .. PIIOdcn_


5I .. tnudo""'I'IslaIo:!n ...... ~do""'~do"'<ierte""

....cLIdI:>, .. ~_'nt

.......

Io~_.dolo\t"e!n'

....

ICt.t>

I I

c..aI

Fig. 6.10. Insfalacin de LogMeln Hamachi.

Fig. 6. 11. Cuenta asociada.

5. Con posterioridad veremos que es posible modificar los datos asociados a la instalacin, y asociar, si no se haba hecho ya, una cuenta de carreo electrnico, as que pulsamos en Siguiente. Aparecer uno pantalla donde seleccionar la carpeta en que se realizar la instalacin. Dejamos la carpeta por defecto C\Archivos de Programa\ logMeln Hamachi\ o C\Program Files\logMeln Hamachi. Tambin seleccionamos Crear un acceso directo en el escritorio y procedemos a instalar. Una vez que concluya la instalacin, seleccionamos en la ltima pantalla Ejecutar Homochiy pulsamos

Terminar.
(Con fin o)

153

~/6

Seguridad activa en redes

- -- -- ---------- -- -- -- -- - - -- - - - - -- - - - - ---

q
Z

Caso prctico 3

(Continuacin)

6. La aplicacin se ha instalado correctamente. Para que se le asigne una IP virtual,


es necesario pulsar el botn de encendido. En este caso la direccin asignada es 5.125.76.223 (Fig. 6.12). El resto de equipos que formen parte de la red virtual se conectar a esta direccin IP. Si ahora pulsamos en el men Sistema en Preferencias se abrir una pantalla como la que muestra la Figura 6.13, correspondiente a la opcin Estado. El men de la derecha nos permite realizar modificaciones en la configuracin que se ha establecido por defecto, como el nombre del equipo (Jupiter).
StalU. and Conflnuratlon
Softw~

ff) loqMrT n Ht1Il1C1ChP


_, 1'110'
~~

- )(

~,,, ll

IS.125.76.223 !1PV~llJd I
lupHer

Clerte VPN de ~ HetMchI, versin 2.0,1.62


DIente
ID de dente:

09Z.Q97-759
~

Ncicnb'1I: Cuenta de
'-1m
~:

cambiar ...

~fJIseouidad.ccm

protocolo MlIvo do li5lI8di


77.212.193.229:12975

Di"ea:I6n:

Fig. 6.12. Pantalla

Fig. 6.13'. Pantalla de Estado.

de conexin.
8. Pulsamos ahora en Seguridad. En esta pantalla se localiza la clave pblica RSA
del servidor, que servir para realizar la autenticacin (Fig. 6.14). En esta lista se irn aadiendo las claves pblicas de los equipos con los que conectemos.

9. Si no deseamos utilizar una clave pblica en la configuracin avanzada de Configuracin podemos cambiar la opcin de autenticacin y utilizar una contrasea (Fig. 6.15), aunque no es recomendable. Para ello basta con hacer clic sobre Autenticacin y seleccionar como valor contrasea, tras ello hacemos doble clic sobre Contrasea y escribimos la clave elegida. En la pestaa de configuracin podemos configurar otras opciones como ocultar a los miembros de la red que no estn conectados.

Fig . 6.1 4. Pantalla de Seguridad.

Fig . 6.15. Pantalla de Configuracin.

(Contina)

Seguridad activa e n redes

Casa flrctico 3
(Continuacin)

10. El siguiente pasa es crear la red a la que se unirn las clientes, para ella pulsa mos en Red, Crear una nueva red de malla, como se muestra en la Figura 6 .16.

11. Se abrir una pantalla (Fig . 6 .17 ), donde daremos nombre a la red (que no
puede estar ya siendo usado), y la protegeremos con una contrasea, que deberemos proparcianar a aquellos clientes que queramos formen parte de nuestra VLAN.

(reate a n~ cUent-owned (ll network

Network name

II

S:::I.=bcl:::,_

-,-_-,--,--=c-_.,..--,--,=--,--J

IntroduzaJ un nombre p&.! ~ red,oEste nombre lo utiiz.vn

0' ---- -- - - - - - - -- -- - - - l og in to (reate a new managed (ll network

Fig. 6. 16. Crear una nuevo red.

Fig. 6.17. Datos de la nueva red.

12. La red se mostrar ahara en la pantalla principal de LogMelN Hamachi (Fig . 6.18). En estos momentos el equipa jupiter, el servidar, es el nico equipo que
est conectado a la VPN . A medida que se unan nuevos miembros a nuestra red, irn apareciendo sus nombres debajo de Sl.bcle, hasta un mximo de 16, que es el mxima de miembras en la versin gratuita de esta aplicacin. La versin de pago permite ampliar el nmero de usuarios conectados, haciendo que su uso para empresas sea viable.

fJI LogMeln H~ma(hi'


S,:\o-rn,
I\~

:. ,uu~

1m!

5.125.76.223
lupiter

Ile Q ] 5IJIdO _~~==. liJI

;;;:==

Fig. 6.18. Red SI.bele.

~/6

Seguridad activa en redes

----~----------------------------------

Como ya hemos visto antes, en toda VPN la conexin tiene dos extremos, uno que podemos denominar servidor, donde hemos creado la red virtual y al que han de conectarse el resto de equipos, situados en el extremo del cliente. la configuracin de un cliente es ms sencilla que la de un servidor, ya que nicamente ha de crear la conexin y especificar la red con la que esta se realiza. logMeln Hamachi puede ser utilizado tanto en equipos Windows como en equipos Linux, aunque en este sistema operativo an se est en versin beta y se trabaja desde el terminal.

~ Casa prctica 4
Instalacin y configuracin de un cliente para una red VPN
En las organizaciones se trobaja con distintos sistemas operativos, por lo que es habitual que haya necesidad de interconectar equipos funcionando con Windows y Linux. Aprovechando la red que hemos creado en el caso prctico anterior, nos conectaremos a ella desde un equipo con Ubuntu, a travs de una VPN creada con logMeln Hamachi.

1. Descarga el paquete de instalacin desde http://files.hamachi.cc/ linux! En este


caso prctico vamos a realizar la instalacin del paquete hamachi-0.9.9.9-20Inx.tar.gz. Gurdalo en la carpeta donde vayas a realizar la instalacin, en este caso /root. Recuerda que debes de ser el administrador del equipo. 2. Descomprmelo utilizando la orden de la Figura 6.19, se generarn las carpetas y archivos de instalacin en el directorio hamachi-0.9.9.9-20-lnx, donde debemos situarnos con cd.

r.gz
namacnla .9.9.9-20-tnxl
hamachi-O. 9.9.9 -20-tnx/Hakefile hamachi -O. 9.9 . 9-20-tnx/lICENSE hamachi-e.9.9 . 9-26-1nx/REAOME hamachi-B .9.9.9- 2o-tnx/LICENSE . tunctg
hamachi -0.9.9.9' 20 -1nx/ LICErlSE. openssh

hamachi-e.9.9 .9- 20-tnx/LICENSE.opensst

hamachi-O.9.9 .9-29-1nx/hamachi
hamachi-e .9.9.9 -20-tnx/tuncfg hamachi-e. 9.9 .9-20 -1nx/tuncfg/Hakefile hamachi-e.9.9.9-20-tnx/tuncfg/tuncfg.c hamachi-6.9.9.9-20-1nx/tuncfg/tuncfg hamachi-e . 9.9 .9 -2o-tnx/CHA NGES

root@jupiter:-# cd hamachi-B.9.9.9-29-lnx

Fig _6.19. Descomprimimos Hamachi.

3. Instalamos el cliente con la orden make install, tal y como puedes ve en la Figuro 6.20. Hamachi para Linux est listo paro funcionar.

copying hamachi into l usr/bin .. creating hamachi-init symlink .. Compiling tuncfg . . Copying tuncfg into Isbin .. Hamachi is installed. See REAOME tor what to do next . root@jupiter:-/hamachi-9.9.9.9-29-lnx#

Fig. 6 .20. Inslalamas Hamaehi. (Conlina)

156

Seguridad activa en redes

'---

Casa prctico 4

(Continuacin)
4. El cliente empieza a funcionar cuando ejecutamos el comando tuncfg (que est en el directorio del mismo nombre); para ellos debemos escribir las rdenes de la Figura 6.21.
ArthIvo Editar ~ ~rmlnal AVda root@jpl ter : -/h~~chl0. 9.9. 920-lnxI cd tuncfg/ root@juplur: -/ha~chl-0. 9. 9. 9-20-lnx/tuncfgl ./tund!! tuncfg : a1.relldy running root@ Jup1ter:- /haltach1-0.9.9.9-10-lnx/tunc f o'

Fig. 6.21. Arrancamos el cliente.

---

5. Las siguientes rdenes que veremos nos permitirn crear el perfil de un nuevo
usuario y unirnos a la red Sl.bcle, que creamos en el servidor Windows en el Caso prctico 3. En la Figura 6.22 vemos la orden que hemos de ejecutar para informacin de la cuenta .
m

!l'

Gi [i'j

tID{JilJ'ji!1iEI!

lClf

AlUlivo ~djtllr ~ ~rmlnal A)'llda root@jupite r: -/ha~achi -0.9.9. 9- 20-ln~/tuncfg' har.Jachl lnl t Inlt1I1Uzlng H8t:1l1chl conflgufatlon (froot/.hllmachil. Please wait __ generatl ng 2048bit RSA keypair .. ok aaking rootl.ha:aachl directory .. ok saving Hoot! .hal=.ach1tcUent .pub .. ok saving root/.haDilchi/c Uent.pri .. ok s~ving /root/.h~mach1/snte .. ok Authentication infornaUon hils been created . Hamachi can now be started with 'ha~achl surt ' cor::nand IInd then brought onUne with 'haruchi login'. root@ juplter :-/hamachl-0.9. 9 .910-1ml! tuncfg'

Fig. 6.22. Creacin de Informacin de la cuenta.

6. En la Figura 6.23 ves como debemos arrancar el demonio (servicio) Hamachi


con el comando start. Para detenerlo bastar con sustituir slart por slop.
Afdivo EdItar Y.er ]l!rmlnal Ay.da root@ Jupite r:- /ha3ilchi -O.9. 9 .9 -28-1nx/tuncfgl hcmachi stllrt Starting HMachi hacachi-lnx -O_9.9 .920 . . ok root@jupite r:-/haDilchiO.9 . 9.9-20-1nxtuncfgl I

Fig. 6.23. Arrancamos el servicio.

7. Como es la primera vez que nos conectamos, nuestro mquina no tiene ningn
nombre. Podemos dejar que tome uno por defecto pera es conveniente asignrselo mediante la orden de la Figura 6.24.

root@Jup1ter:-/haraachi-0.9. 9. 9-20-1n~ttuncfg' Setting nicknar.e .. ok root@jupiter:-/ha1lilchi-O.9.9.9-20-1nx/tuncfg'

ha~chi

set nick jupi terLinux

Fig. 6.24. Asignamos un nombre 01 equipo.

8. Ejecutamos la arden hamachi login antes de realizar la conexin con la


red de destino, para poder ser identificados y nos unimos a la red, mediante el comando join seguido del ID que tiene asignado dicha red, en nuestro coso Sl.bcle (Fig. 6.25).
,,--ro
ArchiYO

fditar

Y.eJ :rmnlnal Ayuda

rootOjupi ter:-/!la;::achi -O. 9. 9. 9-20- tnx/tuncfg l haoachi joln SI.bcle Password: Join1ng SI.bcle .. ok root@jup1ter:-/haroachi-O.9.9.9-20-1nx/tuncfgl I

Fig. 6.25. Nos unimos a lo red.

(Contina)

~/6

Seguridad a ctiva en redes

----~-- --------------------------------

Casa prctica 4_____________~___~_____I

Conlinuacin}
9. Por defecto, codo vez que nos conectemos o este servicio lo haremos en el mismo estado en que lo abandonamos la ltima vez, es decir, si cuando ejecutamos la orden stop estbamos en lnea, la siguiente vez que ejecutemos la orden start directamente estaremos en lnea. Como es la primera vez que vamos a unirnos a la red, por defecto aparecemos como no conectados, as que debemos utilizar el comando go-online (Fig. 6.26) . Cuando queramos desconectarnos, sin cerrar lo aplicacin, usaremos go -off line.

Going ontine in SI . bcle , _ ok


root@ jupiter :- / ham achi e . 9.9 . 9-29-1nx/ tuncfg#

Fig. 6.26. Clienle en lnea .

10. Por ltimo, vemos si en la red hay ms miembros conectados. En este caso jupiter (el servidor) est en lnea, como ves con la orden list (Fig . 6.27).

[SLbelet '" 5 . 125.76.223 5 . 126 . 2e6.176

jupiter jupiter2

192.16B.l.33 :1e36

root@jupiter:- hamachi-e.9.9 . 9-29-1nx/tuncfg#

Fig. 6.27. LisIo de usuarios de lo red.

11. En la Figura 6.28 del equipo jupiter vemos que hay un nuevo usuario conectado
en la red .
~

.
lonMpIn H"rn"t( hi'

m
lO'

.~~.,

,.,

,1>

5.126.76.223

1upiler

Io SLbde
o j;.Jp.(erZ

-1

jo..pter\.hDI:-5.2.15.132. -

Fig. 6.28. Equipos coneelodas o lo red SI.bele.

~ Actividades

Hamachi es usado en muchos

7. En la Figu ra 6.28 puedes ver que se ha unido a la red otro equipo llamado jupiter2. Configura un cliente Windows con este nombre y realiza los pasos necesarios para que se una a Sl.bcle. 8. Busca informacin sobre otros paquetes software que permitan crear redes privadas virtuales y compara sus caractersticas con LogMeln Hamachi.

servidores de ju e gos para conectar a diferentes jugadores.

Seguridad activa en redes

3.2. Deteccin de intrusos


Como hemos visto, podemos evitar los intrusiones externas utilizando redes privada virtuales, pera qu hacer cuando las intrusas ya estn en nuestra red? Detectar intrusiones es una tarea muy compleja para la que se ha ido desarrollando un software especfico denominado sistema de deteccin de intrusiones, IDS. Estas aplicaciones suelen ser propietarias y muy complejas de utilizar, por lo que su uso suele limitarse a grandes redes que requieren una seguridad muy concreta. Aunque existen sistemas que utilizan conceptos tan ava nzados como la inteligencia artificial, la mayora se basan en el uso de bibliotecas de normas, que describen las condiciones del trfico para tcnicas de ataque o intrusiones ya conocidas. Los IDS son un paso adelante en las funciones que implementan los cartafuegos, a los que dedicaremos la unidad siguiente, y algunas de sus funcionalidades suelen integrarse en ellos, aunque a un nivel mucho ms bajo. Existen varias herramientas interesantes de deteccin de intrusos pera su uso es bastante complejo, algunos ejemplos ms representativos son Tripwire Enterprise y Snort: Tripwire Enterprise, que permite detectar los acciones en la red que no se ajustan a la poltica de seguridad de la empresa, e informar de aquellos que necesitan especial atencin. Ofrece soporte para Windows y Linux, adems de para entornos virtuales, como las creados con VMWare, pero es una aplicacin propietaria, pensada para grandes redes con un trfico y un nmero de usuarios muy elevado. Snort, que es una aplicacin de cdigo abierto que permite tanto la deteccin de intrusin como su prevencin. Existen versiones para sistemas Windows, aunque el grueso del proyecto se desarrolla para entornos Linux. En cualquier caso, ser necesario instalar algunos paquetes adicionales que garanticen el funcionamiento de la aplicacin, en el caso de las distribuciones Linux, par ejemplo, se instalarn Libpcap, PCRE, Libnet y Barnyar, que tambin son de cdigo abierto. Este IDS escucha el trfico de la red en tiempo real y lo relaciona con una serie de normas ya predefinidas, que pueden descargarse desde Internet. Cuando encuentra alguna coincidencia alerta sobre ella, hace un lag de dicho trfico o lo ignora, segn se haya indicado en la norma.
lOS. Es el acrnimo de
"IIIU51(m

sistemas de deteccin de intrusiones

Detection Systems,

Puedes conseguir una versin evaluacin de Tripwire a travs

de su Web: http://www.tripwire.com

Toda la informacin del proyec


to Snort puedes encontrarla en:

http://www.snort.org

Actividades ~ 9. Busca otros paquetes IDS


en Internet y realiza una tabla con su nombre, su fabricante (o grupo de trabajo) y sus caractersti cas bsicas.

3.3. Arranque de servicios


Un servicio de un sistema operativo es una pequea aplicacin que corre en segundo plano y da soporte a este, para permitirnos tener funcionalidades como, por ejemplo, el uso del protocolo SSH, que ya conoces.

El nmero de servicios que se pueden instalar y utilizar en un equipo es innumerable, pero debemos de tener en cuenta que, cuantas ms acciones queramos que haga automticamente nuestro sistema operativo, peor ser el rendimiento del equipo. Y no solo eso, sino que es posible que tambin estemas poniendo en peligro su segu ridad .

Servicios en Windows Vista

En su bsqueda por evitar que se ejecuten automticamente servicios no deseados, Windows Vista incarpora el UAC, control de cuentas de usuario. Si bien es una herramienta til para usuarios inexpertos, ya que refuerza la seguridad del sistema evitando que se ejecuten programas innecesarios o dainos, como pueden ser los virus, resulta bastante molesta en ocasiones, especialmente cuando se van aadir nuevos programas al sistema. Con la utilidad UAC activada ser necesario autorizar especficamente cada accin o ca mbio de configuracin que realicemos, como activar el firewall de Windows (Fig. 6.29).

Se guridad acti va en redes

Cc:iirttOl de cucntu de usu,rio

Windows necesita su permiso para continuar

Si usted inide en, uc.io. puede c.ontinuar.

Configuracin de Flrew,U de W indows Microsoft Windows

'ontinu.f

1 I

Cancelar

El Control de cuentas dI! usuario le a)'\lda a impedir cualquier cambio no autorizado en el equipo.

Fig. 6.29. Con/rol de cuen ta de W indows Vis/a.

En el caso de que tengamos ciertos conocimientos y herramientas adicionales para proteger tu equipo, o mientras estemas realizando instalaciones programadas de programas, como reconfigurar los servicios de Windows, podemos desactivarlo desde el Panel de control > Centro de Seguridad. La opcin correspondiente se localiza dentro de las Opciones de Configuracin Adicional. Para acceder a los servicios instalados en el sistema operativo debemos abrir, en el panel de control, las herramientas administrativas. El obetivo que debemos tener en mente es uno que ya hemos tratado a lo largo del libro, no tener nada instalado o en funcionamiento, que no vayamos a necesitar. La lista de servicios de Windows Vista es mayor que la que ofreca Windows XP y se prev muy similar a la de Windows 7, ya que varios de ellas se han divida para dotarnos de mayor control (Fig. 6.30) . Si hacemos clic con el ratn sobre el nombre del servicia vemos tambin una pequea descripcin del mismo.
4o .. !0

-_.,,-

r: 1IY!! a ~ l ' .

n "

''' ' '- I'---=--11=.-_ ::::.


I~=:;:
1 _ _ .. _

';:

t:. _ _ .._,

..._. .. ... .. .. _ .:.--........ . ... ....... ~_ (

---__ _
.. -...... .. ,,_

..

"...
~_

.......... ' __ _ __
_

~....::~"!".. .

':- 1 -~_5=~ . --~-- :::::: Q_

row

.......

.. . _ .. -

<l _ .. _ . .... ClO _ ... _ .. ".... . _ <l _ ....... _ _


ClO _ .. _~ CNO o __

o ............ ....... _

_ o...

:: _
t:. _ t:. _

.. t:,. _ .... .... _ -_ . . ._ .. _ ..


.. _ .. ,, _ .. _
:: ~ . .
:: ~ ~.,. '-" .....

....... ...."-",,, ::_ ....... ::_ .. _ c::u.

.. _ . .. .......

'- ~_

_ ....

';: ~_

Q ........ .. ..'<:O <-. ~....

.:: c.... .....-..... _ _ a - .. _


:;: a - . - .

.. _ ,-

.--0- _ _

l'

', ___ -

.......... . _ _

: ........ . - - ..- -

Fig. 6.30. Servicios de Windows Vis/o .

~ Actividades
10. Busca informacin sobre
las servicios que arranca automticamente Windows Vista y decide si conviene deshabilitarlos para meorar el rendimiento de tu equipo.

Dentro de estos servicios encontramos algunos que pueden suponer un riesgo paro la seguridad de nuestro equipo si no se inician en un entorno controlado, u otros servicios peligrosos, por lo que puede ser conveniente desactivarlos. La dificultad suele encontrarse en determinar qu servicios son peligrosos, y distinguirlos de aquellos que hemos instalado nosotros. Buscaremos: Servicios que no llevan descripcin (los del sistema operativo la incluyen), aunque los que hayamos aadido al sistema no tienen por qu incluirla . Servicios cuya descripcin est en un idioma distinto al de instalacin de nuestro sistema operativo. Servicios que se arrancan con cuentas no utilizadas para propsitos de administracin. Servicios cu ya ruta de acceso al eecutable sea Window s. Servicios con un nombre extrao.

Seguridad activo en redes

Caso p'rctico 5 Desactivar un servicio en Windows Vista

9
El servicio de Administracin conexin de acceso re moto es necesario si en tu equipo vos

En ocasiones debemos desinstalar alguno de los servicios de Windows, bien parque queramos mejarar el rendimiento de nuestro equipo o porque seo un servicio potencialmente peligroso. En este coso vamos o desinstalar el servicio Telnet, para evitar que puedan conectarse o este equipo de formo remoto no segura.

a establecer una red privada


virtual. En otro caso es conve

niente deshabilitarlo para evi


tar accesos no autorizados que

1. Abre la lista de servicios de Windows y localizo el servicio Telnet. En este coso el


servicio ya est iniciado, ya que se lanzo automticamente can el inicio de sistema operativo (Fig. 6.31) .
.......... ....... v.. ..,..
.c-q !@l El n ~ l fl r,n I

pudiesen hacerse con el control del equipo.

It

C. 5a>U:1 (IoaIuJ

.:,j - . - . C\IdoIO

:==0
,...,.. do .. ~

-~ J ,

Fig. 6.31. Seleccionamos el servicio Te/n et.

2. Hocemos doble clic sobre el servicio y se obre su ventano de propiedades. Desplegamos los opciones de tipo de inicio y seleccionamos Deshabilitado. 3. El servicio seleccionado yo estaba iniciado, por lo que es conveniente que lo detengamos de inmediato. Paro ello pulsamos sobre Detener, que aparece en el men de lo izquierdo que corre spondiente al servicio (Fig . 6.30). 4. En coso de que desees volver o activar el servicio, o habilitarlo paro que se active de modo automtico, tienes que realizar este mismo proceso pero seleccionando el tipo de inicio que desees y pulsando

Telnct p,.,,:iedadosr ......o baIJ

.,.".

"""" -....,

IbIin~~ T'"

--,
FU.o~~oI

~ O"" .. dII!

Ibltnd! .......,.,:

"""
....
~

r-~"'_-"noe"""" "'oI ~
r:->J..,:..u~.,

qcU:Ie:

c;W"rd:rn~lZ'~.-

TlPQden::i:l :

Eu:!oc!tl""""":-~
1
~

I
II
p-

11

"'-

I I "'"'''''' I
... nc.

Puedo ege:lcz-b ~m..... c!o_o;....~....c,

"~des:Io-=1J; .

F~.dr"""

L-

.-J

1-- 1 I '"""" I C- J
Fig. 6.32. Deshabilitamos.

Iniciar.

Servicios en Ubunlu

El manejo de servicios en Linux, denominados habitualmente demonios, es parte esencial de la administracin de este tipo de sistemas. Ubuntu 9.04 ha minimizado,el tiempo de arranque del sistema operativo, en parte cargando un menor nmera de servicios al inicio, lo que, adems, facilita la administracin . Podemos acceder a los servicios instalados desde el entorno grfico del sistema operativo, pulsando sobre Sistema y seleccionado Administracin, donde est la opcin servicios que ves en la Figura 6.33. Desde aqu podemos activar y desactivar servicios con un solo clic.

...

! 'lt
101

~ -~-=~"~'-' o 0 GnUolft ....-pad6n' ....-r


101
CnUoIn ...

__

.............
1

dIo""........ __
... jaqold)

I~

GnU6n'" -

1 101

~ GcsU6n ......... ."",1It

le
;l

@GcIl:"'..... """....... 1wttfJt ~ GcIUoln U~ "pIGo l


ele
..

1""!u7""nl"t(p]

1 _ ;iL!a

~"'.:~~:'!.:.~!."-;ri:IICD I~I

~J

Fig. 6.33. Servicios en Ubuntu.

1 /6
I

Seguridad acliva en redes

----~----------------------------------

Ejemplos

En el Caso prctico 4 hicimos uso de alguno de los comandos


anteriores para manejar el servi-

Los verdaderos posibilidades paro controlar los servicios estn en el uso de lo lnea de comandos. Los servicios instalados en el sistema se encuentran en lo carpeta /etc/ init.d pueden arrancarse, pararse, etc., con el uso de cuatro modificadores:

sta rt : arranCamOs el servicio. stop: paramos el servicio.


resta rt: reiniciamos el servicio.

cio hamachi. En la Figura 6.34 podemos ver cual es la orden que hemos de escribir parar esle
mismo servicio.
_ uooovoo _ .....

status: nos informo del estado del servicio.

.....1 ..""'"_ ... 1 "' ...,........ _ .., ,,..


::::::::J:;;.i~,

.. ,....\. ."... '.. 1

Fig. 6.34. Parada de un proceso.

4. Seguridad en redes inalmbricas


En los ltimos aos, los necesidades de comunicacin en los empresas y en los hogares han cambiado mucho, y no solo en la velocidad de los conexiones o Internet. El uso de ordenadores porttiles y otros dispositivos mviles como por ejemplo telfonos mviles, consolas portables o PDA se ha disparado en los ltimos tiempos . Este tipo de equipamiento exige conexiones inalmbricas que permitan la movilidad. Los ventajas y las inconvenientes que proporcionan los redes inalmbricas son:
o

Segn el Inslilulo Nacional de Esladslica, desde el ao 2006


se observa un estancamiento

Movilidad: nos permite conectarnos desde

en el uso de los ordenadores


de sobremesa, mientras que los

porltiles han crecido un 4% de 2006 a 2007 y un 6% de 2007 a 2008, siendo en este ltimo ao de un 40 %. El uso de banda ancha en los hogares en el ao 2006 ero de un 30 %, en el ao 2007 de un 40 y en el ao 2008 de un 45 %.

cualquier punlo dentro del alcance de la red inalmbrico). Escalabilidad: podemos aadir equipos fcil mente y con un coste reducido. Flexibilidad: permile colocar un equipo en c ualquier punto Ino es necesaria una toma de red). .

Menor rendimiento: el ancho de banda es

mucho menor. Seguridad: cualquiera que est en el alcance

de lo red puede aprovechar una vulnerabilidad


pora colarse en la red o descifrar los mensajes. Interferencias: la red es mucho ms sensible a interferencias.

Tabla 6.1. Ventajas e inconvenientes de los redes inalmbricas .

Existen varios tipos de conexiones inalmbricas: Bluetooth, Wi-Fi (puedes ver uno adaptador Wi-Fi en la Fig. 6.35), 3G (puedes ver un adaptador 3G en lo Fig . 6.36). Nos vamos a centrar en las redes Wi-Fi, por ser las que proporcionan el acceso o una red de rea local.

Fig. 6.35. WiFi con antena.

Fig. 6.36. Mdem 3G USB.

------------------------~-------------

'~""d"d "";~""

"do"

6'-C-'

4.1. Tecnologas Wi-Fi


El estndar IEEE 802.11 define los dos primeros niveles de la capa OSI para las redes de rea local inalmbricas (WLAN). Los protocolos estndar que permiten la comunicacin inalmbrica son:

802.11a 802.11 b 802.119

5GHz 2,4GHz 2,4GHz

50

metros

54 Mbit!s 11 Mbit/s 54Mbit!s

Sufre menos interferencias porque no es la banda de los telfonos mviles y otros electrodomsticos, sin embargo es mucho ms sensible a los obstculos. La frecuencia de 2,4 es menos sensible a los obstculos, pero en esta frecuencia trabajan muchos electrodomsticos que provocan interferencias.

100 metros 100 metros

Las interferencias sufridas son las mismas que en 802.11 b.

Aunque el estndar se public de forma definitiva en septiembre de 2009, 802.11 n 2,4GHz y5GHz 100 metros 600 Mbps
ya existan anteriormente dispositivos que cumplan un borrador del estndar

llamado 802.11 draft n.


Los dispositivos de este tipo son compatibles con todos
105

protocolos anteriores.

Tabla 6.2. Protocolos inalmbricos estndar.

Es importante tener en cuenta que los dispositivas electrnicos Wi-Fi que interactan entre s pueden seguir diferentes estndares, y tendrn que ser compatibles entre ellos para poder comunicarse. Algunos dispositivos Wi-Fi son compatibles con varios de estas estndares. Cuando un punto de acceso permite por ejemplo los protocolos 802.11b y 802.11g, si lo configuramos correctamente podemos conseguir que se conecten a l estaciones con dispositivos 802.11b y 802.11g . Existen otros protocolos na estndar como por ejemplo 802.11 g+ que aumentan la velocidad de comunicacin con las estaciones que soportan estos protocolos.

Actividades

9t

11. Una pequea empresa como SiTour comienza con 2 empleados. Tiene la esperanza de triplicar el personal en el prximo ao. Han alquilado un local en el que no hay instalacin de red. Analiza las ventajas y desventajas de la red inalmbrica para este caso.

12. Analiza el uso que haces t en tu vida diaria de algn tipo de comunicacin inalmbrica. Intenta identificar que tipo de comunicacin inalmbrica se est produciendo.

13. Consulta en alguna tienda online cual sera el coste de un router inalmbrico y
tres adaptadores Wi-Fi, dos para porttil y uno para el ardenador del aula.

14. Revisa la solucin que propusiste para la actividad anterior y averigua si todos
los elementos que seleccionaste son compatibles. Si no lo son, escribe por qu.

15. Qu protocolos estndar permiten los dispositivos <dntel Wi-Fi Link 5100" y
Linksys WUSB600N,,?

16. Qu protocolos permiten las puntos de acceso SMCWEB-N y WRT54GX4?

17. Son compatibles los interfaces de la Actividad 15 con los puntos de acceso de
la actividad 16?

18. Qu diferencia en coste hay entre montar una red con tres equipos 802.11 g y
802.11 n?
163
,

,!,t1JA:L

, ,-

~6
~hOC.
acceso.
~

Seguridad oclivo en redes

------~----------------------------------------

4.2. Conceptos de redes Wi-Fi


Voc<lb.ulono
,' -

" . ':.

~.

-'o

Es uno lopologio de red

Wi~Fi en [a que la comunicacin

Aunque, como ya estudiaste en el mdulo Redes locales tambin existe la topologa ad-hoc, lo ms habitual es la topologa infraestructura (Fig. 6.37) en la que existe un punto de acceso que es el encargado de gestionar el proceso de comunicacin entre todas las estaciones Wi-Fi. En primer lugar para que un cliente pueda comunicarse can la red tiene que estar asociado al punto de acceso y para poderse asociar tiene que pasar un proceso de autenticacin. Una vez pasada este proceso, la estacin quedar asociada al punto de acceso y podr comunicarse con este y a travs de l con otros equipos.

se produce directamente entre dos equipos, sin un punto de

w
AP

Estacin 2

Es recomendable no utilizar una conexin Wi-fi para configurar

Estacin 1

el rouler, debido a que cuando cambiemos la configuracin podremos perder la conexin.


PDA

Fig. 6.37. Estructura de una red Wi-Fi.

~ Caso prctica 6

Red Wi-Fi obierta


Montar una red inalmbrica abierta para dar salida a Internet a todos los equipos que quieran conectarse a ella .

1. Accedemos a la configuracin del punto de acceso (o router ADSL Wi-Fi) a


travs del navegador, poniendo su direccin IP. En el caso de la Figura 6.38 la direccin del punto de acceso es 192.168.1.2. Tambin puedes acceder a un simulador de algn router. Te proponemos el router linksys WRT54GX4 (http://uiJinksys.com/files/WRT54GX4/1.00.09/Wireless.htm) o puedes buscar otro de linkSys en http://uiJinksys.com/_

Wrele-'..s tktwOI'k Mode :

- .-........

Wrele:: NdwOI'k N.lme (SSD) :

.....eless Chllmd:

" " " ". "~'

~I';"';," ;:::: 1 v~I ____~ 1J...mER ~ ~==;;- ..J I Aula Jv I

__

,"'."..

(Auto
.....eless SS[) Broadc;sI: :

,......

tl-

!vi
O

Enable

Dlsable

Fig. 6.38. ConFiguracin bsica Comtrend.

Fig. 6.39. Configuracin bsico LinkSYS.

(Contino)

Seguridad activa en redes

Casa :>rctica 6
(Continuacin)

2. Accedemos a la seccin de configuracin Wi-Fi bsica. Aqu hay que tener en


cuenta que cada fabricante utiliza una aplicacin de configuracin diferente (Figs. 6.38 y 6.39), por lo que tendremos que buscar las opciones e incluso disponer del manual del punto de acceso. Dentro de la configuracin bsica ponemos el SSID (Service Set Identifier), que es el nombre que tendr la red Wi-Fi.

3. Por ltimo accedemos a la seccin de Seguridad Wi-Fi y ponemos autenticacin


abierta y seguridad deshabilitada (Figs. 6.40 y 6.41) para los routers inalmbricos Comtrend y linkSys .
Do . leo

w.

"',",,, h ,. ,. """ . . ..... ,.",,,.,,, ,., . .. ,,,,j,,,I,

\\1 , .. ...

.- . - , ..""... ... ",,.,,.,,,, ..... . ...... ,,, ..,, ... .,,, .." """'"',, ,. .. .. "," c".. ~"' ,.." .. '"1" . .. . '''" ,... .. .. ",.",, "'

..
"

~ '" . ,. " ,.,

. ..

" ~"" . " ,,

o....
\\Ir .. ...
~

II . ..... . . ,... , .. ,"

IIo . ~

-..... _ 'd

.. .., w.

ti ..... "" .

Sectdy

r.tod~ :

Fig. 6.40. Seguridad Camtrend deshabilitada.

Fig. 6.4 1. Seguridad LinkSYS deshabilitada.

4. Conectamos uno de los conectores RJ45 del punto de acceso a la red cableada
habitual de clase y ya podemos conectar un ordenador por Wi-Fi al punto de acceso. Ten en cuenta que el estndar 802.11 no modifica el nivellP, as que usaremos la misma configuracin IP de siempre. Como puedes comprobar nos podemos conectar a la red que hemos creado sin utilizar contrasea.

4.3. Seguridad Wi-Fi


En el caso prctico anterior hemos configurado un punto de acceso para permitir el acceso sin seguridad a la red. Como has podido comprobar cualquier cliente que tenga una tarjeta de red inalmbrica compatible con el punto de acceso, podr conectarse a la red. Esta no es la situacin deseada. Lo que habitualmente queremos es contra lar quien se conecta a nuestra red. Para ello podemos aplicar varias medidas de seguridad, que se pueden agrupar segn el nivel en el que aplican: Nivel fsico: en este nivel podemos intentar controlar la seal producida por los puntos de acceso y las interferencias recibidas. A travs de la utilizacin de diferentes antenas podemos intentar conseguir que la seal salga lo menos posible de los lmites deseados. Nivel de enlace: en el nivel de enlace hay mucha variedad de medidas que podemos tomar para conseguir este objetivo: Controlar el acceso a travs de una contrasea comn para todos los clientes. Controlar el acceso a travs de una caracteristica del clien te, como par ejemplo la direccin MAC o un nombre de usuario y contrasea.

Aunque pueda parecer sorprendente/ inicialmente los proveedores de servicios de Internet/ cuando instalaban un router ina-

lmbrico, dejaban la red Wi-Fi


abierta.

Actividades ~
19. Hay alguna forma de obligar a un punto de acceso a que utilice un estndar
802.11 determinado si es compatible con varios? Describe el procedimiento a seguir en el de clase.

165

~/6

Seguridad activa en redes

------~----------------------------------------

5. Seguridad WEP
CRC es un cdigo de comprobacin que se calcula a partir de

las datas y se aade al paquete para que en el destina se pueda comprobar que na ha habido variacin de los datos durante
la transmisin.

WEP (Wired Equivalen! Privocy) es el sistema de cifrado estndar que se utiliz inicialmente para el cifrada del protocola 802.11. Intenta dar a los redes inolmbricos la seguridad que se tiene en los redes cableadas. La principal diferencio entre la s redes cableadas e inolmbricos es que en los redes inalmbricos puede intentar entrar en lo red cualquier persono dentro del alcance, aunque seo fuero de lo empresa, mientras que en uno red cableada hoy que tener acceso fsico a dicha red, es decir, hoy que estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones de trabaja tienen que compartir una clave (clave WEP). Esta clave puede ser segn el estndar, de longitud 104 bits (13 caracteres) a 40 bits (5 caracteres).

I Cabecera
Se suele hablar de WEP 128 o WEP 64, pero realmente estos 128 o 64 bits son el tamao de la contrasea WEP y el vector
de inicializacin juntos.
Clave WEP

Datos

I GRC

Vec. lnj (IV)

~8

~8

~8

Datos

Por ejemplo se habla de WEP 128 porque es uno clave de 104 bits ms los 24 bits del vector de
inicializacin.

Cabecera

IV

CRG

Fig. 6.42. Funcionamiento WEP.

W EP util iza un algoritmo llamada RC4 para a partir de lo clave WEP y de un vector de inicializacin de 24 bits (tambin llamada IV), generar una secuencio aleatorio, llamada semilla, lo cual utilizar para cifrar lo comunicacin can el punta de acceso. Puedes ver un esquema del algoritmo en la figuro 6.42. El resultada es una trama en la que la cabecera y el vector de inicializacin va n sin cifrar y tonta las datas cama el CRC van cifradas.

Caso p'rctico 7
del rauter para poder restaurarla pasteriarmente y dejar toda cama estaba.

Seguridad WEP en el punto de acceso


Configurar el punta de acceso para utilizar una clave WEP de 128 bits y proteger as el punta de acceso.

l. Abre en el navegador la pgina de configuracin del


rauter.

4. Selecciona WEP cama moda de seguridad (figs. 6.43 Y6.44).

_. ...._.,
, ... v .. ..

~,:~

2. Configura tal y cama se describi en el cosa prctica


anterior el nombre de lo red.

:;:,~~'':: '::.~:::. :; :.~~"


-. . ~

.:;;' :::.:'',': ::. .... ::::~7:::...''':::;'.:: ..... _..... M '........ ................_. .. .... _"....._. o .,
~

__ ,_ ' _ . ,....

3. Accede a la seccin de seguridad inalmbrico . La


encontraras tal y cama la dejamos en el cosa prctica anterior, es decir, cama la ves en las figuras 6.40 y 6.41. Es recomendable que hagas estas casas prcticas can varias puntas de acceso (par ejemplo, el del au la y el de tu casa) parque las herramientas de configuracin san diferentes. Si realizas esta tarea en tu casa, haz primera una copia de seg uridad de la configuracin

-~-.-

""

........
~

.." ... ...,.. ~l ; .....~ ...-;g

Fig. 6.43. WEP en Rou/er Com/rend.

(Con/inal

Seguridad activa en redes

Caso "rdico 7
(Continuacin)
!O<oa.al,,-,
- ' -:

I\\I!P
~

,... 1
O l

Oot""'''''''''':
ve~ :
K .. ' :

<J ,

o,

Q 4
... 1

I Ubh!QI>o.~ .

5. Seleccionamos como encriptacin WEP, 128 bits, e introducimos la clave WEP que queremos poner (por eemplo, ,,$1 Nab74c$b!@l) en alguna de las casillas llamadas clave (Figs. 6.45 y 6.46). Si la controsea la ponemos en la casilla llamada clave 1 (key 1) es importante poner que la contrasea que tiene que usar por defecto es la clave 1.

KI,.'
Fig. 6.44. WEP en Router linksys.
VIlr t! tss Sttll nDS' Encr)p1lcn Utl"" Enl., 13 A:'C I!
o h ~I.~ttn.

" .. 3 :

Ol::!(l h d.clm.! digil1101 l::!Ob ll

5ecaKy trlode: Anoclllllon Mode : DeflNll Trllllsml Key:

1 IA~O

t ncrypllon h.l'1.

Iv I

!vi

1 O 2 O l O ..

ve> EnctypUon :
IJ.l:ojook I\.y3:

I128 bh26 hex digls Iv I

I Generllle I

K.y:

I [J
I :'.vtfApply I

I<cy 1 : I(cy 2:
Kcy 3: Key":

Fig . 6.45. Clave WEP en Comtrend.

Fig. 6.46. Clave WEP en linbys.

En algunos router dependiendo de la longitud de la cadena que pongas como contrasea puede entenderse que lo ests escribiendo en hexadecimal o en ASCII. Por eemplo la contrasea que hemos puesto es de 104 bits, que son 13 carocteres ASCII, pero que en hexadecimal son 26 dgitos.

Ten cuidado de escribir correctamente la controsea. 6. Guardamos los cambios y ya podemos conectar un cliente al punto de acceso JUPITER utilizando seguridad WEP de 128 bits.

____________________~J

Existen dos mtodos a trovs de los cuales un usuario puede autenticarse con un punto de acceso WEP: Abierta (open): la estacin puede autenticarse sin necesidad de utilizar la clave WEP, simplemente con solicitar la asociacin, el punto de acceso dar por asociada a la estacin. Despus de este proceso de autenticacin la estacin solo podr comunicarse con el punto de acceso si conoce la clave WEP utilizada para encriptar la comunicacin. Clave compartida (shared key): cuando una estacin enva una solicitud de asociacin al punto de acceso, este enva un texto sin cifrar a la estacin, llamado "desafo. El punto de acceso solo asociar a las estaciones que devuelvan correctamente cifrodo con la clave WEP dicho texto.
Modo monitor en un di I de red; es el que nos permite

coger todos los paquetes que circulan por la red a la que


estamos conectados aunque no vayan dirigidos a nosotros. En este modo ponemos la tarjeta cuando utilizamos Wireshark.

Aunque pueda porecer ms seguro shared key, no lo es, porque cualquier estacin inalmbrica podra atrapar tanto el paquete de desafo como el mismo paquete cifrado y con esta informacin asociarse correctamente con el punto de acceso e iniciar un ataque a nuestro punto de acceso. Se recomienda el mtodo de autenticacin abierto.

Actividades ~
20. Configura el punto de acceso para que utilice seguridad WEP 64 y la contrasea que t el;as.

167

~ ~ s_e~g_Ur_id_a_d_a_c_ti_v_a_e_n_r_e_de_S
_______
Este proceso basado en Linux

__________________________________

q
para sacar las contraseas

Caso flrctico 8

Comprobacin de seguridod Wi-Fi


Utilizando una distribucin Ubuntu sacar la contrasea de una red inalmbrica con seguridad WEP 64. 1. Instalar sobre Ubuntu el paquete aircrack-ng ejecutando el comando aptitude install aircrack-ng (para el desarrollo de este caso prctico se ha utilizado Ubuntu 8.10, the Intrepid Ibex).

Wi-Fi se ha hecho muy famoso en los ltimos aos y se


han creado distribuciones espe-

cficamente desarrolladas para


auditorio de redes inalmbricas

como WifiSlax o WifiWay.

2_ Ponemos el interfaz inalmbrico en modo monitor utilizando el comando airmon: airmon-ng start wlanO. Start indica que se quiere arrancar el modo monitor (stop para parar) y wlanO es el nombre del interfaz inalmbrico. Si esto no funciona, es probable que tu interfaz no sea capaz de trabajar en modo monitor. Puedes investigar en hl1p://www.aircrack-ng.org/doku.php?id=compotibilily_drivers sobre la compatibilidad de la tarjeta Wi-Fi.

Archivo

Editar Ver Terminal

Solapas Aluda

root@jupiter:/# airmon-ng start wlan0 Interface wlan0 root@jupiter:/# Chipset Realtek 8I87L Driver rU8I87 - [phy0] (monitor mode enabled on mon0)

.--~--~-----===~====-=-==~~ Fg. 6.47. E;ecucin de airmon-ng.


Si todo funcion correctamente, ahora tendrs un nuevo interfaz con el nombre que te ha indicado el resultada de airmon-ng (Fig. 6.47). Puedes comprobar que tienes ese nuevo interfaz ejecutando el comanda ifconfig. 3. Utilizamos ahora el comando airodump-ng para detectar los puntos de acceso que tenemos a nuestro alcance (Fig. 6.48): Airodump-ng monO

#/5

eH
11 8

~lB

ENe
\'/EP \'/EP

CIPHER AUTH ESSID


~/EP

BS:IA:2B:19:8B:EA
BSSID

188

99:93:C9:E6:9A:2B 211

3 11

e
1

a a

54 54

JAZZTEL
JUPITERProbes

\1JEP

STATION

PWR

Rate

Lost

Packets

Fig. 6.48. Resultado de lo ejecucin de airodump. 4. En el resultado de la ejecucin anterior ya tenemos toda la informacin necesaria para poder escuchar todos las paquetes que genera la red Jupiter. Para ello utilizamos el comando airodump, pero indicndole: BSSID: direccin MAC del punto de acceso, segn la Figura 6.48 el punto de acceso JUPITER tiene la MAC OO:03:C9:E6:9A:2B. El fichero en el que queremos que salve los datas capturadas. Lo llamaremos jupiter. (Contina)

Seguridad activa en redes

------------------------~

Caso prctico 8 "


(Continuacin)
Puedes encontrar muy buenos

Tambin le indicaremos el canal en el que tiene que escuchar. En nuestro caso y segn la Figura 6.48 es el canal 8 (est indicado en la columna CH). Adems indicaremos que guarde solo los vectores de inicializacin, que son los que nos permitirn descifrar la contrasea . Eso lo haremos con el parmetro --ivs.

vdeo-tutoriales sobre esfe proceso en lo pgina de Wi-FiSlax Ihttp://www.wi-Fislax.com/ manuales/videos.phpl

y el interfaz por el que queremos que escuche los paquetes: monO


- -channel
8

El comando a ejecutar ser: airodump-ng


00:03:C9:E6:9A:2B --w jupiter monO.
arc.hivo ditar
eH 8
~er

--ivs

--bssid

Ierminal

~olap Els

Atyda

1(

Elapsed: 19 mins

1(

2009-99-28 09:04 l/Data, #/s 83744


PWR.

aSSIO OO:Ol:C9:E6:9A:28 8SSIO 00:03:C9:E6:9A:2a

PWR. 1\)(0
219 100 STATION

aeacons 6269

eH a lost

Ha 54

ENC

eIPHER AUTH ESSIO WEP Probes

155 Rate

WEP

OPlI

JUPITER

Packets 81397

00:OE:ls:68:95:99

209

54-54

Fig. 6.49. Resultado oirodump-ng poro JUPITER. Para acelerar este proceso puedes conectar otros equipos a la red JUPITER y descargarte en cada uno algn fichero grande de Internet. En la Figura 6.49 puedes ver el resultado despus de 10 minutos ejecutando airodump-ng. Ha capturado 83744 paquetes vlidos para descubrir la clave (155 paquetes vlidos por segundo). Tambin puedes ver en esta figura que la autenticacin (columna AUTH) es abierta (OPN, open) . . 5. Cuando hayamos capturado unos 10000 paquetes de tipo IVS, intentamos sacar la clave con el comando aircrack-ng al que le pasaremos: BSSID: direccin MAC del punto de acceso. El tamao de la contrasea WEP, en nuestro caso 64. Y el fichero en el que estn almacenados los datos. Los ficheros almacenados son jupiter-Ol.ivs, jupiter02.ivs ...

Actividades "
21. Aprovechando los vdeotutoriales de la pgina de Wi-Fislax, investiga que otro tipo de ataques se pueden realizar sobre WEP.
22. Elige un tipo de ataque de los anteriores y haz tu mismo un tutorial de cmo utilizando el ataque que has elegido se puede averiguar la contrasea. 23. Repite el proceso utilizando seguridad WEP 128 y mientras tanto prueba el ataque que seleccionaste en la actividad 22 .
169

El comando a ejecutar ser: a ircrack- ng -b 00:03:C9:E6:9A:2B -n 64 jupiter*.ivs


archivo ;,ditar
~er

Terminal

~olapas

Atyda
Airerack-ng 1.0 rel

(OO:OO:OOJ Tested 595773 keys (got 8729 IVs)


KB 9 1 2 3
4

depth 9/ 33 2/ 7 01 6 10/ 13 1/ 15

byte(vote) 4A(11529) 76(11520) 55 (13856) 9A( 11056) 59(14336) es(12800) 98 (11264) 24 (11808) 54(12544) 6C(12288)

C8(11520) 08(12288) AO(12544) 18 (11088) Fl(12032)

01(11520) 69(12288) 05(11776) 70 (11008) 05(11776)

EF(11520) 90 (12032) OE(11776) AA (11008) 51(11776)

F2(11520) SC (11776) 1E(11776) F7 (11008) 58(11776)

KEY FOUNOI ( 4A:55 :50:49:54 Oecrypted correctly: 100%

(ASCII : JUPIT I

Fig. 6.50. Resultado oircrack-ng para JUPITER. Como se puede observar en la Figura 6.50 despus de 10 minutos capturando paquetes hemos sido capaces de encontrar la contrasea (JUPIT). En el caso de haber utilizado una contrasea de 128 bits, hubiramos necesitado un poco ms de tiempo, pero el proceso es el mismo.

"4 q. '/./

Seguridad activa en redes

6. Seguridad WPA
K",LJIIJ~. Es una tecnologa estn~ dar que permite basar el acceso a la red en la autenticacin a travs de usuario y contrasea.

Debido a los problemas de seguridad descubiertos en el estndar WEP, el comit de estandarizacin 802.11 i comienza a investigar una nueva solucin. Despus de una publicacin no definitiva del trabajo de este comit, y dado que se retrasaba la definitiva, el grupo The Wi-Fi Alliance cre WPA como una solucin intermedia entre WEP y el definitivo 802.11 i. Basndose en el 802.11 i definitivo Wi-Fi Alliance public WPA2. Los estndares WPA y WPA2 se centro n en asegurar el proceso de autenticacin y el cifrado de las comunicaciones. En ambos estndares se proponen dos soluciones para la autenticacin, una empresarial y otra para pequeas empresas y hogares. WPA Empresarial: requiere de la utilizacin de un servidor RADIUS independiente para gestionar la autenticacin de los usuarios a travs de un nombre de usuario y contrasea. WPA Personal: utiliza un mtodo de autenticacin que requiere compartir una clave entre todas las estaciones de la red. Es ms apropiado para pequeas empresas y hogares porque no requiere de la utilizacin de un servidor RADIUS.

6.1. Seguridad WPA personal

WPA Personal utiliza PSK (Pre-Shared Key) o clave precompartida para el proceso de autenticacin. Con este sistema, el administrador asigna una contrasea de entre 8 y 63 caracteres en el punto de acceso. Esta contrasea tambin tiene que introducirse en la configurocin de las estaciones inalmbricas que quiero n utilizar la red. Durante el proceso de autenticacin se negocia entre las estaciones y el punto de acceso la sucesin de claves que se van a utilizar para cifrar la comunicacin posterior. Cada estacin negocia su propia clave, por lo que las claves utilizadas por cada estacin son diferentes, y adems cambian cada cierto tiempo. De esta forma solo durante el proceso de asociacin se utiliza la clave compartida. Posteriormente, duronte el intercambio de informacin, no se utiliza para cifrar la comunicacin, sino que se utiliza la clave que han negociado entre el punto de acceso y cada estacin, y adems la contrasea utilizada para ello cambia cada cierto tiempo de forma automtica. Existen dos tipos de encriptacin en WPA: TKIP (Protocolo de integridad de clave temporal): es un protocolo que partiendo de una clave (que no es la pre-compartida) compartida entre el punto de acceso y todas las estaciones, genera nuevas claves diferentes por cada cliente y renovables cada cierto tiempo. Para ello mezcla la clave original con la direccin MAC y con un vector de inicializacin. De esta forma cada estacin utiliza una clave independiente para encriptar la comunicacin. AES (cifrado avanzada estndar): es un algoritmo ms robusto y complejo que TKIP. Es preferible utilizar AES que TKIP, por ser este mas avanzado y seguro. Como inconveniente requiere hardware ms potente.

~ Actividades
24. Comprueba en la documentacin tcnica del dispositivo Intel Wi-Fi Link 5100 que es compatible con WPA2 y con el mtodo de encriptacin AES.

No todos los dispositivos Wi-Fi son compatibles con todos los estndares. Antes de configurar el punto de acceso para trabajar, por ejemplo, con WPA2-personal, hay que comprobar que las estaciones que se van a conectar son compatibles con dichos estndares. El tipo de ataque que de momento se sabe que se puede llevar a cabo contra un punto de acceso que implemente este tipo de seguridad es el de fuerza bruta, utilizando un diccionario contra los paquetes que se intercambian durante la autenticacin. Son especialmente sensibles los puntos de acceso que incluyen contraseas cortas y contraseas formadas por palabras o combinaciones de estas.

Seguridad activa en redes

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _.:. C ~ aso prctico 9 Seguridad WPA Personal

Configuracin del punto de acceso de SiTour para utilizar la seguridad WPA-Personal teniendo en cuenta que hay dos porttiles en la empresa: uno tiene la tarjeta Intel Wi-Fi Link 5100 y el otra la Intel Pro/Wireless 2200BG.

1. Revisar en la documentacin de ambas tarjetas inalmbricas con qu estndares son compatibles. La tarjeta que menos compatible es la 2200BG, que solo es compatible con WPA y con el algoritmo de encriptacin TKIP (no admite AES). Por este motivo la configuracin que tendremos que utilizar el el punto de acceso, si queremos que ambas tarjetas accedan a la red, es WPA-TKIP. 2. Abre en el navegador la pgina de configuracin del router. 3. Configura tal y como se describi en el Caso prctico 6 el nombre de la red. 4. Accede a la seccin de seguridad inalmbrica. 5. Para activar la seguridad WPA personal en puntos de acceso diferentes, hay que seguir pracedimientos muy diferentes. En general en todos ellos y dependiendo de las versiones de los firmware, habr que activar una opcin que pondr una de las siguientes frases: WPA personal, WPA2 personal o WPA-PSK. El procedimiento en los router Wi-Fi Comtrend y LinkSys es como se indica en las Figuras 6.51 y 6.52.
"'1 Ir.1. . ~
S 'OUlIt~

Thl. pago . 1I ...... y" " 1. , ."fi~u , . .. ,u,it(I..lu, .. . r'h .,.;" r... L.A" Inl .~ H u c an ' Ulhonli . , li,n molh.d... lo. Un ; d I!' . n'l'Jpll, n p oolly nh.lIl1 " n,vo."' k.yl. rtq" 1r "';111,,, n. t.-., '" .nd. p., If( lh n' 'Ypli on .lrtn ; th CII ,k "Appl!" l o ,onU; " ,. l h. n i.. I ... ' " u' it .pllo",.

IwpA.PSK!vI
\'/ PA P"~h " . d li .y;
WPA Cro U? R,I.ty In,,,... I'

1.... ........... ..
Il~oo
Seartv rAode:

WPA En,rf pli.n :

I"'' +AES !vI


I Oisabled j.... 1

lIiEP En' lyp U. n

EnaytIan AJgorlhns :
Per~Kev :

I ntP

1.... 1

Grcql KeV Renewlll:

13600

l aeconds

Fig. 6.51. WPA en Comtrend.

Fig. 6.52. WPA en LinkSys.

Teniendo en cuenta que nuestra tarjeta 2200BG solo es compatible con WPA, tendremos que deshabilitar la opcin WPA2 Personal (poner disable en el desplegable) y activar la opcin WPA Personal. 6. Escribimos la contrasea pre.compartida en la casilla contrasea tal y como se ve en las Figuras 6.51 y 6.52. Par ejemplo, $1 Nab74c$b!@1, aunque en un entorno real es muy recomendable utilizar una contrasea mucho ms larga. 7. Activamos como mtodo de encriptacin TKIP (Figs. 6.51 y 6.52); si activamos TKIP+AES, estarn ambos disponibles y ser tambin compatible con ambas tarjetas.

8. Por ltimo, podemos modificar cada cuanto tiempo se renovar la contrasea que utilizar cada estacin para encriptar la informacin transmitida al punto de acceso. Esta opcin aparece como WPA Graup Rekey interval en Comtrend y Graup key Renewal en LinkSys. Con el valor por defecto de una hora ser suficiente.

Seguridad activa en redes

6.2. Seguridad WPA empresarial


E[ principal inconveniente para todos [os sistemas de seguridad inalmbricos anteriores es que es necesario que todas [as estaciones de trabajo conozcan [a contrasea. Esto es un problema porque cuanta ms gente conozca [a contrasea ms riesgo hay de que esta contrasea acabe [legando a manos no deseadas. A[gunos de [os riesgos son [os siguientes: Prdida de equipos: si uno de [as estaciones de trabajo que habitualmente se conecta a [a red inalmbrica (por ejemplo un porttil o una PDA) se perdiera sera muy sencillo que otra persona pudiera descubrir [a contrasea que tiene configurado e[ sistema operativo con programas como por ejemplo Wire[essKeyView. Ingeniera social: [os propios usuarios podran facilitar esa informacin siendo vctimas de ingeniera social, por ejemplo a travs de una [[amada te[efnica. Tambin es posible que [a faciliten a un conocido (conscientes de [o que estn haciendo). Dificu[tad de cambio de contrasea: puesto que [a contrasea es utilizada por muchos equipos, no se puede cambiar con cierta frecuencia ya que habra tambin que reconfigurar estos equipos.

Si para generar una contrasea

utilizamos 65 caracteres ASCII (255 caracteres) habr 65255 pasibilidades diferentes. Tu red inalmbrica WPA-PSK
ser segura siempre que utilices una contraseo muy largo y esto

no incluya palabras de diccionario.

Estos inconvenientes son derivados del hecho de que en [as anteriores configuraciones todas [as estaciones comparten [a contrasea Wi-Fi (ya sea WEP o WPA). La estructura necesaria para poder utilizar [a arquitectura WPA empresarial es [a que se muestra en [a Figura 6.53.

LAN Aouter Wi~Fi

(Autentificador)
Servidor Aadius (Servidor de autenticacin) Internet

Estacin (Peticionario)

Fig. 6.53. Esquema WPA empresarial. E[ estndar B02.1x es un estndar que se dise para proporcionar autentificacin en e[ nivel de enlace. Por tanto no es algo especfico de seguridad Wi-Fi, tambin puede utilizarse en redes cableadas. Segn especifica e[ estndar B02.1x se definen tres e[ementos:

E[ peticionario: es [a estacin de trabajo, que est intentando acceder a [a red (en nuestro caso Wi-Fi). E[ autenticador: es e[ elemento encargado de permitir e[ acceso o no a un peticionario. En nuestro caso es e[ punto de acceso. E[ servidor de autenticacin: es e[ encargado de comprobar [a identidad del peticionario y permitir o negar e[ acceso, informando a[ autenticador.

. . Actividades
25. Descrgate e[ programa Wire[essKeyView y ejecta[a en [a estacin de trabajo
que has conectado a[ punto de acceso, para conseguir [a contrasea.

Seguridad activa en redes

_ _ _ _ _ _ _ _ _ _,..:, C~ aso :rctico 10


Seguridad WPA empresarial

pi

Instalar un servidor Radius, configurar el punto de acceso para que utilice WPA empresarial y configurar un cliente para utilizar la red Wi-Fi. Como ya hemos visto en la Figura 6.53, tenemos que tener los siguientes elementos: Un servidor Radius que estar conectado a la red cableada, que en nuestro caso ser un Ubuntu sobre el que instalaremos la aplicacin freeradius. Un punto de acceso que configuraremos para utilizar WPA empresarial.

y una estacin inalmbrica, para lo que utilizaremos un equipo con Windows


7 instalado (tambin puedes utilizar Windows XP o Windows Vista).

Comenzoremos instalando el servidor Radius

1. Conexiones fsicas necesarias. Lo ms habitual es tener conectado el servidar


Radius a la red cableada en la que est conectado el punto de acceso. Si estamos utilizando un router inalmbrico (Fig. 6.54) conectamos el equipo que utilizaremos como servidor Radius directamente al router. Tambin conectamos la red de clase en el router para que podamos tener salida a Internet a travs de la red del instituto.

Router inalmbrico 192.168.1.100

Radius
192.168.1.10

Estacin 192.168.1.101

Router instituto 192.168.1.1

Internet

Fig. 6.54. Esquema WPA empresarial y Radius en el aula.

2. Configuraciones IP. Todos los equipos tendrn que estar en la misma red IP. Es recomendable que para seguir este caso prctico repitas el esquema de la Figura 6.54 en tu cuaderno poniendo las direcciones IP de tu Aula.

3. Instalacin de Freeradius. Freeradius es un software que incluye un servidor Radius


gratuito. Instalamos Freeradius en nuestra servidor Radius de clase (debe tener instalado Ubuntu) dando doble c1ic sobre el paquete software de Debian que nos praporcionar el profesor.

4. Configuracin de los usuarios de Radius: Los usuarios que utilizando una estacin inalmbrica quieran conectarse a la red, tendrn que tener un usuario configurado en el servidar Radius, y si no, no podrn acceder. Los usuarios en el servidor Radius se configuran en el fichera /etc/freeradius/ users. Es un fichero de texto plano que podemos editar por ejemplo con gedit (sudo gedit /etc/freeradius/users). Dentra observaras que hay cuatro usuarios ya definidos, que son macarena, virginia, fernando y gustavo. Para definir nuevos usuarios tendrs que seguir el siguiente formato:

NombreUsuario Cleartext-Password := ContraseaUsuario.


(Cantina)

Seguri dad activa en redes

-------------------------------

Casa p. t::r.:: :::; ct ::: ic ::: a:..l .:.: 0 ::...._ _ _ _ _ _ _ _ _ _ _ _ _~_ _ _ _ _____j

(Continuacin)

5. Configuracin de los clientes del servidor Radius. Los clientes del servidor Radius
son los elementos de la red que solicitan a los usuarios que se autentiquen. Es decir en nuestro caso un cliente del servidor Radius es nuestro punto de acceso. Cada cliente tendr que conocer una clave que tambin tiene que conocer el servidor Radius para poder comunicarse con este. Los clientes del servidor Radius se configuran en el fichero /etc/freeradius/ clients.conf. Tambin es un fichero de texto as que podemos abrirlo con gedit (sudo gedit /etc/freeradius/clients.conf). En este fichero ya hay definido un cliente que es de la IP 192.168.1.100 (siguiendo el esquema de la Fig. 6.54). Modifica la IP 192.168.1.1 00 par la que tenga el punto de acceso en tu esquema. Como ves la contrasea es SiTouD>.

6. Cuando hayamos terminado la configuracin de Radius, iniciamos el servicio


con el comando /etc/init.d/freeradius start.
Configuracin del punto de acceso:

7. Accedemos a travs del navegador a la configuracin de seguridad inalmbrica del punto de acceso.
V "" ,,, ,, SoW"'t
n. ...... ,.Ih. nti, ' ~ ' n "' ...... " ,,,,,., ' ot, .n ""' . n. ".<of, ...,.Ut" no ...... " " .u'".nti .." .... ,... "".. n....... n"'."ly lh """';...... n.1h
c ,;' .~ P f'

1hi, ; .... "", ," <lnfi l "" .. ' "noy h""" '"" ... .. '.u LA."'n" d. .. Y. ""n " ,, ~"
l.
,, ~ ., .. .

Sea. l y r.1ode: WPA Enlerpris e WPA2 Enlerprlsll


fncrypUon AlgorlM\$ :

1 WPAMflA2

Enlerprl::1I "

... ' . .. n~;""th ..." '... .. ' "nly . Flj. "'

l""""' lvl
1 Oisllble

1I. ......... Ih. "" U

1 "

\"P" G,, "p~ '''y'n'

......'
I ,ul~

1TKI'

1 '" 1

AAO ,u. ~.I:?, , p .. .." ..

RAOIUS 5erver Atklfess :11 92 RADIl/SPOft :

l. ~ . ~ .:::]

j......
WPAEn , ,.,..U . n

11 812 1

[n::1P

1 ... 1

1Dil abl ed l.... 1

Enlerpfi:e Ile y : Key Renewlll li'neoul :

@l slT~.~ ~~j:::?
l!oo
1 ceconds

Fig. 6.55 . Comtrend WPA empresarial.

Fig. 6.56. UnkSys WPA empresarial.

8. Seleccionamos la seguridad WPA empresarial.


9. Ponemos la direccin IP de nuestro servidar Radius (segn la Fig. 6.54 es 192.168.1.10), el puerta (1812) y la clave que hemos puesto para el punto de acceso en el servidor RADIUS (SiTour) para los router inalmbricos Comtrend y linkSYS (Figs. 6.55 y 6.56).
Configuracin del cliente:

......

.. <::::..~.'''- '' ,-.. , - .. -

...... __ -_ .......
l~
~ .

...

,-~-

lQo

0 '5

)(

_ . _ --~;;;-.;.."' = ._ = ~~ ( _ . ~-,, _

__. _.- -- - - - .. ... - :::;::-..:::=:::: : ,:"'_ .. _ - - ....... .........


.,.,

__

1Ii '--,, ~ _ n. .
.rid _ _ _ _ _

me':

.. m j----. ,-~
... -1~)

:! .

W.QI.!J

(~

.....

...... oode>on ol _

"" _ _

. ~

I'ndododoodolodctocb

1"I>o<<Ior-II

C ......

do_....................

f)

Fig. 6.57. Redes y recursos en Windows 7.

Fig. 6 .58. Administrar redes inalmbricas W7.

(Contino)

Seguridad activa en redes

Caso prctico 10
IContinuacin)

10. Dentro del Centro de redes y recursos compartidos seleccionamos en el men de la izquierda la opcin Administrar redes inalmbricas (Fig. 6.57) yen la ventana Administrar redes inalmbricas pulsamos sobre Agregar para aadir una nueva red inalmbrica (Fig. 6.58).

11. Seleccionamos la opcin Crear un perfil de red manualmente (Fig. 6.59) para
poder elegir la configuracin de la red inalmbrica a la que nos conectaremos. En la siguiente pantalla (Fig. 6.60) introduciremos los datos de la red Wi-Fi a la que queremos conectarnos: Nombre de la red: JUPITER. Tipo de seguridad: WPA empresarial. Tipo de cifrado: TKIP (como puedes ver en las Figs. 6.55 y 6.56) . Despus pulsamos Siguiente y en la ventana que aparece seleccionamos la opcin Cambiar la configuracin de la conexin para poder personalizar el resto de los parmetros de la conexin.

~--_

...

tfI <- _ _ .... -

_..

-.... ........

_---,

..... c..._ r.. _ _ ...... ...... ... _ , . .. _ _ ..... _ . _

r (....-.. __ 10I00I ... _

... _

Fig. 6.59. Asistente nueva red inalmbrico W7.

'-----

""'""- . 11> ~ r"*"",,, ,orIo.,.lo";"di""'I.Me,

Fig. 6.60. Conectar manuolmente.

12. En la ventana Propiedades de la red inalmbrica (Fig. 6.61) seleccionamos la pestaa Seguridad. Los datos de configuracin que aparecen en esta ventana son los que introdujimos antes, por lo que deberan estar todos correctos. Una vez comprabado esto pulsamos sobre el botn Configuracin.

--1
"' .. ..1 _

.
O!J O!J

)--, r ......."'_ .. __
r 1
~ ~OO .. -~c

..
J
,f'
:.;"

M@!ffi!fJ,ji4Liltj r.ii '

_ >'.0"' ......

1JoI""''''
",

....!_"..... _ !J"I.'I)

g ----_ -.. _ - . ._
..
"'

, _..

1 ""

..- 0!J 1IE5C:]

a _ _ ", a .. mQlo!INI a _ ___ a __ _ _ _ a .. ........


C _ c . t _ _ ........

1 ....._
fJ

" _._ .. _1'11


r ~_,

-'

.....

r-.. __ ..
( ...... _

r _ _ .. _ ._

~_,_

.. - l~.-I

_II. __ . . .. .

a u;:;:::

Fig . 6.63. Prop EAP MSCHAPv2 W7.

Fig. .61. Propieda es de Red W7.

Flg. 6.62. Propledodes

EAP W7.

'-------------------------------~

(Contina)

Seguridad activa en redes

~ Caso "rctico 1O
{Continuacin}

13. En la ventana Propiedades de EAP protegido (Fig . 6.62) deseleccianamos la opcin Validar un certificado de servidor. Esta opcin es la que permite al
cliente validar un certificado del servidor antes de conectarse con l para comprabar la identidad del servidor. Para poder utilizar esta opcin habra que instalar en esta estacin inalmbrica el certificado del servidor, que se encuentra en /etc/freeradius/certs del disco del servidor.

14. En la misma ventana (Fig. 6.62) pulsamos sobre el batn Configurar que aparece ollado del protocolo EAP-MSCHAP-v2, que es el mtodo de autenticacin que se usar entre el servidor Radius y este equipo.

15. En la ventana propiedades EAP Mschapv2 (Fig. 6 .63) deseleccionamos la


opcin para que no utilice los usuarios de Windows, sino que solicite un usuario y contraseo al conectarse. Como en la ven tano Propiedades de la red ina{mbrica tenamos configurado que recuerde las credenciales, una vez que introduzcamos unas credenciales vlidas, na nos las solicitar ms.

16. Aceptamos todas las ventanas, y en breve el sistema nos solicitar una credencial, es decir, un nombre de usuario y contrasea v lidos en el servidor (Fig. 6.64). Introduciremos uno de los usuarios que estn configurados en el fichera <<users del servidor Radius y ya tenemos conexin a la red inalmbrica.
Seguridad de WlndDWS

Autentlcacl6n dI! red Escriba sus aedendales dI!! usuMio

B.

Fig. 6.64. Aulenlicacin de Red.

Si tuviramos un dominio en el que estuvieran incluidos todos

Utilizando la seguridad WPA empresarial se aumenta la seguridad y la flexibilidad, ya que podemos modificar la contrasea de un usuario o cancelarlo sin que esto afecte al resto. Esto supone una notable mejora con respecto a WPA-PSK en redes con muchos usuarios, como por ejemplo podra ser tu instituto (si compartiera una red inalmbrica para todos) o en una universidad.

los equipos de la red, tendramos


la autenticacin centralizada (todos los usuarios y contraseas estaran en el directorio activo).

~ Actividades
26. Configura el servidor RADIUS paro que utilice adems de los usuarios vi rginia,
macarena, Fernando y gustavo otros dos usuarios que t elijas. Comprueba que lo has hecho correctamente conectando a la red inalmbrica con esos usuarios.

De este modo podramos con-

figurar el servidor Radius para


que utilizara estos usuarios y as los usuarios no tendran que utilizar un nombre de usuario y contrasea sino que el sistema operativo lo gestionara de

27. Conecta un equipo con Linux a la red inalmbrica .


28. Podra una PDA con Windows Mobile 6 Profesional conectarse a una red WPA
empresarial?

forma transparente con las credenciales del inicio de sesin.

29. Qu tipo de seguridad pondras en una red inalmbrica para una empresa
como SiTour, descrita en la Actividad 11, en la que hay Ires trabajadores?

76

Seguridad activa en redes

6~

Comllrueba tu a:>rendizaje "


Asegurar la privacidad de la informacin transmitida en redes informticas describiendo vulnerabilidades e instalando software especfico Aplicar mecanismos de seguridad activa describiendo sus caractersticos y relacionndolas con los necesidades de uso del sistema informtico 8. Entre los servicios de Windows existe uno que ofrece almacenamiento protegido para informacin confidencial. Para aumentar la seguridad de tu equipo configralo para que se inicie automticamente al arrancar el equipo. 9. Configura una red inalmbrica para tu clase con seguridad WPA-PSK. Elige una contrasea segura t mismo. Analiza los riesgos que corre tu red al comunicar a los usuarios (tus compaeros) la contrasea que has elegido. 10. Qu tipo de red Wi-Fi recomendaras al hotel de la Actividad 3 del Comprueba tu aprendizaje, si el hotel te dice que muchas empresas tienen reuniones importantes en sus salas? 11. La empresa SiCon quiere desplegar una red 802.llg con seguridad WPA-personal en sus oficinas, que tienen una dimensin de 200 m'. Se ha comprobado que con un solo punto de acceso no es suficiente, as que colocarn dos puntos de acceso. Qu configuracin tendrn que tener los puntos de acceso para que las estaciones inalmbricas puedan cambiar de un punto de acceso a otro de forma transparente? 12. Poneros de acuerdo dos grupos (con dos puntos de acceso entre los dos grupos) en la configuracin del apartado anterior y llevarla a cabo en vuestros puntos de acceso. Comprobad el resultado. 13. La empresa SiMotor se ha trasladado a una nave industrial que no dispone de instalacin de red. Para desempear su trabajo tienen porttiles repartidos a lo largo de la nave, que tienen que estar conectados en red para que pueda funcionar la aplicacin que utilizan. Necesitan que cada usuario tenga una cuenta de conexin Wi-Fi diferente porque tienen una ratacin de personal alta. Construye una red inalmbrica de demostracin con dos usuarios y configura dos equipos que utilicen la red con dichos usuarios. 14. En la nave de SiMotor parece que la seal no llega a todos los equipos. Prapones utilizar dos puntos de acceso estratgicamente colocados pero que ambos sean la misma red inalmbrica y por supuesto utilicen el mismo servidor Radius. El gerente de SiMotor no acaba de creer que todo vaya a funcionar, as que pide una nueva demostracin. Junto a otro grupo de la clase (juntando dos puntos de acceso) haced la demostracin de que todo funciona correctamente. 15. Investiga sobre los hotspot. Crees que sera til poro el hotel de las Actividades 3 y 8? Haz un grfico de cmo quedara la red.

1. Busca informacin sobre otros protocolos seguros y realiza una tabla donde incluyas el nombre del protocolo, su uso y el puerto en el que trabaja, incluye tambin los protocolos HTTPS y SSH. 2. Para conectarnos a un servidar SSH necesitamos utilizar un cliente ssh. Existen numerosos programas que nos permiten realizar esta conexin, muchos de los cuales tienen versiones portables. Busca informacin sobre diferentes clientes para conectarte con un servidor ssh y sus caractersticas. 3. SiCon est a punto de firmar un contrato que le reportar importantes beneficios econmicos con una conocida multinacional de la Construccin; se celebra una reunin en un hotel del centro, a cierta distancia de las oficinas de ambas empresas. A ltima hora y como condicin previa a la firma, la multinacional solicita ver las cuentas de SiCon del ltimo ao. Estas cuentas estn almacenadas en un servidor ssh en la sede de SiCon y eres una de las pocas personas que tiene acceso a l. Indica qu procedimiento seguiras para acceder al servidor si nicamente dispones de un porttil y la conexin Wi-Fi del hotel. 4. SiCon ha decidido ofrecer a uno de sus empleados la opcin de trabajar desde casa (teletrabajo). Para realizar las primeras pruebas hasta que establezcan un sistema de conexin remota definitiva van a establecer una VPN utilizando el sistema operativo Windows. Indica los pasos para configurar la VPN en tu equipo para conectarte con el servidor de SiCon, cuya direccin IP es 72.123.0.l. 5. Hamachi nos permite, como sabes, crear VPN entre equipos Windows y Linux. Utilizando un equipo Linux crea una nueva red, que llamars SiCon, cuya contrasea es redSiCon. 6. Conecta un equipo Windows a la nueva red SiCon creada y comprueba que hay conectividad entre ambos equipos. 7. Trabajando por parejas, realiza una lista con las ventajas y desventajas que tendra para SiCon crear su VPN con el servicio de Windows o utilizar software especfico, si lo que desea es promover el teletrabajo, de modo que el nmero de empleados que trabaja desde sus domicilios aumente progresivamente.

~~""~~~.d~ad~a~cI~iva~e~n~red~e~ s
~
Segun
. - - , - -------:.

____________

=========

. . .. -

.. -,-{-~
SSH

HTIPS

r-!

Red privada virtual

r~

-... ...

...~ .. .. ....
~

-'

Sistemas de defeccin
de intrusos

Arranque de servicios

802.11 0

802.11b

802.11 g

802.11 n

WEP

. ...
WPA

;-[

Personal

Empresarial

lUl ~ fid()J(d

Seguridad de alto nivel en redes: cortafuegos

En esta unidad aprenderemas a:


o

Instalar un cortafuegos en un equipa a servidor. Configurar las reglas de seguridad a aplicar en un cortafuegos. Identificar la necesidad de inventariar y controlar los servicios de red.

estudiaremos:

o Las funciones principales de los cortafuegos. o Los tipos de cortafuegos que .existen. o Las arquitecturas de cortafuegos. o El filtrado de paquetes y reglas de filtrado. o La instalacin y utilizacin de cortafuegos.
o

Los lag s y registros de actividad.

Seguridad de alto nivel en redes: cortafuegos

1. Seguridad de alto nivel


Zona desmilitarizada (DMZI. Red a islada que posee aplicaciones disponibles desde el exterior.
Acta como zona de seguridad

Durante este curso hemos hablado en varias ocasiones sobre los objetivos principales que se buscan con la seguridad informtica, especialmente de la integridad, la confidencialidad, la disponibilidad y el no repudio de la informacin. Hasta ahora, nos hemos centrado en cmo podemos proteger nuestros equipos y mejorar la seguridad de la informacin que contienen. En las dos prximas unidades iremos un poco ms lejos, y hablremos de dos mecanismos de seguridad de alto nivel: los proxys, a los que dedicaremos la siguiente unidad, y los cortafuegos, que trataremos
en esta.

intermedia entre la red local y la


red externa.

La seguridad de alto nivel persigue reducir al mnimo posible los elementos que pueden amenazar la confidencialidad, integridad y disponibilidad de la informacin. Para ello, se centra en actuar en un menor nmero de elementos sobre los que se mantiene un control ms estricto, es decir, manteniendo un equipo intermedio que gestione ciertos parmetros de seguridad, nos ser posible establecer unas medidas algo ms suaves en los equipos que constituyen la red de una empresa, entre los cuales se desarrolla el trabajo. La seguridad de alto nivel est orientada al trabajo con servidores y redes de comunicaciones, especialmente Internet, que es, en definitiva, la red ms insegura de cuantas podamos utilizar. Es fundamental tomar las decisiones tcnicas que ms convengan a las necesidades de la red con la que estemos trabajando, tanto a nivel de hardware como de software, as como establecer distintos niveles de seguridad, principalmente centrados en quin y cundo podr acceder a un servicio concreto, pero hay dos elementos imprescindibles que han combinarse, que son, como ya se ha mencionado, los cortafuegos y los proxys. Una estructura tpica que mantienen un gran nmero de empresas es la que ves en la Figura 7.1, donde se reflejan estos dos mecanismos, que sirven como barrera ante posibles intrusos. La configuracin de una red domstica, como la que habitualmente tienes en casa, es mucho ms simple, como puedes ver en la Figura 7.2, donde el router ejerce como cortafuegos.

Modem-router

Internet

,----,=,----d
Rcuter

~I

Servidor Web

Fig. 7.1. Estructura de red empresarial.

Red domstica
Internet

Modem-Router
Firewal1
una

Fig. 7.2. Estructura bsica de

red con cortafuegos.

Seguridad de alto nivel en redes: cortafuegos

2. Cortafuegos: qu son y para qu sirven


Los cortafuegos, tambin conocidos por su nombre en ingls Firewafl (literalmente mura de fuego), son uno de los principales mecanismos empleados para mantener la seguridad de alto nivel. El trmino original hace referencia a los muras a prueba de fuego, utilizados para evitar que se extienda un incendio. En el mundo de la seguridad informtica, el fuego ser cualquier amenaza que pueda provenir del exterior de nuestra red o trate de salir del interior de ella. Como recordars, en la primera unidad del libro definamos un cortafuegos como un sistema que audita y evita los intentos de conexin no deseados tanto desde los equipos hacia la red como desde la red hacia los equipos. Concretando un poco ms, conviene aclarar que un cortafuegos puede ser tanto un dispositivo hardware como software, es decir, podemos tener una mquina diseada especficamente paro esta funcin o utilizar una aplicacin que se instala en uno de los equipos conectados a la red. En la Figura 7.3 puedes ver la estructura de una red bsica donde se ha instalado un equipo que acta como cortafuegos, ocupndose de filtrar todo aquello que sale y entra a la red de rea local.

Bastin. Mquina dotada sistemas de seguridad pero vulnerable a ataques ya que est abierta a Internet, acta como

punto de contacto de la red


interna con el exterior.

Servidores de la organizacin accesibles desde el exterior

Internet Equipos de la Red Local

Fig. 7.3 . Arquitectura Screened Roufer.

El cortafuego se ocupa de filtrar los paquetes a partir de unas reglas, generalmente definidas por el administrador de la red, teniendo en cuenta las direcciones IP origen o destino y el servicio de red con el que tienen relacin. A lo largo del tema veremos cmo se realiza este filtrado de paquetes y el procedimiento para establecer las reglas para realizarlo. La funcin primaria de un cortafuegos es delimitar zonas con distintos niveles de seguridad. En su implementacin ms sencilla (screened router) se pueden identificar dos
zonas, una zona segura, situada tras el cortafuegos,

y una zona no segura, que corres-

ponden a Internet, tal como vemos en la Figura 7.2, donde el mdem acta como delimitador entre zonas. Los mdems que los ISP proporcionan a los usuarios que controtan con ellos la conexin a Internet incluyen actualmente los elementos necesarios para bloquear, por ejemplo, las conexiones entrantes a travs de determinados puertos, aunque es posible establecer niveles ms detallados, como el que se muestra en la Figura 7.3. En esta figura vemos que los servidores de la organizacin que son accesibles desde el
exterior no pertenecen a ninguna de estas dos zonas, sino que se sitan en una zona

propia, denominada zona desmilitarizada, que se gestiona con unas reglas diferentes a las que se aplican para los equipos de la LAN.

Actividades ~
1. Estudia la instalacin de la red local disponible en tu clase e identifica los

di~

rentes equipos (PC, routers, etc.). Realiza un esquema detallado de la misma utilizando una herramienta de diseo como Packet Tracer.

2. Realiza una tabla con las principales diferencias entre los cortafuegos hardware
y software.

~/7

Seguridad de a lto nivel en redes: cortafuegos

----~----------------~----------------

~ Caso prctico 1
Activocin del Cortafuegos integrado en Windaws Vista
Siempre que usamos un equipo debemos dotarlo de todas las medidas de seguridad posibles, como un cortafuegos, bien sea el q ue integra el sistema operativo u otro que deseemos utiliza r. 1. Accede a l pa nel de con trol pulsa ndo sobre la tecla de Inicio de Windows y selecc iona el cen tro de seguridad, que a parece sealado con un crculo en rojo en la Figu ra 7.4.

d. ~.

~.~'"

h. td.o ".

9 ...... bl 1
..!;\l
8.,. . .....,....y ....... loIicio

e_DJo

" .~.d

...........
C....".d .

fi

~ <_o ~
~ .f _

~~~ ~~~
~ <I1!J
f ...... 1 ..... , .. _&lid.

q
cm"1"" ut.. d.hl:ko; PC

( ....u.de

~
.....;.

~.

~.,
~ d.

~-

"''1

...."".. ...
1It<l<d",

il """"..
(Ji!

h"n .... y

.;,...,

fu"" ..

1A

11m ....."...

"~-

. dtnOniw . ..... .

Fig. 7.4. Panel de control: centro de seguridad.

2. En el centro de seguridad d ispones de una serie de mecan ismos que te facilita rn proteger tu equ ipo, entre ellos el cortafuegos integrado en el sistema operativo. Accede 01Firewall de W indow s a travs del men que vers en el lateral izquierdo, se mostrar una pantalla similar a la que puedes ver en la Fig ura 7.5.

3. Proc ede a activar el cortafuegos pulsa ndo sobre ca mbia r la configu ra cin, te a pa recer una panta lla como la que muestra en la Figura 7.6, donde debes activarlo. Despus p ulsa Aplicar y Acepta r y comprueba que el cor tafuegos aparece como activado.

Nota: Tambin puedes acceder directamente al cortafuegos desde el pa nel de control (Fig. 7.4) .
I Conf.gunlci6n de Firew :: ,;;" " "' ;;:; Wi ; .""""' :=: - - - - - Firewall de Windows
r;,...,..1I de WindllW:l putdc OYU'1l prevenir que p;" ln inlcrmllicgi o ,Qftwl fC
m.Jinttfl cionl do cbtrng.n 1 ..0 1I .quipo . I' ... ~ de Inlfmo1 O l. rrd.
Fi'ewal de \'f~ aVlda .. rDIrgor .... ~ aI~ lJlt UIUlIflcs sin

El tquipo no Ini prote gido: aC1Jn firl l'llll d, Wmdowl

aulnfU..oon o SOftwllf t IntnnetDdeln'l , ed .

maIn~ Dbl2nllf'l aazso al ~

a travs de

F"onw.ll d. Wind"""nc~ l.wldn.

Ub iu ciCn d.

1 m

~ RItd pUlI' ,.

$ (')

Adhr.Ido

(~m~dol

Esta anfr"uadlin no permi~ lJlt ~ crigI:n tlItc:rnD se CDrIHU:

al eq.ipo, t:m:p1U1Iq.II!b ~en I.1Iidu ~

&

'RWIU de vr...d....... no es1iu\.I",:lo ',

;C.fI".l.... ' l.
<cnfin" ,,,n th ~rg

c.llfogu" cin , cmmdl.d, pi" pctcgtl ti


"'1,,1,,0. ,("" .. , l. ' r.nfmy ciCn ' Prcm . nrlo ;!_Z

Sdta:JDnt .,.1a -*In WIInb lO! mnec:~.l 1n'I red ni IbiraOOnts_M'(O&'&S. Se crril:r. . tad.lrslMu~ y
"'~'~.I..s;rawrdo"ew,.dt\"""""~b

OH;o~do (no ~cnda601


E\'i~U$i'If e ta (Dl~1I<If\. SI~.l F'twlll de \'fnlclws, e~ ~ _ lMs \'-"'erllble lIac:t.tsoS l'DautIlriLxIDs D a SOftwllft !Nlro~.

Fig. 7.5. Firewafl de Windaws.

Fig. 7.6. Activacin de Cortafuegos. (Contin a)

82

_
(Continuacin)

___ 7~ ~
Seguridad de alta nivel en redes: cortafuegos _

Casa prctico 1
4. Para personalizar tu cortafuegos puedes acceder a su configuracin como hemos visto en el punto 3 o otro vs del firewall de Windows con configuracin avan. Ii Fi rewaU de

zada que encontrars en Panel de control> Herramientas administrativas, que puedes ver en la Figura 7.7. All podrs configurar ms opciones .

W nd:lI'rI.
Inlradut cin

~da

WndcnCOl'1 ~5d av~teda~l.nam8''Ol'",~d

~ J

Firewan de Window. con .egu ... ""'


Imp tlrtar directiva ...
E:xportardirectiva". RC ll i urar predderminado!

II-;====================E ~
Pol\ do domInio

'?J

v"
@
Actual i,ar

~!IJ di! WnoWlI a5lii l!ctiV~o .

6) '" """"'"" ....,"'~ m _;dM= ,"" ,,;. ~,., """"odM.1 I;:J @ ~~es <lJl!noccncidanconln1rerjaer.inpfllml.idal.
Perfil privado

PIIJpiedade

~ Ayuda

F rewaJ de Wno ..\"U:I~ ohI:sadiVado.

El porfil pblico IISt,; activo.

@ FreYraJ di! Wndoll"1 a'll d~ado .


~ Propie:!ad~ de Fire'NaU de \/indo-....li

'"

Fig . 7.7. Firewall de Window5 con seguridad avanzada.

Adems del filtrado de paquetes, el uso del cortafuegos nos ofrece una serie de servicios adicionales muy tiles par prateger el buen uso de nuestra red y nuestras servidores, que tienes en la Tabla 7.l.

Bloqueo de trfico no
autorizado

Restringe servicios de Internet, bloqueando pginas Web o el trfico proveniente de un rango de direcciones IP. Oculta equipos para que no sean detectados por posibles ata~ cantes. Dado que el cortafuegos se instala en la frontera entre la red interna y la externa, detecta todo el trfico que entra y sale de la red, por lo que se puede almacenar su actividad. Redirige el trfico entrante a la organizacin a la zona DMZ, evi~

Ocultacin de equipos de lo lAN


Registro del trfico

Redireccin de trfico entrante

tondo que llegue a los equipos locales.


Limitacin de ancho de banda Seguimiento de trfico y
monitorizacin de ataques Limita el ancho de banda utilizado por un protocolo o un tipo de trfico Genera estadsticas con datos sobre el ancho de banda consu~ mido, permitiendo detectar, por ejemplo, si desde un determinado equipo se est descargando un alto volumen de datos proceden~

tes de Internet.
Monitoriza los ataques desde el exterior para tomar medidas como el bloqueo del anlisis de puertos para evitar los ataques

ms habituales.
Tabla 7.1 . Otras funciones de un cortafuegos.

~/ J L_

Seguridad de alfo nivel en redes: cortafuegos

_ _ _ __
3. Tipos de cortafuegos
Existen dos criterios de clasificacin principales de los cortafuegos, uno basado en la tecnologa implementada y otro en su ubicacin dentro del sistema.

3.1. Segn su ubicacin

La ubicacin de los cortafuegos va intrnsecamente relacionada con el sistema que se quiere proteger. Podemos distinguir entre dos tipos de cortafuegos en funcin de donde se localicen: Cortafuegos de sistema o personales. Cortafuegos de subredes.
Rodlazo dI! IMico no autorizado

" ll~~~~

''9it

,~_ _~ .. . 1
~
1

1
Fig. 7.9. Cortafuegos de Subred.

Trafico aulorilac/o

-~

Fig. 7.8. Cortafuegos persono/.

Los cortafuegos de sistema o personales restringen la comunicacin no autorizada can un equipo, actuando como un sistema de defensa perimetral, mientras que los cortafue gas de subredes protegen toda una subred en conjunto (actuando como nico punto de entrada).

Cortafuegos personales

Actualmente se han extendido mucho las conexiones de banda ancha en los hogares y quienes las utilizan tambin necesitan proteger sus equipos y datos. Los cortafuegos personales surgen como respuesta a la necesidad de proteger los equi pos pertenecientes a redes privadas porticulares, por ejemplo, las que se instalan en nuestros domicilios para permitirnos conectarnos a Internet. Este tipo de cortafuegos se instala en el equipo del usuario y proporciona cinco funcio nes principales: Permite supervisar todas las conexiones con el exterior, incluyendo los accesos a servicios de Internet. Permiten monitorizar los programas locales que tratan de acceder a Internet para que el usuario pueda decidir si permite que lo hagan o no, como vamos a hacer en el Caso prctico 2. Proporciona mecanismos para bloquear los posibles intentos de intrusin al equipo u otros ataques (como el ataque de denegacin de servicio) .realizados desde Internet. Realiza un registro de todas las conexiones realizadas desde el equipo. Algunos de ellos incorporan filtros antispam, as como deteccin de virus u otros cdigos que pueden ser perjudiciales para el equipo.

Los sistemas Windows Server


tambin incorporan un cortafuegos con una esttica y fun-

cionalidades similares a los de

Windows XP o Vista. Poro que


sea eficaz debes mantener siempre tanto el sistema operativo como el propio cortafuegos actualizados.

Este tipo de cortafuegos podan adquirirse como programas individuales cuando comen zaron su andadura, como ZoneAlarm, aunque en la actualidad lo ms habitual es que se integren en un paquete de seguridad, que incluya funcionalidades de antivirus, como los proporcionados por Panda o McAfee, o integrados en los propios sistemas operati vos, como es el caso del cortafuegos que incorpora Windows XP o Windows Vista, con el que hemos realizado el Caso prctico l.

Seguridad de alto nivel en redes: cortafuegos

Casa prctico 2 Permitir el acceso a Internet de una aplicacin a travs del cortafuegos de Windows Vista
En ocasiones instalamos aplicaciones o travs de los cuales vamos o proceder o recibir paquetes de datos, como los clientes FTP, y poro su correcto funcionamiento es necesario autorizar el intercambio. En este caso vamos a proceder a autorizar al cliente FTP FileZilla, que es de libre distribucin.

2. Accede al panel cortafuegos de Windows, tal y como hiciste en el Caso prctico 1. El cortafuegos debe estar activado paro poder configurar las excepciones de seguridad, como, en el caso que nos ocupa, permitir el acceso de una aplicacin a Internet. 3. Pulsa en la opcin Permitir un programa a travs del firewall de Windows 1 que aparece en el men de la izquierda o directamente en Cambiar lo configuracin 2 , (Fig. 7.10).
Ic::rl l!l li!iQ!l '

1. Instala FileZilla en tu equipo, puedes descargarlo desde

http://filezilla-project.org/.

Firewall de Windows
deWindaw> pu~. oyud.u i ptevenil qu e pi,.!~, info,.","ico, o ,oltw.,. m. lintcncion.ldo obtrng l n . tcaO II lI"<uipo. ''''''6 d.lntcmeto ~ r~. t emo me ~,b un lit,wlll .. P"tc9f' , I . ,l\'~
F"~ ..... ,II

<1 FilhOaD de \'(lIIdows es t~ ~d.w:lo

ol

proteger el equipo

L . , con";""es d. cntr.d. que no 1ie"I... nirogun. =cp<:in ",Lin bl"'lu ... dn. Mo,I,., unl notifi c. cin <UlndO un P,09 " ml ",t~ bloquc.do: SI
Red publk.

Fig. 7.10. ConFiguracin del Firewoll de Windows Vis/a.

4. Se obre una nueva ventana con tres pestaas. En la pestaa Excepciones, que se muestra en la Figura 7.11, podemos abrir los puertos concretos de una aplicacin o autorizar las conexiones de un progroma, como haremos en este caso, pulsando en Agregar programa ...

5. Selecciona el programa poro el cual queremos autorizar el poso de paquetes, y pulso Aceptar.

Pn>o7 ...... l1JOI"to .,.m".....t.I 0""*" .,....;.,,....,\.1 "" ""..... dt\llncl..,. O .......... .,....,.;"r"""\.1 dt~~. do..... o _.....;.,...,..,\.1dt_ O_.,....,.;" ...... \.1dot.r ... _ .....

o ..........

O~a:DI=\.1do\\'doM

g:::::::=~:=fohor
Oku,, _lJDdo \\........
0 .........,. ...... \.1 Oc..ctw; doI..-..md<kvm;
O~!.J",

1 :1 ~~~;;;;;;;;:;;;;;;;;;;;:;;;:;;;:;=;:~:=: ~ I_~. I
Prapcd.odo:s

1I ~ . .t7.-... I' ~_Il>. 1I


'1

~ I r..oo.-"IO... 1

Fig. 7. 11 . Agregor programa al Firewol/ de Windows.

~7

Seguridad de alto nivel en redes : cortafuegos

o
Interfaz. Conexin fsica y fun cional entre dos aparatos o sistemas independientes.

Cortafuegos de subredes

los cortafuegos de subredes tienen como objetivo aplicar uno poltica de seguridad a un grupo de sistemas desde un nico punto. Para ello lo primero que debe hacerse es agrupar los sistemas en zonas de seguridad, de modo que se aplique las mismas regla s a los equipos que forman parte de cada zona, y puedan aplicarse distintas reglas a distintas zonas. los cortafuegos se ubican en los interfaces entre zonas, de modo que siempre debe de haber un cortafuegos entre una zona y otro, ya que son los que aplican las reglas de seguridad. En el caso de los cortafuegos de subredes sus principales funciones son:

Si un atacante co nsigue robar


tu sesin puede realizar operaciones en tu nombre como, por ejemplo, cambiar tu contrasea de correo.

o o
o

Autarizacin de servicios (entrantes y salientes). Control de acceso o los servicios basndose en lo identidad del usuario o equipo. Registro y monitorizacin de accesos o lo red .

El uso de los carta fuegos de subred permite establecer uno proteccin global, lo que nos permite relajarnos en la proteccin individual de codo equipo, estableciendo un nico punto de implantacin de lo poltica de seguridad. Esto facilita su adminislracin y, dado que los ataques se producen sobre un nico sitio, hoce ms sencilla su vigilancia.

3.2. Segn su tecnologa


Segn lo tecnologa que utilizan se distinguen cuatro tipos de cortafuegos: cortafuegos a nivel de paquete de dotas, cortafuegos o nivel de circuito, cortafuegos a nivel de apli. cacin y cortafuegos transparentes:
o

Nivel de aplicacin Servi cios de red a aplicaciones

Cortafuegos que actan a nivel de paquetes de dotas. Este tipo de cortafuegos trabajo a nivel de red de lo pilo de protocolos OSI (Fig . 7.12) y para determinar que paquetes IP debe dejar posar mira tonto las di recciones origen y destino de los mismo como los puertos que se utilizan. Este tipo de cortafuegos es el ms sencillo y utilizado, ya que ofrece muy buenos prestaciones y un boja consumo de recursos y ancho de banda. o Cortafuegos que actan o nivel de circuitos. Acta en el nivel de sesin, adems de tener en cuento los direcciones IP y los puertos, tambin miro lo informacin relativo o lo sesin y los nmeros de secuencio de los paquetes enviados . Se sobe, por tonto, qu paquete se espera recibir en coda instante, por lo que se pueden prevenir ataques como el robo de la sesin. Cortafuegos que actan como pasarelas de aplicacin, en el nivel de aplicacin de la pilo de protocolos. Estos cortafuegos analizan todos los paquetes de datos de un determinado servicio en su conjunto, no como paquetes independientes, por lo que son exc lusivos para un servicio. Es necesario uno pasarela de aplicacin o gateway por
cada servicio, as que consumen ms recursos

Nivel de presentacin R epresentacin de datos

Nivel de sesin Comunicacin entre dispositivos de la red

o
NIvel de transporte Con exin extremo-extremo y fi abilidad de da tos

1 ,
1:

Nivel de red D eterminacin de ru ta e 1 P (Direccionamiento lgico)

')
o
, ,

suelen necesitar un

software especfico en los equipos de los usuarios. Cortafuegos transparentes. Actan a nivel de enloce, determinando qu paquetes posan o no en funcin del resultado de evaluar una serie de reglas. Son indetectables para los atacantes yo que no tienen uno direccin IP.

Nivel de enlace de datos Direccionamiento ffsico (MAC y LLC)

Nivel tsico Seal y transmisin binaria

Fig. 7.12. Modelo 051.

Seguridad de

0110

nive l en redes : cortafueg os

7
~

4. Filtrado de paquetes
No todos los paquetes de dotas que se envan de un equipo a otro son una amenaza, pera tampoco es necesario que todos ellos lleguen 01 sistema de destino. Esto implica que hay que decidir qu paquetes deben alcanzar su destino y cules han de ser descartados. El filtrado de paquetes es la tcnica ms usada para establecer un cortafuegos y es por ello por lo que le vamos a dedicar una especial atencin.

Impoi;\nt.e

Es usual que usar un cortaFuegos ofrezca mayor sensacin

de seguridad en una red, pero


nunca debe sustituir a otras medidas sino co mplementarlas. Usar un cortafuegos no implica que no sea necesario ocuparse

4.1. Parmetros utilizados para filtrar paquetes


Cada paquete IP proporciona en su cabecera informacin que puede utilizarse para determinar qu paquetes pasaran y cules sern descartados, como las direcciones origen y destina, a los puertos origen y destino, al protocolo, al tipo de mensaje ICMP y al tamao del paquete. Un router, por ejemplo, puede comprobar no solo estos campos sino parte del contenido de los datas del paquete, de modo que puede saber la pgina Web desde la que procede o si el paquete tiene realmente el tamao que se indica en su cabecera. Un router que permita el filtrado de paquetes podr ser configurado de uno de las tres siguientes maneras para manejar los paquetes que salen y entran a travs de sus interfaces: Bloquear todas las conexiones externas, excepto las conexiones SMTP para permitir que el equipo reciba correo electrnico. Bloquear las conexiones de sistemas considerados no seguros. Permitir conexiones de correo electrnico, FTP, etc. Pero bloquear otros servicios como TFTP) que se consideren peligrosos.

de mantener la integridad y seguridad en las mquinas de


la red interna, ya que si un ata-

cante lograse llegar a acceder a


la red automticamente tendra

el control de dichas mquinas


sin necesidad de realizar ms acciones.

Para poder llevar a cabo cualquiera de estas tres acciones es necesario tener configuradas una serie de reglas, que se irn consultando, en orden, paro determinar qu paquetes pasan o no.

- - - - - - ~_ _ _ _ _ _ _ _ _ _ _ _...:: C= as :.: o ::.J:;. Rrctico 3 Configurar el cortofuegos de Windows Vista paro que permita hacer un ping al equipo
El uso del comando ping para determinar si se tiene conectividad con otro equipo es bastante usual, y para que funcione correctamente es necesario permitir las mensajes ICMP nternet Control Message Protoco/) de echo. Para ello debemos configurar las polticas de seguridad en la con figuracin avanzada del firewall de Windows Vista en el equipo a cuya direccin IP va mos a hacer ping o L

Realizamos un ping a la direccin IP del equipo de nuestro compaero de la izquierda, y observamos en la Figura 7.13 que el tiempo de espera para la recepcin de paquetes se agota. Esto se produce ya que la configuracin por defecto del cortafuegos de Windows no responde a las peticiones de los mensajes de control.

Fig. 7. 13. Ping con peticin echo no habilitado.

2. El receptor del ping debe modificar la configuracin de su cortafuegos. Accedemos a la configuracin avanzada del cortafuegos; si no recuerdas cmo, vuelve

al Caso prctico 1, para definir la regla de entrada correspondiente o la recepcin de echo ICMP. IContina)

Seguridad de alto ni vel en redes: cortafuegos

Q Caso prctico 3
(Continuacin)
3. En el men de la izquierda hacemos doble dic sobre reglas de entrada . Se abrir un listado donde buscamos Archivos e impresoras compartidas (peticin de 4. Hacemos dic sobre ella con el botn derecho del ratn y habilitamos la regla, como puedes ver en la Figura 7.14. El icono de la derecha de la regla cambiar y aparecer en verde .

echo: ICMPv4 de entroda).


.
~

.c- _ _ - .-

,. .~ .

du"Ua;!, )

. cy-:

"'.......,
d.tfIlt.~,l

Fig. 7. 14. Habilitacin de lo peticin ICMP echo.

5.

Realizamos un nueva ping al equipo de nuestro compaero de la izquierda (la misma direccin IP del paso 1), en esta ocasin veremos que los paquetes si son

recibidos correctamente, tal y como se muestra en la Figura 7.15.

Fig. 7.15. Ping correcto.

4.2. Reglas de filtrado


Los parmetros de los que hemos hablado han de organizarse para que el cortafuegos pueda consultarlos, en la que se denominan reglas de filtrado. Las reglas de filtrado nos permitirn establecer polticas de seguridad para nuestro sistema, evitando los accesos no autorizados sin crear inconvenientes a los accesos que s queramos permitir. Estas reglas se suelen expresar como una tabla de condiciones y acciones que se consulta hasta que se encuentra con la regla que permita tomar una decisin, lo cual hace especialmente importante que las reglas se establezcan en orden de prioridad de actuacin y que los administradores las revisen peridicamente. La estructura real de estas tablas depender siempre del sistema con el que estemos traba ja ndo, pero si comprendes su funcionamiento general podrs aplicarlas a la estructura de tu sistema consultando la documentacin del mismo sin mayor complicacin. Un ejemplo de una tabla terica es el que puedes ver en la Tabla 7.2, donde tienes una serie de reglas definidas en funcin de las direcciones IP origen y destino y de los puertos origen y destino, donde se indica si se permitirn los paquetes provenientes de esas direcciones.

~ Actividades
3. Al instalar en un pe una aplicacin P2P no siempre funciona correctamente, no permitiendo la descarga de paquetes al equipo. A qu se debe? Qu debes hacer y cmo para permitir la recepcin de los paquetes a tu equipo?

Seguridad de alto nivel en redes: cortafuegos

192.168.1.2
2
3

1533 1400

192.168.128.2 192.168.128.2

21 21

Permitir Permitir

192.168.10.3

Tabla 7.2. Eiemplo de reglas de filtrado.

Actividades

9'

En el ejemplo se han establecido dos reglas correspondientes a los paquetes que llegan desde las direcciones IP 192.168.1.2 Y 192.168.10.3, desde las puertas origen 1533 y 1400 respectivamente, para permitir el paso de los paquetes que van al equipo con direccin IP 192.168.128.2 Y puerto 21, que es el puerto reservado para el control del protocolo FTP. Las reglas pueden agruparse en tres tipos: Autoprateccin del cortafuegos: no se permitir ningn datagrama dirigido directamente al firewall. Reglas de salida, que pueden ser permisivas o restrictivas. Si son permisivas, se prohben las excepciones y el resto se autoriza; si son restrictivas, se prohbe todo excepto las excepciones permitidas. Reglas de entrada: est todo prohibido excepto aquellas excepciones que especficamente hayan sido autorizadas.

4. Fijndote en las reglas de la Tabla 7.3, determina qu efecto tendra que el orden de las reglas 4 y 5 se intercambiase. S_ Analiza si existe algn problema si al cortafuegos llega un paquete desde la direccin IP 154.44.0.1 con destino a la direccin IP 194.22.10.2. Llegara el paquete a su destino? Justifica tu respuesta.

J-_____________________~________~___..:: C ::: a ::: sa ~ prctico 4


Anlisis de las reglas de filtrado de una tabla terica En el siguiente caso prctico vamos a analizar con un poco ms de detalle el efecto de las reglas establecidas en la Tabla 73, donde se definen una serie de acciones de respuesta ante los paquetes recibidos desde determinadas direcciones. 1. Cuando en la tabla aparece un asterisco u otro smbolo similar debes interpretar siempre que puede ser cualquier valor. Adems, en el momento en que se
encuentra una coincidencia, se ejecuta la accin corres-

3. Si llega un paquete con direccin origen 154.44.10.2 y direccin destino a la red 192.168.128.0, se permitir que pase, independientemente de los puertos utilizados. 4. Si llega un paquete con direccin destino 193.55.0.2 y puerto destino 21 (FTP), se denegar el paso, es decir, el equipa destino no est autorizado para utilizar el protocolo FTP. S. Todos los paquetes que llegan con direccin IP destino 194.22.10.1 tienen permitido el transito, en funcin de la regla nmero 4. 6. Pero el resto de equipos de la misma red (194.22.10.0) no recibirn trfico, ya que la regla 5 deniega el transita de paquetes.
o .

pondiente y termina, es decir, no evala las siguientes reglas. 2. Si al cortafuegos donde se implementan estas reglas llega un paquete desde la red 154.44.0.0 se permitira su pasa hacia cualquier red de destino.

154.44.0.0 2 3 4 5 154.44.10.2

192.168.128.0 193.55.0.2 194.22.10.1 194.22.10.0

Permitir Permitir Denegar Permitir Denegar

21

Toblo 7.3. Reglas de filtrado. 189

, /,

.
"

" I}

.~"".4t. ..,

~.

~/7

Seguridad de alta nivel en redes: cortafuegos

----~----------------~----------------

. .. . .
NAT (Network Address Trans/alian). Protocola que modifica la direccin IP de un paquete que pasa par un dispositiva de red.
Permite enmascarar las direccio-

El eiemplo ms claro de reglas de filtrado podemos verla en el sistema de redes Netfilter de Linux, que se gestiona a travs de una utilidad que se denomina iptables, la cual se maneia desde el terminal. La estructura bsica de este comanda es la siguiente:

# iptables -table [COMMAND] chain rule-specification [aptions]


Donde:
o

nes IP privadas de una subred detrs de la direccin IP pblica en un router, de modo que todas
las peticiones vayan dirigidas a
una fuente en vez de a muchas.

table permite filtrar paquetes (filter), implementar NAT (nat) a enmascarar direcciones IP (mangle), lo que recordars son funciones bsicas de los cortafuegos, entre otras opciones.
COMMAND

indica que accin se va a realizar (-A para aadir una orden, -D para

borrar, etc.)
o o

chain indica una regla ya definida en alguna de las tablas. rule-specification hace referencia a la regla de filtrado que vayamos a definir, si permitimos o denegamos el trafico, entre otros. options permite depurar la regla indicando aspectos como el protocolo, el puerto, etc. Usaremos alguna de estas opciones en el Caso prctico 5.

Las opciones del serVICIO ipta-

bies se detallan en la ayuda de


linux, a la que puedes acceder
utilizando la orden: man ipta-

bles.

Es importonte g umck! ,. las configuraciones de cortafuegos que defina mos con esta orden ya que solo son vlidas mientras el equipo est encendido y se perderian al apagarlo. Si queremos que las reglas se apliquen cuando se inicie el equipo, debemos almacenarlas en el archivo /etc/iptables.rules.

Caso p'rctico 5

Herramienta iptables de Linux


Vamos a utilizar los comandos que nos permitirn configurar la herramienta iptables, integrada en las distribuciones linux para la configuracin de cortafuegos, estableciendo varias reglas de filtrado que nos permitirn proteger nuestro equipo. En cada una de las imgenes siguientes irs viendo los comandos que debes eiecutar para conseguir la configuracin que se indica en cada punto del caso prctico.

1. Abrimosla consola de GNU/Linux. Recuerda que necesitars tener permisos de administrador para configurar las reglas del cortafuegos.

2. Comprobamos las reglas que ya puedan existir usando


la orden iptables y la opcin -L o --listo Como es la primera vez que vamos a eiecutarlo no debera haber ninguna, como aparece en la Figura 7.16.

Archivo

Editar

Ver

Terminal

root@jupiter:-# iptables -L Chain INPUT (policy ACCEPT target prot opt source
Chain FORI1ARD (policy ACCEPT) target prot opt source

destination destination destination

Chain OUTPUT (policy ACCEPTJ target prot opt source root@jupiter:-#

Fig. 7.16. Reglas ya deFinidas.

3. El comando bsico para trabaiar (iptables) tiene


numerosas opciones. En la Figura 7.17 puedes ver el comando utilizado para denegar cua:quier intento de conexin a la red externa (asociado a OUTPUT). Una

vez que eiecutes el comando utiliza el navegador para conectarte a cualquier pgina de Internet, como www. google.com, vers que no es posible.

(Contina)

----"

Seguridad de alto nivel en redes: cortafuegos

Caso prctico 5
(Continuacin) Utilizamos lo opcin -P para asociar la arden a la entrada o salida ya que estamos definiendo una opcin que afectar a todo el trafico en uno u otro sentido, dependiendo de las reglas concretas que definamos. 4. En la Figura 7.19 puedes ver el comando utilizado para aceptar trafico entrante (asociado a INPUT) y trfico saliente (asociado a OUTPUT). 5_ Habitualmente lo que queremos no es bloquear todo el trfico, sino permitir algunos servicios, como por ejemplo
ID
dilar ~er Terminal ,Solapas AlUda raat@jllpiter:-,\Iiptables - p OUTP ;; U:: T "' DR '; D~ P ~:::'------'-------- -~ root@jupiter:-,\I
archive

el trfico desde el puerto 22, que corresponde al protocolo ssh . En la Figura 7.20 puedes ver lo orden necesaria para aadir (usando la opcin -A) esta regla . 6. La direccin IP 192 .168.1.33/24 estar autorizada para enviar y recibir todo el trfico de la red, paro ello debes definir las rdenes que ves en la Figura 7.21. 7. Una vez que hemos definido las reglas, es muy probable que deseemos guardarlas para utilizarlas en futuras sesiones, tal y como puedes ver en la Figura 7.22.
".
Brchrvo dltar
~er

!J
'--'-"~C-

Ierminal

ia l ~pns

AlUda _ __ _

r aat@jupite r:-II iptables -A IIlPUT ' p tcp -- dport ssh - j ACCEPT roat@jupite r:-#

Fig. 7 .17. Deniega trfica saliente. Fig. 7.20. Trafico del puerto 22 permitido.

',.
ftlrta~

erth ~

IJ Mh ...,.itada"" Qo Gettin~ Started g U test Hndl,nes ....

-e o

Hitanal I::!;rtadarn

';;t

jJ

u! fj) Herramient a,

"",d.

..
~

IJ. hIW""""" gaagluom/

1:::1 !ICHo "..

'\1

.
w;!! '

Servidor no encontrado
Fire fox no puede encontrar e l servidor en \"I\'Iw .google .com. Comp11Jebe que la dlre~cUm no tiene errores de escritura del tipo ww.ejemp!o.com en tugllr de www.ejemplo.com SI no puede cllrgllf nlngunll p&ginll, comp11Jebe 1 8 cone(ln de red de su ordenador.
l~ su

1 m:

arth;.,o Edila. ~ Jerman ..1 Solpn ~tI.. -------~ I ~lter : -' l ptobles--:-WPuT "sourte 1'12.1I1B.1.]] - j ACCPTEl roat(ljupit~r:-' lptobles -A OUTPUT " desUnatian 192.168.1.33 .J ACCEPT raotOj upiter:-' . ~

I.l

oro.ena,oor o r.~o _eS.l~~ pro egl 05 por un COrt~ ueg~~.o a proxy, asegrese de que Flre fo( tiene permiso p8r8 Ilcceder a laweb.

1
~

Fig. 7.21 . Trfico desde y hacio uno direccin IP autorizado.

I f\e,nt ent ar I
Ttrrnlnodo

Fig. 7.18. Conexin denegada.


S' ' !gIj T L l}r._

mnr:
- - -'8
e.,hivo Ed,ta r root OJuplter :-' roo tOJupite r :-/t
~r

Edita r ver Te rminal ,Sl1lapu A~da root@jupite r :-# i ptab les -P IUP U T ACCEPT root@jupiter:-II iptilbles -P DUTPUT ACCEPT root@juplte r :-II
archIVO

Terminal

Sgl~p;s

i pt~b les - save

l!!T r. AlUd .. l et c/iptables .rules

11
El

Fig. 7.19. Acepta trfico entrante y saliente (seg n futuras reglas) .

Fig. 7.22. Reglas guardadas en el fichero iptables.rules.

. L

Actividades "
Guarda los cambios en el fichero iptables.rules y visualizalo poro comprobar que las reglas se han aadido correctamente.

6. Escribe las rdenes mediante iptables para: Permitir todo el trfico web de entrada en el equ ipo. En el punto 5 del Caso prctico 5 permitimos eltrfico correspondiente al protocolo ssh (puerto 22). pero ahora deseamos bloquearlo cmo podemos hacerlo?

2----=--~~~~J/
Seguridad de alto nivel en redes: cortafuegos

5. Uso de cortafuegos
En todo sistema es conveniente tener instalado y funcionando un cortafuegos, ya sea en un ordenador personal donde utilicemos el cortafuegos integrado en el sistema ope rativo, o en una red de una empresa, donde necesitaremos herramientas algo ms sofisticadas. En este apartado daremos unas pautas a seguir para elegir correctamente el cortafuegos que cubra tus necesidades y veremos un cortafuegos comercial, Kerio WinRoute Firewall, que se utiliza en servidores Windows pero que dispone de clientes para Windows, Mac y las ltimas versiones de linux Ubuntu y Debian, por lo que puede trabajarse en remoto desde diversos equipos.

Uf)erl~~U es un sistema operati-

vo de cdigo abierto basado en UNIX que centra su desarrollo en la seguridad prooctivo y la integracin de lo criptografa.
Puedes encontrar loda la informacin sobre este proyecto en:

www.openbsd.org.

5.1. Criterios para elegir un cortafuegos


Antes de instalar un cortafuegos es necesario tener en cuenta una serie de factores que nos permitirn elegir o configurarlo del modo ms acertado para nuestro sistemas, y que se recogen en la Tabla 7.4.

Poltica de seguridad del sistema


o la empresa

La configuracin segn ellrfico o servicios a bloquear.


Hay que decidir cmo se va implementar (que se permitir que se denegar).

Nivel de monitorizacin

y control

Econmico

En funcin del valor de lo que vamos a proteger ser necesario un desembolso mayor o menor.

Localizacin Elementos Fsicos Sistema operativo

Existen diversas arquitecturas de red que podemos elegir o

utilizar cortafuegos personales en los equipos.


Equipos necesarios, uso de bastin, routers, etc. Sistema operativo del bastin o del equipo sobre el que se instala el cortafuegos.

Tabla 7.4. Criterios de eleccin de cortafuegos.

5.2. Instalacin y configuracin de un cortafuegos comercial

Existen numerosos cortafuegos que podemos elegir para instalar en nuestros sistemas. En este apartado hablaremos de Kerio Winroute Firewall, trabajaremos con la versin 6 del mismo en un servidor Windows, y veremos cmo es posible el acceso a este servidor desde Internet en un equipo Linux que tiene instalado Kerio VNP Client.

~ Actividades
7. SiTour va a instalar un cortafuegos en su red de ordenadores para que su personal no pueda acceder a servicios de Internet, como la descarga de pelculas,

y debe decidir si desea definir reglas de salida o reglas de entrada. Indico cul
de las opciones sera la ms conveniente para este fin y por qu.

8. Antes de instalar nuevo software en tu ordenador es imprescindible comproblar que el equipo cumple con los requisitos para realizar la instalacin. Busca infor mocin sobre cules son los requisitos recomendados si deseamos instalar Kerio WinRoute Firewall.

Seguridad de 0110 nivel en redes: corla fuegos

Caso prctico 6
Instalacin de Kerio WinRaute Firewall en un servidor Windaws En el siguiente caso prctico vamos a insta lar el cortafuegos Kerio W inroute. Utilizoremos el asistente de con fig uracin para ponerlo en funcionam iento y dotar a nuestro equipo de una mayor seguridad.

4. Kerio b loquea todo eltr fico de Internet a ntes de realizar la configuracin inicial. Dado que se va a instalar en local, esto no ser un problema, as que pulsa Siguiente y, a continuacin, Instalar. 5. Una vez que hemos instalado la a plicacin es necesario configurarla. Abre un navegador de Internet, vers que ahora no te es posible visualizar ninguna Web ya que el cortafuegos est rechazando todas las conexiones. 6. Para comenzar a configurar el cortafuegos accedemos a la consola de administracin que incorpora dando doble dic en el icono que apa rece a la derecha de la barra de tareas, don de se pedir el usuario y contrasea administrador que defin imos en la instalacin, como puedes ver en la Figura 7.25.

1. Desca rga Kerio Winroute Fi rewal l Server desd e la


pgina Web de su fa bricante: www.keria.com. 2. Antes de comenzar con la insta lacin, desactiva el praxy para evitar futuros problemas . Ejecuta el archivo y acepta los trminos de la licencia, despus de leerl as. Sigue las instrucciones del asistente de insta lacin pa ra insta lar la versin co mpleta del firewa ll en la carpeta por defecto C:\Program Files\Kerio o C:\Arch ivos de Programa\Kerio. Si el prog rama deteela algn confl ielo con otro servicio del sistema, deshabiltalo como se muestra en la Figura 723. 3. A continuacin nos pide que definamos los datos de la cuenta de ad ministracin del cortafuegos, tal y como ves en la Figura 724.
ft)
Kerio WinRou~ l'CW.lIIIn.L>US~d Wi!.lrd
5 Yltem Servke Confbct
SeIu<le~..,CIltIbClO~dS2r-::u.
... ~

lPl

7.

La primera vez que nos conectamos aparece un asistente de configuracin . En primer lugar identificamos el ti po de conexin. Nuestro servidor se conecta d irectamente a Internet, as que elegimos la opcin Un nico

enlace de Internet Persistente.


tJ leMa WinRouL! Fi""".1l1lluuttS";~d W,t,lId
LI Qlellt . de ildmlnh tr3ddn
Coo~~uCll1.scr:esoor.d~t:la~.ao&I.

",;,,

D~ ll

""!3!r@i)

i':en:I~t:lfirevl.ll~tl<!llcml\a)a:01V~_d.-:I ~lleII\.I. Se~

~~~IO.WIOYCDlIr~$et~p.v~"a:ent.l~~J~~c~iI~
~.Iodjn.

""""""'o...!I
Co,..,,,l n comp3 .tld~" Inlemet (ICS) 8 ~'UI \~ =-- '::rlU!ll :"':1> a rl~ ~ M~ ~~').J.' .

j:, D!!leccl dn SSD P


0Ddubo1LlrlllStlllt!l"ViOGdd.tl~

CDleaJr a Llwontll YCDl~p"... e~.

Al ~~tv Ls mt.\LsQjn, este 1AI<Ioi~ pveda utllw LI CMS:b d~ a.mns:r.sa31 W~


{t<I'r.!n4~~: Jlr!;,m:r~
!;<In1T.l$eiIJ : 1.. ....

j:, Dhpollllvo h.utd~ UPnJI


@ Ddub:1t..- ~ ~dt:I!bt=s
~;oo5nd= " mt.lL>cWoc,:b.v' QlrI~;oo5nd<!_~y de!N!>lt.d a~. Do!~1as ap:lOrIe ~tublud.l" no Io.Ibo!b q..ets.::e".

~fnn.!CDl::-~'

I... ~.

,
<Alroh

.."., N.1u::.c::eQlrlIr.tRtva<l.~ClI1Ir.no\ld="_~CH~es.
1r1:~,~

~,,~,~

<"'...

1 1

~be:O

11

'"""'"
@I

1 1

~te>

11

'"""'"
c;"

Fig. 7.23. Deshabilitar seuicios en conflicto.

Fig. 7.24. Cuenta de Administracin.

..;:s Kerio Admin;tr,, M,n Ca n~L~


Ar<hvo ELr 'kr

,....,

w.n-~t.u A~

Iv

"

~ A~;ltent.o de ~l> de.e:l

P<*b.:I wisIte pJ.;N i di! 1


~ drrvd "'_ d=.J~d _.1In"'""'tdebs~de Ls I.Nl:

!l. ~4QlO

"'1 NI.ocva Q)n~dn

. t.4l~
...,

~~
B

"''"
G
1 1

O """"=-doOC:l!s:l~ t:W,obs~(..,Int~)
i(l
P=IIilrd~,d.bs19=lteJHNId~,:

_.

""""",
Crlnl:".uer\t,

[ .,u; ~~'/ftIQu~fmoI.Il
I~
1 ......1

rbttnd=l$1JIia: l~iT;o:b

" el

"'""' = .,~= = "'''' Ea ro>

Puetb d. """"" """'

..

!:.'fTl'

=1<"

POPl 1"0'

la Td1t:: = ro> """'

.,., ....... "


""'-,
n

........ """",
,,",-o

.. .. """' .. """'..
W\q!rl

Pufr"md.4...

~,

U II

I """'" II..... ~ I I '"""" I


i2I
~nQc~'lrote<)(l3$

.....ltJI

Il

~be:O 1 1

""""

Fig. 7.25. Acceso Consola de Administracin .

Fig. 7.26. Servicios a los que se do permiso.

IContinol

-Y7
Q

Seguridad de alto nivel en redes: cortafuegos

Caso p'rctico 6

(Continuacin)
8. Tras elegir la conexin can Internet, podremos permitir el acceso a todas los servicias (ilimitada) a a una lista de servicias. Seleccionamos la lista de servicios por seguridad, como puedes ver en la Figura 7.26, ya que con la primera opcin no tendremos constancia de a que servicios daramos acceso, un gran error desde el punto de vista de la seguridad. 9. En el siguiente paso seleccionamos las opciones para crear reglas usando los servicios de Kerio. 10. En el Caso prctico 8 instalaremos un cliente VPN en Linux para acceder desde Internet a nuestro firewall, de modo que permitimos que este sea accesible, como muestra la Figura 7.27. Este es el ltimo paso del asistente, el cual generar las reglas bsicas correspondientes a esta informacin cuando pulsemos finalizar. 11. Abre un navegador y comprueba que puedes acceder a Internet desde tu servidor, dado que la regla correspondiente se ha generado.
1
Agregar .. ,

I.!d Asistente de reglits de red


Po!illca entrante ~ ~gina 6 de 7

SI hay servidores ejeaJtr'tdose en su LAN que: ~a qu.! estn disponbles desde: Int.eme:t,

espedque!os a continuacin. Si no, o no ~, salte esta pg,na.

I "". - IP

s",,~o

'"'"'
,

'!
l'
11
ErliIM,,,

11

<1<'''''

<Atrs

I - le>

1 , Ca,,,,,",

Fig. 7.27. Firewall con acceso desde Internet.

Caso p'rctico 7
1. En la opcin Poltica de TrFico del men de la consola
te aparece un resumen de las reglas que hay definidas en este momento en el cortafuegos, que deben ser como las que ves en la Figura 7.28 .

Configurocin de Kerio WinRoute Firewall en un servidor Windows


Configuramos ahora alguna de las funcionalidades del cortafuegos, lo que nos permitir tener una visin de cmo se trabaja con este tipo de software y de las normas bsicas para proteger el equipo.

.. -

. :;-,c_
~
~ :J "'~~H

:;J,............ ': ", = - = ::j ..... """


~ :::. ""
~~ t2 ........ ""' .

tu~ ~ ,,= '~= a= d' =" ~fi ~ 'ro==;;:==;;:=;;:;;;;;::=====:;-

,.. ~ ~~~ F ~~:~ -~=~"~~~=~"~ ~'t7:,~,;'===1 :'1 -" . . ., I .1 111_._ .....


El ...... ...

lB

__

. '_

1.1 _

1 " - '"

, ~

1lI"__ '"""'"

1Ii _ :;, .,.,

._"," !!I _ .. _

. 'lo "'''

.!l.'._ .. _ "
~

!!l ""~

"d_._
'L~ .. ~ ~ ,

~ ~--. _
,,"gH

e )$......

. _

't ""..

~~ -

1 0" __ :< I I

~::.

.,=
:;, _

.,

1 :'

Fig. 7.28. Polticas de TrFico.

2. Agregaremos nuestra LAN al cortafuegos, para as determinar qu queremos permitir o prohibir en los equipos. En el men de la izquierda seleccionamos la opcin Servidor DHCP. La configuracin depender de si nuestros equipos tienen IP esttica (que es

lo esperado), en cuyo ca~o no habilitamos el Servidor DHCP. En la pestaa Ambito agregaremos nuestra red: 192.168.1.0, como se muestra en la Figura 7.29. La direccin IP asignada al servidor es la primera: 192.168.1.1. (Contino)

- - - - - -- -- - - - - -- - - --

Seguridad de alto nive l e n redes: cortafuegos

Caso prctico 7
(Continuacin)

3. Habilitamos el reenvo DNS hacia nuestros servido res DNS, que dependern del proveedor de Internet, para lo que en la opcin DNS seleccionamos el reenvo
~ mbito de direi6"

personalizado y los agregamos como ves en la Figura

,1 .....
Pmlcrll dreain: Mascara de red:
EJ ToeJIllOde~:
1192.168. 1.3

Dem:c;;;, de rrbito

730, donde se utilizan las direcciones 80.58.61.250 y 80.58.61.254.

,Q DNS
lo'Gl
ru;...,,;,

1255.255.255,0

EJI ",r,)

I tJtina cfreajn; 1192. 168. 1.254 I I 1 - 1 @.3 , EJiJ

o H&iililr
O

de rowmo [1'15

ResoU:in [1'15

=
Den ...

1 C3 Ag"!l" "~", ",",~I~d,


TtlO de cmsUla [M @ Uorra".. Cl:lfn.ita D'4!;
SI el norrbre c:nsUtado ctIi""ocide:

"""""
I 1
I
I
!1l

Habittar Ci!CfIe para ~tanw rpida dec:cnsu

I
(", n
o:::n::ide 0Jn 13 red/rr.""=~

l'

~ Puerta de

erke predeterninada: 1192.158. 1. 1


1192. 158. 1, 1

~ Ulllizar reemi:J ~

Ser.idor de l'1CII1"b"e de dorrnio:

I
I

I
ONS

l
~ pemite'1 CB~esa>moi'1

~ Pernn~Iiz.Jr DNS de leerMe

[] 5e!vidI:r de l1CfI'b-e WlNS;

Nootte de domno:

I I

d '!
I

rlotrbre 1l'IS,1ted

~idor(e:!)

IM'- I

_.
I

O ~lItamUtarf.lS

Si IJ drero:in lP d~ l5 =Jtil

1/ 1

I
Fig. 7.29. Agregacin de /AN.

O Noemw
@ odan.,
~ em'll"

_'" i 1 """"'" 1
' ,

anoU la alfa bs 2I"oidor(e!lJ D'lS :

i~ ,!"-:!ff-.o, k81IFf'#
UIzN IUlm y ctm1I
Edti::f ...
(;

1 p.ya ~Ilt 1:11IT!!da!I ~es.

1- 11

Q,J!t;r

1
Fig. 7.30. Agregacin de DNS.

_ ...

1 1 ""'"" I

Instalacin de Kerio VPN Client en Ubuntu En las organizaciones no es habitual trabajar directamente sobre los servidores, sino conectarse a ellos en remoto. Kerio permite que lo hagamos incluso desde fuera de la red y desde distintos sistemas operativos, como Windows, Mac o Ubuntu, siempre que tengamos privilegios de admi nistrador. El cliente para Linux an est en fase beta pero su insta locin resulta muy interesante para darnos una idea de la facilidad para utilizar este servicio que se busca conseguir. Para realizar una configuracin completa se recomienda utilizar el cliente VPN de Windows, cuyo manual explica
~
8rchivo

Caso prctico 8

detalladamente los pasos que se han de realizar para es tablecer la conexin.


1. Descarga el cliente de Kerio para Ubuntu desde su web www.kerio.com, que se compone de dos paquetes: o kerio.kvc o kerio.kvc.source

Gurdalos en /root.

2. Antes de comenzar la instalacin es necesario tener ins


talados varios paquetes, e jecuta la orden de la aplgel como se muestra en la Figura 7.3l.

~ >:i

~1i@lI~
A

gditar Y'er Terminal

~olapa s

A yuda

root@jupiter:-# aptget install bzip2 moduleassistant debhelper openssl.


Fig. 7.31. Instalacin de paquetes necesarios.

(Contina)

195

Seguridad de allo nivel en redes: cortafuegos

Casa prctico 8

(Continuacin)

3. En primer lugar es necesaria construir el modula para el kernel e instalarla, can las rdenes que te aparecen marcadas en raia en la Figura 7.32. 4. Durante la instalacin del modula nas aparecer un asistente de configuracin donde debemos indicar el nombre del servidor, indicamos que detecte automticamente su huella, el usuaria y su contrasea, cama ves en las Figuras 7.33 y 7.34.
!r.I! 1
BcIwo Edh.
aa
11 1 H'~.
~.

5. Par ltima, instalamos el paquete correspondiente al demonio, cama ves en la Figura 7.35, tras la cual se iniciar automticamente. 6_ Tambin puedes iniciar, parar a reiniciar el cliente manualmente can la arden # /etc/init.d/keriokvc {start Istop Irestart}, respectivamente.

n
"r" ~a

Jerminal s.olapa.
-1

enll-

"o;-~lIIIrc c

"

. e

~~~;~~:~~d:a~~ ::q~ ::~k~ ~~ " .k",c.sIIUr(c pmlilCefl le 110 se ettillnad a.


1029B f1t.herlls y directorios i nSllllldos actua lctntc. 1 lIeu-..pa:ue tandll Iu! ri,,h c-satl'(C Ide kcrlll kvC-$our ce 6.1.0-61611 atLdeb) . Confl gu rand" kl! rlll-kvc-s ource 16.7. 0 6161 -11 ... ~ ro"ttlll!pl te r:~. ~due- asusfan l aU lo-lnH u ke rl o-kvc . sllurcc !

A ctualizad. "S ficheras i nfos de l u paq uetes 1 Ilbtcnl.mdo las fuentes de la ve rsi on de l ncleo: 2.6.277gene rlc EncabuadDs del nclfo disponibles en lusrlsrc/llnux-hnders2.6.27 7 gene r i c Crcando enlace sir::b licD ... aptget i ns tall bulld -e5sentlill Ley end a list" de paqu etn ... Hecha Creanda .bol de dcpcndcncJas l eye ndo la Jnforr.acJ n de estada . .. H echo buHdess entlal ya est en su versi n c.is r eeJenlo. I! actualizados. 11 se instalar n. 11 para eUr.llnar y 3 ~O no ac t ualizados. IH echol unpack Extrattlng the package tarball. IUH/sr C/ k ~ rio - kYC.U r .bz2. pl ease wait ... lusrlsh~ re/ ... odass/pack ages/ del ault. JII bui \d KVEflS: 2. e.27-1 gene r lc KSRC_/usrls rC/Unux KDRE ...2.6.277.14 kdlst_ i~aoe B

,1

Fig. 7.32. Instalacin del cliente.

Kerio VPN client e of your Kerio VPN server. Please enter host nam Kerio VPN server: Juplter <Aceptar> <Cancelar>

Kerio VPN client Enter a user nam e. User nam e:

tmin!"'iu;t;r.rm
<Aceptar> <Cancelar>

Fig. 7.34. Configuracin del cliente VPN de Kerio.

Fig. 7.35. Configuracin del cliente VPN de Kerio.

Fig. 7.33. Instolacin del demonio .

~ Actividades
9. Desde la consola de odministracin del servidor configurar las transferencias FTP para que los usuarias no puedan descargar archivas avi a mpg. 11. Ejecuta el cliente VPN en Windows y realiza un pequea manual en las posiblilidades que te ofrece. 12. Busca cortafuegos para servidores Linux y realiza un cuadra con sus caractersticas principales.

10. Instala en cliente VPN para Windows y realiza un manual que describa su procesa de instalacin.
6

--------------~-----------~

Seguridad de alto ni vel en redes: cortafuegos

6. Arquitecturas de red con cortafuegos


La arquitectura ms sencilla consiste en utilizar un firewall de fillrado de paquetes que permita o bloquee el paso de los paquetes mediante las listas de control de acceso, como es el caso de la arquitectura screened router (Fig. 7.3). Pero para una organiza cin con muchos equipos es muy difcil establecer las reglas de filtrado correctamente para satisfacer las necesidades de la red. Por este motivo hay arquitecturas de red que combinando hardware y software ofrecen mejores niveles de seguridad.

En cualquier firewall es recomen-

dable bloquear lodos los servicios que no se utilicen desde

el exlerior, especialmente NIS, NFS, X-Windows y TFTP.

6.1. Dual-Homed Host


La arquitectura dualhomed host se basa en el uso de equipos con dos o ms tarjetas de red. Una de estas tarjetas se conecta a la red interna que se quiere proteger y la otra a una red exter na, normalmente a Internet, como puedes ver en la Figura 7.36. Los equipos de la red interna vern al bastin a travs de una de las tarjetas de red y los equipos externos a travs de la otra, pero el trfico entre ambas redes estar aislado. Todo el trfico debe pasar a travs del firewall instalado en el bastin y si queremos permitir algn servicio (como ver pginas web) habr que usar un proxy en el baso tin, lo que es un inconveniente, ya que no todos los protocolos admiten su uso. Adems, si un ata cante se hace con el bastin, tendr acceso a la red interna de la organizacin.

Red interna

.!!!!!!!!!!!!!!!!~

Fig. 7.36. Arquitectura dualhamed has/.

6.2. Screened Host


La arquitectura screened-host combina el uso de un router con un bastin, de modo que el fillrado de paquetes se produce en primer lugar en el router. El bastin es el nico sistema al que se puede acceder desde el exterior, como puedes ver en la Figura 7.37. Cuando un equipo de la red interna quiera acceder a Internet habr dos opciones de configuracin: El router permitir la salida de algunos servicios, como la navegacin Web, a las mquinas de la red interna filtrando los paquetes por lo que sus regios de fillrado pueden ser complejas. El router prohbe todo el trfico de la red interna con Internet y si se desea acceder a algn servicio hay que hacerlo a travs de la mquina bastin, igual que en la arquitectura dual-homed hos!.
Un equipo con dos puede actuar como un router,

enrutando los paquetes que recibe a Iravs de una de ellas hacia la otra.
Algunos routers incluyen fun-

ciones bsicas de filtrado de paquetes, lo que aade seguridad a la red ya que pueden eliminar parle del trfico no deseado antes de que acte
el cor tafuegos. A estos routers se les lIoma screening rou/ers.

Se pueden combinar ambas opciones, de modo que haya servicios controlados por el router y otras a los que se acceda a travs del bastin .

Actividades"
13. Los rauters Cisca son muy utilizados en las empresas
por su fiabilidad . Busca informacin sobre los problemas de seguridad que puede presentar lOS (sistema operativa propio de estos rauters) y comparlos con los habituales en un sistema operativo.

14. Cul crees que es el principal inconveniente de usar


la segunda opcin de configuracin de la arquitectura screenedhost?

Seguridad de alto nivel en redes: cortafuegos

Internet Bastin

Recuerda

mantener

siempre

actualizado el sistema operativo del equipo bastin y no instales


nada que no sea necesario en l. Es tambin conveniente que tenga instalado un cortafuegos personal, como ZoneAlarm.

Fig. 7.37. Arquitectura screened-host.

Esta arquitectura es cada vez menas utilizada ya que si un atacante consiguiese hacerse con el contral del bastin o del rauter, de cualquiera de los dos, tendra acceso a la red
interna.

6.3. Screened subnet


El bastin se asla en una red perimtrica, la zona DMZ (De-Militarize Zone), que se sita entre la red externa y la red interna, limitada par dos routers, como ves en la Figura 7.38 que muestra un esquema tpico de una arquitectura con zona desmilitarizada. El router externo filtra la entrada de trafico desde la red externa y la salida hacia la misma, mientras que el router interno se ocupa de filtrar el trfico generado y dirigido por y hacia los equipos de la red interna.

~\\i""--------~;';~
Internet

Router externo

Zona desmilitarizada (DMZ) Red interna

Fig. 7.38 . Arquitectura screened-subnet.

Es una arquitectura ms compleja pero tambin mucho ms segura que las anteriares. Utilizndola hemos eliminado el principal problema que presentaban las dos anteriores, ya que, como recordars, cuando un atacante consegua controlar el bastin, tena acceso a los equipos de la red interna. Ahora, para llegar al bastin, tiene que superar primero las medidas de seguridad del carta fuegos externo, y aunque lo consiga y se haga con el control de esta mquina, la red interna seguir protegida.

~ Actividades
15. Razona qu trfico estar permitido o no en cada zona de la arquitectura screened-subnet (por ejemplo, especifica si el trfico desde la red externa a la zona DMZ estar permitido o prohibido).

16. Otra implementacin de la arquitectura screened-subnet consiste en usar un solo


router con tres o ms interfaces de red. Dibuja su esquema y analiza si ofrece el mismo nivel de seguridad que el esquema de la Figura 7.38. Identifica que trfico est permitido y cul restringido segn esta estructura.

Seguridad de alto nivel en redes: cortafuegos

Z Monitorizacin y 1095
Los registros de actividad de un sistema, que habitualmente se conocen como logs, permiten detectar incidentes y comportamientos no habituales. Esta informacin, especialmente cuando los logs corresponden a un servidor o un equipo de red, resulta sumamente til para localizar fallos en las configuraciones de los programas o cambios que se hayan hecho sobre dicha configuracin. Permite tambin detectar si se ha desconectado al dispositivo del sistema y controlar el uso de recursos par parte de los usuarios. Adems de proporcionan informacin sobre el rendimiento del sistema, que puede resultar til para detectar cundo un equipo est empezando a fallar.
Cuando se monitorice la red es necesario informar a los usuarios de que se est haciendo, ya que de no ser as podramos

incumplir la ley de proteccin de


datos, al registrarse informacin

confidencial, tal y como ya estudiamos en la Unidad l.

Z 1. Registro de actividad de los sistemas operativos


Los sistemas operativos incorporan lag s donde registran informacin sobre qu usuarios y en qu momento abren o cierran una sesin, qu procesos estn en ejecucin dentro del sistema, las aplicaciones que son ejecutadas por los usuarios, el uso de los recursos que hacen (impresoras, escaners, etc.) as como los posibles problemas de seguridad. En los sistemas operativos Windows se utiliza el visor de eventos para analizar los lag s del sistema, como ves en las Figuras 7.39 y 7.40, donde tienes el visor correspondiente a Windows Vista y Ubuntu 9.04 respectivamente.
t.! YIP:< ... .,......"

Puedes acceder al visor de even

tos de Windows en las herramientas administrativas incluidas

en el Panel de Control y al visor de Sucesos desde un terminal


con el comando:

$ gnome-system-lag &

;: ~ B Oill~ ~I~

~",

~,-tL :-

. . Te,,,,,,,,,,..,..,.., ...... . -,.. . ... . ..._


1.. " .. . _ ......

.". 10/C'il/C'il
duman .lo;

';

""., (~.

...,..,..~".,

_ . -~

.........".j..
m .... ; ..
sy. lo ~

T'" ,~,,1"'''''''''' '

Q""""''''''
IJ ""'..... "' ....." .. 1,,'.,.

u .. ,.I09
~o r9 0.l 0 9

.....,,,',...e...... ,.' .."""ll,-,l'_


I".,..,.~.'

(~~QI > ( ... u. m". > lo" mor ",1 , .. , "" db ", m 1 , ] 4 5'
, o ,0 ,', 5 :~ :: : :

Sop S. p Sop Sop Sop Sep S. p s.,p Sl p

ID 05 :53:311 up, ur.y. lo ga 1.5. ~2Ubu ntull : ruu rt. 1005 :53:311 U pl u r anac , pn(411<1 2): .Job cron. a .. l y 1005:53:38 uplter anac, on (4842): tJo, ,,,,,l ! " t ( jet 1005:0 1:515 uplt or kern. l: ( :2005.0502421 p. ll<lu' .' 1005:0 1: 57 j up, t . r ke rn ol: ( >()05 . S5D 1COl P'II<Iu". ~ 10 OC5:0; :42 "P' to' n",.s yn ''''-U ltl ng. : so>l uU S 1000:03 :42 Up ' U "J. I...., r1<,...n . g. r: <n f o~ 501 u nq ,\ 10 ' 00 : 03: 42 UP'!!' n", dupa tchor c ucn: n",_dlSpnd! 1000 :03: 42 j upl u rn",. d pa t che , cu cn : S<:n pl ' , . r

r~~l : ~ :::~
lO 15 n l'

Sep 10 OIl : ml : ll up.tor . ..... : cn.man.g . r (SO<'iD) : IIm JIIG1 ~p 10 0Il :OS : 1Iup.tor .... l on . ""'n.q.' (SOOO) : 1I.tRI[ tG ~ Se p 100ll :OS : 13jup.u , bonobo . act! va nc n o,ve r [g.J'UV '1

:;;-'!....n M :M :I,; "..,'t_.r. I'~__t ~!"~l "l . ntl."""""'"".!ff=i llLimPiarl

s. ~

10 0!l :0tl :14 up. u r . cp, d: ch . nt connlc t e d ,,""

(JO: ,

I L~~_~~...J &.\.. ,11


SSH lin.OI [SSl .2 K la)
u~ im .

a<lu.li, .'6n: Thu 5. p 10 07 ,OB :S7 OO g

Fig. 7.39. Visor de eventos de Vista.

Fig. 7.40. Visor de eventos de Ubuntu.

En el men de la izquierda de la Figura 739 puedes ver los registros sobre los que esta herramienta proporciona informacin: Registros de Windows: muestra informacin de errores, advertencias o informacin del sistema operativo y sus aplicaciones, as como informacin de seguridad, donde muestra los registros de xito y de fracaso de los servicios auditados, por ejemplo, si un usuario ha podido iniciar la sesin. Registros de aplicaciones y servicios, cuyo contenido puede variar ya que incluyen registros independientes para los programas que se ejecutan en el equipo, as como registros ms detallados relacionados con servicios especficos de Windows. Todos los ficheros logs de linux pueden ser editados manualmente para su consulta. En el

caso de Ubuntu se guardan en los directorias que cuelgan de /var/log.

Haciendo doble clic sobre un suceso o evento se abrir una ventana con informacin detallada que permite interpretar el tipo de error producido.

Actividades ~
17. En el visor de eventos de Windows selecciona un error, como el 5002, y averigua por qu se ha producido.
19

Seguridad de

0110

nivel en redes: cortafuegos

Puedes encontrar ms informa-

cin sobre el proyecto syslog en www.syslog.org.

De igual modo, los sistemas linux incluyen aplicaciones para poder visualizar los logs, como es la herramienta System Lag (sucesos del sistema) en Ubuntu, al que puedes acceder a travs del men Sistema, dentro del grupo Administracin. Este visor grfico incluye, entre otras funcionalidades, un calendario y utilidades de filtrado, como puedes ver en la Figura 7.40. Adems de los registros de sucesos del sistema operativo, existen programas independientes que permiten gestionarlos, como la herramienta syslog, pensada para centralizar todos los registros en un servidor y analizarlos untos.

Z2. Registros de actividad del cortafuegos


Los cortafuegos incorporan sus propios registros de actividad, especialmente tiles para analizar los bloqueos de accesos no autorizados que se hayan detectado y las actividades anormales que puedan haberse producido en el sistema.

Caso prctico 9

Registros de Kerio Winroute Firewoll


En este caso prctico vamos a localizar y analizar el registro de actividad del cortafuegos Kerio en el servidor, lo que nos permitir tener una informacin ms precisa de lo que ha ocurrido en el sistema y ha sido detectado por este. Existen distintos tipos, como puedes ver en la Figura 7.41. 3. Seleccionamos el registro denominado Web, que nos permitir analizar las pginas Web visitadas desde los equipos de la red, mostrando informacin como la que aparece en la Figura 7.42. 4. Al analizar este registro, el administrador descubre que desde la direccin IP 192.168.1.34 se ha estado accediendo a wsinos online, y que el usuario de la mquina 192.168.1.5 ha estado buscando casas rurales para sus vacaciones.

1. Accedemos a la consola de configuracin del cortafuegos siguiendo los mismos pasos que vimos en el punto 6 del Caso prctico 7, solicitar el usuario y contrasea. 2. En el men de la izquierda del cortafuegos aparece una opcin denominada registros que contiene los informes de actividad guardados por el cortafuegos.

[pi Registros

0 Iml "'" ~" ~ g


"'aI1"Ii-9

....

, ,

..
,. ,. ~

D &J ...

@)

'.

[tJ
""

l2J h'.

,~.

[ij

""'"

Fig. 7.4 1. Tipos de Registros de Kerio Winroute Firewoll .

.".... "'''' ..... ec9 ~bbv1:


W I!;; Esbdo

i i

. 'P'"'

~ ::

,,

.
, , ,.
! ,
ellI'ogarnaru!~!f~ ellI'ogarnal'Ud.!f~

)- lJ) e!ert

e conlio!
l:j Olt'f'lr:tion

,, ,

1:1 : ...
Q e<T1I'
~ Rter
[S htl;!

. E
..
:~~.

!~!~:c",,,-+,'';~

1!) rca.nty :i) ",""

i' .....
I

~~ :::

:::
00"

, .,

..

,,

,
.!l! '

""'" ,..
~ .

."~ ,

a ............. 111"'' '

Fig. 7.42. Registro Web.

lO

Seguridad de alto nivel en redes: cortafuegos

Comprueba tu a~rendizaie ~
Aplicar mecanismos de seguridad activo describiendo sus caractersticos y relacionndolos con los necesidades de uso del sistema informtico 10. Realizo una tabla terica de filtrado, como la vista en la unidad, para la red 192.168.0.0, que cumpla las siguientes condiciones: Todos los equipos de la red podrn ver pginas Web por el puerto 80. Los equipos 192.168.0.3 y 192.168.0.4 podrn enviar paquetes al puerto de FTP de la mquina 193 .55.0.2. La direccin IP 192.168.0.25 se utiliza para equipos visitantes, de modo que no se le permite enviar trfico de ningn tipo. Desde lo red 194.2.10.0 se han sufrido varios intentos de intrusin, por lo que todo el trfico tanto de entrada como de salida hacia esto red no se permite. Recuerdo que debes ordenar las reglas de modo que no se produzcan incongruencias con el enunciado (empiezo con lo ms restrictiva hasta la ms general). 11. Utilizando iptables genera las reglas del ejercicio anterior con las opciones que sean necesarias. Recuerda que en lo ayuda de Linux tienes todos los posibilidades

1. Los cortafuegos nos ofrecen muchos ventajas pero tambin presentan limitociones_ Realizo uno pequeo tabla con los ventajas del uso de los cortafuegos y sus limitaciones, puedes servirte de Internet para buscar informacin sobre estos temas. 2_ Existen uno gran cantidad de cortafuegos comerciales en lo actualidad . Busco informacin de vorios de ellos en Internet y realizo uno tabla comparando sus principales caractersticos, incluyendo dotas como su fabri-

cante, precio, etc.


3. Usando el esquema que realizaste en lo Actividad 1 de lo unidad, analizo si en lo red local de tu clase hoy establecidos distintos reas de seguridad e identifco los. En coso de que lo red no tuviese cortafuegos en tu esquema, en qu equipol s sera ms adecuado instalarlo? es necesario que se dispongo de uno zona desmilitarizado o DMZ? Asegurar lo privacidad de lo informacin transmitido en redes informticos describiendo vulnerabilidades e instalando software especfico 4_ Abre el puerto TCP 7225 en el cortafuegos de Windows. 5_ Repite lo operacin con el puerto UDP 4661. 6_ El registro de seguridad del firewall de Windows, tanto XP como Vista, est desactivado por defecto. Actvala poro que puedan registrarse los intentos de conexin (paquetes recibidos y enviados) e interpreto el contenido que aparece tras recibir un ping desde el equipo de un compaero. 7. Realizo la instalacin del cortafuegos personal ZoneAlorm en tu equipo (no olvides desactivar cualquier otro cortafuegos). Tras la instalacin aparecern globos de informacin poro que permitas o deniegues la conexin de los programas instaladas en tu equipo, toma la decisin que consideres adecuada y justifcalo.

(man iptables).
12_ En funcin de las reglas de filtrado generadas en la Actividad 10, crees que llegar a tu equipo un paquete' proveniente de la direccin IP 194.2.1O.13? Se podrn enviar paquetes a la direccin IP 194.12.10.13 desde la direccin IP 192.168.0.3? 13_ Configura Kerio Winroute Firewoll para que el equipo 192.168.1.5 de tu red est restringido. En caso de que esta direccin na corresponda con ninguno de los equipos de la red local de tu clase utiliza la de un equipo de la red. 14. Prohbe el acceso a la pagina Web www_iuegos. com, u otra similar, en Kerio Winroute Firewall, poro cualquier usuario. Nota: si estas usando la versin de evaluacin, que no incluye el filtro Web, no podrs comprobarlo en el navegador pero si vers la regla configurada. Identificar lo necesidad de inventariar y controlar los servicios de red 15_ Kerio Winroute Firewoll permite limitor el ancho de banda para la redes P2P. Configura el lmite de descarga en 100 Kb/s (download) y el de carga en 25 Kb/ s (upload). 16_ Analiza e interpreta la informacin del registro http generado por Kerio Winroute Firewall en el servidor.

8_ Autoriza un programo de los instalados en tu equipo, como Office, para que pueda acceder a Internet. 9_ Realiza un Telnet al equipo de tu compaero de 01 lado. Puedes comunicarte con su ordenador? En caso negativa aade su direccin IP o la zona de confianza de ZoneAlarm, qu ocurre 01 ejecutor Telnet?

Seguridad de 0110 nivel en redes: cortaFuegos

~~ _~ . ;!.~.~.~ .~ _ ~.~ . ~~J--c


'"

______
.....

c_ o_ rtofUegOS _ _ _ Proxy

~~

_.. .S; .e2 ;:;g ;n ;. . s; u:;, i; m;,]p~l.e; ;:; m: ;. .e: n:;:ta .: .c: j:;;n.:.-~.,,--(

Cortafuegos software

Cortafuegos hordware

......._

Segn su ubicacin ....;:;.;

--(

Cortafuegos personales

Cortafuegos de subredes

Actan a nivel de paquetes de datos

Actan a nivel de circuitos Segn su tecnologa Actan como pasarelas de aplicacin

Transparentes

De autoproteccin del cortafuegos

Salida Entrado

router

Dual-Homed Host

--......;;Screened Hosl
Screened Subnet

. -..._-"

Qj H'il n dCOlCd

Seguridad de alto nivel en redes: proxy

En esta unidad aprenderemos a:


o

Identificar la necesidad de inventariar y controlar los servicios de red.

o Instalar un proxy. o Configurar un proxy aiustndose o unas necesidades dadas.

y estudiaremos:
o

Caractersticas y funcionamiento de las Proxy. Instalacin y configuracin de un proxy.

o Filtrar acceso y trfico en el proxy. o Mtodos de autenticacin en un proxy. o Monitorizacin del proxy.

Seguridad de a llo nivel en redes: proxy

1. Introduccin
Internet

En la unidad anterior hemos estudiada que la funcin principal de un cortafuegos es aadir seguridad a la empresa cuando esta hace de proveedora de servicios, es decir, controla y regula los accesos a la red interna desde el exterior. El uso principal del proxy, en cambio, es controlar el acceso que desde la red interna se hace de Internet: aade seguridad a la empresa cuando esta hace de consumidora de servicios, como por eiemplo, cuando desde dentra de la red de la empresa se lee el correo electrnico de Gmail o se consultan pginas Web.

Red interna

Fig. 8.1 . Esquema de red con Proxy.

Aunque como ya hemos dicho un proxy es un concepto ms general, habitualmente y sobre todo desde el punto de vista de la seguridad hace de elemento de la red por el que pasa todo el trfico entre la red interna y la externa (Internet), encargndose de realizar las peticiones externas en nombre de los equipos de la red interna y descartando aquellas peticiones que na cumplen las reglas establecidas por el administrador.

~J

Un proxy desde un punto de vista general es un equipo que hace de intermediario, es decir; se encarga de realizar acciones en representacin de otros. Dicho 'en trminos informticos, es un equipo de la red que se encarga de recibir peticiones de recursos de red de los equipos clientes y gestionarlas por ellas, respondindoles a sus peticiones cuando hayan terminado dicha gestin.

~ Actividades
l. Qu es la navegacin annima par Internet? Qu ventaias tiene?

q
\

Caso prctico 1

Funcionalidad del Praxy En este caso prctica vamos a comprobar la funcionalidad de un Praxy como herramienta de seguridad, pera tambin cama herramienta que utilizan los hackers.

,
yl
!5t bet,
Add lo : I blinklisl I del

Existen numerosos servicios de praxys gratuitos en Internet que te permiten navegar sin deiar tu direccin IP registrada.

... ,\ ...

1. Para comprobarlo vamos a acceder a www.myip.es. que nos dir cual es nuestra direccin IP. Cama puedes comprobar, todos los que estamos en la misma clase navegamos desde la misma direccin IP pblica, e incluso nos dice cul es nuestra localizacin aproximada .

@ CUAL es mi ip?
193.200.150.82 "'-"<l
Mi tlircccjoll jp : IP Pas: ~ Seychelles IP estado : Beau V all an IP ciudad: Vict oria IP latitud: -4 .6167 IP longitud : 55.4500 Provee dor: Anonymous SA Organizaci n: Anonymous SA C,bl./DSL Netspeed:

2. Ahara vamos a acceder a esta pgina, pera a travs de un praxy web gratuito.
Entra en ww w.anonymouse.org, selecciona el idioma ingls y escribe en esta pgina la direccin www.myip.es. Vers que la direccin IP que nos est poniendo es diferente (ahora parece que nos indica que pertenece a las Islas Seychelles) . Esto es porque la peticin a myip.es no la estamos realizando nosotros directamente, sino que la est realizando anonymouse.org y despus nos est mandando el resultado. Hay expertas que tratarn de localizar un praxy como el tuyo, que por despiste est abierto y les permita acceder a otros lugares de Internet con tu direccin IP (en lugar de la suya).

Fig. 8.2. Mylp con Proxy.

\.

Seguridad de 0110 nivel en redes: proxy

2. Caractersticas del proxy


Permite definir los permisos que tienen los usuarios de la red interna sobre los servicias, dominios y direcciones IP externas. Por ejemplo, permite definir que el usuario Fernando tiene acceso a Gmail, pera Macarena no. Todas los usuarios de la red interna comparten una nica direccin IP (a un conjunta de direcciones), de forma que desde el exterior (Internet) na se puede diferenciar a unas de otros. Puesta que toda el trfico que circula de la red interna hacia Internet y viceversa pasa por el proxy, se puede auditar el usa que se hace de Internel. Podemos por ejemplo ver qu pginas se consultan can mayar frecuencia, qu usuarias hacen mayar consumo de ancha de banda, etc. Permite almacenar las pginas recientemente consultadas en una cach para aumentar el rendimiento de la red. Es decir, cuando se consulta una pgina se almacena en la cach del praxy para que si posteriormente se vuelve a consultar se pueda servir ms rpidamente. Caso p'rctico 2 Utilizar el complemento SwitchProxy Configurar el navegador Firefox para que, utilizando el complementa SwitchPraxy, modifique el proxy a travs del que navegamos cada cierto tiempo. Can esta conseguiremos ser un paca ms invisibles en Internet y comprobaremos cama la segunda caracterstica de las praxys (todas las usuarias de la red interna comparten una nica direccin IP) puede ser utilizada para aumentar la seguridad a cama herramienta hacker. 1. Descarga el complemento SwitchProxy de la pgina de complementos para Firefox (hHps://oddons.mozillo.org/es-ES/firefox/) e instlalo. 2. Busca en Internet una lista de proxys gratuitos. Puedes encontrar una en http:// www.proxys.com.or/ a en hHp://www.webproxy.com.es. 3. Copia en un fichero de texto diez proxys con su direccin IP (o nombre de dominio) y su puerto. Tienes que poner un proxy (direccin a dominio:puerto y sin espacios) por lnea. 4. En la nueva barra de herramientas (Switch Proxy Toolbar) pulsa sobre el botn Add. Selecciona la opcin Annjma (Ananimous) y pulsa sobre el botn Continuar (Next). 5. Ponemos una etiqueta al proxy (Proxy label), por ejemplo invisible 1, e indicamos la ruta del fichera de texto (en File) que acabamos de crear; despus pulsamos sobre el botn Cargar (Load). 6. Tambin podemos especificar cada cunta tiempo queremos que cambie el praxy que se est utilizando (Change Proxy Every) indicando un valor en segundos. Pondremos 60 segundos.

Sus caractersticas ms importantes san:

Si utilizas un praxy y

una pgina que ya tiene almacenada en su cach, te devolver esa que l conserva, por lo que puede que no sea la ltima versin de dicha pgina. Esto se

puede solucionar actualizando


la pgina en el navegador (pulsando F5).

7. Salvamos los cambios. De nuevo en el navegador, seleccionamos la lista de proxys


que acabamos de crear (invisible 1) Y pulsamos sobre el botn Aplicar (Apply). Comprueba de nuevo accediendo a www.myip.es que la localizacin que est detectando es diferente a la real y adems est cambiando cada 60 segundas, lo que hace que sean ms difciles de seguir tus pasos en Internel.

Esto tiene como principales inconvenientes que puede ser bastante lento (por ser un servicio gratuito y tener muchas clientes) y que puede que veas las pginas que visites tal cual son (par ejemplo, las vers sin imgenes) .

Ya ;~","od

----------------------~------------------------

d ,. "'."" cod m.,

3. Funcionamiento del proxy


Los equipos que pertenecen a una red que tiene instalada un proxy, cuando se comunican con el exterior a travs de uno de los protocolos activos en el proxy, en realidad estn intercambiando paquetes con el proxy, y es el proxy el que intercambia paquetes con los equipos del exterior, de forma que cuando este recibe respuesta, a su vez contesta a los equipos internos.

It:JlI
Red interna

pe Fernando

Servidor www.eacnur.org

~~====d ---@I ====ProXy <J b ======~ ~====~;


=I@= I=====-Fig. 8.3. Esquema IP can Praxy Sitour.

~ Actividades
2. A qu direccin IP respondera el servidor web

www.eACNUR.com. a la
direccin de PCFernando o a la direccin del proxy?

Siguiendo los pasos de la Figura 8.3 que representa el esquema IP de SiTour, el equipo PCFernando solicita la pgina www.eACNUR.com. Esta solicitud llega al proxy, y este tras comprobar que cumple las reglas establecidas, enva la peticin a www.eACNUR. com en su nombre, es decir, como si fuera l mismo el que estuviera interesado en esta informacin. Adems anota qu equipo le solicit la pgina para despus poderle contestar. Cuando la informacin es enviada por www.eACNUR.com al proxy, este contesta al PCFernando con la informacin solicitada. Hay que tener en cuenta que www.eACNUR.com en ningn momento llega a conversar con PCFernando, sino que siempre lo har a travs del proxy. Para comprender un poco ms en detalle el funcionamiento de una red cuando utilizamos un proxy vamos a centrarnos en una peticin sencilla de un equipo de la red a google.com. Cuando un usuario solicita una pgina Web, como por ejemplo en la Figura 8.4 www. google.com, construye un paquete en el que el origen es su direccin IP y el puerto es uno aleatorio y libre asignado por el sistema operativo (por ejemplo, IP 192.168.1.72 Y puerto 5230). Como destino puesto que est utilizando un proxy pone la direccin y el puerto del proxy 182.168.1.1 y puerto 80.

Internet Red local

192.168.1.1

80.38.1 .106

192.168.1.72
Solicitud Origen Destino Fig. 8.4. Esquema proxy solicitud.
192.168.1.72 Puerto: 5230 192.168.1.1 Puerto: 80

Origen Destino

80.38.1.106

Puerto: 3000
209.85.229.105 Puerto: 80

www.google.com

Seguridad de alta nivel en redes: proxy

Cuando la solicitud llega al proxy, este genero un paquete como si fuero l mismo el que realiza la consulta, es decir, genera su propio puerto cliente aleatorio y pone su propia IP como origen (IP 80.38.1.106 Y puerto 3000). Con respecto al destino, pone la IP que corresponde con la peticin del cliente, es decir, wwwogoogleocom, 209.85.224.105, y el puerto correspondiente al servicio Web 80. De esta manera cuando la solicitud llega a Gaogle, en el paquete sala hay referencias al proxy, es decir, a la direccin IP 80.38.1.106. Cuando Gaogle responde a la solicitud (Fig. 8.5), responde a la direccin y el puerto que recibi como origen en la solicitud: la IP 80.38.1.106 y puerto 3000. Cuando llega la respuesta al proxy, este tiene que modificar de nuevo la cabecera con el destino que le corresponda y se pone l mismo como origen.
Internet

192.168.1.1

80.38.1.106

209.85p9.105 92.168.1.72 ! ~ ~~~~~ ------~~~~~~~~~~ .es Respuesta

~I

Origen Destino

192.168.1.1 Puerto: 80 192.168.1.72

Origen
Destino

209.85.229.105
Puerto:BO

Puerto: 5230

80.38.1.106 Puerto: 3000

www.google.com

Fig. 8.5. Esquema proxy respuesta.

Pero, cmo sabe qu destino le corresponde?


. 1

192.168.1.72:5230 192.168.1.50:6350

80.38.1.106:3000 80.38.1.106:3001

Tabla 8. l. Tabla de estado del proxy.

La Tabla 8.1 es una tabla de estado que crea el proxy para saber a qu equipo de la red interna le corresponde cada paquete que le llega de la red externa. Por ejemplo el paquete de respuesta que llega de Google al puerto 3000 del interfaz 80.38.1.106 del proxy, tendr que envirselo al equipo 192.168.1.72, porque as est anotado en la primera fila de la tabla de estado del proxy. Esta tabla la va construyendo el proxy segn va recibiendo solicitudes (es decir, cuando los equipos de la red interna acceden a servicios de la red externa.)

Actividades ~
30 Teniendo en cuenta la configuracin fsica de tu aula de prcticas, si tuvieras
que colocar un proxy para controlar el acceso a internet desde tu aula, dnde lo haras? Necesitaras algn material adicional?

40 Tiene la compaa Microsoft algn proxy? Cmo se llama? Cules son los
requisitos del sistema para poder instalarlo?

50 Haz dos grficos similares a los de las Figuras 8.4 y 8.5 representando la forma
de acceder a Internet en el instituto desde el ordenador de clase. Supn que en el instituto tenis un proxy.

60 Continuando con la actividad anterior desarrolla la tabla de estado del proxy


que le correspondera.

Seguridad de alto nivel en redes: proxy

-------------------------------

4. WinGate
WinGate es un software de la compaa QBIK bastante conocido que hace las fun ciones de proxy en una red sobre un sistema operativo Windows. La versin utilizada durante el desarrollo de este libro ha sido la 6.6.

4.1. Instalacin
Un aspecto importante de la instalacin de un nuevo proxy en la red es su localizacin fsico. Lo ideal es que el proxy est situado fsicamente en el nico punto de unin de la red interna y la externa (Fig. 8.3), de esta forma los equipos conectados a la red interna no podrn salir al exterior sin pasar por el proxy. Para comenzar con la instalacin primero descrgote el programa de la pgina

http://

www.wingate.com/(despus lo activaremos para tener 30 das de evaluacin). Descr


gate tambin la documentacin del programa y la documentacin de instalacin.

Caso prctico 3

Preparacin de la red de close para la instalacin de un proxy


Vamos a reproducir esta situacin en el aula utilizando un equipo con dos tarjetas de red (o una mquina virtual con dos interfaces de red), un cable cruzado y otro equipo (Fig. 8.6).

1. El equipo que tiene dos tarjetas de


red lo vamos a utilizar como servidor proxy y el otro equipo como cliente. Una de las tarjetas de red del proxy la conectamos a la red de clase.

Internet

2. La otra tarjeta de red la conectamos


utilizando el cable de red cruzado al cliente.

Equipo que hace de Praxy Configuracin habitual

3. El interfaz del proxy que est conec


todo a la red de clase lo montendre mas con la configuracin IP habitual de clase. Ponemos el nombre Red2 Solida Interne! para identificarlo ms fcilmente.

O
Equipo que hace de cliente

IP: 192.168.50.1 Mscara: 255.255.255.0


Fig. 8.6. Esquema clase con proxy.

4. Para la otra red, que estar formada


por un interfaz del proxy y el inter faz del cliente, elegiremos la red 192.168.50.0/24, por lo que pondre mas al proxy la IP 192.168.50.1 Y la mscara 255.255.255.0 (sin puerta de enlace y sin DNS). Al igual que antes cambiamos el nombre de este interfaz, lo llamaremos Red1 - Red Local". La figura 8.7 muestra el resul todo de ejecutar el comando ipeon fig despus de la configuracin del proxy.

5. Para la interfaz del cliente pondremos


que se configure por DHCP.
Fig. 8.7. Configuracin IP proxy.

Seguridad de alto nivel en redes: proxy

Iniciamos lo instalacin de WinGate en el equipo que har de proxy (debes tener configurados los interfaces antes como se ha visto en el Caso prctico 3), y lo primero que nos preguntar es si queremos instalar el servidor o el cliente; seleccionamos instalar WinGote Server. Nos informar del lugar del disco donde se instalar (si es necesario modificarlo en tu sistema, indica en este paso una carpeta alternativa para la instalacin). Tambin nos informa de la posibilidad de manejar los usuarios ya creados en la arquitectura NT. No seleccionamos esta opcin porque crearemos nuestros propios usuarios. Ms adelante nos preguntar si queremos instalar ENS (Fig. 8.8). Lo instalaremos, porque este complemento nos permitir utilizar NAT. Seleccionaremos tambin la opcin que aparece ms abajo como Protect Server on bootup ... , porque har el arranque de WinGate ms seguro. Activaremos tambin la auto-actualizacin para mantener el proxy actualizado con los ltimos parches de seguridad. En la siguiente pantalla nos pide que activemos el programa (Fig. 8.9). Es muy importante que no pases de esta pantalla sin activarlo, as que pulsa sobre el botn Activole y sigue los pasos.

ENS InstaJlaJion

Fig. 8.8. Instalacin ENS.

;!) - - - ....... . _ . _ _ . .... ,,_ ..

............. _ ....... ............... ..... . , . . . __ . . . _ -,g_ . . . - .. . ... ....... -'"Actil'aJirrn Requircd


.....

"

::w -t. . ..
~.-

..._

"' _

... . ... JII ... "'"


,-- ~

...... ....... _..-.

..., _ - .. ,.. .............. '. '''''''''d.... _ ...

101._ ,. -'... _ .. _ _ ... ...

4.2. Configuracin inicial


Lo primero que tenemos que hacer despus de la instalacin (despus de reiniciar) es comprobar que la instalacin se ha hecha carrectamente. WinGate genera un nuevo servicia llamada QBIK WinGate Engine que llevar a cabo toda la funcionalidad de WinGate. Habr que comprobar que el servicia est activa y que se inicia de forma automtica. Para controlar este servicia podemos utilizar la consola de servicios de Windows services.msc (en esta consola la encontraremos cama QBIK WinGate Engine) a un icono que nos aparece en el rea de notificacin llamada WinGate engine ~ , que nos permite si pulsamos el botn derecha iniciar el servicio (slorl engine) o parar el servicio (slop

FIg. 89 .. .. A c t vac/on,

engine).
Despus iniciaremos GateKeeper, que es el centro de gestin de nuestro servidor proxy (Inicio> Todos los programas> WinGale > GoleKeeper). El usuario que nos crea por defecto para poder conectarnos al servidor recin instalado es administrado,,>, sin contraseo. Por tonto, dejamos los datos que nos aparecen por defecto (tal y como ves en la Fig. 8.10) Y pulsamos sobre el botn OK. Nos pedir que modifiquemos lo contrasea por seguridad.
Para evitar problemas a la hora de conectarse los clientes a los servicios de nuestro proxy, vamos a desactivar el cortafue-

,.. '" """" ....; ~ IGo~ ~~~ ~ "' " '.


~.JVe

" "(JQIBJ
I':J ~ I)S"

gos de Windows del equipo que hoce de servidor proxy, aunque uno vez probado y funcionando
deberamos activarlo de nuevo e incluir excepciones para los se rvicios y puertos que finalmente dejemos activos.

Control

:..J

AcaIunl deld3: U:emame ]Acmni:ttalor


PII;:woId

U: e ClIlenl \ll1I1dow11ogll

Wr-.Gale~ion

,..
r

5.. '<1"

1 """"

p I lag ro lo LO!2lnucl'li1e
U;e lhele del!il; nelllline lo Iogil d.i~1y

roo-

GateKeeper permite lo administracin remota del proxy, de

c.... I

FotHe!p, pr ~sF I

forma que teniendo GateKeeper en un equipo de lo red podemos


administrar de
Al

forma

remota

varios proxy WinGote diferentes.

Fig. 8. 10. Conectar GateKeeper con nuestra instalacin de WinGate,

Seguridad de alto nivel en redes: proxy

Para terminar can la configuracin de nuestro proxy, debemos indicar a WinGate qu interfaz tenemos conectada o la red local y qu interfaz tenemos conectada al exterior. Para ello vamos a la pestaa redes (networks), Figura 8.11, pulsamos con botn derecho sobre el interfaz conectado 01 cliente (interfaz de red local) y seleccionamos Propieda-

des.
JD GeteKeeper - connected lo WlnGate on localhost
'1.

s...
GOP Setvice

misSe/vice
Remole Control SeMce
POP3 Serve. SMTP Setver

80B 110

25

143

lAN or tiQh-Speed Internet: lAN or HiQh-Speed lnternet lAN or Hioh-Speed Internet rAN nr KiI1h_<;n",.ri Intl\rnl'.t

En ab!~d

En abl~d

EnabJed N,.tw ..... k r.v.1ooi I

Fig. 8.11. Configuracin de Interfaces en WinGate. Dentro de las propiedades seleccionamos la opcin Red interna protegida (internal protected network), que le indica o W inGate que sta es la red interna (Fig. 8.12). Paro el otro interfaz seleccionamos la opcin Red externo no seguro (external untrusted network), coma vemos en la Figura 8.13.
-1- Redl - Red Locel Status

..L Red2 - SaMa Inte rnet Status

_.

,-.
1.0Gbp:
W'hallype 01 nelwork does lhi, ad apt er comecl lo? WMllype of nelwolk doe: this adaptel CO!VloeCl to?

Enllbled

1.0Gbps

r r. r r

Auto delect
AA intema! prolecled network AA exlelnel oolrwted network (e.!jI. !he Internet]

A secu:ed eKlernal network {OM2]

r r r. r

Auto detect
AA intelnel prol ected nelwork AA eKlelnal U"IlMled network (e.!jI. the Internet) A :ecured eKletnal nelwork IDMZl

Sen! -

~-

Received 1071

Sen!. -

Pocket::

2107

Packel:;

1831

~I

Received 1631

Por defecto y segn lo instalacin que hemos realizado de WinGate, el proxy est gestionando las peticiones a tra-

Ii

oK

1 I

c..oc.l

OK

c..oc.l

Fig. 8.12. Propiedades Interfaz local.

Fig. 8.13. Propiedades Interfaz externo.

vs de NAT (Network Address


Translation o traduccin de

direcciones de red) y no del servicio de proxy. Veremos esto con

Para comprobar que todo lo que hemos hecho funciona correctamente, arrancamos el cliente que tenamos configurado con DHCP y comprobamos que recibe uno direccin IP de forma automtica y correcta. Ya podemos comenzar a navegar con el cliente y comprobar con GateKeeper en la pestaa Actividad que el equipo cliente aparece (Fig. 8.14).

ms detalle en el Apartado 4.4.

Seguridad de alto nivel en redes: proxy

GateKeeper - connected to WinGate 00 localhost ,~

Actividades

t'

Pluglns

7. Qu caractersticas de

~ Winsock Redirector S... ~ GDP Service ~ DNS Service ~ Remole Conlrol Service ~ POP3 Server ~ SMTP Server
~ IMAP4 SelVe,

- (Administrator - Authenticated WinGate login: Register for everything t-JAT: NAT: NAT: NAT: NAT: NAT: NAT: TCP Connectlon to TCP Connection to TCP Connection to TCP Connection to TCP Connection to TCP Connection to TCP Connection to

las que hemos expuesto en el Apartado 1 cumple el praxy tal y como lo tenemos ahora?

f9J Email

209.85.227.113:80 74.125.43.101 :80 74.125.43.101 :60 74.125.43.102:80 74.125.43.102:80 74.125.43.102:80 74.125.43.102:60

la Caching /iIiI Schedule,


@lDiale,
~ Extended NetwOIking

368
53

808
110

25
143

For Help, press Fl

Fig. 8.14. Comprobacin actividad WinGale.

Extended Nelworking

4.3. Servicios de WinGate


Cuando instalamos WinGate, no solo estamos instalando un proxy, estamos instalando un conjunto de servicios que habitualmente son utilizados en el equipo que hace de proxy. WinGate divide los servicios en dos tipos: de usuario y de sistema. Los servicios de los usuarios son los servicios propios de proxy que WinGate ofrece a los usuarios. Los ms importantes son Proxy Web y Proxy FTP IFig. 8.14). Los servicios del sistema son los servicios que utiliza el sistema para funcionar IFig. 8.15). Los ms importantes son: Servicio DHCP: permite que los equipos que estn en la misma red IP reciban una configuracin IP apropiada para la red de forma automtica. Servicio DNS: el proxy hace de servidor DNS para los equipos de la red, es decir, cuando los clientes de la red soliciten una resolucin de nombre de dominio, la consultarn a este servicio. Extended Networking: este es el servicio que durante la instalacin nos consult si la instalaba ENS IFig. 8.8). Este servicio incluye NAT y cortafuegos. Caching: es un servicio de WinGate que permite almacenar algunas de los contenidas solicitados al proxy ltpicamente pginas Web) en una cach Icach de disco), de forma que si posteriormente otro usuario lo solicitara tardara menos en servirla.
FTPP/oxyse/ver

Fig. 8. 15 . Servicios del sistema.

21
8010 8110 554 1080

<@ logfile SeNer <i!> POP3 Proxy server <t!> RTSP Slreaming Media Proxy <@ SOCKS Proxy server <@ Telnet Proxy server
.;....-Start Stop New service Clone Service Delete

23 7000
8000

Parada y arranque de los servicios

~opertles

Para parar un servicio de WinGate, tan solo tenemos que pulsar botn derecho sobre el servicio que queremos parar y seleccionar la opcin Stop IFig. 8.16). Para arrancar un servicio igual pero seleccionando la opcin Staft.

Fig. 8.16. Servicios de usuario.

Seguridad de 0110 nivel en redes: proxy

de los servIcIos que

Configuracin de los servicios

Cuando seleccionamos lo opcin propiedades o hocemos doble clic sobre el nombre de un servicio, se nos obre lo ventano de configuracin de dicho servicio. Algunos propiedades que se pueden configurar paro lo mayor parte de los servicios son: General: incluye los opciones para el arranque de dicho servicia. Los opciones ms utilizados son Manual start / stop para arrancar y parar manualmente cuando sea necesaria y Service will start automatically para que el servicio arranque de forma automtica siempre. Enlaces (Bindings): indica a WinGate en qu interfaces debe ofrecer el servicia. Por ejemplo, es lgico que el servicio DHCP slo se ofrezca en el interfaz que conecta a la red interna. Se configura una de las siguientes opciones: Any internal adapter para que salo se enlace con interfaces internas, Any external adapter para enlazar con interfaces externos, a Any adapter para enlazar con cualquier interfaz. Si recuerdas, ya indicamos a WinGate qu interfaces son internos y cules externos en la instalacin Ifigs. 8.12 y 8.13). Polticas (policies): indico o WinGate qu usuarios pueden acceder, parar, arrancar o modificar dicho servicia. Si seleccionamos el permiso de acceso en el desplegable permiso (right), veremos en el cuadro inferior los usuarios o grupas que tienen dicho permiso. Cuando na hay especificados permisos, aplicarn las polticos por defecto que se hayan especificada en la pestaa de usuarios (en system policies). Registro (Iogging): Indica los eventos de este servicio que se registrarn en las ficheras de registro (lag) de WinGate.

instalado por defecto nos simplificado la configuraclan de los clientes, como son

DHCP y DNS.

4.4. Tipos de proxy


Un praxy puede manejar las peticiones a travs de diferentes servicios y diferentes mtodos. Segn estos combinaciones se forman los diferentes tipos de proxy: Proxy: es la idea ms tradicional de un proxy. Los usuarios tienen configurados sus programas (por ejemplo, el navegador para que hagan sus peticiones a un puerto determinado del proxy). Para poder navegar los usuarios tendrn que configurar su navegador con lo direccin IP del praxy y su puerta. En lo Figura 8.17, el usuaria vir-Iaptop est configurado para trabajar can proxy.

l."" http://www.frikipedia.es/friki/ASDF @fernando C~ NAT: TCP Connection to 208.43.202.7:80 :--C~ NAT: TCP Connection to 174.36.30.66:'143 ;"" C~ NAT: TCP Connection to 174.36.30.66:443

.'

Fig. 8. 17. Clienles NAT y proxy.

~ Actividades
8. San las servicios DHCP y DNS necesarios para el funcionamiento del proxy? Desactvalas y hoz que el cliente sigo navegando par Internet. 9. Can qu interfaces estn enlazados los servicios ENS (el que incluye NAT) y WWWproxy?

JO. Qu eventos se estn incorporando al servicio de lag de EN S?


11. Qu usuarios pueden acceder WWWproxy?
212

01

servicio ENS? Cules pueden acceder al

Seguri dad de alto nivel en redes : proxy

Caso "rctico 4 Utilizar un proxy en el cliente


Configurar el navegador Firefox para utilizar un proxy en el cliente y comprobar en la ficha de actividad de GateKeeper que WinGate lo gestiona a travs del servicio proxy y no a travs de NAT.

1. Si Firefox est instalado sobre Windows XP pulsamos en Herramientas> Opciones, sobre Linux Edicin> Preferencias. Ambos caminos nos llevan a la misma ventana.

lO]
Prnq,1.oI

Pes!~

Ci Ccnl."" "'iJ

PrCQrotM<

ro

@'
Pr ivl>tid~

Se9""id~

a ,l ~J
"v"""~

con' ........... crie'pat.eI acc= a lrtemet -

- - ----,

o Sin ...cx::

Gene...,1~ I A,!UllkzIl< ! CJ,1tOO

r'~'"

o con'..... acin d.! "'''''Y p.n ... ta ,O<! o riiopacin monuol del ...oxy
AWld~\""tM

~on'q..1I<

trno F.efc~ . e cone<t~ ~ Inte",<t

I",,~ .... _ I I

Pro.yt!HP:

I ]92 ,169. 50.1

~ ~,!o:

eo l$~

Ardw odc de medo.., cene. a.

Pro.

ii-:

UsMIl..:.a
c..... ..sn,

501 : 1 Mlda"'l'aoo pat .IH.m;

o A........""'<l un '1\.1:>.""",. gu"'Mr d.to. pato"", , n , ......a.


L os siuo:nte. Pol:l' .. eb llenen dOltos ~d.w. pat. el uso en moda..,

1 E~,ep:lne< _ 1

I l~...h... 1

rr,",, ~I': ;=y~, ~5OQ!

~ Pu:tt~; ~ 50,] I Puettll: ~ Ili.l' ~I I Punto. ~ 111 l' 501 I f\Jt1t~ ~

o u .... el rrismopro!y par. lodo

1'7:\

IL=-!
I Ac~Of l lc"",.w I ~

l'

/:!O"",,. ... ory p.... ,

o LRLw.L!a cooh:pacin

~1b:~ ... . ~ .~m~.".~".~~==:J E )emc*l'


.~.OIg, .~,ru

5OQ.5""

~.sr.;

~OIJI6tic. delPlOXY'

Fig. 8.18. Configurocin Red en Firefox.

Fig. 8. 19. ConFiguracin proxy FireFox.

2. Pulsamos en el men superiar sobre Avanzado y seleccionamos la pestaa Red (Fig. 8.18).

5. Reiniciamos el navegador para que asuma la configuracin y accedemos a alguna pgina para poder comprobar su actividad.

3. Dentro del apartado de conexin pulsamos sobre el botn Configuracin (Fig 8.18) .
4. Seleccionamos la opcin Configuracin manual del proxy y escribimos la direccin IP del proxy
(192.168.50.1) y el puerto del proxy (por defecto en WinGate 80). Adems seleccionamos la opcin Usar el misma proxy para toda (Fig. 8.19).

6. Acced~mos a GateKeeper en el servidor proxy y comprobamos que la actividad del cliente ahora se refleja con otro icono. Ahara el proxy est gestionando las peticiones a travs del servicio de proxy y no de NAT (Fig 8.17, equipo vir-Laptop).

Proxy NAT: es una combinacin de NAT y proxy. Es un programa que recibe peticiones en cualquier puerto y utilizando la traduccin de direcciones NAT las enva a Internet. Este es el mtodo que en nuestra instalacin por defecto utiliza WinGate. Son muy utilizados cuando no se quiere controlar el acceso a los contenidos, sino solo registrar la actividad. El usuario no tiene que tener configurado el navegador. En la Figura 8.18 el usuario Fernando est haciendo peticiones a travs de NAT. Proxy transparente: Es un proxy en el que todas las peticiones que se envan con un puerto destino son interceptadas por el proxy (aunque no fueran dirigidas a l) y tramitadas como si el cliente le hubiera hecho la peticin al propio proxy. No es necesario que el usuario configure su navegador y adems tiene toda la funcionalidad de un proxy (utilizaremos este tipo de configuracin ms adelante).

Actividades ~
12. Configura el navegador Internet Explorer para navegar a travs de nuestro proxy (si no tienes Internet Explorer utiliza cualquiera que no sea Firefox).

13. Configura el navegador Firefox para no utilizar proxy.


Comprueba en el servidor que ests manteniendo conexiones a travs de NAT y a travs de WWW proxy.
213

l____

Seguridad de 0110 nivel en redes: praxy

4.5. Creacin de usuarios


WinGate reconoce tres niveles de usuario diFerente:

Unknawn (desconocidos): son usuarios sobre los que WinGate no tiene ningn conocimiento.

Assumed (asumidos) : WinGate ha asumido lo identidad del usuorio o portir de su


direccin IP o el nombre del equipo. Como sobes, estos son dotas que Fcilmente se pueden Falsear, por lo que WinGate no garantizo que lo identidad de este usuario
sea correcta.

Authenticoted (autenticados): WinGate puede asegurar lo identidad del usuorio porque ha posado un proceso de autenticacin.

En los Figuras 8.21 , 8.22 Y 8.23 podemos ver como muestro grFicamente WinGate o los usuarios de codo uno de estos niveles.
Gllle Ilper cannecle lo n ale on DCi! o

File V_ OptIons Hdp

~.~~_ ~","-_ _ _ _ _ _ _ _ _-,

Vir-laptop

Fig. 8.21. Usuario Unknown .

Ei

ID Groups
"

n Adrnl'listrator n Fernando n Gues t n VirQ'nlll


Databllse opU on s A5sumcd Users Systcm Po\ic.ies MuItI'U5cr M"ch:nes

USers

C) CEent ~ef
~ JUPITER(
L :J WinGlI

~A

~ Vir-Laptop - (virginia - Assumed [Assumed] )


~ Vir-Laptop - (virginia - Authenticated [WinGate] )

Fig . 8.22. Usuario Assumed.

-iji"Hi

Ncl'l Group Import Uscrs Exporl Users

'r6 D:

--'--"'"'

Fig. 8.23. Usuario Au/hen/ica/ed.

GJ

Como podemos ver, WinGote pone en primer lugar el nombre de red del equipo desde el que se est conectando, separado por guin y entre parntesis pone el usuorio WinGote que se ha reconocido y en que nivel (ossumed o Authenticated).

Fig. 8.20. Nuevo usuario.

Caso prctico 5

Nuevo usuorio Asumido en WinGote


Creor un usuario y hacer que WinGate relacione una mquina con dicho usuorio.

1. Abrimos en el panel de control lo pestaa usuorios (si no te aparece el panel

~ Actividades
14. Creo dos grupos, Aula 1 y Au102, y aade 01 grupo Aula 1 el usuario que acabos de crear. 15. Creo otro usuorio y odel o 01 grupo Au102. 16. Analizo qu ocurre en el proxy si el diente modiFico lo direccin IP de su equipo en codo coso. 17. Discute con tu compaero cul es el tipo de usuoria menos til en tu instituto orgumentando tu posicin.

de control: Menu > View> Control Panel o Ctrl+shiFt+C) , pulsamos con el botn derecho sobre el Fondo del panel y seleccionamos la opcin Nuevo usuario (como se ve en la Figura 8.24). 2. En la pestaa inFormacin del usuorio User Info rellenamos los datos que nos solicita y pulsamos Aceptar. 3. Poro vincular un equipo de lo red al usuorio que hemos creado, lo vamos a hacer o travs de lo opcin Usuarios asumidos (Assumed users) que nos aparece en esa misma pestaa . Hocemos doble dic sobre esta opcin y en la ventana que nos aparece, dentro de lo pestaa por nombre By Name seleccionamos aadir y ponemos en primer lugor el nombre de red del equipo; en el desplegable seleccionamos el usuario que acabamos de crear. Podemos comprobar que reconoce el usuoria (en el nivel asumido) cuando la mquina que hemos asignado se conecte al proxy.

Existen vorios mtodos de autenticacin en WinGate, es decir, diversas Formas de hacer que los usuorios, poro conseguir acceso a Internet, tengan que poner su nombre de usuario y contraseo. De esta Forma WinGate los reconocer como usuorios autenticadas y as podremos estar seguros de que realmente se troto de ellos . Algunos de estos mtodos de autenticacin son:

Seguridad de alto nivel en redes: proxy

Autenticacin Windows: WinGate puede utilizar los usuarios ya definidos en el equipo local o bien utilizar los usuarios definidos en el dominio (en caso de existir). El principal problema de este sistema es que todos los equipos tienen que utilizar Windows, pero se tiene mucho control sobre los usuarios, porque podemos conseguir de una forma cmoda y transparente para el usuario que todos sean de nivel autenticado. WinGate Internet Client: consiste en instalar una aplicacin de WinGate llamada WGIC.msi en el cliente, de forma que cuando el usuario accede por primera vez a un servicio del proxy le sale una ventana para que ponga su nombre de usuario y su contrasea. Esta aplicacin slo existe para Windows, as que todos los clientes tendrn que ser Windows. WinGate Java logon applet: con este mtodo, cuando el usuario quiere acceder a travs del proxy a un servicio que requiere autenticacin, le muestra una ventana en el propio navegador para que ponga su nombre de usuario y contrasea. Es necesario que tenga instalado java en el navegador (es muy probable que lo tenga). Esta solucin es multiplataforma, as que el proxy podr tener clientes Windows, Linux y Mac sin ningn problema.

Actividades "
18. Discute con tu compaero argumentando tu respuesta que tipo de autenticacin es ms til para tu instituto.

Caso prctico 6 Nuevo usuario autenticado en Wingate


Configurar un cliente para que se pueda autenticar con WinGate Internet Client.

2. Normalmente WGIC detecta automticamente la direccin del servidor, pero en algunos casos es necesario ponerlo de forma manual. Despus de la instalacin, en el cliente, abrimos el panel de control y vemos que hay un nuevo incono para la aplicacin que acabamos de instalar. Entramos en el panel de control de WGIC y en la pestaa servidores WinGate (Wingate Servers) miramos si ha detectado el nuestro automticamente; si no, lo aadimos (Fig. 8.24).

1. Copiamos el fichero WGIC.msi del directorio de instalacin del proxy (en concreto est en C:\Archivos de programa\WinGate\Client\WGIC.msi) y lo instalamos en el cliente.

G eneral Blndings Sessions Central Conflg


PoIides

loggng

Use/ Appficalions Gene/al

S,lIslem Appfications Advanced WinGale Se/ve/s

Recipienl Ilocalion] Time ] Ban h l] Advanced] r- fver,llOne

r.

Automalical[v ~elect which selVe/ lo use Use se/ve/ IJUPI TE R AddreS"$ 192.168.50.1 POlI 2080

~ped1,l1 user 01 glOup IEveryane


Descrmlion BUlll en accnunl for adminislerin. .. Member: can adrninider Ihis se... Buill in accounl for guesl acce~.. . DrdinarJl me/:

Se/ver

I!!

n m f} Vgoinia
r r

User J Gr~ AdministIalor m AdministIalor: Guesl U:er:

u ser maJl be ynknown UsermaJlbe-$surned r- j sermusl be aul~enlicaled

Add

Remove

I
11

Ed,1

Relresh

Help

App!!'

OK

Cancel

Fig. 8.21. Configurocin WGIC.

Fig. 8.22. Forzar autenticacin.

(Contino)

Seguridad de a lto nivel en redes: proxy

~casa~ ~ r ~ ~ ct ~ iC = O ~6 ~

____

______________________________________

______________________

(Continuacin)

3. De nuevo en el servidor, dentro de la pestaa System del panel de control nas encontramos un servicio llamada Winsack Redirectar Service, que es el que se encarga de comunicarse con WGIC en el cliente. Vamos a modificar el servicia para que sala puedan acceder usuarias autenticadas. Hacemos dable clic sobre el nombre del servicia, y dentro de la configuracin seleccionamos Polticas (po/ices) (Fig. 8.26). Aadimos una nueva poltica seleccionando la opcin Los usuarios tienen que estar autenticados (users must be authenticated) (Fig. 8.25). Despus seleccionamos

en Permisos por defecto (Default Rights) que estas sean ignaradas (are ignored), para que solo tenga en cuenta los permisos que acabamos de darle y no los permisos par defecto (Fig. 8.26). Ya podemos comprobar que cuando el usuario se conecta a Internet a travs, por ejemplo, de Internet Explorer le sale una ventana de WinGate para solicitarle nombre de usuaria y contrasea (Fig. 8.27). Tambin puedes comprobar en la pestaa actividad de Wingate que el usuario es reconocida como usuario autenticado (Fig 8.28).

1"
S IlttnSefVice.
~ DflCPSeI"",e

I .:!!J

O G.n'fol ~

Ca>'igualJcn
~m.n;s

~ GDPS.,vic.
~ DUS

@.

s.,,,,,.

QSmions
~ CenlfolCorio;l

~ Remole C""'rol ~ FOPJSer"", ~ SM1P S.,ver ~ IMAP~ S.,ver


aEm~

Il_,

R. .

R t:

1!1,_
.I!..rau!:,i;#:ISY:'.mpckie:1 ~ l fji4: .! ji !j .

li3 Ca:hng
8!lSchedtk! ,fjDlalel

iiii33

1J~ -~sYllttn l~S ~________~______~~==~==~==~

Fig. 8.23 . Polticos poro Winsock.


e~ Cr:en! attiv~y

~ ~
Username: Passward:

WinGate requiles you to authenticate yourself before alJowing access to this selvice. Please enter your WinGate username and password (these are casesensitive).
1virginia

~ lUPITER[Adminlstrador] - (Adm:nistrator . Authenticated [ WinG~te log:n: Mod,Fy user Virg;nill

/i!J

Vif-laptop[virg!nill] (virg:nla Authenticated [WinGate]) I ~ WRP Control Se~5jon' Fir.fox.exe http://www.google.es/irnages

!!J

. ~ http:/{dentsL.gooQ!e.es/completelsearch

~ http://l'lWWgooo!. . 5fim~ges/icons/5ettillnized_ui/play_c

~ httP :/{I'IWW.goo~e. e sfimages

~====~I
OK

rrCancel

~ http://I'lWl'l.goo~! es{jmages

gj! Sy:lem lntern~1 aetivily

II

C ) Aclivity

~ Netwolk ~ Ma.~ Queue

C9 Hi~loty !.ID Sy~le

Fig. 8.24. Acceso WGIC.

Fig. 8.25. Virginia autenticada.

~ Actividades
19. Puede un usuario navegar sin tener instalado WGIC
en su equipo? 192.168.50.1:8010, es decir, la IP del servidor WinGate y el puerto de este servicia. Configura el servicia para que solo puedan acceder los usuarios de tipo

20. El servicio Logfile server en el puerto 8010 es un servicia que permite acceder desde un navegador en cualquier equipa de la red a los lag de WinGate. Puedes probarlo poniendo en tu navegador

authenticated.
21. Crea un nuevo usuaria adminJag y configura el servicia Lagfile Server para que sola l pueda acceder.

Seguridad de alto nivel en redes: proxy

5. PureSight
PureSight es un plugin de la misma empresa que WinGate que proporciona una clasificacin de sitias Web y un software que apoyado en WinGate permite o deniega el acceso a sitios clasificados segn unas categaras.

Caso prctico 7 Instalar PureSight


Instalar PureSight para utilizarla iunto con WinGate.

9
PureSight realiza la rlllm;t;i,-nc';nn de los sitios Web por dos mtodos: Una base de datos de los sitios
ya clasificados previamente . Un sistema de reconocimiento automtico de contenidos que permite la clasificacin de sitios de nueva aparicin.

1. Descrgate el programa de la pgina de WinGate (hHp://www.wingate.com/).


La versin utilizada durante el desarrollo de este libro ha sido PureSight 3.0.

2. Eiectalo y acepta la licencia. Se detendr WinGate para poder realizar la


instalacin (hay que tener en cuenta que PureSight es un plugin de WinGate).

3. Nos muestra la ventana de activacin. De nuevo, al igual que en WinGate, es


muy importante que no pasemos esta pantalla sin activar el programa. Para activar el programa seleccionamos la opcin activar prueba gratuita (activate free trial) (Fig. 8.29).

Activiltilln re quir ed

Thh Pl:ooucl requJ ~ i1clivation

In otdel lo fundon, PureSighllrx llI'lGate mu:l be aclivaled You ma}J ac liv~le ~ {lee trial, 01a }JOU have a putcha:ed liceme, }JIlU can activale lhal hete now.
0 ~clival e flea

llial

O Act ivale a purcha:ed liceme

Para
ol liceme u:ing Eceme managemenl in WinGate

activar o desactivar el

plugin de PureSight hay que

o Latel, You may aclivate a

~ial

acceder a la configuracin de

plug-ins de las propiedades del


servicio www proxy y seleccio-

( ga~J.

1 1

tle~l )

L~~

nar (para activar) o deseleccionar (para desactivar) el plugin PureSight for WinGate.

Fig. 8.26. Activacin PureSight.

4. Pulsamos siguiente, se descarga la licencia de prueba y termina la instalacin,


iniciando de nuevo de farma automtica Wingate con el plugin de PureSight ya cargado.

I 5. L

Comprobamos que se ha instalado correctamente abriendo GateKeeper y viendo que aparece en el men Opciones, Plug-ins.

Al instalar PureSight, automticamente se nos activa el plug-in en el servicio WWW proxy, por lo que cualquier usuario que acceda a Internet a travs del proxy estar utilizando dicha clasificacin.

Actividades ~
22. Activa el plug-in PureSight y comprueba que el cliente cuando est configurado
para salir a Internet a travs del servicio de proxy no puede acceder a Gmail. com, y cuando est configurado para salir a travs de NAT s.

Los usuarios que estn ,nl;pnrln a Internet a travs del serVICIO

NAT no se vern afectados por


esta clasificacin. En la Figura

8.29, el equipo vir-Iaptop est


saliendo a Internet a travs de

proxy y no de NAT.

Seguridad de alto nivel en redes : proxy

Podemos evitar que los clientes puedan salir o Internet o travs de NAT soltndose as el servicio proxy, convirtiendo nuestro servidor proxy-NAT (actualmente implemento ambos servicios) en un servidor proxy transparente. De esto manero todos los peticiones que los clientes hagan 01 servicio 80, aunque no vayan dirigidos 01 proxy, sern interceptados par esto y posadas por el servicio WWW proxy. Paro hacer esto, hocemos doble clic sobre el servicio WWW proxy y en la seccin Sesiones (sessions) seleccionamos lo opcin Interceptar las conexiones hechas a travs de ENS (intercept connections made vio ENS) y aadimos el puerto 80. Para configurar exactamente qu sitios queremos que PureSight bloquee, tenemos que acceder a Option > plug-ins > Puresight for WinGate, y dentro del panel izquierdo seleccionar la opcin Cotegoras filtradas (Filtered categories). En esto ventana, PureSight nos muestro todas las categoras disponibles, simplemente seleccionndolos a trovs del cuadro de seleccin todos los sitios de esta categora quedarn bloqueados en el cliente.

~ Actividades
23. Configura el proxy para prohibir el acceso o todas las categoras excepto Noticias, Mail y Deportes. Comprueba que el cliente no puede acceder o estos categoras de contenidos. 24. Despues de un tiempo funcionando WinGate con PureSight en SiTour detectas (analizando los lag) que los usuarios pasan bastante tiempo en lo pgina www. minijuegas.com. Debera estar bloqueado, pero no es as. Utilizando la opcin Manual Clasification de PureSight prohbe el acceso a esta pgina clasificn dolo como de juego. 25. Personaliza el mensaje de prohibicin que se muestra a los usuarios cuando acceden a un contenido de tipo juega en la opcin Custom Response de Pureo Sight. Deber mostrar algo como "Por poltica de empresa est prohibida esta pgina.

6. Control de 109 en WinGate


Para poder controlar el carrecto funcionamiento de los servicios y la utilizacin de los mismos, es necesario comprobar con cierta frecuencia los lag. WinGate genera dos tipos de lag: Lag de usuario: son ficheros en los que WinGate almacena informacin sobre los usuarios y su actividad. Estos ficheros se almacenan dentro del directario de instalacin de WinGate, dentro de la carpeta audit, en un directorio con el nombre del usuario. Para activar la auditora para un usuario, pulsamos botn derecho con el ratn sobre el usuario, seleccionamos la opcin Propiedades, y seleccionamos la pestaa de Auditora (auditing). Una vez ah tenemos que marcar la opcin Auditar 105 siguientes eventos (audit these events) y seleccionar los eventos que nos interesa registrar en el fichero de lag. Lag de servicios: son ficheros en los que se almacena informacin sobre el fun cionamiento de los servicios de WinGate. Se almacenan dentro del directorio de instalacin de WinGate en un directorio llamado Logs y dentro de un directorio con el nombre del servicio.

Tendrs que planificarte como


una tarea peridica de tu tra-

bajo la revisin de los ficheros de lag, porque esta informacin crece muy rpido y pronto se convertir en un problema

demasiado grande para abordarlo.

~ Actividades
26. Configura WinGate para que registre en los ficheros de lag cundo se conecta el usuario administrador, cundo se desconecta y su actividad .
:18

Seguridad de alto nivel en redes: proxy

7. Squid
Squid (Fig. 8.30) es uno de los proxy ms utilizados debido sobre todo a su potencia y estabilidad. Ha sido muy utilizado por los praveedores de acceso a Internet como proxy cach transparente para disminuir el trfico de Internet hacia sus clientes.

7.1. Instalacin de Squid


Para poner en marcha Squid en el aula, vamos a seguir la misma configuracin fsica que seguimos con WinGate, es decir, la que se explic en el apartado 4.1 y se representa en la Figura 8.6. Para instalar Squid podemos hacerlo a travs de los tres caminos habituales: Compilando el pragrama a partir de los fuentes. Instalndolo directamente a partir de los binarios que podemos descargar de hltp:// wiki.squid-cache.org/SquidFaq/BinaryPackages para nuestra distribucin. A partir de los repositorios oficiales de nuestra distribucin.
Para la realizacin de esta instalacin y el siguiente proceso de configuracin se ha utilizado

Fig. 8.27. Logotipo Squid.

Nosotras lo vamos a hacer a travs de los repositorios oficiales ejecutando el comando aplilude inslall squid3. Una vez instalado Squid en el equipo servidor y configurados los interfaces de ambos equipos, podemos probar el funcionamiento configurando el navegador del equipo cliente (como se explic en el Caso prctico 4) para utilizar el praxy que acabamos de instalar. Comprobaremos que est accediendo al praxy porque nos genera un error en el que al final hace referencia a Squid (Fig. 8.31).
Para poder config urarlo, tenemos que cono@D - e
: .... ....-

.c-.. . .
y.
ur
_ ,, ~ _

Ll.i l!!!> I~ '~co-_

la distribucin Ubuntu 8.10 (Ihe Inlrepid Ibex) y la versin 3.0 de squid. Squid por defecto se instala como proxy (ni proxy NAT ni proxy Transparente).

ERROR
The ...equested URL could not be retrieved
\','h j l~

t ryl n] to

r~t rl e '",

the

~L

b,m " .,,,,,,, .,

='

/I ce" .. Denle d. Acre conlrol c::>r.fI Q'--'"~ti"" "e,en l, ~~ req...oE~t I,om bewq ~lI o .... ~d ~t thl& tme . P l e~ ~~ con t""t you .e,,'I( ~ pro.ler tr yeu I~el thi, Is w=re<:t.

Ge<"I(:,<'!W1Hon . ?J

~"7?OO9 09 3-1 .:-0 G'1T by Ix~lro<! !qud/J o ST,l,Bl.fn

cer donde se encuentran los ficheros de configuracin y log. Las principales ubicaciones son:

Fig. 8.28. Error Acceso Internet con Squid.

/elc/init.d/squid3 /elc/squid3/squid.conf /var/spool/squid3/ /vor/log/squid3/ /usr/lib/squid3/

Script paro iniciar parar o reiniciar e[ servicio Squid

Fichero de configuracin de Squid


Directorio que tiene [os ficheros de [a cache del proxy Directorio en e[ que se encuentran los lag del programa: access.log,

cache. lag y store.log


Directorio en el que se almacenan los complementos de Squid

Tabla 8.2. Localizacin de los ficheros y directorios de Squid3.

Actividades " 27. Imagina el beneficio que tiene en el trfico de un proveedor de servicios de Internet (ISP) si todo el trfico de sus clientes pasara por una enorme cach. Anota en tu cuaderno cules seran las ventajas. 28. Examina los directorios que se describen en la Tabla 8.2 y observa qu tipo de informacin contienen.
21

Seguridad de allo nivel en redes : proxy

7.2. Configuracin inicial


La configuracin del Proxy Squid la te nemas que realizar a travs de un fichero de configuracin, como es habitual en sistemas GNU/ Linux, llamado /elc/squid3/squid.conf (Tabla 8.2). Como vamos a estar modificndolo, y por seguridad, haremos una copia de la versin original:

fichero es propiedad del


superusuario y para el resto solo tiene permisos de lectura, as que tendremos que acceder como usuario root o utilizar el comando sudo.

sudo cp /etc/sguid3/s guid.conf /etc/sguid3/sguid.conf.bak


Este fichera de configuracin tiene explicacin sobre algunos parmetras, por lo que incluye muchas lneas comentadas (las que comienzan por #). Los parmetros para los que no se ha dado valar tienen un valor por defecto, que aplica y que se suele indicar (como por ejemplo es el caso de cache_dir). Las lneas que no estn comentadas no deben tener espacios al comienzo. Todos los parmetros de configuracin del fichero tienen el mismo forma to, en primer lugar aparece el nombre del parmetro y despus los valores separados por espacios. A continuacin vamos a ver algunos de los parmetros ms importantes del fichero de configuracin de Squid :

Es el puerto del servidor en el que el servicia Squid estar escuchando peticiones de los clientes. Habitualmente suelen ser el 3128, 8080 o en algunos casos el propio 80 (del servicio Web). Nosotros dejaremos el valor por defecto:

http _ port 3128

Es el directorio en el que Squid almacenar las pgi nas que decida mantener en la cache. El valor por defecto de este parmetro es:

cache _ d ir ufs /var/ spool / sguid3 100 16 256 ufs es el sistema que va a utilizar paro almacenar la informacin. /var/spool/squid3/ es el directoria a partir del cual se almacenar la cach. El siguiente pa rmetro especifico la cantidad de espacia en MB que se ocupar para la cach (100MB par defecto). Los dos siguientes indican el nmero de directorios que se crearn dentro del directoria cach (16 por defecto) y los que se crearn dentro de cada uno de estas (256 por defecto).
Cuanto ms aumentemos el espacio de disco disponible para la cach, ms pginas almacenar y menas tendr que consultar Squid las pginas reales, por lo que menos tiempo y menas ancho de banda ocupar. Sin embargo, Squid necesita una cantidad de memoria proporcional para hacer la bsqueda en el disco. N o es ms rpido ms espacio en disco si no se dispone de ms espacio en memoria.

~ Actividades
29. Abre el fichero de configuracin con tu editor favorito. Para abrir el fichero
como superusuario con gedit: sudo gedit/ e tc/sguid3/sguid.conf Busca en tu fichero los parmetras descritos y sus valores por defecto.

30. Abre tu explorador de archivos (Nautilus, por ejemplo) y navega por la carpeta
en la que se almacena la cach, comprobars que la estructura que se ha descrito est realmente creada en dicho directorio.

20

Seguridad de alto nivel en redes: proxy

cache_mem

Indica [a cantidad de memoria cach que se utilizar para Squid. Por defecto son 8MB. Esta memoria se utiliza fundamentalmente para almacenar objetos en trnsito, que son [os que en ese momento se estn sirviendo a [os clientes y para almacenar [os objetos ms utilizados. Par tanto, este espacio habra que aumentarlo cuando aumenta e[ nmero de clientes o aumenta e[ espacio dedicado a [a cach. Para nuestro caso nos sirve e[ valor por defecto.

Indica a Squid e[ correo del administrador, de forma que si dejara de funcionar, este recibira un correo alertando de esta situacin.

accessJog, cacheJog y cache_storeJog

Indica e[ lugar en e[ que se almacenarn [os ficheros de [og de Squid. En e[ caso del accessJog, [o define en [a siguiente lnea: access _lag /var/log/squid3/access .log squid Esta lnea indica que e[ fichero ser /var/[og/squid3/access.[og y que e[ formato del fichero ser squid (este formato [o puedes consultar en e[ propio fichero de configuracin en [o lnea donde pone logforrnat squid ... ).

cache_effective_user y cache_effective_group

Puedes comprobar que este es el


nombre del usuario ejecutando

Indican, respectivamente, e[ nombre del usuario y grupo que ejecutar e[ proxy.

el comando:
ps

-c

squid3 -o pid,ruser,

cornrn que te mostrar el pid del


proceso, el usuario que lo ejecu*

Poro [os conexiones anonlmas FTP es una costumbre muy habitual utilizar e[ correo electrnico como nombre de usuario, as e[ administrador del FTP podr contactarnos en caso de necesitarlo. Como ahora puede ser e[ proxy e[ que se conecta en lugar del cliente, [a cuenta de correo que aparecer ser [a del proxy, as que es necesario configurarla. Si un cliente de nuestro proxy hiciera algo indebido en un servidar FTP, sera conveniente que e[ administrador de dicho FTP pudiera ponerse en contacto con nosotros para comunicrnoslo.

ta y el programa que ejecuta el


proceso. Una vez terminada la configura* cin habr que reiniciar el servi*

cio de squid ejecutando sudo/


etc/init.d/sguid3 tart. res-

error_directory

Indica e[ directorio en e[ que se encuentran [os mensajes de error que e[ proxy mostrar a [os clientes (por ejemplo cuando accedan a un dominio no permitido). Para que [os mensajes aparezcan a [os clientes en castellano, tendremos que modificar este parmetro a /usr/share/squid3/errors/Spanish_

Actividades "
31. Accede a[ directorio en e[ que se encuentran [os ficheros de error en castellano
y modifica todos [os mensajes para incluir e[ nombre de [a empresa, en este caso SiTour.

32. En qu formato estn [os mensajes de error? ~Podras incluir una imagen en
estos ficheros, como por ejemplo e[ logotipo de la empresa?

22

.- -

'

".~.

Seguridad de allo nivel en redes: proxy

Z3. Control de acceso en Squid


En este punto nos vamos a referir a todas aquellas parmetros que nos permiten controlar el acceso dependiendo, por ejemplo, de quin haga o cul sea la peticin.

acl

A travs de este parmetro definimos las listas de acceso, es decir, definimos grupos de equipos, de IP, de dominios, de horarios, etc., a los que luego permitiremos o denegaremos el acceso. El formato general del parmetro ael es: acl aclname acl t ype valores
oc/nome es el nombre que se le quiera dar a la lista, teniendo en cuenta que na pueden repetirse. Ac/type es el tipa de lista ael que se va a formar.

las tipos de ael ms utilizados san src, dst, dstdomain, urLregex y time. Vamos a comenzar viendo el tipo src y como se permite o deniega el acceso con hUp_access. Despus continuaremos viendo el resto de tipos de ael.

aclsrc

Define a travs de sus direcciones IP un conjunto de equipos de origen. Por ejemplo podemos definir como origen el aula mediante la siguiente lista: acl aula src 192.168.50.0/24 Tambin podramos formar una lista de acceso para cada aula del centro siempre que se diferencie por sus direcciones IP. acl aula1 src 192. 168.l. 0/ 24 acl aula3 src 192 .168.3.0/ 24 En el caso por ejemplo de SiTour, podramos generar una lista de acceso para los vendedores (2 personas) y otra para el empleado del departamento de contabilidad. ac l v e ndedores src 192.168.50.5 192 .168.50 .6 acl contabilidad src 192.168.50.20

hHp_access

A travs de este parmetro permitimos o denegamos el acceso a las listas de acceso que tengamos definidas.

la sintaxis general de este parmetro es:


http_access allowldeny [!] aclname
ol/ow permite y deny niega el acceso a la ael que se indique despus.

Para determinar si da a na da acceso a una peticin, Squid lee la seccin hUp_access de arriba hacia abajo y cuando encuentra una lnea con la que concuerda permite a deniega el acceso segn lo que diga dicha hUp_access. Debido a que si no hay coincidencia contina leyendo, para evitar prablemas se debe terminar la lista con un hllp_occess deny 01/.

Gt
22

Actividades
res su definicin . Dnde ms hemos hablado de ael?

33. Recuerda qu es una lista de contral de acceso buscando en los temas anterio34. Cmo definiras las listas de acceso para tu aula? Y para tu instituto?

Seguridad de allo nivel en redes: proxy

_ _ _ _ _ _ _ _ _-' C = oso prctico 8 Aplicacin de las reglas de acceso


Determinar si hay acceso o no en los siguientes casos para

la lista de ael y http_access:


ac1 all src 0.0.0.0/0.0.0.0 ac1 au1a1 src 192.168.1. 0/24 ac1 au1a2 src 192.168.2.0/24 http access allow au1a1 http_access deny !au1a1 http _ access deny a11

access (http_access allow aula 1) encontrar coincidencia, as que como es un allow permitir el acceso. No contina leyendo el resto de http_access. 2. Llega una peticin de la direccin 192.168.2.5 hacia www.goagle.com. La direccin 192.168.2.5 pertenece a la red 192.168.2.0/24, que se ha definido en la tercera ael como aula2. Cuando llega la peticin, Squid, de nuevo lee de arriba a abajo. La primera http_access (http_access allow aulal) no coincide con la direccin de la peticin, as que no hace nada y pasa a leer la siguiente. La segunda (http_access deny !aula 1) afecta a todas las peticiones que no vengan del aulal, as que coincide con la peticin y por tanto la aplica. Como es un deny, niega el acceso mostrando un mensaje de error ,en el I navegador. No contina leyendo ms http_acces ~

1. Llega una peticin de la direccin 192.168.1.5 hacia www.google.com. La direccin 192.168.1.5 pertenece a la red 192.168.1.0/24, que coincide con lo que la segunda acl ha llamado aula l. Cuando llegue la peticin, Squid leer la lista de http_ access desde arriba hacia abajo. En la primera http_

Dentro de nuestro fichero squid.conf, la seccin de http_access est preconfigurada, de forma que poro no cometer errores innecesarios debemos escribir dentro de la seccin que se nos indica. Justo debajo de la lnea # INSERT YOUR OWN RULE(S) HERE ... , sin modificar el resto de la seccin.

_ _ _ _ _ _ _ _ _ _ Caso (lrctico 9 Permitir acceso desde lo red


Configurar Squid para permitir el acceso a los equipos de nuestra red. 1. Buscamos la seccin en la que se definen las ael.

2. Dejamos la seccin ael tal y como est y tan solo quitamos el carcter # una de
las lneas en donde se define localnet (red local) (para que la lnea deje de estar comentada) y la adaptamos a nuestras necesidades:
ac1 10ca1net src 192.168.50.0/24

3. Bajamos a la seccin http_access y descomentamos la lnea que permite acceso desde nuestra red local:
http access allow 10ca1net

4. Reiniciamos el servicio y probamos en el cliente que tenemos acceso a cualquier


pgina de Internet.

La seguridad del proxy depende por tanto de como construyamos la seccin de http_acces y las listas de acceso (ael). Cuando la red a controlar es grande, incrementa la longitud de estas secciones y dificulta su modificacin. Las elaves para mantener la seguridad con xito en un proxy squid, son: Mantener estructurada y organizada la seccin http_access. Conocer y utilizar adecuadamente los diferentes tipos de ael.

223

~_-'
-

, ,>.Ji1 ~..

~~

Seguridad de olla nivel en redes: proxy

o
Para averiguar la IP de un dominio sol o ti enes que hace r ping

AcI dst

Utilizando este parmetro podemos generar una lista de acceso por direcciones IP de destino, es decir, generar una listo de direcciones IP que coincidir con una peticin al proxy cuando la peticin vaya dirigida a una de esas direcciones IP. La sintaxis general de este parmetro es: acl aclname dst d ireccin-IP - destino red -IP-destino

al dominio y fijarte en la IP a la
que deFinitivamente esta hacien

do pingo

oc/nome es igual que antes el nombre que queremos dar a la listo, direccin-IP-destino es la direccin IP de destino que queremos incluir en la lista y red-IP-destino es lo red IP que contiene las direcciones IP que queremos incluir en la listo. Por ejemplo, en el caso anterior podemos generar la lista prensaDepor poniendo las direcciones IP de Morco y de As, que son respectivamente 193.110.128.199 y 194.169. 201.186.
acl prensaDepor dst 193.110.128.199 1 94.169.201.186. http_access deny prensaDepor Esto tiene un inconveniente: si los servidores que tienen esas direcciones IP son servidores compartidos: que contienen ms pginas web de otros empresas, estas tambin sern bloqueadas: Por ejemplo, la direccin 193.110.128.199 es la de un servidor en el que el grupo Unidad Editorial aloja varias pginas, como marca .com o Elmundo.es; bloqueando el acceso a esta direccin IP bloqueamos el acceso a todas estas pginas.

AcI dstdomain

Permite generar la lista de destinatarios a partir de dominios. La sintaxis general de este parmetro es:

acl aclname dstdomain .dominiol .dominio2


.dominiol y .domini02 son los dominios que se incluirn en la listo de acceso. Los dominios siempre tienen que empezar por el simbolo .. Por ejemplo, podramos agrupar los dominios de prensa deportiva para prohibir el acceso a los trabajadores de uno empresa a dichos dominios desde su puesto de trabajo:

acl prensaDepor dstdomain .marca.com .as.com http_access d eny prensaDepor


Como ya se ha comentado anteriormente las lneas oel van en

la seccin ael y las hUp_access


en la seccin htlp_ access, respe

urLregex

tondo las lneas que por defecto y por seguridad se crean en el fichero squid.conf.

Permite utilizar expresiones regulares para definir una listo de url de acceso. Cuando se reciba una peticin a una direccin url, por ejemplo www.tucasino.es. se comprobar si se produce coincidencia con la expresin regular definido. Puedes utilizarlo paro incluir todas las url que incluyan la palabra casino:

acl casinos url regex casino


Esto tiene varias inconvenientes: Si uno pgina relacionado con cualquier otro tema llevara la palabra casino en la direccin (por ejemplo, porque en otro idioma significara otra cosa) tampoco se podra acceder. Si un casino online no lleva la palabra casino en su direccin, no se bloquear.

~ Actividades
35. Prohbe el acceso a travs de tu proxy a las direcciones IP de Marca y As. 36. Prohbe el acceso a Morca y As utilizando el parmetro dstdomain.

24

Seguridad de alto nivel en redes: proxy

time

Permite generar una lista de acceso con ciertos horarios, de forma que luego podamos permitir el acceso o negarlo durante dichos horarios. El formato general de time es:

acl aclname time

[das]

[horas]

M T W
H

Mondoy Tuesday Wednesday Thursday Friday SOlurday Sunday

En das hay que indicar una abreviatura de las das de la semana segn la Tabla 8.3. En horas una franja horaria en el formato hora_inicia-hora_fin, e~presadas ambos en formato hh:mm, es decir, horas y minutos separados por <C,. Si queremos definir el horario laboral en una acl, quedara de la siguiente manera:

acl horarioLaboral time MTWHF 9: 00 -19:30


Para prohibir el acceso a pginas de prensa deportiva durante el horario laboral:

F
A

http _ access deny prensaDepor hor arioLaboral


Las peticiones que lleguen al proxy solicitando alguna pgina de las definidas en la lista prensaDepor durante el intervalo definido en horarioLaboral sern rechazadas. Como puedes observar, en el caso anterior se han incluimos dos listas de acceso (acl) en una definicin http_acess. Para que se aplique la regla permitir/negar definida en el http_access, la peticin tiene que coincidir en ambas listas. De forma general, cuando en una regla http_access se incluyen varias acl, para que dicha regla permitir/negar acceso se aplique, la peticin tiene que estar incluida en todas las listas de acceso. Para que se vea mejor como utilizar http_access con varias listas de acceso en Squid vamos a poner un ejemplo:

S
Squid.

Tabla 8.3 . Abreviaturas de das para

acl descanso-Maana time MTWHF 11:00-11: 30 acl descanso-Tarde time MTWHF 5:00-5:30 acl contabilidad src 192.168.1. 0/ 24 a cl correos dstdomain .gmail.com .hotmail . com acl prensa dstdomain .as.com .elpais.com http _ access allow contabilidad descanso-Maana correos http _ access allow contabilidad descanso -Tarde prensa
La primera regla http_access solo se aplicar cuando llegue una peticin con las siguientes caractersticas: Que venga de contabilidad, es decir de la red 192.168.1.10/24. Que llegue en el horario de 11 :00 a 11 :30 (de lunes a viernes).

y que su destino sea uno de los dominios .gmail.com o .hotmail.com.

La segunda regla http_access solo se aplicar cuando llegue una peticin con las siguientes caractersticas: Que venta de contabilidad, es decir de la red 192.168.1.10/24. Que llegue en el horario de 5:00 a 5:30 (de lunes a viernes).

y que su destino sea uno de los dominios as.com .el pais .com.

Actividades ~
37. En la empresa SiTour hacen un descanso de 12:00 a 12:30 para tomar caf y se quiere permitir el acceso a todos los contenidos durante este horario. Qu informacin habra que incluir en el fichero de configuracin de Squid? 38. Continuando con la actividad anterior, durante el resto de horario se quiere prohibir el acceso a pginas de prensa rosa y juegos, que son las principales pginas visitadas por los empleados durante el horario de trabajo. 39. Adems, en SiTour se quiere prohibir el acceso en horario laboral, excepto en el descanso, a los blogs de Google, excepto al jefe, que tiene la direccin IP 192.168.50.3.

Seguridad de alto nivel en redes: proxy

Z4. Autenticacin
Hasta el momento el nico camino que tenemos para identificar un cliente es par la IP que tiene asignada. En este apartado vamos a estudiar una forma de configurar Squid para que los usuarios tengan que escribir usuario y contrasea para identificarse. Cuando los usuarios se han identificado en el sistema a travs de un nombre de usuario y una contrasea, podemos tener la certeza de que son ellos y por tanto reclamarles responsabilidades sobre sus acciones. Squid incluye varios mdulos que permiten realizar la autenticacin de los usuarios utilizando diferentes mtodos como integrar los usuarios de Internet (praxy) con Windows, o incluso con una gestin de cuentas centralizada, como por ejemplo con Windows 2008 Server. Estos mdulos se encuentran en el directorio /usr/lib/squid3 (Tabla 8.2). En este apartado vamos a estudiar la autenticacin utilizando el mdulo ncsa_auth. Utilizando este mtodo, el servidor proxy solicitar a los clientes un nombre de usuario y una contrasea y comprobar si dicho usuario y contrasea existe en un fichero de claves que se encuentra en el servidor proxy.

Casa p' r-.;r ", ;.;: ct ;.;. ic ~ o ;....:. lO =-_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _~~_~_...,

Preparacin de un fichero de claves


Generar un fichera /etc/squid3/claves que contenga las contraseas de los usuarios Virginia y Fernando, respectivamente, patata y cebolla.

1. Para poder manejar el fichero de claves vamos a utilizar el comando htpasswd. Este comando lo instalamos en un paquete que se llama apache2-utils.

2. Utilizando este comando generamos el fichero claves con un usuario llamado


Virginia. Una vez ejecutado el comando nos pedir la contrasea, escribiremos Ipatata': htpassswd -c /etc/squid3/claves virginia La opcin 'oc' se utiliza la primera vez porque no existe el fichera y queremos que lo cree.

3. Repetimos el mismo proceso para el usuario Fernando con la contrasea 'cebolla'.

I directorio /etc/squid3 es
del usuario reot y no tendrs acceso de escritura. Debers ejecutar este comando como root.

En segundo lugar activaremos el mdulo ncsa_auth y configuraremos Squid para que lo utilice en los casos que nos interese.

M Actividades
~. SiTour tiene la siguiente configuracin en el proxy:
acl ventas src 192.168.50.5 192.168.50.6 acl contabilidad src 192.168.50.20 acl horarioLaboral time MTWHF 8:00 - 21:00 http_access deny ventas horarioLaboral http_access al low contabilidad http_access deny Qu ocurre si un empleado del departamento de ventas se cambia su direccin IP a la 192.168.50.20?

!26

Seguridad de alto nivel en redes: proxy

Al final de la seccin auth_ param del fichero squid.conf, se nos recomiendo uno configuracin bsica para cada tipo de autenticacin. Basndonos en estas lneas, la configuracin recomendada para nuestro caso sera: auth param basic squid3!claves auth_param basic a uth param basic auth_param bas ic program !usr!lib!squid3!ncsa_auth !etc! children 5 realm Proxy Si tour credenti a ls ttl 2 hours

En la primera lnea, indicamos el mdulo que vamos a utilizar para la autenticacin ! u sr!lib!squid3!ncsa _ auth y el fichero de claves !etc!squid3!clave s que acabamos de generar. El parmetro children indica el nmero de procesos que se generarn para llevar a cabo la autenticacin. Realm consiste en el mensaje que se incluir en el cuadra que se mues tre en el cliente para que introduzca su nombre de usuario y contrasea. Credentialsttl indica el tiempo que durarn las credenciales una vez obtenidas, es decir, una vez que el usuario ha pasado positivamente la autenticacin el tiempo que le durar hasta que tenga que volver a hacerla. Por ltima, aadiremos esta lista de acceso de forma que solo pertenezcan las peticiones de los usuarios que sean validas para el sistema utilizando alguno de los mtodos de autenticacin configurados (en nuestro caso ncsa) acl validado proxy_auth REQUIRED A cualquier regla http_access que aadamos la acl validado, le mostrar al usuario la ventana de validacin (Fig . 8.32) Y comprobar que este usuario corresponde con cualquiera de los listados en el fichero /etc/squid3/claves.

Hiitorlal

Marcadores

Herramientas

AY!.I.da

W ~~______________~===-

________I

(&l Ms visitados "" Comenzar a usar ef ...

f&J ltinas: noticias

El proxy 192, 168 ,0, 1:3128 est. sokitando I.m nombre

de usuario y una contr~a, El sitio dice:

"Proxy SiTour"
Nomtlle de lISUaflo:

Ivi"ginia

contrasea:

~l.=.= =.= . ====================i


Aceptar

I Cancelar

Fig. 8.29. Autenticacin NCSA Squid. Muchas empresas actualmente utilizan redes Microsoft, es decir, tienen la autenticacin de los usuarios centralizada. Esto significa que cuando las usuarios arrancan el ordenador pasan un proceso de login, despus del cual los usuarios ya son conocidos dentro de la red Microsoft. De esta forma los usuarios, cuando intentan acceder a un recurso, este acceso se gestiona automticamente y de forma transparente entre el sistema operativo y el servidor de dominio. No sera lgico que para poder acceder a Internet el usuario tuviero que poner de nuevo su nombre de usuaria y contrasea. Por este motivo, en redes de tipo Microsoft debemos configurar Squid para que utilice los usuarios ya definidos en el dominio. Una de las principales I de las soluciones Microsoft (por ejemplo, el proxy de Microsoft)
es que se integran perfectamen-

te y de forma automtica dentro del dominio. Sin embargo, esta


solucin tiene un coste ms ele-

vado.

Seguridad de 0110 nivel en redes: proxy ----~------------~~------------------

Caso rctico 11

Configurar reglas de acceso bsicos SiTour

Configurar Squ id para que en la empresa SiTour se cumplan las siguientes narmas: Ningn trabajador podr acceder a Gmail o Hotmail excepto los jefes: 'virginia' y 'fernando' (con contraseas 'patata' y 'cebolla').

Los trabajadares de contabilidad que tienen el rango IP 192.168.50.2-192.168.50.127 podrn acceder o todas las pginas excepto las mencionadas en el apartado anterior. Los trabajadores de ventas que tienen el rango IP 192.168.50.128-192.168.50.255 no podrn acceder a Internet excepto a lo pgina del ministerio de industria y turismo (hltp://www_mityc_es).

1_ Generamos el fichero de claves correspondiente: ht pa sswd - c / etc / squid3/ claves vi rginia htpasswd / etc/ squid3/ clav es f e rnando Escribimos para ambos las contraseas cuando nos las solicita. 2_ Configuramos Squid para trabajar con el mdulo ncsa_auth. Incluimos al final de la seccin auth_param del fichero squid .conf las siguientes lneas: auth_p aram aut h_param aut h_param auth _ param acl ac l ac l acl acl basic basic basic b a sic program / usr/ lib/ squid3 / nc s a _auth /etc/ squid3 / clave s children 5 realm proxy Si tour credentialsttl 2 hou r s

3_ Configuramos las listas de acceso que nos harn falta en Squid:


Conta src 1 92 . 16 8 .5 0 .2-1 92 . 168 .50 . 127 Ventas src 192.168.50 . 128-192. 16 8 . 50 . 2 55 Ministeri o _Tur i s mo dstdom ain .mityc.es Ges t or e s Correo dstdomain .hotmail.com .gmail.com Jefe s proxy _ auth REQUIRED

4_ Configuramos las reglas de acceso poro cumplir todas las condiciones:

http_acces s http_ acce s s http_acce s s http_ a c cess

a l l ow Gestores

Correo Jefe s

al low Ventas M iniste r i o Turismo allow Canta !Gestore s Correo

____________________________________________- J

deny All

~ Actividades
41. Haz que todos los usuarios del aula puedan navegar desde el ordenador cliente que est conectado a tu proxy, pero que ningn usuario que no se autentique pueda navegar. 42. Utilizando el siguiente tipo de acl: Ac l profes or es proxy au th mac are na f e r nando http _ acces s a llow profesor es La lnea http_ acc ess solo coincidir cuando los usuarios autenticados sean macarena y fernando . Configura el proxy para generar los grupos de tu clase (profesores y alumnos). Haz que los alumnos solo tengan acceso a la pgina de tu instituto. Los profesores tendrn acceso a todo.

43_ En la empresa SiMotor, un concesionario de motos,


tienen un ordenador con la direccin 192.168.50.100 para que sus clientes puedan acceder a las pginas de Honda y Suzuki. En el resto de la empresa para poder navegar desde cualquier ordenador hay que autenticarse. Los usuarios son Virginia, Macarena, Fernando y Gustavo, y podrn acceder a cualquier pgina.

228

Seguridad de alta nivel en redes : praxy

7.5. Clasificacin de sitios en Squid


Como ya has podido observar el control del acceso en un proxy es una tarea muy tediosa debido a que el nmero de sitios de Internet es muy grande y adems cambian constantemente (se generan nuevos sitios todos los das y desaparecen algunos que existan).

Caso ~rctico 12 " Estudio de las posibilidades para restringir el acceso a los sitios de noticias
En SiTour han detectado que los empleados dedican los primeros 5 minutos a leer el peridico por Internet. Quieren terminar con esta costumbre y deciden prohibir el acceso a los peridicos.

1. Aplicando lo que ya hemos aprendido en esta unidad podramos limitar el acceso a ciertos dominios o direcciones IP, como por ejemplo los de El Pas, El Mundo, La Razn, ABe o Diaria 16.
Sin embargo, los trabajadares todava podran conectarse a sitios de peridicos menos mayaritarios, como por ejemplo Adn, Metro o el diario de la zona. 2. Podramos esforzarnos un poquito ms y conseguir un listado de la mayora de los peridicos y configurar sus dominios como prohibidos. 3. Sin embargo, an podran conectarse a peridicos no espaoles, como por ejemplo The Daily Telegraph, The Guardian, The New York Times.

4. Podramos prohibir el acceso a los principales peridicos en otras lenguas, pero


podran seguir leyendo los peridicos minoritarios de otros pases. Como puedes ver, este es un trabajo muy tedioso, que quita mucho tiempo y resulta poco gratificante para un administrador de red, pero al final conseguiramos una lista muy grande en la que estaran muchos de los dominios de peridicos on-line. Tambin podemos aprovechar alguna de las listas que ya existen en Internet con clasificaciones de sitios ya completadas y que adems se actualizan con cierta frecuencia.

~,------------------------------Para descargar una de las listas de sitios disponibles en Internet accede a la seccin de descargas (download) de la pgina http://urlblacklist.com y descarga el fichero bigblacklist.tar.gz. Descomprime dentro del directorio /etc/squid3/ el contenido del fichero bigblacklisUar (para descomprimirlo usa el comando tar -xvzf bigblacklist.tar.gz cuando ests dentro del directorio squid3). Ahora tendrs un directorio nuevo dentro de /etc/squid3/ que se llamar blacklist, dentro del cual habr una carpeta por cada categora de sitios de Internet, por ejemplo news, webmail o weather y dentro del cual habr al menos uno de los siguiente ficheros: o
Otros sitios donde puedes encan trar clasificaciones de sitios son:

http://www.shallalist.de http://squidguard.mesd.k12. or.us/blacklists.tgz

Domains: contiene los dominios que estn incluidos en dicha categora. Por ejemplo,
dentro de /etc/squid3/blacklists/news/domains hay una lnea elpais.es que indica que este dominio es un dominio de noticias. Este fichero lo utilizaremos para generar una lista de acceso (acl) utilizando el tipo dstdomain.

Uds: incluyen URL con contenidos de dicha categora. Las url que estn incluidas en el fichero /etc/squid3/blacklists/news/urls contienen segn esta clasificacin noticias. Nos permite generar listas de acceso de tipo dst. Expressions: contiene expresiones que tpicamente tienen los sitios de esta categora en la direccin. Generaremos listas de acceso utilizando el tipo url _regex.
229

Seguridad de alto nivel en redes: proxy

~ Casa prctica 13

Utilizar una lista de dominios para controlar el acceso a las noticias


Continuando con el coso prctico anterior de la empresa SiTour, vamos a construir una regla en el proxy para prohibir el acceso a los periodicos a sitios de noticias on-line utilizando la clasificacin que nos hemos descargado. L Fate en el formato de los dominios del fichero /etc/ squid3/blacklists/news/domains aparecen correctamente uno en cada lnea, pero no comienzan por el smbolo .l>. Si recuerdas el tipo de acl dstdomain los dominios tienen que comenzar por .l>, as que tendremos que aadir un punto al principio de cada lnea. Esto se puede hacer de forma automtica en Linux utilizando el comanda awk '{printf("_%s\n",$l)}' dornains > dornains punto _ Ahora el fichero domains_punto contiene los dominios pero comenzando por punto (tal y como lo necesitamos en squid) . 2_ A continuacin modificaremos la configuracin de squid creando una nueva acl que incluya los dominios de noticias: ac l notic ias dstdomain "/etc/squid3/ black lists/news/ domains _punt o" y aadiremos una regla http_access al principio de nuestra lista que prohba el acceso a estos dominios a todos los trabajadores: http_access deny notici as Ya solo nos queda comprobar que las clientes no pueden acceder a las dominios, para ello solo tenemos que consultar desde el navegadar de un cliente algunas de los dominios que aparecen en el fichero damains_punto.

~ Actividades
44_Prohbe el acceso en tu proxy a los sitios de blog y hacking, excepto a los usuarias autenticados. Comprueba que lo has hecho correctamente. 45. Prohbe el acceso a los sitios de juegos a los usuarios Macarena y Virginia. )

7.6. Gestin del proxy con Webmin. Control de log


Tendrs que tener instalado
Webmin . Si no lo tienes, visita

Webmin es una aplicacin de administracin que utilizando un interfaz Web permite administrar la mayora de los servicios disponibles en un equipo GNU/linux.

la pgina oficial (http://www_ webmin_com/), descrgalo e instlalo.


La versin utilizada para este

Insto lar y configurar Webmin para Squid

libro ha sido Webmin 1.49.

Para poder utilizar Webmin para interactuar con el Proxy tenemos que instalar el mdulo de Webmin llamado Squid y configurar dicho mdulo. Antes vamos a instalar dos paquetes del repositorio que necesita Webmin para interactuar con Squid: calamaris y squidclient. Para instalarlos ejecutamos el comando aptitude

install ca/amaris squidclient.


Volviendo a la instalacin del mdulo Squid, entramos en Webmin (hHp://localhost:l0000) y en la configuracin de Webmin (en el men del marco de la izquierda Webmin > Configuracin Webmin) seleccionamos la opcin Mdulos Webmin. En esta pantalla instalaremos Squid buscndolo entre los mdulos estndar de www.webmin.com. Una vez instalados nos pedir ciertos datos de Squid para poder funcionar correctamente. Dentro de la seccin Configuracin del sistema habr que indicar dnde estn los ficheros principales de Squid que ya se comentaron en la Tabla 8.2. Algunos de estos valares son el comando para ejecutar Squid y el directario en el que se encuentran los lag de Squid. Salvamos los cambios, y reiniciamos Webmin (Webmin > configuracin webmin, y pulsar el botn reiniciar) y ya podremos util izar el mdulo Squid de Webmin.

En Webmin lo primera vez que accedes a un mdulo lo encontrars en Un-used modules (mdulos sin usor). A portir del
momento en que lo utilices por primera vez aparecer en la categora que le correspondo. En nuestro coso en la categora Servidores.

Seguridad de alto nivel e n redes: proxy

Utilizacin de Webmin

Utilizando Webmin podemos modificar algunas de las opciones que ya conocemos, como por eemplo dentro de Control de acceso (Fig . 8.33) en Webmin podemos configurar las listos de acceso y las reglas http_access. Tambin puedes modificar la autenticacin del praxy, aadir, modificar a eliminar usuarias, etc .
W a!lrru.l'.WIiIDGilI '
an:hMO Edu. !<'Ir t<iJ,.""l .I:! t.d".. t<1 ....",I "lU "'nId.

ll!lUilln!!JiUtI1II.ll.l

J~ ;:Ii1t:i

1..0;'0' ''''' O W.b_ Os." .... D s ..... , ... .

""'" '",fo;II",, 'od.ml,l.


. ...n .. "l."'oJ R. d

Servidor ProKy Squid


$,.I;.",".'

u""ro d. C.".....

U'JI"'"
D a....
U

!s0Ui~~

~ . ",," . ,CV$

U.. 4....m .. '

,
ifJ

,
n"""~'"J/f''.'' '

00',' " C''''~''' I


,~."'d

11::.
o.""".. ~."......
C'ntrol ~,"'".o d, C.blt""

",. o '''''w,,'
n u." .. ~ , . ,.," ..
~ .. rt~

e,.",.

I
", ,, ,,,,, 1, " 1.0;. 1:'1 ~""",,,f,,,,,,,,,,,

i::? lB 0"""""0<1'. ''''''


\l.".... d. Co:M
~,r" ".,

''''i''''''' d,_",d.
;".,.,i",,,V',,,".

c.=d i. ",,..0

'o.,.d,."""
eodil."";' O"""".n,,,,,,,,,"

ilil

0 1..0;,"

: : .,f"'."'i"',,

~ ..

R,'..

.u.n..

e..... ' ..... " . .... .....

:#.,

1"" u, lo eo,*".,,,"n I I D."ner5.~ I

" .1 ... ,oh . ....

~"'n

....

ot .....

lo

,.nI.......... ,,"'01d. 5 0""

......... "lo< d. botin .... h' .... . ' ....... .. . .." ,. . . n ....~",n. Uno

'_io '"

<~ .... ,

O . , ,.

no d, ..

loo,.,

Fig. 8.30. Webmin Squid.

Sin embargo, la mayor parte del tiempo que dedicamos a la administracin de Squid en una empresa como por eemplo SiTour, una vez que Squid ya est instalado, configurado y funcionando, se dedica al seguimiento de los lag que genera Squid. las tareas de configuracin se pueden realizar sin mucha dificultad directamente sobre los ficheros, pero para analizar los lag de Squid es recomendable utilizar alguna herramienta ms visual. . Por todas estos motivos, nos vamos a centrar ahora en la opcin Anlisis de histrico de

calamaris.

Anlisis dellog de Squid con Webmin


;;(~min!llCP.reqUl!m by ha, t

Tenemos varias opciones para con trolar las lag de Squid de forma grfica, una de ellas es utilizando el programa calamaris, que se integra dentro del mdulo de Webmin . Si pulsamos en la opcin Anlisis de histrico de ca/amaris, veremos un informe de la actividad que ha tenido Squid. Este informe contiene mucha informacin, pero nosotros nos vamos a centrar en dos tablas:

I
Isum

h Dst

Ir~qul!5t ~lsl!(/rl!q ~(hii'=% (kB/S I!(

1192. 1fiO.5().1'lD~r;:7~[2"2'iJSJ.79~

~[6.i7-ii:'il~3.7i~

Fig. 8.31. Peticiones por host.

Byte

1 hit-%
0.60

10 662 6 -TOS 1 O. OO I-googte.com 1 121 6.451 0.00 1 139641 [Q.B01 0. 00 :'::16;4.~1.2~S~.2~2~ 2= ._~=- ~1-~9~~1~4.~8~4~1-o~. ~ooll 1246161 7.101 0. 00 I-mochibot.com 1 9'1 4.841 0.0011 148871 rl_.a-nt:-e-v-e-ni:-o-.c-o-m--J -,ilr---:8c'I---C4:. 3::-:0~: il---C0:.~ =i00 1 56321 0. 85'1 0.00 0.321 0.00 0.00 0. 00 0.00

:.,.I_::..m~i~ ni~ iu ~ e~ g~ os ~ .~ co ~ m ;;==" ~_....;7",4~~1....;3::.;9;,'7;.8;:1---:2 ~.~70JI "I-~ .m ~i= n= iju ;=e =g = o= s.::gr_at --= i5= .c= o= m 2: :1r--,2;-:4~ :lr12~'..;9~0+I-;;occO;:=} ~I

18759611 10. 7 0JI

I- .publicidad.ne!:

1_.=d 17 ;;= ou--:b-:"le~c-;;lic-;k-.n-e!:-:----;J :--1----:;7"lc---:;3-:.7;-;:6+1-;;:0-;;.0:;;;011


11

8,1 4.30 1 0.00 1 15771 ["OTo1 71741 J I4T9I 3.761 0.0011 51696 112.951

I-advertising.com

71

Fig. 8.32. Ca/amaris, dominios 2. o nivel accedidos.

Seguridod de alto nivel en redes: proxy

Requestdestinotions by 2nd-level-domoin nos informo de los peticiones que ha habido o los dominios de segundo nivel (Fig. 8.36). Par ejemplo podemos observar que 01 dominio .minijuegos.com se han hecho 74 peticiones, es decir es el dominio ms consultado por los usuarios del proxy. Incoming TCP.requests by host nos muestra infarmocin sobre los peticiones que ha hecho codo equipo de lo red (Fig. 8.35). En nuestro coso solo tenemos un cliente, segn lo Figuro 8.35, tiene lo IP 192.168.50.140 que ha hecho 15 peticiones.

~~~:,i~~~~Hjn

Generador de

DOtumefltos ..

Informes de Anlisis de Squid 1:)

ori~en de H'Slncoy De~tino de Informe

Opdonos de Informe

E$\~o

de Informl!

Sin embargo, colomoris no nos est ofreciendo informacin sobre qu usuarios occe den o qu dominios (siempre tenemos lo opcin de consultarlo en el fichero access.log directamente), por lo que vamos a instalar otro paquete del repositorio llamado Sarg (aplilude inslall sarg) y el mdulo de Webmin que permite gestionarlo, tambin llamado Sargo Los pasos para la insta lacin de Sarg en Webmin son los mismos que se explica ron para el mdulo Squid de Webmin. Una vez instalado, vamos a configurarlo directamente a partir de su fichero de configu. racin editando el fichero / etc/ squid/sarg.conf. Modificamos dos par metros language -pondremos Spanish- y access_log -pondremos la ruta al fichero access.log de Squid (ya la vimos en la Tabla 8.2 es /var/ log/squid3/ access.log) . Una vez configurado accedemos a Webmin y entramos en Servidores> Generador de informes Squid (Fig. 8.36). Con la configurocin por defecto del mdulo ser suficiente, por lo que podemos generar un informe pinchando sobre el batn Generar informe ahora. Ahora si pulsamos sobre Ver Informe Generado, podremos ver el informe que acabamos de generar. Dentro de Webmin, en Opciones de informe podemos seleccionar varios tipos de infor me; si seleccionas la opcin Todos los informes, Sarg generar todos los informes para las que haya informacin.

Genera,in de Informe pI3n'I!ca do

1Ge nerar Informo Ahora I Puln est e bot n para yenerar

'-=====-'-' Inmed,atam ente un Informe 5 ..ry


en /var / """"/5'lu l d ~ep Drt'i ut,I,:ando.la confl gurac,n ilctUill.

Fig. 8.33. 50r9 en Webmin.

~ Actividades
46. Sigue las siguientes pasas: 1. Configura Squid para que se prohba el acceso a las noticias, se prahba el acceso a cuentas de correo excepto a los jefes y haya dos departamentos, ventas y contabilidad con diferentes permisos. 2. Vaca los ficheros de lag de squ id:
uu uu uu

3. echo 4. echo 5. echo

> /var//og/squid3/access.log > /var/log/squid3/cache.log

> / var/log/squid3/slore.log 6. En el ordenador del cliente navega desde diferentes departamentos y dife rentes usuarios y tanto a pginas a las que se tiene acceso como a pginas a las que no. Intenta autenticarte como uno de los jefes (en algn caso no escribas bien la contrasea).
Genera un informe completo en Sarg de Webmin en el que se incluya pginas accedidas por cada usuario, listado de sitios ms visitados, denegaciones de acceso y fallos en la autenticacin. Quines son los usuarios que han intentado acceder a pginas para las que no tienen acceso? tiempo? (pueden esta r intentando descubrir una clave de usuario). e) Comprueba las pginas que ha visitado cada usuario Son pginas correc tos para un trabajador de SiTour?

7.

y responde a las siguientes cuestiones:


a)

b) Hay usuarios que hayan intentado autenticarse muchas veces en poco

d) Cules son las pginas ms visitadas?


232

---------)

Seguridod de olto nivel en redes: proxy

Comprueba tu a"rendizaie~
Aplicar mecanismos de seguridad activa describiendo sus caractersticas y relacionndolas con las necesidades de uso del sistema informtico Asegurar la privacidad de la informacin transmitida en redes informticas describiendo vulnerabilidades e instalando software especfico
Contabilidad
192.168.50.10192.168.50.20 192.168.50.21 192.168.50.30 192.168.50.31 192.168.50.40 192.168.50.41 192.168.50.50
Tendrn acceso al correo, pginas de bancos y www.aeat. es

1. Instala WinGate, pera durante el procesa de instalacin responde que no a la instalacin de ENS (Extended Network System) . Qu diferencias observas en el funcionamiento del proxy? 2. Configura el servicio Remate Control Service para que te permita acceder a GateKeeper desde cualquier equipa de la red. 3. La empresa SiTaur quiere cantrolor el acceso o Internet de sus empleados. En lo empresa hoy: - Un jefe, Fernando que tiene que tener acceso o todo. - Dos empleados de ventas, Macarena y Gustavo, que no tendrn acceso a Internet excepto de 10:00 o 10:30, que es el hororio de descanso. - Un empleado de contabilidad, Virginia, que necesito tener acceso o lo pgina de lo agencio tributaria (www.aeat.es) y al correo de lo empresa (www. gmail.com). - Configura WinGate poro conseguir que en lo empresa SiTour se cumplan estos requisitos. 4. La empresa SiCon, que se dedica a la construccin, tiene 10 empleados en su oficina y otros 50 empleados que habitualmente no estn pero que de vez en cuando trabo ion una moona all. Configura WinGate paro que permito un acceso aceptable o las 10 empleados que estn en lo oficina habitualmente y un acceso mnimo o los usuorios que de vez en cuando estn all. 5. En lo empresa SiCon se ha detectado que se est accediendo o alguno pgina de juegas y opuestos online. Tiene que ser uno de los diez empleadas que habitualmente est en la empresa, parque el resto no tienen acceso a este tipo de contenidos. Realizo lo auditora necesaria en WinGate para detectar quin es lo persona que est realizando estos accesos. 6. En Squid, accede a la carpeta de mensajes de error, hoz una copia de dicho carpeta y despus modifico los ficheros de mensajes para que aparezca el logotipo de SiTour (genera tu propio logotipo con tu herramienta favarita, por ejemplo, Paint).

Gerencia Proyectos

A todo
Ava nzado: todo menos juegos Correo y sindicatos Iwww.ugt.es)

RRHH

Configura Squid para permitir y negar los accesos que se especifican en la tabla. 8. Basndonos en la configuracin del coso prctico anterior y en parejas, uno hace el rol de usuario del proxy y el otro el de administrador. El alumno que hace de usuario pertenecer al departamento de Proyectos y tratar de averiguar pginas para las que no debera tener acceso, pero que en realidad s tiene. El alumno que hace de administrador revisar los lag para detector accesos indebidos e ir incluyendo esos dominios en los ficheros adecuados para prohibir el acceso a dichas pginas. 9. Modificar la Actividad 7 para que la s personas de los departamentos de Gerencia, Gustavo y Fernando, y de Recursos Humanos, Virginia y Macarena , tengan que autenticarse. 10. Configura Squid para que tu servidor proxy haga de Proxy para toda la clase. Reflexiona previamente sobre los contenidos que deberan bloquearse y qu tipo de autenticacin sera necesaria. 11. Para poder aproximarnos ms a una situacin real, uno de los equipos configurados en el ejercicio anterior se utilizar durante un por de das como proxy de lo clase . De esta forma generaremos unos ficheros de lag reales para un proxy de instituto. 12. Una vez pasados los dos das de funcionamiento del Proxy, todos los grupos se copiarn los ficheros de lag a su propio servidor y analizarn la informacin destacando: Datos relevantes: usos indebidos, intentos de acceso indebidos, cinco pginas ms accedidas, usuarios con ms trfico, errores en la configuracin. Medidas a tomar: sobre la autenticacin, sobre las clasificaciones, sobre el fichero de configuracin.

7.

En la empresa SiCon hay 4 departamentos que deben tener los siguientes accesos:

Seguridad de alto nivel en redes: proxy

Diferentes permisos usuarios Compartir una nica direccin IP

..

.
Auditora deltrfico
Cache de pginas consultadas

Proxy (tradicional) Proxy NAT


Proxy transparente

Creacin de usuarios

Autenticacin de usuarios Wingate

PureSight

Gestin de logs

Control de acceso

Autenticacin de usuarios
S~uid

Clasificacin de sitios

Gestin de logs

234

Anexo

Anexo: ndice de trminos

802.11 a, b, g, n
802.1x

Pgina 163 Unidad 6 Pgina 172 Unidad 6 Pgina 126 Unidad 5 Pgina 90 Unidad 4 Pgina 90 Unidad 4 Pgina 90 Unidad 4 Pgina 21 Unidad 1 Pgina 11 Unidad 1 Pgina 139 Unidad 5 Pgina 136 Unidad 5 Pgina 197 Unidad 7 Pgina 197 Unidad 7 Pgina 198 Unidad 7 Pgina 181 Unidad 7 Pgina 133 Unidad 5 Pginas 11, 25 Unidad 1 Pgina 11 Unidad 1 Pgina 123 Unidad 5 Pgi na 95 Unidad 4 Pgina 95 Unidad 4 Pgina 95 Unidad 4 Pgina 11 Unidad 1 Pgina 181 Unidad 7 Pgina 65 Unidad 3 Pgina 133 Unidad 5 Pgina 13 Unidad 1 Pgina 88 Unidad 4 Pgina 11 Unidad 1 Pgina 94 Unidad 4 Pgina 133 Unidad 5 Pgina 86 Unidad 4 Pgina 84 Unidad 4 Pgina 112 Unidad 5 Pgina 82 Unidad 4 Pgina 82 Unidad 4

ACL Algoritmos Algoritmos de bloque Algoritmos de flujo


Amenazas

Antivirus ARP Arquitectura Dual-Homed Host Arquitectura Screened Host Arquitectura Screen Subnet Arquitectura Screened Router Atacantes Auditoria Autenticacin Autenticacin de los usuarios Autoridad de certificacin Autoridad de registro Autoridades de los repositorios Autorizacin Bastin Borrar puntos de restauracin Carder Centro de clculo Certificado de revocacin Certificado digital Certificados digitales Ciberterroristas Cifrado clave asimtrica Cifrado clave privada Cifrado de particiones Cifrador de Vigenre Cifra dar del Cesar

Anexo

Cifrador PoLybios Clasificacin de mtodos de criptografia Climatizacin Cluster de servidores ConfidenciaLidad ControL de acceso ControL de cuentas de usuario Copia de registro Copia de seguridad compLeta Copia de seguridad diferenciaL Copia de seguridad incrementaL Copias encriptadas Cortafuegos Cortafuegos a niveL circuitos Cortafuegos a niveL paquete Cortafuegos de pasareLa de apLicacin Cortafuegos de subred Cortafuegos personaLes Cortafuegos transparentes Cortafuegos Windows Vista CPD, centro de procesamiento de datos Cracker Criptografia Criptografia hbrida Criptografia simtrica Cuotas de disco Denegacin de servicio DiaLer DisponibiLidad DMZ DNS Spoofing DupLicity Encriptacin EsctaLa Esteganografia Etiqueta para soporte de copia de seguridad
!36

Pgina 81 Unidad 4 Pgina 83 Unidad 4 Pgina 33 Unidad 2 Pgina 44 Unidad 2 Pgina 10 Unidad 1 Pgina 32 Unidad 2 Pgina 159 Unidad 6 Pgina 72 Unidad 3 Pginas 51, 54 Unidad 3 Pginas 51, 56 Unidad 3 Pginas 51, 57 Unidad 3 Pgina 60, 61 Unidad 3 Pgina 11 Unidad 1 Pgina 181 Unidad 7 Pgina 186 Unidad 7 Pgina 186 Unidad 7 Pgina 186 Unidad 7 Pgina 186 Unidad 7 Pgina 184 Unidad 7 Pgina 186 Unidad 7 Pgina 182 Unidad 7 Pgina 31 Unidad 2 Pginas 9, 21 Unidad 1 Pgina 133 Unidad 5 Pgina 80, Unidad 4 Pgina 90 Unidad 4 Pgina 84 Unidad 4 Pgina 117 Unidad 5 Pgina 141 Unidad 5 Pgina 141 Unidad 5 Pgina 10 Unidad 1 Pgina 180, 198 Unidad 7 Pgina 136 Unidad 5 Pgina 61 Unidad 3 Pgina 11 Unidad 1 Pgina 80 Unidad 4 Pgina 83 Unidad 4 Pgina 73 Unidad 3

Anexo

Fabricacin Filtrado de paquetes Firewall Firma Firma digital


Funcin resumen Gusanos

Pgina 134 Unidad 5 Pgina 187 Unidad 7 Pgina 181 Unidad 7 Pgina 11 Unidad 1 Pginas 92 Unidad 4 Pgina 91 Unidad 4 Pgina 139 Unidad 5 Pginas 9, 21 Unidad 1 Pgina 133 Unidad 5 Pgina 158 Unidad 6 Pgina 91 Unidad 4 Pgina 148 Unidad 6 Pgina 74 Unidad 3 Pgina 74 Unidad 3 Pgina 149 Unidad 6 Pgina 149 Unidad 6 Pgina 159 Unidad 6 Pgina 69 Unidad 3 Pgina 141 Unidad 5 Pgina 10 Unidad 1 Pgina 134 Unidad 5 Pgina 186 Unidad 7 Pgina 134 Unidad 5 Pgina 141 Unidad 5 Pgina 190 Unidad 7 Pgina 90 Unidad 4 Pginas 192, 200 Unidad 7 Pgina 141 Unidad 5 Pgina 21 Unidad 1 Pgina 133 Unidad 5 Pgina 23 Unidad 1 Pgina 126 Unidad 5 Pgina 199 Unidad 7 Pgina 23 Unidad 1 Pgina 139 Unidad 5 Pgina 147 Unidad 6 Pgina 186 Unidad 7 Pgina 134 Unidad 5

Hacker Hamachi LogMeIn Hash HickjackThis Hoja de regist ro de copias de seguridad Hoja de registro de restauracin HTIP HTIPs IDs Imgenes
Ingeniea social

Integridad Intercepcin Interfaz Interrupcin Inundacin de peticiones sYN Iptables Kerckhoff Kerio WinRoute Keylogger L ammer Ley orgnica de prot eccin de datos Listas de control de acceso Logs LOPD Malware Modelos OSI Modificacin

/
Anexo

Monitorizacin de Windows NAS NAT Newbie No repudio Objetivos de la seguridad informtica OpenBSD OpenSSH Phising Phreaker Ping PKI Polticas de contraseas POP-lIPS Programacin copia Programadores de virus Proteccin del sistema Proxy Proxy transparente ProxyNAT Punto de acceso Punto de restauracin Radius RAID Recuperacin automtica del sistema Recuperacin sistema operativo Red privada virtual Reglas de filtrado R eparacin de inicio R estauracin copia de seguridad Restaurar sistema SAl on line SAl, sistema de alimentacin ininterrumpida SAN Seguridad activa Seguridad fsica Seguridad informtica

Pgina 131 Unidad 5 Pgina 46 Unidad 2 Pgina 190 Unidad 7 Pgina 133 Unidad 5 Pgina 10 Unidad 1 Pgina 10 Unidad 1 Pgina 192 Unidad 7 Pgina 150 Unidad 6 Pgina 142 Unidad 5 Pgina 133 Unidad 5 Pgina 187 Unidad 7 Pgina 95 Unidad 4 Pgina 123 Unidad 5 Pgina 147 Unidad 6 Pginas 56 , 57 Unidad 3 Pgina 133 Unidad 5 Pgina 63 Unidad 3 Pgina 180 Unidad 7 Pgina 204 Unidad 8 Pgina 213 Unidad 8 Pgina 213 Unidad8 Pgina 165 Unidad 6 Pgina 63, 64, 65 Unidad 3 Pgina 173 Unidad 6 Pgina 38 Unidad 2 Pgina 68 Unidad 3 Pginas 63 Unidad 3 Pgina 152 Unidad 6 Pgina 188 Unidad 7 Pgina 67 Unidad 3 Pgina 61, 64 Unidad 3 Pgina 65 Unidad 3 Pgina 36 Unidad 2 Pgina 35 Unidad 2 Pgina 46 Unidad 2 Pgina 16 Unidad 1 Pgina 13 Unidad 1 Pgina 10 Unidad 1

Anexo

Seguridad lgica Seguridad pasiva Servicios Servidores proxys Sistema de alimentacin en estado de espera Sistemas biomtricos Sistemas de sustitucin Sistemas de transposicin Sniffer Snort Soporte de copias de seguridad Spoofing SPS, Stand by Power Systems Spyware SpywareBlaster Squid SSH SSL Telnet Ti pos de ataques Tripwire Enterprise Troyanos UAC Ubicacin ltima co nfiguracin conocida UPS Virus Vulnerabilidades del sistema Wannabe Webmin WEP Wi-Fi WinGate WPA Zona desmilitarizada ZoneAlarm

Pgina 14 Unidad 1 Pgina 16 Unidad 1 Pgina 159 Unidad 6 Pgina 11 Unidad 1 Pgina 36 Unidad 2 Pgina 125 Unidad 5 Pgina 83 Unidad 4 Pgina 83 Unidad 4 Pgina 133 Unidad 5 Pgina 159 Unidad 6 Pgina 53 Unidad 3 Pgina 135 Unidad 5 Pgina 36 Unidad 2 Pgina 147 Unidad 6 Pgina 147 Unidad 6 Pgina 219 Unidad 8 Pgina 150 Unidad 6 Pgina 150 Unidad 6 Pgina 150 Unidad 6 Pgina 134 Unidad 5 Pgina 159 Unidad 6 Pgina 139 Unidad 5 Pgina 159 Unidad 6 Pgina 30 Unidad 2 Pgina 67 Unidad 3 Pgina 35 Unidad 2 Pgina 139 Unidad 5 Pgina 20 Unidad 1 Pgina 129 Unidad 5 Pgina 133 Unidad 5 Pgina 230 Unidad 8 Pgina 166 Unidad 6 Pgina 163 Unidad 6 Pgina 208 Unidad 8 Pgina 170 Unidad 6 Pgina 180 Unidad 7 Pgi na 184 Unidad 7