Implantación de mecanismos de seguridad activa · Seguridad y alta disponibilidad. Tema 2...
Transcript of Implantación de mecanismos de seguridad activa · Seguridad y alta disponibilidad. Tema 2...
Implantación de mecanismos de seguridad activa Seguridad y alta disponibilidad. Tema 2 28/11/2011 Raque Castellanos Crespo
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 2
INDICE
• Ataques y contramedidas en sistemas personales:
- Clasificación de los ataques en sistemas personales.
- Anatomía de ataques.
- Análisis del software malicioso o malware:
- Historia del malware.
- Clasificación del malware: Virus,Gusanos,Troyanos, infostealers,
crimeware,grayware,…)
- Métodos de infección: Explotación de vunerabilidades, Ingeniería social,
Archivos maliciosos, Dispositivos extraíbles, Cookies maliciosas, etc.
- Herramientas paliativas. Instalación y configuración.
- Software antimalware: Antivirus (escritorio, on line, portables, Live),
Antispyware, Herramientas de bloqueo web.
- Herramientas preventivas. Instalación y configuración.
- Control de acceso lógico (política de contraseñas seguras, control de acceso en
la BIOS y gestor de arranque, control de acceso en el sistema operativo, política
de usuarios y grupos, actualización de sistemas y aplicaciones)
- Seguridad en la conexión con redes públicas:
- Pautas y prácticas seguras:
Técnicas de Cifrado:
-Criptografía simétrica.
-Criptografía asimétrica.
-Criptografía híbrida.
Identificación Digital:
-Firma Electrónica y Firma Digital.
-Certificado Digital, Autoridad certificadora (CA).
Documento Nacional de Identidad Electrónico (DNI
- Buenas prácticas en el uso del certificado digital y DNIe.
• Seguridad en la red corporativa:
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 3
- Amenazas y ataques en redes corporativas:
* Amenaza interna o corporativa y Amenaza externa o de acceso remoto.
* Amenazas: Interrupción, Intercepción, Modificación y Fabricación.
* Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
- Riesgos potenciales en los servicios de red.
* Seguridad en los dispositivos de red : terminales, switch y router.
* Seguridad en los servicios de red por niveles:
- Enlace, Red (IP), Transporte(TCP-UDP) y Aplicación.
- Monitorización del tráfico en redes: Herramientas.
- Intentos de penetración.
* Sistemas de Detección de Intrusos (IDS).
* Técnicas de Detección de Intrusos.
* Tipos de IDS: (Host IDS, Net IDS).
* Software libre y comercial.
• Seguridad en la red corporativa:
- Seguridad en las comunicaciones inalámbricas.
* Sistemas de seguridad en WLAN.
- Sistema Abierto.
- WEP.
- WPA.
* Recomendaciones de seguridad en WLAN.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 4
Clasificación de los ataques en sistemas personales
Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque.
Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático
(sistema operativo, programa de software o sistema del usuario) con propósitos
desconocidos por el operador del sistema y que, por lo general, causan un daño.
Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en
cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos
infectados (a través de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que
está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.
Para bloquear estos ataques, es importante estar familiarizado con los principales tipos y
tomar medidas preventivas.
Los ataques pueden ejecutarse por diversos motivos:
para obtener acceso al sistema;
para robar información, como secretos industriales o propiedad intelectual;
para recopilar información personal acerca de un usuario;
para obtener información de cuentas bancarias;
para obtener información acerca de una organización (la compañía del usuario,
etc.);
para afectar el funcionamiento normal de un servicio;
para utilizar el sistema de un usuario como un "rebote" para un ataque;
para usar los recursos del sistema del usuario, en particular cuando la red en la
que está ubicado tiene un ancho de banda considerable.
Tipos de ataque
Los sistemas informáticos usan una diversidad de componentes, desde electricidad para
suministrar alimentación a los equipos hasta el programa de software ejecutado
mediante el sistema operativo que usa la red.
Los ataques se pueden producir en cada eslabón de esta cadena, siempre y cuando exista
una vulnerabilidad que pueda aprovecharse. El esquema que figura a continuación
repasa brevemente los distintos niveles que revisten un riesgo para la seguridad:
.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 5
Los riesgos se pueden clasificar de la siguiente manera:
Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso
a los equipos:
o Interrupción del suministro eléctrico.
o Apagado manual del equipo.
o Vandalismo.
o Apertura de la carcasa del equipo y robo del disco duro.
o Monitoreo del tráfico de red.
Intercepción de comunicaciones:
o Secuestro de sesión.
o Falsificación de identidad.
o Redireccionamiento o alteración de mensajes.
Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el
funcionamiento normal de un servicio. Por lo general, las denegaciones de
servicio se dividen de la siguiente manera:
o Explotación de las debilidades del protocolo TCP/IP.
o Explotación de las vulnerabilidades del software del servidor.
Intrusiones:
o Análisis de puertos.
o Elevación de privilegios: este tipo de ataque consiste en aprovechar una
vulnerabilidad en una aplicación al enviar una solicitud específica (no
planeada por su diseñador). En ciertos casos, esto genera
comportamientos atípicos que permiten acceder al sistema con derechos
de aplicación. Los ataques de desbordamiento de la memoria
intermedia (búfer) usan este principio.
o Ataques malintencionados (virus, gusanos, troyanos).
Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo
usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño,
genera una vulnerabilidad en el sistema al brindar información (la contraseña,
por ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello
sucede, ningún dispositivo puede proteger al usuario contra la falsificación: sólo
el sentido común, la razón y el conocimiento básico acerca de las prácticas
utilizadas pueden ayudar a evitar este tipo de errores.
Puertas trampa: son puertas traseras ocultas en un programa de software que
brindan acceso a su diseñador en todo momento.
Es por ello que los errores de programación de los programas son corregidos con
bastante rapidez por su diseñador apenas se publica la vulnerabilidad. En consecuencia,
queda en manos de los administradores (o usuarios privados con un buen conocimiento)
mantenerse informados acerca de las actualizaciones de los programas que usan a fin de
limitar los riesgos de ataques.
Además, existen ciertos dispositivos (firewalls, sistemas de detección de intrusiones,
antivirus) que brindan la posibilidad de aumentar el nivel de seguridad.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 6
Anatomía de un ataque
Fase 1 – Reconocimiento (Reconnaissance)
El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la
información necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase
también puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el
ataque va a ser interno o externo. Esta fase le permite al atacante crear una estrategia
para su ataque.
Esta fase puede incluir la Ingeniería Social, buscar en la basura (Dumpster diving),
buscar que tipo de sistema operativo y aplicaciones usa el objetivo o víctima, cuales son
los puertos que están abiertos, donde están localizados los routers (enrutadores), cuales
son los host (terminales, computadoras) más accesibles, buscar en las bases de datos del
Internet (Whois) información como direcciones de Internet (IP), nombres de dominios,
información de contacto, servidores de email y toda la información que se pueda extraer
de los DNS (Domain Name Server).
Esta fase le puede tomar bastante tiempo al Hacker ya que tiene que analizar toda la
información que ha obtenido para lanzar el ataque con mayor precisión.
Fase 2 – Escaneo (Scanning)
Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En
el escaneo el atacante utiliza toda la información que obtuvo en la Fase del
Reconocimiento (Fase 1) para identificar vulnerabilidades específicas. Por ejemplo, si
en la Fase 1 el atacante descubrió que su objetivo o su víctima usa el sistema operativo
Windows XP entonces el buscara vulnerabilidades especificas que tenga ese sistema
operativo para saber por dónde atacarlo.
También hace un escaneo de puertos para ver cuáles son los puertos abiertos para saber
por cual puerto va entrar y usa herramientas automatizadas para escanear la red y los
host en busca de mas vulnerabilidades que le permitan el acceso al sistema.
Fase 3 – Ganar Acceso (Gaining Access)
Esta es una de las fases más importantes para el Hacker porque es la fase de penetración
al sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2.
La explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN
(Local Area Network), o sobre el Internet y puede incluir técnicas como buffer
overflows (desbordamiento del buffer), denial-of-service (negación de servicios), sesión
hijacking (secuestro de sesión), y password cracking (romper o adivinar claves usando
varios métodos como: diccionary atack y brute forcé atack).
Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al
sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el
sistema objetivo o víctima, una configuración de seguridad simple significa un acceso
más fácil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 7
conocimientos sobre seguridad informática y redes que tenga el Hacker y el nivel de
acceso que obtuvo al principio de la penetración (Fase 3).
Fase 4 – Mantener el Acceso (Maintaining Access)
Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el
acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del
sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para
escanear y explotar a otros sistemas que quiere atacar, también usa programas llamados
sniffers para capturar todo el trafico de la red, incluyendo sesiones de telnet y FTP (File
Transfer Protocol).
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y
data.
En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de
su penetración al sistema y hace uso de Backdoor (puertas traseras) y Troyanos para
ganar acceso en otra ocasión y tratar de tener acceso a cuentas de altos privilegios como
cuentas de Administrador. También usan los caballos de Troya (Trojans) para transferir
nombres de usuarios, passwords e incluso información de tarjetas de crédito almacenada
en el sistema.
Fase 5 – Cubrir las huellas (Covering Tracks)
En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades
ilícitas y lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema
comprometido ya que si borra sus huellas los administradores de redes no tendrán pistas
claras del atacante y el Hacker podrá seguir penetrando el sistema cuando quiera,
además borrando sus huellas evita ser detectado y ser atrapado por la policía o los
Federales.
Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography,
Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan
todos los eventos ocurridos en un sistema informático y permite obtener información
detallada sobre los hábitos de los usuarios), una vez que el Hacker logra plantar caballos
de Troya en el sistema este asume que tiene control total del sistema.
Análisis de software malicioso o Malware
Historia del Malware
Una pequeña historia de virus, gusanos y troyanos
Hace poco cumplió 20 años el primer virus presentado oficialmente. En el siguiente
resumen encontrará información sobre muchos hitos en la evolución de los virus,
gusanos y troyanos.
Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La
Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 8
posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia, es
fácil apreciar una aplicación negativa de la teoría expuesta por Von Neumann: los virus
informáticos, programas que se reproducen a sí mismos el mayor número de veces posible y
aumentan su población de forma exponencial.
En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert
Thomas Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado
CoreWar basado en la teoría de Von Neumann y en el que el objetivo es que programas
combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a
los oponentes. Este juego es considerado el precursor de los virus informáticos.
Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer
virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red
ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy
una enredadera (creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus
llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es
el origen de los actuales antivirus.
En la década de los 80 los PC ganaban popularidad y cada vez más gente entendía la
informática y experimentaba con sus propios programas. Esto dio lugar a los primeros
desarrolladores de programas dañinos y en 1981, Richard Skrenta escribe el primer
virus de amplia reproducción: Elk Cloner, que contaba el número de veces que
arrancaba el equipo y al llegar a 50 mostraba un poema.
En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en
uno de sus estudios definiéndolo como “Programa que puede infectar a otros
programas incluyendo una copia posiblemente evolucionada de sí mismo”.
En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar
archivos .EXE y .COM. Su primera aparición fue reportada desde la Universidad
Hebrea de Jerusalem y ha llegado a ser uno de los virus más famosos de la historia.
En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una
nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el
envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado
para propagarse a través del correo electrónico.
En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a
los daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love
You o LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los
usuarios a través del correo electrónico. Comenzaba aquí la época de grandes epidemias
masivas que tuvieron su punto álgido en el 2004.
Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o
el Bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor
repercusión y reconocimiento posible. Ese fue el año más duro de este tipo epidemias y
curiosamente el último. Los creadores de malware se dieron cuenta de que sus
conocimientos servirían para algo más que para tener repercusión mediática… para
ganar dinero.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 9
El Gran Cambio
Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal y como
los conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar
redes de bots para obtener dinero, cuando vieron que el entretenimiento que podía
suponer la creación de malware se podía convertir en un negocio muy rentable.
Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que
existen miles de variantes dado que los creadores, para dificultar su detección
modificaban permanente el código de los mismos.
Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de
otro malware que descarga el troyano bancario. Este último tipo de troyano es el
encargado de robar información relacionada con las transacciones comerciales y/o datos
bancarios del usuario infectado.
Otra amenaza latente relacionada con la obtención de beneficios económicos a través
del malware es el spyware y adware, donde algunas empresas de software permiten al
usuario utilizar sus aplicaciones a cambio de que los creadores puedan realizar un
monitoreo de las actividades del usuario sin su consentimiento.
En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las
tecnologías, móviles e inalámbricas, y su constante evolución han revolucionado en los
últimos años la forma en la que nos comunicamos y trabajamos. Sin embargo, la
expansión del uso de esta tecnología ha hecho que también se convierta en un vector de
ataque importante para la industria del malware.
Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso
para plataformas móviles: Cabir.A siendo, junto al ComWar.A, los mas conocidos,
este último no solo por su capacidad de replicarse a través de Bluetooth sino también a
través de mensajes de texto con imágenes y sonido (MMS), enviándose a las
direcciones y números de la agenda de sus víctimas. Actualmente existe malware para
las plataformas más comunes, como pueden ser Symbian, PocketPC, Palm, etc, siendo
el método de propagación tan diverso como las posibilidades que nos ofrecen estos
avances tecnológicos: SMS, MMS, IrDA, Bluetooth, etc.
A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits.
Como hemos mencionado anteriormente, los creadores de malware han visto en esta
actividad un método de enriquecimiento y pensando en términos económicos y
estableciendo el target más amplio posible, los usuarios de plataforma Windows
representan el 90% del mercado. Quizás otro obstáculo con el que chocan los creadores
de malware para Linux y Macintosh tiene que ver con la capacitación media/alta de los
usuarios de este tipo de plataformas, por lo que la Ingeniería Social, principal método de
propagación en la actualidad, no resulta tan eficiente con estos usuarios.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 10
Clasificación del Malware
1.- Adware: Este tipo de software nos muestra o baja anuncios publicitarios que
aparecen en nuestro ordenador por sorpresa. Pueden aparecerse a la vez que estamos
usando la conexión a una web concreta o después de que se haya instalado en nuestro
PC. Además, existen empresas que ofrecen softwares, que parecen ser, gratuitos a
cambio de publicitarse en nuestro ordenador, cuando accedemos a ese software puede
que se instale en nuestro ordenador un Spyware sin que nos demos cuenta.
2.- Backdoor: Es un software que permite entrar en nuestro ordenador o permite la entrada a
nuestra información sin nuestro permiso. Existen dos tipos: El Caballo de Troya, que se
encuentran en el interior de un software y que, cuando lo ejecutamos contamina el sistema
del ordenador quedándose en él permanentemente. El segundo tipo funciona de manera
similiar a la de los gusanos informáticos.
3.-Badware Alcalinos: Es una combinación de spyware y backdoor. Suele estar
interiorizado en las ventanas del sistema y observa continuamente hasta que decide
atacar a uno de nosotros.
4.- Bomba fork: Es un programa que se copia a sí mismo con el fin de ocupar toda la
memoria de nuestro ordenador y la capacidad de proceso de éste. Su forma de ataque es
del tipo Denial of Service, que consiste en atacar al servidor para eliminar la conexión a
una red, ya que consume todo el ancho de banda que ataca.
5.- Bots: Es un programa robot que lleva a cabo funciones aparentemente normales,
pero que crean cuentas en distintos sitios que ofrecen correos electrónicos gratuitos.
Con estas cuentas, Bots ataca nuestro ordenador. Muchas veces nos contesta los e-mails
como si fuera una persona. Algunos ejemplos son los correos que adivinan nuestro
futuro, juegos de Internet que nos permiten jugar contra otras personas…
6.- Bug: Se denomina con este término a todos los errores en la programación que
impiden que nuestros ordenadores funcionen como es debido.
7.- Caballo de Troya: Es una parte de un software dañino que parece ser un software
bueno. Son capaces de copiarse por sí mismos y pueden adjuntarse con otros tipos de
softwares por un programador o puede dañar nuestro ordenador engañándonos. Sus
efectos hacen que los archivos infecciosos, cuando se activa el troyano, crean
problemas al desarrollar sus acciones.
8.- Cookies: Es una forma de almacenamiento de información que se guarde en nuestro
ordenador y que puede hacer el seguimiento de nuestras preferencias en Internet, dando
una clave que el creador de las cookies puede identificar para conocer nuestros gustos.
Suele ser utilizado por hackers para comprobar esos gustos y restarnos intimidad en la
red.
9.- Crackers: Son programas que monitorean las contraseñas que usamos en nuestros
ordenadores.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 11
10.- Cryptovirus Ramsomware: También son denominados como secuestradores. Este
programa entra en nuestros ordenadores y cifra los archivos que tenemos en nuestro
disco duro. Suele solicitar que se envíe el pago por Internet para obtener la clave de las
codificaciones.
11.- Dialers: Son programas que llaman a un número de larga distancia. A través de
esta acción, el programa utiliza nuestro módem para entrar, sin nuestro permiso, a
páginas de juegos o pornográficas.
12.- Exploit: Es un software que ataca la vulnerabilidad de un sistema operativo. Tened
en cuenta que no siempre son maliciosos porque son desarrollados por investigadores
que pretenden demostrar que existe esa vulnerabilidad.
13.- Hijacker: Es un programa que cambia la configuración de la página de inicio del
navegador que utilizamos y redirige ésta a otros lugares, como páginas pornográficas y
lugares en los que se pueden copiar fácilmente nuestros datos bancarios.
14.- Hoax
15.- Keystroke: Son programas espías, que se suelen enviar a nuestros ordenadores por
medio de troyanos, que moritorean el sistema que comprueba las pulsaciones de nuestro
teclado para obtener claves y contraseñas en páginas relacionadas con las finanzas y
correos electrónicos. Cuando conocen estas contraseñas, el programa mantiene
informado al craker que lo creó para robarnos esa información.
16.- Leapfrog: Son programas que entran en nuestros ordenadores con el fin de conocer
nuestras claves de acceso y cuentas de correo para ser utilizadas después para sus
propios intereses.
17.- Parásito Informático: Estos softwares se adhieren a los archivos. Estos archivos,
cuando los ejecutamos, comienzan a propagarse por nuestro ordenador.
18.- Pharming: Es un programa que suplanta al DNS, en el host local, para llevarnos
hacia una web falsa.
19.- Phishing
20.- Pornware: Son programas que utilizan nuestros módem para conectarse a servicios
de pago relacionados con la pornografía.
21.- Rabbit: Es un tipo de gusano informático que llenan nuestros discos duros con sus
reproducciones y que saturan el ancho de banda de la red que utilizamos.
22.- Riskware: Son programas originales que contienen agujeros que utilizan los
crackers para dañar nuestros ordenadores.
23.- Rootkit: Es un programa que se introduce en nuestro ordenador cuando algún
hacker toma el control de éste.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 12
24.- Scumware: Es un software que cambia la apariencia y las funciones de páginas
web sin permiso de los administradores de las mismas.
25.- Spam
26.- Spyware: Son conocidos también como programas espía. Son aplicaciones que
recopilan información de los sistemas para, después, enviarla por medio de Internet.
27.- Ventanas Emergentes o Pop-Ups: Seguro que concéis este término ampliamente.
Son ventanas que aparecen cuando navegamos por Internet y nos muestran publicidad.
El peligro de estas ventanas radica en que pueden utilizarse para capturar direcciones de
e-mail.
28.- Worms o Gusanos: Son parecidos a los virus informáticos, la diferencia es que no
dependen de archivos portadores que contaminan otros sistemas. Los gusanos pueden
cambiar nuestros sistemas operativos para ejecutarse cuando se inicia el sistema. Lo que
hacen en investigar los huecos vulnerables y engañarnos para poder ejecutarse.
Métodos de propagación
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado,
ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el
programa malicioso actúa replicándose a través de las redes. En este caso se habla de
gusanos.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una
serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar
una pista del problema y permitir la recuperación del mismo.
Dentro de las contaminaciones más frecuentes por interacción del usuario están las
siguientes:
Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto).
Ingeniería social, mensajes como ejecute este programa y gane un premio, o, más
comúnmente: Haz 2 clics y gana 2 tonos para móvil gratis.. Entrada de información en discos de otros usuarios infectados.
Instalación de software modificado o de dudosa procedencia.
En el sistema Windows puede darse el caso de que el ordenador pueda infectarse sin
ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003)
por virus como Blaster, Sasser y sus variantes por el simple hecho de estar la máquina
conectada a una red o a Internet. Este tipo de virus aprovechan una vulnerabilidad de
desbordamiento de buffer y puertos de red para infiltrarse y contagiar el equipo, causar
inestabilidad en el sistema, mostrar mensajes de error, reenviarse a otras máquinas
mediante la red local o Internet y hasta reiniciar el sistema, entre otros daños. En las
últimas versiones de Windows 2000, XP y Server 2003 se ha corregido este problema
en su mayoría.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 13
Herramientas paliativas. Instalación y configuración.
Software antimalware: Antivirus (escritorio, online, portables, Live),
Antispyware, Herramientas de bloqueo web.
Programas anti-malware
Como los ataques con malware son cada vez mas frecuentes, el interés ha empezado a
cambiar de protección frente a virus y spyware, a protección frente al malware, y los
programas han sido específicamente desarrollados para combatirlos.
Los programas anti-malware pueden combatir el malware de dos formas:
Proporcionando protección en tiempo real (real-time protection) contra la instalación
de malware en una computadora. El software anti-malware escanea todos los datos
procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza.
Detectando y eliminando malware que ya ha sido instalado en una computadora. Este
tipo de protección frente al malware es normalmente mucho más fácil de usar y más
popular.17 Este tipo de programas anti-malware escanean el contenido del registro de
Windows, los archivos del sistema operativo, la memoria y los programas instalados en
la computadora. Al terminar el escaneo muestran al usuario una lista con todas las
amenazas encontradas y permiten escoger cuales eliminar.
La protección en tiempo real funciona idénticamente a la protección de los antivirus: el
software escanea los archivos al ser descargados de Internet y bloquea la actividad de
los componentes identificados como malware. En algunos casos, también pueden
interceptar intentos de ejecutarse automáticamente al arrancar el sistema o
modificaciones en el navegador web. Debido a que muchas veces el malware es
instalado como resultado de exploits para un navegador web o errores del usuario, usar
un software de seguridad para proteger el navegador web puede ser una ayuda efectiva
para restringir los daños que el malware puede causar.
Antivirus
Son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron
durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e
Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados
que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y
prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros
tipos de malware, como spyware, rootkits, etc.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 14
Antispyware
Tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el
sistema.
Un spyware es un software espía. Es una aplicación o pequeño programa que recolecta
información valiosa de la computadora desde donde está operando. Es un tipo de
malware que por lo general se introduce y opera en las PCs sin que el usuario lo
advierta. Esta introducción no solo puede ocurrir vía Internet, sino que también hay
espías que entran en las computadoras cuando el usuario acepta las condiciones de uso
de un programa al instalarlo, ya que por lo general, no está especificada la existencia del
mismo.
Además de verse vulnerada la privacidad de los usuarios, los spywares pueden producir
pérdidas económicas, pues son capaces de recolectar números de tarjetas de crédito y
claves de accesos. También pueden producir gran deterioro en el funcionamiento de la
computadora tales como bajo rendimiento, errores constantes e inestabilidad general.
Si bien Avast tiene antispyware incorporado, no hay problemas en que instales uno en el
sistema.
En su versión gratuita no constituye un programa residente, pero actualizándolo y
ejecutándolo periódicamente resulta muy bueno para la detección y eliminación de
spywares y adwares….
Herramientas de bloqueo web
Estas herramientas pueden ser automatizadas o no. Las herramientas automatizadas son
aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la
prevención y el control. Ninguna de estas herramientas es 100% efectiva por lo que
debemos ser conscientes de la importancia de las herramientas no automatizadas: la
educación y la concientización. El diálogo con los menores es la mejor herramienta de
prevención para los riesgos que existen en la web.
Todas las herramientas indicadas en la presente sección deben ser aplicadas con el
compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se
realizan y tomando la responsabilidad sobre cuáles son los contenidos a los que se podrá
acceder y a cuáles no.
Herramientas preventivas: instalación y configuración
Controles de acceso físico
La mayoría de los ataques físicos ocurren cuando una persona tiene acceso a las
dependencias. Los “intrusos” pueden ser personas ajenas a la organización o bien
personal interno, como empleados o contratistas. Cuando un intruso es capaz de acceder
físicamente a un sistema informático, por lo general puede también dejarlo fuera de
funcionamiento. Por ejemplo:
Normalmente un intruso puede manipular y acceder a las computadoras
protegidas con contraseña, introduciendo un disco de "inicio" retirable.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 15
Un intruso que logra interrumpir el proceso de inicio de un enrutador protegido
puede obtener privilegios administrativos en tal enrutador.
Un individuo puede acceder directamente a las redes para agregar o reorganizar
conexiones.
Alguien puede robar objetos físicos, tales como computadoras portátiles y
asistentes digitales personales (PDA).
A medida que los componentes informáticos se vuelven más pequeños y livianos, la
seguridad física adquiere cada vez mayor importancia.
POLITICAS DE CONTRASEÑAS SEGURAS
Al conectarse a un sistema informático, generalmente se debe ingresar: un nombre de
registro o nombre de usuario y una contraseña para acceder. Este par nombre de
registro/contraseña forma la clave para tener acceso al sistema.
Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador
de forma automática, el usuario casi siempre tiene la libertad de elegir la contraseña. La
mayoría de los usuarios, como piensan que no tienen ninguna información secreta que
proteger, usan una contraseña fácil de recordar (por ejemplo, su nombre de registro, el
nombre de su pareja o su fecha de nacimiento).
Esto implica, particularmente, que los empleados elijan las contraseñas a partir de
ciertos requisitos, por ejemplo:
Que la contraseña tenga una longitud mínima
Que tenga caracteres especiales
Que combinen mayúsculas con minúsculas
Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en
las contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto
dificulta el trabajo de los hackers que tratan de craquear las contraseñas con el correr del
tiempo. También es una excelente forma de limitar la duración de la contraseña
craqueada.
Por último, es aconsejable que los administradores usen software que craquea
contraseñas en sus contraseñas de usuario para probar su solidez. Sin embargo, se debe
hacer dentro del marco de la política de protección y con discreción para tener el apoyo
de la gerencia y los usuarios.
Seguridad del BIOS y del gestor de arranque
La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor de
arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso
físico a sus sistemas, arranquen desde medios removibles u obtengan acceso como root
a través del modo monousuario. Pero las medidas de seguridad que uno debería tomar
para protegerse contra tales ataques dependen tanto de la confidencialidad de la
información que las estaciones tengan como de la ubicación de la máquina.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 16
Por ejemplo, si se utiliza una máquina en una exhibición y esta no contiene datos
confidenciales, entonces puede que no sea crítico prevenir tales ataques. Sin embargo, si
se deja al descuido en la misma exhibición, la portátil de uno de los empleados con
llaves privadas SSH sin encriptar para la red corporativa, esto puede conducir a una
violación de seguridad importante para la compañía completa.
Contraseñas del BIOS
Las siguientes son las dos razones básicas por las que proteger la BIOS de una
computadora con una contraseña:
1. Prevenir cambios a las configuraciones del BIOS — Si un intruso tiene acceso a
la BIOS, puede configurarlo para que arranque desde un diskette o CD-ROM.
Esto les permite entrar en modo de rescate o monousuario, lo que a su vez les
permite plantar programas dañinos en el sistema o copiar datos confidenciales.
2. Prevenir el arranque del sistema — Algunas BIOSes le permiten proteger el
proceso de arranque con una contraseña. Cuando está funcionalidad está
activada, un atacante esta forzado a introducir una contraseña antes de que el
BIOS lanze el gestor de arranque.
Contraseñas del gestor de arranque
A continuación se muestran las razones principales por las cuales proteger el gestor de
arranque Linux:
1. Previene el acceso en modo monousuario — Si un atacante puede arrancar en
modo monousuario, se convierte en el superusuario de forma automática sin que
se le solicite la contraseña de acceso.
2. Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como
el gestor de arranque, un atacante puede usar la interfaz del editor para cambiar
su configuración o para reunir información usando el comando cat.
3. Previene el acceso a sistemas operativos inseguros — Si es un sistema de
arranque dual, un atacante puede seleccionar un sistema operativo en el
momento de arranque, tal como DOS, el cual ignora los controles de acceso y
los permisos de archivos.
Control de acceso en el sistema operativo
Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un
modelo común de control de accesos basado en lo siguiente:
Autorización basada en el usuario: El código se procesa en el mismo contexto de
seguridad del usuario que lo inicia. No puede hacerse nada para lo que el usuario
no esté autorizado.
Acceso discrecional a objetos asegurables: El propietario de un objeto (por
ejemplo, un archivo o una carpeta) puede conceder o denegar permisos para
controlar cómo se utiliza y quién lo utiliza.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 17
Herencia de permisos: Un objeto puede heredar permisos del objeto que lo
contiene (así, un objeto de archivo puede heredar los permisos del objeto de
carpeta al que pertenece).
Privilegios administrativos: Es posible controlar qué usuarios o grupos de
usuarios pueden desempeñar funciones administrativas y realizar cambios que
afecten a recursos de todo el sistema.
Auditoría de eventos del sistema: Estas funciones permiten tanto detectar los
intentos de burla a la seguridad del sistema como crear un registro de auditoría.
Se considera principal de seguridad a toda entidad capaz de ejecutar código. Los
principales de seguridad pueden ser tanto usuarios como programas capaces de actuar
en lugar de un usuario o un equipo. Procesos como los servicios de Windows se
ejecutan normalmente en el contexto de identidades de especial seguridad, como la
cuenta LocalSystem.
Los identificadores de seguridad (SID) son valores únicos de longitud variable que se
emplean para identificar tanto a los principales como a los grupos de seguridad.
En una Lista de control de acceso (ACL) se enumeran, de forma ordenada, las entradas
de control de acceso (entradas ACE) que definen las protecciones aplicables a un objeto
y sus propiedades. Cada una de estas entradas identifica a un principal de seguridad y
especifica el conjunto de derechos de acceso que le son concedidos o denegados o sobre
los que se ha de efectuar una auditoría. A cada objeto asegurable se le asocia un
descriptor de seguridad capaz de incluir dos tipos de listas de control de acceso (ACL):
Listas de control de acceso discrecional (DACL): identifican a los usuarios y a
los grupos a los que se permiten o se deniegan los distintos tipos de acceso
(lectura, lectura y escritura, etc.) al objeto asegurable.
Listas de control de acceso al sistema (SACL): controlan cómo debe auditar el
sistema operativo las cuestiones de acceso.
El sistema operativo efectúa una comprobación de acceso cada vez que un principal de
seguridad solicita realizar una acción sobre un objeto protegido.
Definición de Directivas o Políticas de Grupos
La configuración de Directiva de Grupo define los distintos componentes del entorno de
Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor
Windows 2000, de modo que el administrador del sistema determina cuales le serán
aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las
directivas que pueden especificarse, por ejemplo, podemos indicar aquellos programas
que deseemos se encuentren disponibles para nuestros usuarios, los programas que
aparecerán en su Escritorio, las opciones del menú Inicio, las opciones del navegador,
etc.
Para crear una configuración específica de Escritorio para un grupo de usuarios en
particular, se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 18
está contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha
directiva a los Sitios, Dominios o Unidades Organizativas indicadas en Active
Directory.
Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente
a lo largo de este apartado:
Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes
IP. Los sitios suelen representar la estructura física de la red.
Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de
usuario y de grupo centralizadas mantenidas por el administrador del dominio. Cada
dominio tiene sus propias directivas de seguridad y relaciones de seguridad con otros
dominios, y representa límite de seguridad en una red Windows 2000. Active Directory
está compuesto de uno o varios dominios, cada uno de los cuales puede abarcar más de
una ubicación física. Los dominios representan la estructura lógica de la organización.
Unidad Organizativa .- Es un objeto contenedor de Active Directory que se utiliza en
los dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden
colocarse usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden
contener objetos de su dominio principal. Una U.O. es el ámbito más pequeño al que se
puede aplicar una Directiva de Grupo.
Seguridad en la conexión con redes publicas
Técnicas de Cifrado:
El cifrado es un método que permite aumentar la seguridad de un mensaje o de un
archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la
persona que cuente con la clave de cifrado adecuada para descodificarlo. Por ejemplo, si
realiza una compra a través de Internet, la información de la transacción (como su
dirección, número de teléfono y número de tarjeta de crédito) suele cifrarse a fin de
mantenerla a salvo.
A continuación algunas de las técnicas de cifrado más utilizadas.
Criptografía simétrica.
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave
para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de
acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el
remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la
misma.
Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el
algoritmo. En otras palabras, no debería ser de ninguna ayuda para un atacante conocer
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 19
el algoritmo que se está usando. Sólo si el atacante obtuviera la clave, le serviría
conocer el algoritmo.
Actualmente, los ordenadores pueden descifrar claves con extrema rapidez, y ésta es la
razón por la cual el tamaño de la clave es importante en los criptosistemas modernos.
El principal problema con los sistemas de cifrado simétrico no está ligado a su
seguridad, sino al intercambio de claves. Una vez que el remitente y el destinatario
hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero
¿qué canal de comunicación que sea seguro han usado para transmitirse las claves?
Sería mucho más fácil para un atacante intentar interceptar una clave que probar las
posibles combinaciones del espacio de claves.
Otro problema es el número de claves que se necesitan. Si tenemos un número “n” de
personas que necesitan comunicarse entre sí, se necesitan n/2 claves para cada pareja de
personas que tengan que comunicarse de modo privado. Esto puede funcionar con un
grupo reducido de personas, pero sería imposible llevarlo a cabo con grupos más
grandes.
Criptografía asimétrica.
La criptografía asimétrica es el método criptográfico que usa un par de claves para el
envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el
mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave
es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede
generar una vez, de modo que se puede asumir que no es posible que dos personas
hayan obtenido casualmente la misma pareja de claves.
Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez
cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el
único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie
salvo el destinatario puede descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera
puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la
identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él
quien empleó su clave privada (salvo que alguien se la hubiese podido robar). Esta idea
es el fundamento de la firma electrónica.
Como con los sistemas de cifrado simétricos buenos, con un buen sistema de cifrado de
clave pública toda la seguridad descansa en la clave y no en el algoritmo. Por lo tanto, el
tamaño de la clave es una medida de la seguridad del sistema, pero no se puede
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 20
comparar el tamaño de la clave del cifrado simétrico con el del cifrado de clave pública
para medir la seguridad
La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y
descifrar con la otra, pero este sistema tiene bastantes desventajas:
Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
Las claves deben ser de mayor tamaño que las simétricas.
El mensaje cifrado ocupa más espacio que el original.
Criptografía híbrida.
La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico
como un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el
cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando la
clave y enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la
clave usada es diferente para cada sesión.
Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave de sesión es
cifrada con la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo
combinado automáticamente en un sólo paquete. El destinatario usa su clave privada
para descifrar la clave de sesión y acto seguido usa la clave de sesión para descifrar el
mensaje.
Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el de
cifrado simétrico de los que hace uso, independientemente de cuál sea más débil. En
PGP y GnuPG el sistema de clave pública es probablemente la parte más débil de la
combinación. Sin embargo, si un atacante pudiera descifrar una clave de sesión, sólo
sería útil para poder leer un mensaje, el cifrado con esa clave de sesión. El atacante
tendría que volver a empezar y descifrar otra clave de sesión para poder leer cualquier
otro mensaje.
Identificación digital
Es la verificación de la identidad en línea. Se encuentra dentro de la teoría de la Web
2.0 y se trata de ofrecer la autenticación y la confidencialidad, protegiendo documentos
de falsificaciones y manipulaciones.
Este sistema ya está operativo con diversas aplicaciones en funcionamiento y
numerosos organismos en fase de incorporación al sistema.
Firma electrónica y Firma digital
Una firma digital es un esquema matemático que sirve para demostrar la autenticidad
de un mensaje digital o de un documento electrónico. Las firmas digitales se utilizan
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 21
comúnmente para la distribución de software, transacciones financieras y en otras áreas
donde es importante detectar la falsificación y la manipulación.
Mientras que la firma electrónica es una firma digital que se ha almacenado en un
soporte de hardware; mientras que la firma digital se puede almacenar tanto en soportes
de hardware como de software. La firma electrónica reconocida tiene el mismo valor
legal que la firma manuscrita.
De hecho se podría decir que una firma electrónica es una firma digital contenida o
almacenada en un contenedor electrónico, normalmente un chip de ROM. Su principal
característica diferenciadora con la firma digital es su cualidad de ser inmodificable.
Certificado digital y Autoridad certificadora (CA)
Un certificado digital (también conocido como certificado de identidad) es un
documento digital mediante el cual un tercero confiable (una autoridad de certificación)
garantiza la vinculación entre la identidad de un sujeto o entidad y una clave pública.
Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un
individuo o entidad. La existencia de firmas en los certificados aseguran por parte del
firmante del certificado (una autoridad de certificación, por ejemplo) que la información
de identidad y la clave pública perteneciente al usuario o entidad referida en el
certificado digital están vinculadas.
Una Autoridad Certificadora (AC, en inglés CA) es una entidad de confianza del
emisor y del receptor de una comunicación. Esta confianza de ambos en una 'tercera
parte confiable' (trusted third party) permite que cualquiera de los dos confíe a su vez en
los documentos firmados por la Autoridad Certificadora, en particular, en los
certificados que identifican ambos extremos.
DNI electrónico
En España se expide desde marzo del año 2006 un tipo especial de documento de
identidad denominado Documento Nacional de Identidad electrónico (DNIe). Se trata
de la evolución del Documento Nacional de Identidad pensada para adaptar su uso a la
sociedad de la información y para que sus portadores puedan darle uso para
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 22
determinados servicios electrónicos. En la actualidad, solo es posible la obtención del
DNIe, al haberse actualizado todas las oficinas de expedición a esta nueva tecnología.
En el DNI electrónico se han desarrollado tres niveles de seguridad. En un primer nivel,
hologramas, letras táctiles, imágenes láser cambiantes...; en un segundo nivel, imágenes
codificadas, microtextos, kinegramas...; y, por último, medidas criptográficas y
biométricas.
El microchip, que constituye la principal novedad visible por el usuario, almacena la
siguiente información: datos de filiación del titular, imagen digitalizada de la fotografía,
imagen digitalizada de la firma manuscrita, plantilla de la impresión dactilar de los
dedos índice de cada mano, un certificado cualificado para autenticación y otro para
firma, certificado electrónico de la autoridad emisora y el par de claves (pública y
privada) de cada certificado electrónico. El hecho de que haya dos certificados persigue
que el ciudadano pueda distinguir entre las actividades de autenticación y firma
electrónica cuando se produzcan, al margen de la similitud de los procesos
criptográficos implicados en ambas.
El nuevo DNI se entrega prácticamente en el mismo momento de su petición en la
oficina de expedición del DNI de la policía de cada demarcación. Los documentos
vírgenes viajan en unas cajas fuertes equipadas con un mecanismo que en caso de
manipulación libera un ácido que inutiliza las tarjetas almacenadas en su interior.
No obtener el DNI, cuando se está obligado a ello, está considerado en el artículo 26 de
la Ley 1/92 de Protección de Seguridad Ciudadana como una falta sancionada hasta
con 300€. Esta misma Ley indica que las personas mayores de 14 años están obligadas a
obtenerlo y exhibirlo siempre y cuando un agente de la autoridad se lo requiera.
Buenas prácticas en el uso del certificado digital y el DNIe
Uso del DNI electrónico
Tal y como recoge la Declaración de Prácticas de Certificación del DNI electrónico, los
certificados electrónicos podrán utilizarse:
• Como medio de Autenticación de la Identidad.
El Certificado de Autenticación (Digital Signature) asegura que la comunicación
electrónica se realiza con la persona que dice que es. El titular podrá, a través de su
certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en posesión
del certificado de identidad y de la clave privada asociada al mismo.
• Como medio de firma electrónica de documentos.
Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un
mensaje firmado electrónicamente puede verificar la autenticidad de esa firma,
pudiendo de esta forma demostrar la identidad del firmante sin que éste pueda
repudiarlo.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 23
• Como medio de certificación de Integridad de un documento.
Permite comprobar que el documento no ha sido modificado por ningún agente externo
a la comunicación. La garantía de la integridad del documento se lleva a cabo mediante
la utilización de funciones resumen (hash), utilizadas en combinación con la firma
electrónica. Esto esquema permite comprobar si un mensaje firmado ha sido alterado
posteriormente a su envío.
Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del
documento ,de forma tal que cualquier alteración posterior del documento dará lugar a
una alteración del resumen.
El Certificado de Identidad Pública español (DNI electrónico) contribuirá,
necesariamente a la existencia de empresas prestadoras de servicios de valor añadido ya
que el DNI electrónico no facilitara en ningún caso los denominados "sobres" (sistemas
de cifrado, sellos de tiempo, etc.)
De la misma forma favorecerá la aparición de iniciativas privadas que presten servicios
de certificación a los ciudadanos. Esto se conseguirá en base a reconoce al DNI
electrónico como medio suficiente para acreditar, la identidad y los demás datos
personales de los interesados, pudiendo ser utilizado como medio de identificación para
la realización de un registro fuerte que permita la expedición de certificados
reconocidos por parte de entidades privadas, sin verse estas obligadas a realizar una
fuerte inversión en el despliegue y mantenimiento de una infraestructura de registro.
Seguridad en la red corporativa
Amenazas y ataque es redes corporativas
El objetivo de estas amenazas es la violación de los sistemas, provocando la pérdida o
modificación de los datos sensibles de la organización.
En cuanto a tipos de amenazas hay dos claros tipos:
Amenaza externa o de acceso remoto.
Son aquellas amenazas que se originan desde el exterior de la red. Al no tener
información certera de la red, un atacante tiene que realizar ciertos pasos para poder
conocer qué es lo que hay en ella y buscar la manera de atacarla, como son la
localización, violación de la seguridad y evadir las pruebas. La ventaja que se tiene en
este caso es que el administrador de la red puede prevenir una buena parte de los
ataques externos.
Amenaza interna o corporativa
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 24
Generalmente estas amenazas son más serias que las externas y pueden dañar
seriamente al sistema, algunas amenazas pueden ser la paralización del sistema por
daños físicos o la intrusión en la red internamente. Estas amenazas son potencialmente
peligrosas por estos motivos:
Los usuarios conocen la red y saben cómo es su funcionamiento.
Pueden tener algún nivel de acceso a la red por las mismas necesidades de su
trabajo.
Los Firewalls son mecanismos no efectivos en amenazas internas.
Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que
cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento
relacionado con la planeación de un esquema de seguridad eficiente que proteja los
recursos informáticos de las actuales amenazas combinadas.
Ataques al Sistema Operativo
Hay varios tipos de amenazas a los sistemas informáticos, que se pueden catalogar en:
Interrupción
En una interrupción un activo del sistema se pierde, este queda no disponible o
inoperable, como consecuencia de una destrucción maliciosa de un dispositivo de
equipo, haber borrado un programa o archivo de datos u ocasionado el
malfuncionamiento de un administrador de archivos del sistema operativo, para que el
sistema no pueda encontrar un archivo particular en disco.
Intercepción
Una intercepción significa que un tercero
no autorizado ha ganado acceso a un
activo. Este tercero puede ser una persona,
un programa o un sistema de cómputo.
Ejemplos de este tipo de ataque son: la
copia ilícita de programas o archivos de
datos, o la intrusión en la red de
comunicaciones para obtener datos.
La intercepción puede basarse en
Ingeniería Social donde el intruso obtiene
información privada proporcionada en
forma voluntaria. Este método es conocido
bajo el término "phishing".
Modificación
La modificación consiste en que alguien
cambie los datos de una base de datos, altere
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 25
el código de programa para ejecutar algún código adicional, o modifique los datos que
se transmiten electrónicamente.
Terceros pueden fabricar objetos plagiados en un sistema de cómputo. Un intruso puede
insertar en una red de comunicación transacciones fingidas o puede agregar nuevos
registros a una base de datos.
Fabricación
En este tipo de ataque, una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la
inserción de mensajes espurios en una red o añadir registros a un archivo.
Ataques
Denegación de Servicio: Comúnmente llamado
DoS (Denial of Service), es un ataque a un
sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a los usuarios
legítimos. Normalmente provoca la pérdida de
la conectividad de la red por el consumo
del ancho de banda de la red de la víctima o
sobrecarga de los recursos computacionales del
sistema de la víctima.
Se genera mediante la saturación de los puertos
con flujo de información, haciendo que
el servidor se sobrecargue y no pueda seguir
prestando servicios.
Una ampliación del ataque Dos es el
llamado ataque distribuido de denegación de
servicio, también llamado ataque DDoS (Distributed Denial of Service) el cual lleva a
cabo generando un gran flujo de información desde varios puntos de conexión.
Sniffing: Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por
una red. Esto que en principio es propio de una red interna o Intranet, también se puede
dar en la red de redes: Internet.
Esto se realiza mediante aplicaciones que actúan sobre todos los sistemas que componen
el tráfico de una red. Capturan, interpretan y almacenan los paquetes de datos que viajan
por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos
bancarios).
Man in the middle: un ataque man-in-the-middle o
JANUS es un ataque en el que una persona
adquiere la capacidad de leer, insertar y modificar
a voluntad los mensajes entre dos partes cifradas
sin que ninguna de ellas conozca que el enlace
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 26
entre ellos ha sido violado.
Spoofing: Es el conjunto de técnicas de suplantación de identidad generalmente con
usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre
ellos tenemos el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing o email
spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología
de red susceptible de sufrir suplantaciones de identidad.
Pharming: es la explotación de una vulnerabilidad en el software de los
servidores DNS o en el de los equipos de los propios usuarios, que permite a un atacante
redirigir un nombre de dominio a otra máquina distinta. De esta forma, un usuario que
introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su
explorador a la página web que el atacante haya especificado para ese nombre de
dominio.
Riesgos potenciales en los servicios de red
Los servicios de red pueden implicar muchos riesgos para los sistemas. Abajo se
muestra una lista de algunos de los principales problemas:
Ataques de rechazo de servicio (Denial of Service, DoS) — Inundando un
servicio con peticiones se puede producir un ataque de rechazo de servicio que
llevaría al sistema a un estado suspendido, mientras este intenta responder a cada
petición.
Ataques de vulnerabilidad de scripts — Si un servidor esta usando scripts para
ejecutar acciones del lado del servidor, como usualmente hacen los servidores
Web, un pirata puede montar un ataque a los scripts que no hayan sido escritos
de forma apropiada. Estos ataques de vulnerabilidad de scripts podrían llevar a
una condición de desbordamiento del buffer o permitir al atacante alterar
archivos en el sistema.
Ataques de desbordamiento del buffer — Los servicios que se conectan a
puertos del 0 al 1023 deben ser ejecutados como un usuario administrativo.
Debido a que los desbordamientos del buffer existen, los maleantes informáticos
usarán herramientas automatizadas para identificar vulnerabilidades en los
sistemas y una vez que han obtenido acceso, utilizaran kits automatizados para
mantener su acceso al sistema.
Seguridad en los dispositivos de red : terminales, switch y router.
Seguridad en los terminales: instalaciones por defecto no pensadas para la seguridad
o la facilitación a los usuarios son algunos de los motivos por los que nuestros
quipos no son seguros. Algunas medidas que se pueden tomar son:
- Conocimientos del sistema
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 27
- Verificación de la integridad
- Protocolos cifrados
- Revisión de los registros
- Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)
- Eliminación de servicios innecesarios
- Reglas de acceso (cotafuegos)
Protección de los switch: los puertos de entrada pueden ser un punto de entrada a la
red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una
función que se conoce como seguridad de puertos. La seguridad de puertos limita la
cantidad de direcciones MAC validas que se permiten por puerto. El puerto no
reenvia paquetes con direcciones MAC de origen que se encuentran fuera del grupo
de direcciones definidas. Existen tres maneras de configurar la seguridad de puertos:
Estatica: las direcciones MAC se configuran manualmente con el comando de
configuración de interfaz switchport port-security mac-address. Las direcciones
MAC estaticas se almacenan en la tabla de direcciones y se agregan a la
configuración.
Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en
la tabla de direcciones. Se puede controlar la cantidad de direcciones que se
aprenden. La cantidad máxima predeterminada de direcciones MAC que se
aprenden por puerto es una. Las direcciones que se aprenden se borran de la tabla si
el puerto se desconecta o si el switch se reinicia.
Routers: debemos tomar las siguientes políticas de seguridad:
- Seguridad física
o Designar al personal para actividades de instalación y desinstalación
o Designar la persona para realizar actividades de mantenimiento
o Designar al personal para realizar la conexión física
o Definir controles de colocación y usos de la consola y los puertos de
acceso
o Definir procedimientos de recuperación ante eventualidades físicas
- Seguridad deconfiguracionestatica
o Definir directrices para la detección de ataques directos
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 28
o Definir políticas de administración en intercambio de información
(Protocolos de ruteo, RADIUS, SNMP, TACAS+, NTP).
o Definir políticas de intercambio de llaves de encriptación.
- Seguridad de configuración dinámica
o Identificar los servicios de configuración dinámica del router, y las redes
permitidas para accesar dichos servicios.
o Identificar los protocolos de routeo a utilizar, y sus esquemos de
seguridad que proveen.
o Designar mecanismos y políticas de actualización del reloj (manual o por
NTP)
o Identificar los algoritmos criptográficos autorizados para levantar vpn´s.
- Seguridad en servicios de red
o Enumerar protocolos, pùertos y servicios a ser permitidos o filtrados en
cada interface, asi como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
Para conseguir seguridad en el router debemos:
- Loopback
o Enumerar a las personas u organizaciones y ser notificadas en caso de
una red comprometida
o Identificar la información relavante a ser capturada y retenida
o Definir procedimientos de respuesta, autoridades y los objetivos de la
respuesta después de un ataque exitoso, incluir esquemas de preservación
de la evidencia (cadena de custodia).
Seguridad en los servicios de red por niveles: Enlace, Red (IP),
Transporte (TCP-UDP) y Aplicación. Seguridad en el nivel de enlace:
- Ataques basados en MAC y ARP
o CAM Table Overlow: consiste en el inundar la tabla de
direcciones MAC de un switch haciendo que el switch envíe
todas las tramas de las direcciones MAC que no tiene en la tabla
a todos los equipos, haciendo que actúe como HUB.
o ARP Spoofing :es una técnica usada para infiltrarse en una red
Ethernet conmutada que puede permitir al atacante husmear
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 29
paquetes de datos en la LAN, modificar tráfico, o incluso
detenerlo.
- Ataques basados en VLAN
o Dinamic trunking protocol: automatiza la configuración de los
trunk 802.1Q. sincroniza el modo de trunking en los extremos
haciendo innecesaria la intervención administrativa en ambos
extremos.
o Vlan hopping attack: un equipo puede hacerse para coo un switch
con 80.2.1Q y DTP , o bien se puede emplear como un Switch
volviendo al equipo miembro de todas las VLAN. Requiere que
el puerto este configurado con trunking automatico.
o Doublé encapsulated VLAN Hopping Attack: una trama 802.1Q
lleva otra trama 802.1Q, solo permiten trafico en una sola
dirección y solo funciona entre VLAN.
o VLAN trunking Protocol:se emplea para distribuir configuración
de VLAN a través de multiples dispositivos. Solo se emplea en
puertos trunk y puede causar muchos inconvenientes. Utiliza
autentificación MD5.
Monitorización del tráfico en la red
Whireshark
Para muchos el principal programa de referencia en su sector. Se trata de un analizador
de protocolos que permite realizar análisis y solucionar problemas en redes de
comunicaciones. Posee una interfaz gráfica que nos permitirá interpretar mejor la
información que nos proporciona. Nos permite analizar todo el tráfico de una red
ethernet, aunque también se puede utilizar en redes de otro tipo, estableciendo la
configuración en modo promiscuo lo que le permite capturar todo el tráfico de la LAN.
Es un programa de software libre y multiplataforma, que podremos instalar tanto en
Windows, como en Mac o Linux. Para capturar tramas directamente de red es necesario
ejecutarlo con permisos de superusuario, razón por la cual es recomendable utilizarlo
con mucho cuidado y establecer la configuración de forma adecuada para los propósitos
de nuestra empresa. Para sacarle todo el partido deberemos saber realizar filtros para la
información recibida de forma que no nos veamos desbordados por la información que
nos proporciona.
WinDump
Es la versión para sistemas Windows de TCPDump, un paquete disponible en Linux y
Unix, entre otros sistemas para capturar los paquetes de datos que circulan por la
red de nuestra empresa. Tiene una gran funcionalidad, pero muchos pensarán que le
falla el aspecto gráfico, puesto que funciona por línea de consola, algo cada día más en
desuso sobre todo en sistemas Windows, donde muchos prefieren disponer de una
interfaz gráfica aún a costa de un rendimiento algo menor.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 30
Es una herramienta de análisis muy potente, que para utilizar correctamente debemos
dominar los comandos básicos y saber extraer la información necesaria en la que
estamos interesados. De igual modo que en el caso anterior, establecer filtros para tratar
de segmentar el filtrado de paquetes es fundamental para poder analizar la información
y no vernos desbordados.
Fing
Quizás se trate de una herramienta que nos ofrece menos información de la red que
las dos anteriores, pero más ordenada, más estructurada y en base a los informes que
nos permite construir podemos sacar más información. Nos ofrece toda la información
recopilada como resultado del análisis: dirección IP, estado, grupo de red, sistema
operativo, nombre de host, usuario entre otras cuestiones.
Al igual que en los casos anteriores se trata de un programa multiplataforma y
gratuito, que podemos descargar e instalar de forma sencilla para comenzar a auditar
nuestra red interna. Visualmente quizás es el más atractivo de los tres, aunque a la hora
de determinar problemas quizás sea el menos útil. A la vez es el más sencillo de usar y
requiere menos conocimientos de administración de redes que los dos anteriores
Como hemos comentado antes, para sacar el mejor partido de estas herramientas los
conocimientos de redes son más que necesarios. Cuanto mayor sea nuestro
conocimiento de la estructura de la red, la interpretación de los datos recibidos o el
establecimiento de filtros que nos ayuden a separar la información que estamos
recibiendo sin duda nos servirá para saber interpretar correctamente todos los datos
recibidos.
Intentos de penetración
Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un
entorno informatizado mediante la búsqueda, la identificación y explotación de
vulnerabilidades. Su alcance se extiende a:
Equipos de comunicaciones;
Servidores;
Estaciones de trabajo;
Aplicaciones;
Bases de Datos;
Servicios Informáticos;
Casillas de Correo Electrónico;
Portales de Internet;
Intranet corporativa;
Acceso físico a recursos y documentación;
Ingeniería social (La ingeniería social es la técnica por la cual se obtiene
información convenciendo al usuario que otorgue información confidencial,
haciéndose pasar por usuarios con altos privilegios como administradores y
técnicos).
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 31
Sistemas de Detección de intrusos (IDS).
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion
Detection System) es un programa usado para detectar accesos no autorizados a un
computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o
de Script Kiddies que usan herramientas automáticas.
El término IDS (Sistema de detección de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades
anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la
seguridad dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la
seguridad en el host.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en registros
(como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la
red que se introducen/salen del host para poder verificar las señales de intrusión (como
ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no
autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).
Técnicas de Detección de intrusos.
El tráfico en la red (en todo caso, en Internet) generalmente está compuesto
por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través
de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que
se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes
técnicas para detectar intrusiones:
Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping
de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 32
protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación
del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente
utilizada.
Verificación de los protocolos de la capa de aplicación: Algunas formas de
intrusión emplean comportamientos de protocolos no válidos, como "WinNuke",
que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para
detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una
amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP,
etc.
Tipos de IDS: (Host IDS, Net IDS).
Existen dos tipos de sistemas de detección de intrusos:
1) HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del
éxito de los intrusos, que generalmente dejaran rastros de sus actividades en
el equipo atacado, cuando intentan adueñarse del mismo, con propósito de
llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones
en el equipo afectado, y hacer un reporte de sus conclusiones.
2) NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo
capturando así todo el tráfico de la red.
Software libre y commercial
El software libre (en inglés free software, aunque esta denominación también se
confunde a veces con "gratis" por la ambigüedad del término "free" en el idioma inglés,
por lo que también se usa "libre software") es la denominación del software que respeta
la libertad de los usuarios sobre su producto adquirido y, por tanto, una vez obtenido
puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Según
la Free Software Foundation, el software libre se refiere a la libertad de los usuarios
para ejecutar, copiar, distribuir, estudiar, modificar el software y distribuirlo
modificado.
El software libre suele estar disponible gratuitamente, o al precio de costo de la
distribución a través de otros medios; sin embargo no es obligatorio que sea así, por lo
tanto no hay que asociar software libre a "software gratuito" (denominado usualmente
freeware), ya que, conservando su carácter de libre, puede ser
distribuido comercialmente ("software comercial"). Análogamente, el "software gratis"
o "gratuito" incluye en ocasiones el código fuente; no obstante, este tipo de software no
es libre en el mismo sentido que el software libre, a menos que se garanticen los
derechos de modificación y redistribución de dichas versiones modificadas del
programa.
'Software libre' no significa 'no comercial'. Un programa libre debe estar disponible para
uso comercial, desarrollo comercial y distribución comercial. El desarrollo comercial
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 33
del software libre ha dejado de ser inusual; el software comercial libre es muy
importante.
Cuando se habla de software libre, es mejor evitar términos como: `regalar' o `gratis',
porque esos téminos implican que lo importante es el precio, y no la libertad.
El software comercial
El software comercial es el software, libre o no, que es comercializado, es decir, que
existen sectores de la economía que lo sostiene a través de su producción, su
distribución o soporte.
El software comercial cuenta con las siguientes características:
- Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas
licencias restringen las libertades de los usuarios a usar, modificar, copiar y
distribuir el software.
- El desarrollo, programación y actualización de este software sólo lo hace la
empresa que tiene los derechos. Como sucede con los productos Microsoft
(Windows, Office, etc).
- En el software comercial se suele esconder y mezquinar los avances y
descubrimientos tecnológicos entre las empresas que lo desarrollan.
- Muchas veces con estrategias comerciales se suele hacer que los usuarios
actualicen su software comercial, sin que exista una necesidad verdadera de ello,
consiguiendo de esta forma hacer que el usuario invierta en nuevas licencias, la
mayoría de las veces innecesarias.
VENTAJAS Y DESVENTAJAS SOFTWARE COMERCIAL.
VENTAJAS
Las compañías productoras de software propietario, por lo general, tienen
departamentos de control de calidad que llevan a cabo muchas pruebas sobre el software
que producen.
Se destina una parte importante de los recursos a la investigación sobre la usabilidad del
producto.
Se tienen contratados algunos programadores muy capaces y con mucha experiencia.
El software propietario de marca conocida ha sido usado por muchas personas y es
relativamente fácil encontrar a alguien que lo sepa usar.
Existe software propietario diseñado para aplicaciones muy específicas que no existe en
ningún otro lado más que con la compañía que lo produce.
Los planes de estudios de la mayoría de las universidades del país tienen
tradicionalmente un marcado enfoque al uso de herramientas propietarias y las
compañías fabricantes ofrecen a las universidades planes educativos de descuento muy
atractivos.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 34
DESVENTAJAS
Es difícil aprender a utilizar eficientemente el software propietario sin haber asistido a
costosos cursos de capacitación.
El funcionamiento del software propietario es un secreto que guarda celosamente la
compañía que lo produce. En muchos casos resulta riesgosa la utilización de un
componente que es como una caja negra, cuyo funcionamiento se desconoce y cuyos
resultados son impredecibles. En otros casos es imposible encontrar la causa de un
resultado erróneo, producido por un componente cuyo funcionamiento se desconoce.
En la mayoría de los casos el soporte técnico es insuficiente o tarda demasiado tiempo
en ofrecer una respuesta satisfactoria.
Es ilegal extender una pieza de software propietario para adaptarla a las necesidades
particulares de un problema específico. En caso de que sea vitalmente necesaria tal
modificación, es necesario pagar una elevada suma de dinero a la compañía fabricante,
para que sea ésta quien lleve a cabo la modificación a su propio ritmo de trabajo y
sujeto a su calendario de proyectos.
SOFTWARE LIBRE
VENTAJAS
Ahorros multimillonarios en la adquisición de licencias.
Combate efectivo a la copia ilícita de software.
Eliminación de barreras presupuestales.
Beneficio social para el país.
Beneficio tecnológico para el país.
Muchos colaboradores de primera línea dispuestos a ayudar.
DESVENTAJAS
La curva de aprendizaje es mayor.
El software libre no tiene garantía proveniente del autor.
Se necesita dedicar recursos a la reparación de erratas.
No existiría una compañía única que respaldará toda la tecnología.
Las interfaces amigables con el usuario (GUI) y la multimedia apenas se están
estabilizando.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 35
Seguridad en la red corporativa
Sistemas de seguridad en WLAN.
Los paquetes de información en las redes inalámbricas viajan en forma de ondas de
radio. Las ondas de radio en principio pueden viajar más allá de las paredes y filtrarse
en habitaciones/casas/oficinas contiguas o llegar hasta la calle.
Si nuestra instalación está abierta, una persona con el equipo adecuado y conocimientos
básicos podría no sólo utilizar nuestra conexión a Internet, sino también acceder a
nuestra red interna o a nuestro equipo -donde podríamos tener carpetas compartidas- o
analizar toda la información que viaja por nuestra red -mediante sniffers- y obtener así
contraseñas de nuestras cuentas de correo, el contenido de nuestras conversaciones por
MSN, etc.
Para que una red inalámbrica sea segura ahí que tener en cuenta:
Cambiar la contraseña que trae por defecto. Un fabricante usa la misma
contraseña para todos sus equipos.
Usar encriptación WEP/WPA. Activar en el Punto de Acceso la encriptación
WEP, mejor 128 bits que de 64 bits… cuanto mayor sea el número de bits
mejor. Cuidar la frase para generar las claves, que no sean palabras del
diccionario, mezclar mayúsculas, números, que no sean letras seguidas de las
teclas del ordenador etc.
Cambiar el SSID por defecto. No usar palabras atractivas sino más bien
"Broken", "Down" o "Desconectado". El SSID (Service Set IDentifier) es un
código incluido en todos los paquetes de una red inalámbrica (Wi-Fi) para
identificarlos como parte de esa red. El código consiste en un máximo de 32
caracteres alfanuméricos. Todos los dispositivos inalámbricos que intentan
comunicarse entre sí deben compartir el mismo SSID.
Sistema Abierto.
La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos,
o vienen configurados por el operador. Pero si se quiere modificar algo, como la
seguridad, conviene conocer algunos de los parámetros de la conexión:
El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso.
Por defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se
puede cambiar y poner "PerezWiFi", por ejemplo.
El canal: por lo general se usa el canal 6, pero si el vecino también tiene un
punto de acceso en este canal habrá que cambiarlo para evitar interferencias.
Puede ser un número entre 1 y 11.
La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la
contraseña que tendrá que introducirse en los ordenadores que se quieran
conectar.
La clave compartida WPA: Como en el caso anterior, si se emplea seguridad
WPA hay que seleccionar una clave de acceso para poder conectarse a la red
WiFi.
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 36
Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas
para protegerlas. Esto quiere decir que los números y letras se cambian por otros
mediante un factor. Sólo con la clave adecuada se puede recuperar la
información. Cuanto más grande sea el factor de cifrado (más bits), tanto más
difícil resulta romper la clave.
WEP:
Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo
para redes Wireless que permite cifrar la información que se transmite.
Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que
utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128
bits (104 bits más 24 bits del IV). Los mensajes de difusión de las redes
inalámbricas se transmiten por ondas de radio, lo que los hace más susceptibles,
frente a las redes cableadas, de ser captados con relativa facilidad.
WPA:
Es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir
las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad
Equivalente a Cableado). Los investigadores han encontrado varias debilidades
en el algoritmo WEP (tales como la reutilización del vector de inicialización
(IV), del cual se derivan ataques estadísticos que permiten recuperar la clave
WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y
fue creado como una medida intermedia para ocupar el lugar de WEP mientras
802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza
Wi-Fi).
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde
se almacenan las credenciales y contraseñas de los usuarios de la red. Para no
obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticación mediante clave compartida ([PSK], Pre-Shared Key), que de un
modo similar al WEP, requiere introducir la misma clave en todos los equipos
de la red.
Recomendaciones de seguridad en WLAN
Consejos generales:
Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos
routers permiten controlar la intensidad de la señal, por esto, disminuya la
intensidad para restringir la propagación fuera del edificio.
- Cambie la contraseña por default del router inalámbrico: en general, el nombre
de usuario es admin y la contraseña también es admin.
- Cambie el SSID por default del router inalámbrico y deshabilite el broadcast
del SSID. Si es posible, no hay que permitir acceder a la red local a través de la
Implantación de mecanismos de seguridad activa
28 de noviembre de 2011
Página 37
red inalámbrica sino solamente a través de la red cableada conectada a uno de
los puertos LAN del router.
- Utilice WPA, en caso de que no estar disponible utilice WEP con una
contraseña de 128 bits, si es posible.
- Instale actualizaciones de firmware cuando estén disponibles por el fabricante.
- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.
- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall,
actualizando el antivirus, el sistema operativo y los programas.