qwertyuiopasdfghjklzxcvbnmq … · una enredadera (creeper), atrápame si puedes”. Para...
Transcript of qwertyuiopasdfghjklzxcvbnmq … · una enredadera (creeper), atrápame si puedes”. Para...
qwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmqwer
tyuiopasdfghjklzxcvbnmqwerty
uiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiop
asdfghjklzxcvbnmqwertyuiopas
dfghjklzxcvbnmqwertyuiopasdf
ghjklzxcvbnmqwertyuiopasdfgh
jklzxcvbnmqwertyuiopasdfghjkl
zxcvbnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjklzxcvbn
mqwertyuiopasdfghjklzxcvbnm
qwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmrtyui
opasdfghjklzxcvbnmqwertyuiop
SEGURIDAD Y ALTA
DISPONIBILIDAD 2º ASIR
30/11/2011
VICEN MORALES
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
1 VICEN MORALES
ÍNDICE
@ ATAQUES Y CONTRAMEDIDAS EN SISTEMAS PERSONALES:
- Clasificicación de los ataques en sistemas personales.
- Anatomía de ataques.
- Análisis de software malicioso o malware:
-Historia del malware
-Clasificación del malware: Virus, Gusanos, Troyanos,
Infostealers, crimeware, grayware…)
-Métodos de infección: Explotación de vulnerabilidades, ingeniería
social, Archivos maliciosos, dispositivos extraíbles, Cookies maliciosas ,
etc.
- Herramientas paliativas. Instalación y configuración.
-Software antimalware: antivirus (escritorio, on line, portables, Live),
Antispyware, Herramientas de bloqueo web.
- Herramientas preventivas. Instalación y configuración.
-Control de acceso lógico (política de contraseñas seguras, control de
acceso en la BIOS y gestor de arranque, control de acceso en el sistema
operativo, política de usuarios y grupos, actualización de sistemas y
aplicaciones)
@ SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS:
- Pautas y prácticas seguras:
Técnicas de Cifrado:
-Criptografía simétrica.
-Criptografía asimétrica.
-Criptografía híbrida.
- Identificación digital:
-Firma Electrónica y firma Digital.
-Certificado Digital, autoridad certificadora (CA).
-Documento Nacional de Identidad Electrónico (DNIe)
-Buenas prácticas en el uso del certificado digital y DNIe.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
2 VICEN MORALES
@ SEGURIDAD EN LA RED CORPORATIVA:
- Amenazas y ataques en redes corporativas:
-Amenazas interna o corporativa y Amenaza externa o de acceso
remoto.
-Amenazas: interrupción, intercepción, Modificación y Fabricación.
-Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
- Riesgos potenciales en los servicios de red.
-Seguridad en los dispositivos de red: terminales, switch y router.
-Seguridad en los servicios de red por niveles: Enlace, Red (IP)
Transporte (TCP-UDP) y Aplicación.
- Monitorización del tráfico en redes: Herramientas.
- Intentos de penetración.
-Sistemas de detección de intrusos (IDS)
-Técnicas de Detección de intrusos.
-Tipos de IDS: (Host IDS, Net IDS)
-Software libre y comercial.
@ SEGURIDAD EN LA RED CORPORATIVA:
- Seguridad en las comunicaciones inalámbricas.
-Sistema abierto.
-WEP
-WPA
- Recomendaciones de seguridad en WLAN
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
3 VICEN MORALES
UD 2 IMPLANTACIÓN DE MECANISMOS DE SEGURIDAD ACTIVA
*ATAQUES Y CONTRAMEDIDAS EN SISTEMAS PERSONALES:
- CLASIFICACIÓN DE LOS ATAQUES EN SISTEMAS PERSONALES.
Digamos que se entiende por amenaza una condición del entorno del sistema de
información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar
lugar a que se produjese una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo).
La política de seguridad y el análisis de riesgos habrán identificado las amenazas que
han de ser contrarrestadas, dependiendo del diseñador del sistema de seguridad
especificar los servicios y mecanismos de seguridad necesarios.
Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema
como un flujo de información desde una fuente, como por ejemplo un fichero o una
región de la memoria principal, a un destino, como por ejemplo otro fichero o un
usuario.
Un ataque no es más que la realización de una amenaza. Las cuatro categorías
generales de amenazas o ataques son las siguientes:
1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de
comunicación o deshabilitar el sistema de gestión de ficheros.
2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una
línea para hacerse con datos que circulen por
la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de
paquetes para desvelar la identidad de uno o más de los usuarios implicados en
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
4 VICEN MORALES
la comunicación observada ilegalmente (intercepción de identidad).
3. Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red.
4. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil
para obtener información de la comunicación, que puede consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los
paquetes monitorizados.
Control del volumen de tráfico intercambiado entre las entidades monitorizadas,
obteniendo así información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.
Los ataques pasivos son muy difíciles de
detectar, ya que no provocan ninguna
alteración de los datos.
Sin embargo, es posible evitar su éxito
mediante el cifrado de la información y otros
mecanismos que se verán más adelante.
Ataques activos
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
5 VICEN MORALES
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la
creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
a. Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden
ser capturadas y repetidas, permitiendo a una entidad no
autorizada acceder a una serie de recursos privilegiados suplantando a
la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.
b. Repetición: uno o varios mensajes legítimos son capturados y repetidos para
producir un efecto no deseado, como por ejemplo ingresar dinero repetidas
veces en una cuenta dada.
c. Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B".
d. Interrupción: o degradación fraudulenta del servicio, impide o inhibe el uso
normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
6 VICEN MORALES
-ANATOMÍA DE ATAQUES.
Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja
de aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la
perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para
comprender y analizar la forma en que los atacantes llevan a cabo un ataque.
La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque
informático al momento de ser ejecutado:
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que
puede ser una persona u organización, utilizando diferentes recursos.
Generalmente se recurre a diferentes recursos de Internet como búsquedas
avanzadas a través de Google y otros buscadores para recolectar datos del
objetivo. Algunas de las técnicas utilizadas en este primer paso son: diferentes
estrategias de Ingeniería social como el Dumpster diving (buscar información
del objetivo en la basura), el sniffing (interceptar información).
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información
obtenida en la fase 1 para sondear el blanco y tratar de obtener información
sobre el sistema víctima como direcciones IP, nombres de host, datos de
autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante esta fase se
encuentran:
o Network mappers
o Port mappers
o Network scanners
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
7 VICEN MORALES
o Port scanners
o Vulnerability scanners
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a
materializarse el ataque a través de la explotación de las vulnerabilidades y
defectos del sistema (Flaw exploitation) descubiertos durante las fases de
reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son:
o Buffer Overflow
o Denial of Service (DoS)
o Distributed Denial of Service (DDos)
o Password filtering
o Session hijacking
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha
conseguido acceder al sistema, buscará implantar herramientas que le
permitan volver a acceder en el futuro desde cualquier lugar donde tenga
acceso a Internet.
Para ello, suelen recurrir a recursos como:
o Backdoors
o Rootkits
o Troyanos
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener
y mantener el acceso al sistema, intentará borrar todas las huellas que fue
dejando durante la intrusión para evitar ser detectado por el profesional de
seguridad o los administradores de la red. En consecuencia, buscará eliminar
los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos
(IDS).
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
8 VICEN MORALES
-ANÁLISIS DE SOFTWARE MALICIOSO O MALWARE:
Un poco de Historia: el Malware
Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia, es fácil apreciar una aplicación negativa de la teoría expuesta por Von Neumann: los virus informáticos, programas que se reproducen a sí mismos el mayor número de veces posible y aumentan su población de forma exponencial.
En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y VictorVysottsky crean un juego denominado CoreWar basado en la teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es considerado el precursor de los virus informáticos.
Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera (creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus
llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.
En la década de los 80 los PC ganaban popularidad y cada vez más gente entendía la
informática y experimentaba con sus propios programas. Esto dio lugar a los primeros desarrolladores de programas dañinos y en 1981, Richard Skrenta escribe el primer
virus de amplia reproducción: Elk Cloner, que contaba el número de veces que arrancaba el equipo y al llegar a 50 mostraba un poema.
En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en uno de sus estudios definiéndolo como “Programa que puede infectar a otros programas incluyendo una copia posiblemente evolucionada de sí mismo”.
En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar archivos .EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea
de Jerusalem y ha llegado a ser uno de los virus más famosos de la historia.
En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una
nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
9 VICEN MORALES
envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado para propagarse a través del correo electrónico.
En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido
a los daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I LoveYou o LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los
usuarios a través del correo electrónico. Comenzaba aquí la época de grandes epidemias masivas que tuvieron su punto álgido en el 2004.
Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el sasser, o el bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor
repercusión y reconocimiento posible. Ese fue el año más duro de este tipo epidemias y curiosamente el último. Los creadores de malware se dieron cuenta de que sus
conocimientos servirían para algo más que para tener repercusión mediática… para ganar dinero.
El Gran Cambio
Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal y como los conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots para obtener dinero, cuando vieron que el entretenimiento que podía suponer la creación de malware se podía convertir en un negocio muy rentable.
Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen miles de variantes dado que los creadores, para dificultar s u detección modificaban permanente el código de los mismos.
Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de otro malware que descarga el troyano bancario. Este último tipo de troyano es el
encargado de robar información relacionada con las transacciones comerciales y/o datos bancarios del usuario infectado.
Otra amenaza latente relacionada con la obtención de beneficios económicos a través
del malware es el spyware y adware, donde algunas empresas de software permiten al usuario utilizar sus aplicaciones a cambio de que los creadores puedan realizar un
monitoreo de las actividades del usuario sin su consentimiento.
En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las tecnologías, móviles e inalámbricas, y su constante evolución han revolucionado en los últimos años la forma en la que nos comunicamos y trabajamos. Sin embargo, la expansión del uso de esta tecnología ha hecho que también se convierta en un vector de ataque importante para la industria del malware. Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para plataformas móviles: Cabir.A siendo, junto al ComWar.A, los más
conocidos, este último no solo por su capacidad de replicarse a través de Bluetooth sino también a través de mensajes de texto con imágenes y sonido (MMS), enviándose
a las direcciones y números de la agenda de sus víctimas. Actualmente existe malware para las plataformas más comunes, como pueden ser Symbian, PocketPC,
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
10 VICEN MORALES
Palm, etc, siendo el método de propagación tan diverso como las posibilidades que nos ofrecen estos avances tecnológicos: SMS, MMS, IrDA, Bluetooth, etc.
A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits.
Como hemos mencionado anteriormente, los creadores de malware han visto en esta actividad un método de enriquecimiento y pensando en términos económicos y
estableciendo el target más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado. Quizás otro obstáculo con el que chocan los
creadores de malware para Linux y Macintosh tiene que ver con la capacitación media/alta de los usuarios de este tipo de plataformas, por lo que la Ingeniería Social, principal método de propagación en la actualidad, no resulta tan eficiente con estos usuarios.
Una pequeña historia de virus, gusanos y troyanos
Hace poco cumplió 20 años el primer virus presentado oficialmente. En el siguiente resumen encontrará información sobre muchos hitos en la evolución de los virus, gusanos y troyanos.
1949
Los trabajos preliminares a los virus de ordenador se remontan al año 1949. John von Neumann (1903-1957) desarrolló la teoría de los autómatas autor replicantes. Pero entonces era impensable aún la materialización técnica.
La década de los 70
En CoreWars batallan entre sí programas escritos en "Código rojo". Luchan por sobrevivir en la memoria. Los llamados "imps" trajinan por la memoria y borran direcciones sin orden ni concierto. También había algunas versiones capaces de autocopiarse. Aquí tenemos las raíces de los virus informáticos.
1981 El profesor Leonard M. Adleman utiliza por primera vez el concepto de "virus informático" en una
conversación con Fred Cohen.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
11 VICEN MORALES
1982
Los primeros virus para el ordenador Apple II pasan en disquete de mano en mano en un círculo muy
restringido. Por un error, el virus causaba el bloqueo del programa. Este error se solucionó en las versiones
posteriores.
El virus "Elk Cloner" es el primer virus "en libertad" (“in the wild”) que enfada a los usuarios de Apple / DOS 3.3 con rimas con metátesis, indicaciones invertidas o falsas y ruidos de clic. Se propagaba por disquetes que se hicieron inservibles (probablemente
por equivocación) con otros sistemas operativos.
En el Xerox Alto Research Center, Jon Hepps y John Shock programaron los primeros gusanos. Se
utilizaban para cálculos repartidos y se propagaban en la red de modo autónomo. Por un fallo de
programación, esta difusión tuvo lugar sin control, lo que dejó los ordenadores fuera de combate al poco
tiempo.
1983
En noviembre, Fred Cohen presentó por primera vez el
concepto de virus en un seminario. Sólo necesitó 8 horas para implementar el primer virus funcional en
UNIX. A los pocos minutos tenía derechos de acceso sin restricciones en todos los ordenadores.
1984
Fred Cohen publica los primeros artículos acerca de
"Experimentos con virus informáticos", que se incorporan a su tesis doctoral "ComputerViruses -
Theory and Experiments", publicada en 1986. Su definición de virus, de orientación más bien
matemática, aún sigue siendo reconocida y no posee el matiz negativo que se asocia en la actualidad al
concepto de virus.
1985
No tardan mucho en aparecer otros virus dejados a su libre albedrío. A menudo, sólo se trata de programas bromistas para molestar al usuario del ordenador.
Verdaderamente maligno es el troyano Gotcha. Tras el
inicio del programa EGABTR, que aparentemente permite una representación gráfica, se borran los
datos del disco duro y en la pantalla aparece "Arf, arf, Gotcha" (“te pillé”).
El progr a
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
12 VICEN MORALES
CLASIFICACIÓN DEL MALWARE
¿Qué es un Virus Informático?
Es un programa informático diseñado para infectar archivos. Además, algunos podrían
ocasionar efectos molestos, destructivos e incluso irreparables en los sistemas sin el
consentimiento y/o conocimiento del usuario.
Cuando se introduce en un sistema normalmente se alojará dentro del código de otros programas. El virus no actúa hasta que no se ejecuta el programa infectado . Algunos
de ellos, además están preparados para activarse cuando se cumple una determinada condición (una fecha concreta, una acción que realiza el usuario, etc.).
El término virus informático se debe a su enorme parecido con los virus biológicos. Del mismo modo que los virus biológicos se introducen en el cuerpo humano e infectan una célula, que a su vez infectará nuevas células, los virus informáticos se introducen en los ordenadores e infectan ficheros insertando en ellos su "código". Cuando el programa infectado se ejecuta, el código entra en funcionamiento y el virus sigue extendiéndose.
¿Qué hacen los Virus Informáticos?
Los efectos de los virus pueden ser muy molestos para los usuarios ya que la infección de un fichero puede provocar la ralentización del ordenador o la modificación en su
comportamiento y funcionamiento, entre otras cosas.
Gusanos Informáticos
Otra categoría que se adapta a la nueva dinámica de Malware a través de la creación de grandes redes de bots.
¿Qué es un Gusano Informático?
Los "Gusanos Informáticos" son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el trabajo a los
usuarios. A diferencia de los virus, los gusanos no infectan archivos.
¿Qué hacen los Gusanos Informáticos?
El principal objetivo de los gusanos es propagarse y afectar al mayor número de ordenadores posible. Para ello, crean copias de sí mismos en el ordenador afectado,
que distribuyen posteriormente a través de diferentes medios, como el correo electrónico, programas P2P o de mensajería instantánea, entre otros.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
13 VICEN MORALES
Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre
atractivo con el que camuflar el archivo malicioso. Los temas más recurrentes son los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o software
pirata.
Además, el uso de esta técnica aumenta considerablemente en fechas señaladas como San Valentín, Navidades y Halloween, entre otras.
Evolución de los Gusano Informáticos e Internet
Los gusanos también se han adaptado a la nueva dinámica del malware. Antes los creadores de malware buscaban fama y notoriedad, por lo que diseñaban gusanos
capaces de propagarse masivamente e infectar ordenadores en todo el mundo.
Sin embargo, actualmente los gusanos están más orientados a obtener beneficios económicos. Se utilizan para crear grandes redes de bots que controlan miles de ordenadores en todo el mundo. Los ciberdelincuentes envían a estos ordenadores, denominados zombies, instrucciones para enviar spam, lanzar ataques de denegación de servicio o descargar archivos maliciosos, entre otras acciones. Familias como el Gaobot o sdbot son ejemplos de gusanos diseñados con este fin, y en la siguiente gráfica puede observar la importancia que tiene este tipo de gusanos en el escenario de malware actual.
Actualmente, existen miles de ordenadores que están siendo utilizados como zombies
sin que sus usuarios sean conscientes de ello. A pesar de estar comprometidos, los ordenadores se pueden utilizar con total normalidad, ya que el único indicio que se
puede notar es una bajada en su rendimiento.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
14 VICEN MORALES
¿Cómo protegernos? Panda Security
Para protegernos de este tipo de malware, existen una serie de consejos que mantendrán nuestro equipo mucho más seguro frente a los gusanos:
Antes de ejecutar cualquier archivo que pueda resultar sospechoso, analícelo
con su solución antivirus. Mantenga correctamente actualizado su programa antivirus, y si no dispone de
programa antivirus, instale cualquiera de las solucioneso de seguridad de
Paanda Security y estará totalmente protegido frente a estas amenazas. Haga un análisis gratuito de su equipo y compruebe si está libre de gus anos.
¿Qué son los "Troyanos"?
El principal objetivo de este tipo de malware es introducir e instalar otras aplicaciones
en el equipo infectado, para permitir su control remoto desde otros equipos.
Los troyanos no se propagan por sí mismos, y su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología, ya que los troyanos llegan al equipo del usuario como un programa aparentemente inofensivo , pero, en determinados casos, al ejecutarlo instalará en el equipo infectado un segundo programa; el troyano en sí. Este es un claro ejemplo de la familia de troyanos de tipo downloader.
Actualmente y a nivel mundial, el porcentaje del tráfico de Malware que representan
los troyanos es: Virus: 10.56%
¿Qué hacen los Troyanos?
Los efectos de los troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar ficheros o destruir la información del disco duro. Pero además
pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota. También pueden realizar acciones tales como capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Es debido a esta particular característica, son muy utilizados por los ciberdelincuentes para, por ejemplo, robar datos bancarios.
Evolución informática e histórica de los Troyanos
Los troyanos se concibieron como una herramienta para causar el mayor daño posible
en el equipo infectado. Trataban de formatear el equipo o eliminar archivos del Sistema pero no tuvieron mucha repercusión ya que en la época en la que los
creadores de malware buscaban notoriedad, los troyanos no se propagaban por sí mismos. Un ejemplo de este tipo de troyano es el Autorooter.
En los últimos años y gracias a la popularización de Internet esta tendencia ha
cambiado y es que los ciberdelincuentes han visto en este malware la herramienta
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
15 VICEN MORALES
perfecta para robar datos bancarios, nombres de usuario y contraseñas, información personal, etc. Es decir, han dado pie a la creación de una nueva categoría de malware:
los troyanos bancarios y el Spyware.
Dentro de los troyanos bancarios, uno de los más activos en la última época es Trj/Sinowal, que es un kit que se vende en determinados foros rusos y que permite al
comprador crear el troyano bancario que necesite para realizar un ataque.
En el laboratorio de PandaLabs hemos observado una preocupante tendencia al alza
en la creación de troyanos bancarios y, tal y como se puede ver en el siguiente gráfico, los troyanos actualmente representan más del 70% del malware que recibimos en el
laboratorio.
¿Cómo protegernos de los Troyanos? Panda Security
Para protegernos de este tipo de malware tan generalizado y al que todos estamos expuestos, existen una serie de consejos que mantendrán nuestro equipo mucho más seguro frente a él:
Evite descargarse contenidos de páginas desconocidas o de dudosa reputación. Vigile las descargas realizadas desde aplicaciones P2P. Actualice constantemente su programa antivirus, y si no dispone de programa
antivirus, instale cualquiera de las soluciones de seguridad de Panda Security y estará totalmente protegido frente a estas amenazas.
Haga un análisis gratuito de su equipo y compruebe si está libre de troyanos.
Stealer (en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en
un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web,
contraseña o número de tarjeta de crédito.
Infostealer puede afectar también al servicio de correo electrónico MSN, enviando mensajes falsos e incluso introduciendo en ellos datos incluidos por los usuarios en sus mensajes a través de dicho servicio.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
16 VICEN MORALES
Otro problema causado por stealer puede ser la desconexión involuntaria de un sitio web.
Estos programas pueden detectarse y eliminarse mediante software antivirus,
aunque la mejor forma de evitarlos consiste en no abrir documentos anexos a correos electrónicos enviados por remitentes desconocidos o dudosos.
Crimeware es un tipo de software que ha sido específicamente diseñado para la
ejecución de delitos financieros en entornos en línea. El término fue creado por
Peter Cassidy, Secretario General del Anti-PhishingWorking para diferenciarlo de otros tipos de software malicioso.
El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseñado,
mediante técnicas de ingeniería social u otras técnicas genéricas de fraude en línea, con el fin de conseguir el robo de identidades para acceder a los datos de
usuario de las cuentas en línea de compañías de servicios financieros (típicamente clínicas) o compañías de venta por correo, con el objetivo de obtener los fondos de
dichas cuentas, o de completar transacciones no autorizadas por su propietario legítimo, que enriquecerán al ladrón que controla el crimeware.
El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos (logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles a través de Internet.
Un software de tipo crimeware (generalmente un troyano) también podría conseguir redirigir el navegador web utilizado por el usuario, a una réplica del sitio original, estando éste controlado por el ladrón. Esta redirección se podría dar incluso cuando el usuario teclee correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha completado su trabajo, podría haber modificado el
conjunto de direcciones DNS que asocian el nombre de dominio introducido por el usuario, con su dirección IP original. Ahora la información DNS contenida en la
máquina infectada por el crimeware, indicará al navegador la dirección IP del sitio replicado y controlado por el ladrón.
"Grayware" es un nuevo término que comienza a aparecer en las pantallas de radar
de los profesionales de informática y de seguridad. Muchos usuarios finales solo conocen vagamente acerca del "Grayware" y su impacto potencial en sus
computadoras. Sin embargo la probabilidad de sus sistemas estén infectados es extremadamente alta y muchos usuarios han sufrido los síntomas producidos por
estos programas. "Grayware" es un término abarcador aplicado a un amplio rango de programas que son instalados en la computadora de un usuario para dar seguimiento o reportar cierta información a un tercero. Estas aplicaciones son usualmente instaladas y
“corren” sin el permiso del usuario.
El Grayware puede provenir de actividades como:
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
17 VICEN MORALES
“Bajar” software de internet o archivos de redes peer to peer como kazaa. Abrir correos electrónicos infectados.
Hacer clic sobre un anuncio tipo pop-up
CATEGORÍAS
A pesar de que la categoría más común de Grayware es el “Spyware”, se conocen
otras: "Adware". Usualmente embebido en los llamados programas freeware o gratuitas. El
"Adware" es usado para presentar los molestos pop-ups o ventanas que se abren cuando se está navegando en internet o usando una aplicación.
"Dialers". Este tipo de Grayware controla el modem de la computadora. La mayoría de las veces, sin el consentimiento del usuario, provocan que la computadora llame a un sitio pornográfico u otro tipo siempre con el propósito
de generar ingresos para el sitio Web. "Juegos". Estos programas son juegos que se instalan y producen molestia
puesto que “corren” en el computador sin que el usuario lo solicite. "Spyware". Son usualmente incluidas con freeware. Estos programas hacen
seguimiento y analizan la actividad del usuario, como por ejemplo los hábitos de navegación en internet.
"Key logger". Es quizás una de las más peligrosas aplicaciones. Capturan todo lo que el usuario “teclea” en su computador. Pueden capturar nombres de usuarios y contraseñas, tarjetas de crédito, emails, chat, y mucho más.
"Toolbars". Son instaladas para modificar el browser o navegador. ¿No le ha pasado que sin usted saberlo o hacerlo le aparece una barra de búsqueda en su navegador?
Controles remotos. Permiten ganar acceso, monitorear, o cambiar la computadora de la víctima.
Métodos de Infección.
Añadidura o Empalme.
Inserción. Reorientación.
Polimorfismo. Sustitución.
Tunneling.
Añadidura o Empalme.
El virus se agrega al final del archivo modificando la estructura de arranque del
archivo; De manera que el programa pase primero por el virus para ejecutar sus tareas. Luego el Programa pasa al Archivo.
El tamaño del archivo infectado es mayor al original por lo que permite una fácil detección.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
18 VICEN MORALES
Inserción.
Buscan alojarse en zonas de códigos no utilizadas o segmentos dentro del archivo que contagian. La longitud total del Archivo infectado no varía.
Este método exige más técnicas de programación de los virus para poder detectar las zonas de contagio.
Reorientación.
Se introducen centrales virósicas en zonas físicas del disco duro marcadas como defectuosas o en archivos ocultos. Al no estar dentro del archivo infectado puede
tener un gran tamaño aumentando su funcionalidad. Eliminar estos tipos es muy sencilla, basta con borrar archivos ocultos o reescribir disco
duro.
Polimorfismo.
Es el método más avanzado creado por los programadores de virus. Este se inserta en el archivo ejecutable pero el virus compacta parte de su código y el del archivo para evitar aumentar el aumento de tamaño. Una variante mejorada es que permite a los virus usar métodos de encriptación, para disfrazar el código del virus y evitar ser detectados por antivirus.
Sustitución.
Usado con variantes por los caballos de Troya. Es quizás el método más primitivo.
Sustituye el código original del archivo por el del virus. El único que actúa es el virus que cumple con su tarea de contagiar otros
archivos. Al final de su ejecución lo que hace es reportar algún tipo de error.
Tiene sus ventajas ya que por cada infección se eliminan archivos válidos, remplazados por nuevas copias del virus.
Tunneling.
Es una técnica utilizada por programadores de virus y Antivirus para evitar todas las rutinas al servicio de una interrupción y tener control directo sobre esta. Los virus lo utilizan para protegerse de los módulos residentes de los antivirus que monitorean actividades típicas de los virus.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
19 VICEN MORALES
-HERRAMIENTAS PALIATIVAS. INSTALACIÓN Y CONFIGURACIÓN
- Software antimalware: Antivirus (escritorio, on line, portables, Live), Antispyware, Herramientas de bloqueo web.
Programas anti-malware
Como los ataques con malware son cada vez mas frecuentes, el interés ha empezado a
cambiar de protección frente a virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para combatirlos.
Los programas anti-malware pueden combatir el malware de dos formas:
Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza.
Detectando y eliminando malware que ya ha sido instalado en una computadora.
Este tipo de protección frente al malware es normalmente mucho más fácil de usar y más popular.17 Este tipo de programas anti-malware escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar.
La protección en tiempo real funciona idénticamente a la protección de los antivirus: el software escanea los archivos al ser descargados de Internet y bloquea la actividad de los componentes identificados como malware. En algunos casos, también pueden interceptar intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el navegador web. Debido a que muchas veces el malware es instalado como resultado de exploits para un navegador web o errores del usuario, usar un software de seguridad para proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el malware puede causar.
Antivirus
Son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos,
desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
20 VICEN MORALES
Antispyware
Tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el sistema.
Un spyware es un software espía. Es una aplicación o pequeño programa que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de
malware que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. Esta introducción no solo puede ocurrir vía Internet, sino que también hay
espías que entran en las computadoras cuando el usuario acepta las condiciones de uso de un programa al instalarlo, ya que por lo general, no está especificada la existencia del mismo. Además de verse vulnerada la privacidad de los usuarios, los spywares pueden producir pérdidas económicas, pues son capaces de recolectar números de tarjetas de
crédito y claves de accesos. También pueden producir gran deterioro en el funcionamiento de la computadora tales como bajo rendimiento, errores constantes e
inestabilidad general. Si bién Avast tiene antispyware incorporado, no hay problemas en que instales uno en
el sistema. Descarga e instala el Ad-Aware. Puedes hacerlo de:
http://www.bajenlo.com/191/descargar/ad-… En su versión gratuita no constituye un programa residente, pero actualizándolo y
ejecutándolo periódicamente resulta muy bueno para la detección y eliminación de spywares y adwares….
Herramientas de bloqueo web
Estas herramientas pueden ser automatizadas o no. Las herramientas automatizadas
son aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la prevención y el control. Ninguna de estas herramientas es 100% efectiva
por lo que debemos ser conscientes de la importancia de las herramientas no automatizadas: la educación y la concientización . El diálogo con los menores es la
mejor herramienta de prevención para los riesgos que existen en la web.
Todas las herramientas indicadas en la presente sección deben ser aplicadas con el compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se
realizan y tomando la responsabilidad sobre cuáles son los contenidos a los que se podrá acceder y a cuáles no.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
21 VICEN MORALES
-HERRAMIENTAS PREVENTIVAS: INSTALACIÓN Y CONFIGURACIÓN
Son una serie de herramientas que tratan de evitar cualquiera de los ataques
informáticos que hemos estudiado en el tema anterior
Incluyen:
● Encriptado de información en disco
● Antivirus
● Sistemas de detección de intrusos (IDS)
● Sistemas de prevención de intrusos (IPS)
● Backup
Control de acceso lógico
Control de acceso lógico (política de contraseñas seguras, control de acceso en la BIOS
y gestor de arranque, control de acceso en el sistema operativo, política de usuarios y grupos, actualización de sistemas y aplicaciones)
El acceso lógico incluye una serie de aplicaciones para PC y redes, incluyendo
autentificación y/o acceso a la PC o red, email seguro, encriptación de datos,
encriptación de archivo/carpetas, acceso remoto VPN, entre otros.
Medidas de control de acceso lógico:
Seguridad del BIOS y del gestor de arranque
La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor de
arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso
físico a sus sistemas, arranquen desde medios removibles u obtengan acceso como root a través del modo monousuario. Pero las medidas de seguridad que uno debería
tomar para protegerse contra tales ataques dependen tanto de la confidencialidad de la información que las estaciones tengan como de la ubicación de la máquina.
Contraseñas del BIOS
Las siguientes son las dos razones básicas por las que proteger la BIOS de una computadora con una contraseña
1. Prevenir cambios a las configuraciones del BIOS — Si un intruso tiene acceso a
la BIOS, puede configurarlo para que arranque desde un diskette o CD-ROM. Esto les permite entrar en modo de rescate o monousuario, lo que a su vez les
permite plantar programas dañinos en el sistema o copiar datos confidenciales.
2. Prevenir el arranque del sistema — Algunas BIOSes le permiten proteger el
proceso de arranque con una contraseña. Cuando está funcionalidad está
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
22 VICEN MORALES
activada, un atacante esta forzado a introducir una contraseña antes de que el BIOS lanze el gestor de arranque.
Si olvida su contraseña del BIOS, usualmente esta se puede reconfigurar bien sea a
través de los jumpers en la tarjeta madre o desconectando la batería CMOS. Por esta razón, es una buena idea bloquear el chasis del computador si es posible. Sin embargo,
consulte el manual del computador o tarjeta madre antes de proceder a desconectar la batería CMOS.
Contraseñas del gestor de arranque
A continuación se muestran las razones principales por las cuales proteger el gestor de arranque Linux:
1. Previene el acceso en modo monousuario — Si un atacante puede arrancar en
modo monousuario, se convierte en el superusuario de forma automática sin que se le solicite la contraseña de acceso.
2. Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el
gestor de arranque, un atacante puede usar la interfaz del editor para cambiar su configuración o para reunir información usando el comando cat.
3. Previene el acceso a sistemas operativos inseguros — Si es un sistema de
arranque dual, un atacante puede seleccionar un sistema operativo en el momento de arranque, tal como DOS, el cual ignora los controles de acceso y
los permisos de archivos.
.
Protegiendo GRUB con contraseñas
Puede configurar GRUB añadiendo una directiva de contraseña a su archivo de
configuración. Para hacer esto, primero seleccione una contraseña, luego abra un
indicador de comandos del shell, conéctese como root y escriba:
/sbin/grub-md5-crypt
Cuando se le pida, escriba la contraseña GRUB y presione [Intro]. Esto retornará un hash MD5 para la contraseña.
Luego, modifique el archivo de configuración GRUB /boot/grub/grub.conf. Abra el
archivo y debajo de la línea timeout en la sección principal del documento, añada la siguiente línea:
password --md5 <password-hash>
Reemplace <password-hash> con el valor retornado por /sbin/grub-md5-crypt
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
23 VICEN MORALES
La próxima vez que el sistema arranque, el menú de GRUB no le permitirá accesar el editor o la interfaz de comandos sin primero presionar [p] seguido por la contraseña
de GRUB.
Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita
editar una parte diferente del archivo /boot/grub/grub.conf.
Busque la línea title del sistema operativo inseguro y añada una línea que diga lock directamente debajo de ella.
Para un sistema DOS, la estrofa debería comenzar con algo similar a:
title DOS
lock
Para crear una contraseña diferente para un kernel o sistema operativo particular, añada una línea lock a la estrofa, seguido por una línea de contraseña.
Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas
similares a las del ejemplo siguiente:
title DOS lock
password --md5 <password-hash>
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Objetivo: evitar el acceso no autorizado a los sistemas operativos. Se recomienda
utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los
sistemas operativos. Tales medios deberían tener la capacidad para:
a) autenticar usuarios autorizados, de acuerdo con una política definida de control de
acceso;
b) registrar intentos exitosos y fallidos de autenticación del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir alarmas cuando se violan las políticas de seguridad del sistema;
e) suministrar medios adecuados para la autenticación;
f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
24 VICEN MORALES
Configurar la seguridad de usuarios y grupos
Configurar la seguridad de usuarios y grupos
Para proteger un equipo y sus recursos, debe decidir qué tareas y acciones pueden realizar los usuarios o grupos de usuarios. Las tareas y acciones que un usuario o un grupo de usuarios pueden realizar dependen de los derechos de usuario que les asigne. Por ejemplo, si un miembro de confianza del grupo Usuarios necesita
supervisar el registro de seguridad, puede concederle el derecho "Administrar auditoría y registro de seguridad" en lugar de agregar el usuario a un grupo con más
privilegios, como el grupo Administradores. De la misma forma, puede proteger un objeto, como un archivo o una carpeta, si asigna permisos.
Algunas de las tareas más comunes son asignar derechos de usuario en el equipo local, asignar derechos de usuario en toda la organización y establecer permisos de archivos y carpetas. Para obtener más información acerca de otras tareas para configurar la seguridad de usuarios y grupos, vea Procedimientos de control de acceso.
ACTUALIZACIONES DE SW Y SO
Necesidad de las actualizaciones
Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes - de forma análoga a como haría un ladrón al intentar entrar a robar a una casa– desarrollan software malicioso para aprovechar cualquier vulnerabilidad en el sistema a través del cual infectarlo. Suelen aprovechar las vulnerabilidades más recientes que tienen tanto el sistema operativo como los demás programas, y que requieren una actualización inmediata de los sistemas.
Hay que tener en cuenta que cuanto más tiempo tardemos en actualizar nuestros
equipos más tiempo estaremos expuestos a que cualquier tipo de malware pueda explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante.
Para facilitar esta tarea, la mayoría de aplicaciones y sistemas operativos ti enen la opción de actualizar el sistema automáticamente, lo que permite tener los programas actualizados sin la necesidad de comprobar manual y periódicamente si la versión
utilizada es la última disponible, y por tanto la más segura.
Estas actualizaciones de software vienen justificadas por diferentes motivos:
Corregir las vulnerabilidades detectadas.
Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores.
Aunque es posible hacer la actualización de forma manual, lo más sencillo es hacerlo de forma automática. De esta forma el propio sistema busca las actualizaciones, las descarga e instala sin que nosotros tengamos que intervenir en el proceso.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
25 VICEN MORALES
-ACTUALIZACIONES EN LOS SO
Generalmente los sistemas operativos vienen configurados de forma predeterminada con la opción de “Actualizaciones Automáticas” por lo que no es necesario habilitarla manualmente.
A continuación se explicarán donde y como se activan estas directivas de seguridad en los sistemas operativos más comunes.
Microsoft
El ciclo habitual de actualizaciones de Microsoft se realiza los segundos martes de cada mes, salvo casos en los que el problema sea crítico y requiera de una actualización más inminente; este es uno de los motivos por el que se desaconseja totalmente no tener las actualizaciones autómaticas habilitadas ya que nuestro equipo podría encontrarse desprotegido en situaciones en las que se liberara un 0-day. Las actualizaciones no interferirán con otras descargas y se descargarán de forma transparente al usuario siempre y cuando esté conectado a Internet.
Para comprobar que tenemos configurado nuestro equipo correctamente siga los
siguientes pasos.
Windows XP:
Haga clic en “Inicio” → “Panel de control” → “Centro de seguridad”
Haga clic en → “Actualizaciones automáticas”. Seleccione la opción “Automáticas
(recomendado)”→ haga clic en el botón “Aceptar”
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
26 VICEN MORALES
Windows Vista:
Pulse en “Inicio” → “Todos los programas” → “Windows Update”.
En el panel izquierdo seleccione la opción “Cambiar la configuración” y posteriormente “Instalar actualizaciones automáticamente (recomendado)”, además se debe marcar la
casilla de verificación “Permitir que todos los usuarios instalen actualizaciones en este equipo”. Por último haga clic en el botón «Aceptar»
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
27 VICEN MORALES
Windows 7:
Pulse en “Inicio” → “Todos los programas”-> “Windows Update” , en el panel
izquierdo, pulse en “Cambiar la configuración.”
Del desplegable de “Actualizaciones importantes”, seleccione “Instalar actualizaciones automáticamente (recomendado)”, se marcará la opción “Permitir que todos los usuarios instalen actualizaciones en este equipo". Por último, hacer clic en el botón «Aceptar»
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
28 VICEN MORALES
Ubuntu
Ubuntu también permite configurar actualizaciones automáticamente sin intervención del usuario o bien comprobar manualmente las actualizaciones disponibles. Para ello se seguirán los siguientes pasos:
1. La configuración de las actualizaciones se encuentra en " Sistema" → "Administración" → "Gestor de Actualizaciones."
2. La ventana nos mostrará la opción de comprobar manualmente si existen actualizaciones y en caso de ser así instalarlas (botón “Instalar Actualizaciones”).
3. Desde aquí también podremos acceder a la configuración de las actualizaciones mediante el botón “Configuración”, desde donde podremos seleccionar el tipo de
actualizaciones (importantes, recomendadas, aún no publicadas, no soportadas), el intervalo de las mismas (diariamente, semanalmente, etc) y si deseamos instalar las actualizaciones de seguridad sin confirmación (opción recomendada) o bien manualmente.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
29 VICEN MORALES
Las actualizaciones importantes de seguridad y actualizaciones recomendadas
solucionan problemas de seguridad críticos y actualizan aplicaciones y módulos del Sistema Operativo, por lo que se recomienda que estén activadas.
Actualizaciones de la distribución:
Además de las actualizaciones de determinados programas y las actualizaciones circunstanciales que solventan problemas de seguridad, Ubuntu publica una versión
estable de la distribución cada 6 meses proporcionando cambios importantes mediante la instalación de nuevos paquetes y actualizaciones para los componentes de
nuestro sistema operativo. Además, Canonical proporciona soporte técnico y actualizaciones de seguridad durante 18 meses excepto para las versiones Long Term
Support (versiones que se liberan cada cuatro versiones de Ubuntu) a las que proporcionan tres años para la versión de escritorio y cinco para la versión servidor.
-ACTUALIZACIONES SW
Dale a tu sistema la mejor protección para que puedas hacer frente a los nuevos virus y
amenazas. Instalando las actualizaciones que publican los fabricantes, conseguiremos estar mucho más seguros al navegar por la red de una manera rápida y cómoda.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
30 VICEN MORALES
- Seguridad en las comunicaciones inalámbricas.
La revolución WiFi en todo el mundo significa poder conectarse en cualquier sitio
dentro de una gran ciudad, donde suele haber redes sin cables en hogares y oficinas.
Pero resulta triste comprobar que detrás de tanta generosidad no hay altruismo sino
dificultades tecnológicas. Los propietarios de las conexiones no las cierran porque es
demasiado complicado.
¿Abierto o cerrado?
Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier ordenador
cercano al punto de acceso puede conectarse a Internet a través de él, siempre que
tenga una tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una
red inalámbrica cercana disponible, pero para acceder habrá que introducir la
contraseña. Es lo que suele ocurrir en los aeropuertos y algunos hoteles, donde la
contraseña se obtiene previo pago.
Hasta hace poco se empleaba un sistema de cifrado llamado WEP (Wired Equivalent
Privacy) para proteger las redes WiFi. Las transmisiones se cifran con una clave de 128
bits, y sólo los usuarios con contraseña pueden conectarse al punto de acceso. La
mayoría de las tarjetas y puntos de acceso WiFi son compatibles con WEP, pero este
sistema está desconectado por defecto. Los usuarios por lo general no se molestan en
activarlo, y la red queda abierta. Si el vecino de al lado utiliza de vez en cuando la
conexión de Internet quizá no sea demasiado grave, pero cuando accede a información
confidencial de la empresa o a fotos comprometidas de las vacaciones la cosa es más
seria.
Hoy se utiliza un sistema de seguridad llamado WPA, que son las siglas de WiFi
Protected Access. Este sistema está incluido en Windows XP con Service Pack 1, es más
seguro que WEP y mucho más fácil de utilizar.
REDES CERRADAS
La mayoría de los puntos de acceso o routers sin cable funcionan nada más
conectarlos, o vienen configurados por el operador. Pero si se quiere modificar algo,
como la seguridad, conviene conocer algunos de los parámetros de la conexión:
El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso.
Por defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se
puede cambiar y poner "PerezWiFi", por ejemplo.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
31 VICEN MORALES
El canal: por lo general se usa el canal 6, pero si el vecino también tiene un
punto de acceso en este canal habrá que cambiarlo para evitar interferencias.
Puede ser un número entre 1 y 11.
La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la
contraseña que tendrá que introducirse en los ordenadores que se quieran
conectar.
La clave compartida WPA: Como en el caso anterior, si se emplea seguridad
WPA hay que seleccionar una clave de acceso para poder conectarse a la red
WiFi.
Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas
para protegerlas. Esto quiere decir que los números y letras se cambian por
otros mediante un factor. Sólo con la clave adecuada se puede recuperar la
información. Cuanto más grande sea el factor de cifrado (más bits), tanto más
difícil resulta romper la clave.
La seguridad con WEP tiene algunos defectos. Las claves puede que no funcionen bien
si se utilizan tarjetas y puntos de acceso de distintos fabricantes, por ejemplo. Con
WPA esto queda solucionado con una clave o secreto compartido que puede tener
entre 8 y 63 caracteres de largo.
Lo que hace a WPA más seguro es que la clave se cambia automáticamente cada cierto
tiempo, y se actualiza en todos los equipos conectados. Hay un sistema que se encarg a
de distribuir las nuevas claves de forma segura llamado TKIP.
SEGURIDAD Y FIABILIDAD
Uno de los problemas a los cuales se enfrenta actualmente la tecnología Wi-Fi es la progresiva saturación del espectro radioeléctrico, debido a la masificación de usuari os, esto afecta especialmente en las conexiones de larga distancia (mayor de 100 metros). En realidad Wi-Fi está diseñado para conectar ordenadores a la red a distancias reducidas, cualquier uso de mayor alcance está expuesto a un excesivo riesgo de interferencias.
Un muy elevado porcentaje de redes son instalados sin tener en consideración la seguridad convirtiendo así sus redes en redes abiertas (o completamente vulnerables a los hackers), sin proteger la información que por ellas circulan.
Existen varias alternativas para garantizar la seguridad de estas redes. Las más
comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o el WPA2 que se encargan de codificar
la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las formas son las siguientes:
WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una “clave” de cifrado antes de enviarlo al aire. Este tipo de cifrado no está muy recomendado, debido a las grandes
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
32 VICEN MORALES
vulnerabilidades que presenta, ya que cualquier cracker puede conseguir sacar la clave.
WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves
se insertan como de dígitos alfanuméricos, sin restricción de longitud
IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de usuarios.
Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos dispositivos autorizados. Es lo más recomendable si solo se va a usar con los
mismos equipos, y si son pocos.
Ocultación del punto de acceso: se puede ocultar el punto de acceso (Router) de manera que sea invisible a otros usuarios.
El protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa a WPA. En principio es el protocolo de seguridad más seguro para Wi-Fi en este momento. Sin embargo requieren hardware y software compatibles, ya que los antiguos no lo son.
Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son
susceptibles de ser vulneradas.
* Recomendaciones de seguridad en WLAN.
Para finalizar esta serie de notas sobre la seguridad para redes WIFI, entregamos algunos consejos finales para mejorar la seguridad. - Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos routers permiten controlar la intensidad de la señal, por esto, disminuya la intensidad para restringir la propagación fuera del edificio. - Cambie la contraseña por default del router inalambrico: en general, el nombre de usuario es admin y la contraseña también es admin.
- Cambie el SSID por default del router inalambrico y deshabilite el broadcast del SSID.
Si es posible, no hay que permitir acceder a la red local a través de la red inalámbrica sino solamente a través de la red cableada conectada a uno de los puertos LAN del
router. - Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits, si es posible. - Instale actualizaciones de firmware cuando esten disponibles por el fabricante. - Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
33 VICEN MORALES
- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall, actualizando el antivirus, el sistema operativo y los programas.
Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos
que intentan acceder a redes corporativas.
Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen
conexiones e intercambio de datos. Mejor aún, instalar computadoras y otros
dispositivos móviles para que se conecten automáticamente a los datos cifrados de la
VPN , de esta forma se pueden determinar sí el dispositivo no ha sido extraviado o
robado.
Cerciorarse de que todos los dispositivos y aplicaciones de software están configurados
correctamente y tienen los últimos parches.
Asegurarse que las políticas de seguridad corporativa prohíban a las personas la
transferencia de datos sensibles a dispositivos móviles o equipos no autorizados.
Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que requieren un
plan de servicio, para que los empleados no tengan que usar los puntos de acceso
públicos para conexiones inalámbricas.
*SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS
-PAUTAS Y PRÁCTICAS SEGURAS:
Técnicas de Cifrado:
El cifrado es un método que permite aumentar la seguridad de un mensaje o de un
archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la
persona que cuente con la clave de cifrado adecuada para descodificarlo. Por ejemplo,
si realiza una compra a través de Internet, la información de la transacción (como su
dirección, número de teléfono y número de tarjeta de crédito) suele cifrarse a fin de
mantenerla a salvo.
A continuación algunas de las técnicas de cifrado más utilizadas.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
34 VICEN MORALES
Criptografía simétrica.
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave
para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de
acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave,
el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con
la misma.
Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el
algoritmo. En otras palabras, no debería ser de ninguna ayuda para un atacante
conocer el algoritmo que se está usando. Sólo si el atacante obtuviera la clave, le
serviría conocer el algoritmo.
Actualmente, los ordenadores pueden descifrar claves con extrema rapidez, y ésta es
la razón por la cual el tamaño de la clave es importante en
los criptosistemas modernos.
El principal problema con los sistemas de cifrado simétrico no está ligado a su
seguridad, sino al intercambio de claves. Una vez que el remitente y el destinatario
hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero
¿qué canal de comunicación que sea seguro han usado para transmitirse las claves?
Sería mucho más fácil para un atacante intentar interceptar una clave que probar las
posibles combinaciones del espacio de claves.
Otro problema es el número de claves que se necesitan. Si tenemos un número “n” de
personas que necesitan comunicarse entre sí, se necesitan n/2 claves para cada pareja
de personas que tengan que comunicarse de modo privado. Esto puede funcionar con
un grupo reducido de personas, pero sería imposible llevarlo a cabo con grupos más
grandes.
Criptografía asimétrica.
La criptografía asimétrica es el método criptográfico que usa un par de claves para el
envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el
mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave
es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
35 VICEN MORALES
Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede
generar una vez, de modo que se puede asumir que no es posible que dos personas
hayan obtenido casualmente la misma pareja de claves.
Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez
cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el
único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie
salvo el destinatario puede descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje,
cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue por
tanto la identificación y autentificación del remitente, ya que se sabe que sólo pudo
haber sido él quien empleó su clave privada (salvo que alguien se la hubiese podido
robar). Esta idea es el fundamento de la firma electrónica.
Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se
inventaron con el fin de evitar por completo el problema del intercambio de claves de
los sistemas de cifrado simétricos. Con las claves públicas no es necesario que el
remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se
requiere es que, antes de iniciar la comunicación secreta, el remitente consiga una
copia de la clave pública del destinatario. Es más, esa misma clave pública puede ser
usada por cualquiera que desee comunicarse con su propietario. Por tanto, se
necesitarán sólo n pares de claves por cada n personas que deseen comunicarse entre
sí.
Como con los sistemas de cifrado simétricos buenos, con un buen sistema de cifrado
de clave pública toda la seguridad descansa en la clave y no en el algoritmo. Por lo
tanto, el tamaño de la clave es una medida de la seguridad del sistema, pero no se
puede comparar el tamaño de la clave del cifrado simétrico con el del cifrado de clave
pública para medir la seguridad
La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y
descifrar con la otra, pero este sistema tiene bastantes desventajas:
Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
Las claves deben ser de mayor tamaño que las simétricas.
El mensaje cifrado ocupa más espacio que el original.
Ejemplo:
Ana y Bernardo tienen sus pares de claves respectivas: una clave privada que sólo ha
de conocer el propietario de la misma y una clave pública que está dis ponible para
todos los usuarios del sistema.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
36 VICEN MORALES
Ana escribe un mensaje a Bernardo y quiere que sólo él pueda leerlo. Por esta razón lo
cifra con la clave pública de Bernardo, accesible a todos los usuarios.
Se produce el envío del mensaje cifrado no siendo necesario el envío de la clave.
Sólo Bernardo puede descifrar el mensaje enviado por Ana ya que sólo él conoce la
clave privada correspondiente.
El beneficio obtenido consiste en la supresión de la necesidad del envío de la clave,
siendo por lo tanto un sistema más seguro.
El inconveniente es la lentitud de la operación. Para solventar dicho inconveniente, el
procedimiento que suele seguirse para realizar el cifrado de un mensaje es utilizar un
algoritmo de clave pública junto a uno de clave simétrica.
Criptografía híbrida.
La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico
como un asimétrico. Emplea el cifrado de clave pública para compartir una clave para
el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando la
clave y enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro,
la clave usada es diferente para cada sesión.
Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave de sesión es cifrada
con la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo
combinado automáticamente en un sólo paquete. El destinatario usa su clave privada
para descifrar la clave de sesión y acto seguido usa la clave de sesión para descifrar el
mensaje.
Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el de
cifrado simétrico de los que hace uso, independientemente de cuál sea más débil. En
PGP y GnuPG el sistema de clave pública es probablemente la parte más débil de la
combinación. Sin embargo, si un atacante pudiera descifrar una clave de sesión, sólo
sería útil para poder leer un mensaje, el cifrado con esa clave de sesión. El atacante
tendría que volver a empezar y descifrar otra clave de sesión para poder leer cualquier
otro mensaje.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
37 VICEN MORALES
IDENTIFICACIÓN DIGITAL
El anonimato en Internet y las posibilidades de fraude limitaban los Servicios que se podían ofrecer a través de esta red.
● Limitan las operaciones comerciales ● Limitaban el repudio
● En procesos judiciales esto era una traba importante.
Se trata de garantizar: ● Autenticación: quién puede usarlo
● Autorización: qué se puede hacer ● Integridad: lo que recibo es lo que se envió ● Confidencialidad: La información permanece oculta a usuarios no deseados
Clasificación ● Código de identificación (contraseñas)
● Tarjeta o dispositivo (Ej: DNI electrónico) ● Biométricos
– Huella dactilar – Voz Reconocimiento facial
–Contraseñas:
● Se olvidan ● Se almacenan en sitios no seguros
● Pueden no ser muy robustas ● El método más usado :-)
Contraseñas: ● Longitud considerable (7-9 caracteres)
● No pertenece a una palabra válida en cualquier idioma ● Mezclar caracteres especiales, números, letras, etc.
● Periodo de validez limitado
Tarjeta o dispositivo ● Se autoriza a la tarjeta o dispositivo
– Con independencia de quien lo tenga ● Se puede falsificar
● Generalmente se utiliza en combinación con un código o contraseña (Ej. tarjetas de crédito y pin)
Identificación digital
● Tarjetas o dispositivos: ● Tarjetas de contacto
● Tarjetas RFID
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
38 VICEN MORALES
● Pinchos USB ● Pueden llevar información al usuario.
Firma electrónica ● Principales objetivos: ● Identificación univoca del firmante ● Garantizar la integridad del contenido ● Responsabilidad por parte del firmante – No repudio ● Con valor a efectos legales desde el año 2003.
Un certificado digital es un documento electrónico que permite a la Administración, a los ciudadanos y a las empresas realizar sus trámites a través de Internet de manera totalmente segura. Las nuevas soluciones de certificación y autenticación de identidad digital que utiliza el SOC proporcionan validez y seguridad a las transacciones electrónicas.
El uso del certificado digital garantiza que:
El usuario de las aplicaciones de la web del SOC es la persona interesada, identificando de forma precisa al ciudadano en sus trámites a través de la web.
La información que se recibe en el servidor del SOC no ha sido manipulada por ninguna persona no autorizada.
Les transacciones son legales, ya que la firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita.
La tramitación electrónica mantiene la confidencialidad de todos los datos, de forma segura y encriptado para su protección.
El Certificado de Usuario le permitirá realizar trámites de forma segura con la Administración pública a través de Internet. Gracias al Certificado de Usuario puede olvidarse de desplazamientos y esperas innecesarias. La Administración pública en Internet es ágil y eficaz.
Si quiere obtener un certificado digital, puede obtenerlo de forma gratuita en:
Catcert FNMT
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
39 VICEN MORALES
DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO
El Documento Nacional de Identidad (DNI), emitido por la Dirección General de la
Policía (Ministerio del Interior), es el documento que acredita, desde hace más de 50 años, la identidad, los datos personales que en él aparecen y la nacionalidad española de su titular. A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e incorporando las innovaciones tecnológicas disponibles en cada momento, con el fin de aumentar tanto la seguridad del documento como su ámbito de aplicación. Con la llegada de la Sociedad de la Información y la generalización del uso de Internet se hace necesario adecuar los mecanismos de acreditación de la personalidad a la nueva realidad y disponer de un instrumento eficaz que traslade al mundo digital las mismas certezas con las que operamos cada día en el mundo físico y que,
esencialmente, son:
Acreditar electrónicamente y de forma indubitada la identidad de la persona
Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica equivalente a la que les proporciona la firma manuscrita
Para responder a estas nuevas necesidades nace el Documento Nacional de Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que incorpora un pequeño circuito integrado (chip), capaz de guardar de forma segura información y de
procesarla internamente.
Para poder incorporar este chip, el Documento Nacional de Identidad cambia su soporte tradicional (cartulina plastificada) por una tarjeta de material plástico, dotada
de nuevas y mayores medidas de seguridad. A esta nueva versión del Documento Nacional de Identidad nos referimos como DNI electrónico nos permitirá, además de
su uso tradicional, acceder a los nuevos servicios de la Sociedad de la Información, que ampliarán nuestras capacidades de actuar a distancia con las Administraciones
Públicas, con las empresas y con otros ciudadanos.
En la medida que el DNI electrónico vaya sustituyendo al DNI tradicional y se implanten las nuevas aplicaciones, podremos utilizarlo para:
Realizar compras firmadas a través de Internet
Hacer trámites completos con las Administraciones Públicas a cualquier hora y
sin tener que desplazarse ni hacer colas
Realizar transacciones seguras con entidades bancarias
Acceder al edificio donde trabajamos
Utilizar de forma segura nuestro ordenador personal
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
40 VICEN MORALES
Participar en un conversación por Internet con la certeza de que nuestro interlocutor es quien dice ser
El DNI electrónico es una oportunidad para acelerar la implantación de la Sociedad de la Información en España y situarnos entre los países más avanzados del mundo en la utilización de las tecnologías de la información y de las comunicaciones, lo que, sin
duda, redundará en beneficio de todos los ciudadanos.
El DNI electrónico tiene grandes ventajas para el ciudadano:
Desde el punto de vista de la SEGURIDAD:
o El DNI electrónico es un documento más seguro que el tradicional ,
pues incorpora mayores y más sofisticadas medidas de seguridad que harán virtualmente imposible su falsificación.
o Mediante el DNI electrónico podremos garantizar la identidad de los interlocutores de una comunicación telemática, ya sea para intercambio de información, acceso a datos o acciones o compra por Internet. Igualmente, gestionar mejor el acceso a nuestro espacio de
trabajo, nuestro ordenador personal y a la información que contenga).
o Usando el DNI electrónico podemos intercambiar mensajes con la
certeza de que nuestro interlocutor es quien dice ser y que la información intercambiada no ha sido alterada.
Desde el punto de vista de la COMODIDAD:
o Con el DNI electrónico se podrán realizar trámites a distancia y en
cualquier momento: El DNI electrónico permitirá realizar multitud de trámites sin tener que acudir a las oficinas de la Administración y sin
tener que guardar colas. Y hacerlo en cualquier momento (24 horas al día, 7 días a la semana).
o El DNI electrónico se expedirá de forma inmediata: No será necesario
acudir dos veces a la Oficina de Expedición, sino que la solicitud y la obtención del documento se hará en una única comparecencia, en
cualquiera de las Oficinas de Expedición existentes en España, que se irán dotando progresivamente del equipamiento necesario para la
expedición del nuevo documento.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
41 VICEN MORALES
o Hacer trámites sin tener que aportar una documentación que ya exista en la Administración: Una de las ventajas derivadas del uso del DNI
electrónico y de los servicios de Administración Electrónica basados en él será la práctica eliminación del papel en la tramitación. El ciudadano
no tendrá que aportar una información que ya exista en otra Unidad de la Administración, evitándose -de nuevo- colas y pérdidas de tiempo. La
Unidad que realice la tramitación lo hará por él, siempre que el ciudadano así lo autorice.
Desde el punto de vista de la ERGONOMÍA:
o El DNI electrónico es un documento más robusto . Está construido en
policarbonato y tiene una duración prevista de unos diez años.
o El DNI electrónico mantiene las medidas del DNI tradicional (idénticas a las tarjetas de crédito habituales)
El DNI electrónico es una tarjeta de un material plástico (concretamente policarbonato), que incorpora un chip con información digital y que tiene unas dimensiones idénticas a las del DNI tradicional. Su tamaño, por tanto, coincide con las
dimensiones de las tarjetas de crédito comúnmente utilizadas (85,60 mm de ancho X 53,98 mm de alto).
En el anverso de la tarjeta se encuentran los siguientes elementos:
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
42 VICEN MORALES
En el cuerpo central:
o PRIMER APELLIDO
Primer apellido del ciudadano
o SEGUNDO APELLIDO
Segundo apellido del ciudadano
o NOMBRE
Nombre del ciudadano
o SEXO Y NACIONALIDAD
Sexo y nacionalidad del ciudadano
o FECHA DE NACIMIENTO
Fecha de nacimiento del ciudadano
o IDESP
Número de serie del soporte físico de la tarjeta
o VÁLIDO HASTA
Fecha de validez del documento
En la esquina inferior izquierda:
o DNI NUM.
Número del Documento Nacional de Identidad del Ciudadano, seguido del carácter de verificación (Número de Identificación Fiscal)"
En el espacio destinado a la impresión de imágen láser cambiante (CLI):
o La fecha de expedición en formato DDMMAA
o La primera consonante del primer apellido + primera consonante del segundo apellido + primera consonante del nombre (del primer nombre
en caso de ser compuesto)
Chip criptográfico , que contiene la siguiente información en formato digital:
o Un certificado electrónico para autenticar la personalidad del ciudadano
o Un certificado electrónico para firmar electrónicamente, con la misma
validez jurídica que la firma manuscrita
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
43 VICEN MORALES
o Certificado de la Autoridad de Certificación emisora
o Claves para su utilización
o La plantilla biométrica de la impresión dactilar
o La fotografía digitalizada del ciudadano
o La imagen digitalizada de la firma manuscrita
o Datos de la filiación del ciudadano, correspondientes con el contenido personalizado en la tarjeta.
Elementos de seguridad del documento, para impedir su falsificación: o Medidas de seguridad físicas:
Visibles a simple vista (tintas ópticamente variables, relieves, fondos de seguridad)
Verificables mediante medios ópticos y electrónicos (tintas visibles con luz ultravioleta, micro escrituras)
o Medidas de seguridad digitales:
Encriptación de los datos del chip
Acceso a la funcionalidad del DNI electrónico mediante clave personal de acceso (PIN)
Las claves nunca abandonan el chip
La Autoridad de Certificación es el la Dirección General de la Policía
El reverso de la tarjeta contiene los siguientes elementos:
Información impresa (y visible a simple vista) sobre la identidad del ciudadano en la parte superior:
o LUGAR DE NACIMIENTO
o PROVINCIA-PAÍS
o HIJO DE
o DOMICILIO
o LUGAR DE DOMICILIO
o PROVINCIA-PAÍS y EQUIPO
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
44 VICEN MORALES
Información impresa OCR-B para lectura mecanizada sobre la identidad del ciudadano según normativa OACI para documentos de viaje.
Pérdida o sustracción del documento
En caso de pérdida o sustracción del DNI electrónico, el titular deberá comunicarlos a
la Dirección General de la Policía o de la Guardia Civil, bien denunciándolo en cualquier Comisaría de Policía o Puesto de la Guardia Civil, bien solicitando un duplicado del
mismo en el equipo de expedición
Una vez en la Oficina de Expedición, en determinadas circunstancias deberá
cumplimentar un impreso que le será entregado en la propia oficina y si el DNI extraviado o sustraído era del modelo anterior deberá aportar una fotografía más que
junto a su firma y su impresión dactilar, servirá de comprobación de su identidad
Igualmente, se generarán nuevas claves y se expedirán nuevos certificados electrónicos.
Custodia de las claves privadas de los Certificados
La custodia de las claves privadas de los Certificados de Identidad Pública la realizan los ciudadanos titulares de las mismas. En ningún caso la Autoridad de Certificación guarda copia de la clave privada ya que ésta no puede ser extraída de la tarjeta. Las claves privadas del ciudadano se encuentran almacenadas en el procesador de la tarjeta criptográfica del DNI electrónico. Con esto se consigue que las claves privadas no abandonen nunca el soporte físico del DNI, minimizando las posibilidades de poner en riesgo dichas claves. Para el acceso a las claves y al certificado de firma el ciudadano deberá emplear una clave personal de acceso (PIN) generada en el momento de recibir su DNI electrónico y que sólo él debe conocer.
En todo momento el ciudadano podrá modificar la clave personal de acceso en una Oficina de Expedición utilizando los puestos destinados a tal efecto (Puntos de
Actualización del DNI electrónico) y mediante el siguiente procedimiento:
Si conoce la clave personal de acceso – PIN - podrá emplearlo durante el proceso de cambio
En caso de no recordar la clave personal de acceso – PIN - (o encontrase bloqueada la tarjeta al superar el número de tres intentos con un PIN incorrecto) podrá realizar el cambio mediante la comprobación de la biometría de impresión dactilar.
En ningún caso el olvido de la clave personal de acceso supondrá la revocación de los Certificados de Identidad Pública, siempre que pueda ser modificada por el
procedimiento anterior.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
45 VICEN MORALES
También se habilitará un procedimiento telemático que permitirá el cambio de la clave personal de acceso – PIN - siempre que se recuerde el PIN vigente. En caso de no
recordar la clave personal de acceso -PIN- (o encontrarse bloqueada la tarjeta al superar el número de tres intentos con un PIN incorrecto), sólo podrá realizar el
cambio mediante la comprobación de la impresión dactilar en un Punto de Actualización del DNI e situado en las oficinas de expedición.
Algunas recomendaciones sobre la clave personal de acceso (PIN)
El PIN es una clave confidencial, personal e intransferible y es el parámetro que protege la clave privada de firma y permite activarlas en las aplicaciones que generan
firma electrónica; por lo tanto, deben tenerse en cuenta unas normas de seguridad para su custodia y uso:
Memorícelo y procure no anotarlo en ningún documento físico ni electrónico
que el Titular conserve o transporte junto con la tarjeta del DNI electrónico, fundamentalmente si existe posibilidad de que se pierda o se robe al mismo
tiempo que aquella.
No envíe ni comunique su PIN a nadie ni por ningún medio, ya sea vía telefónica, correo electrónico, etc.
Recuerde que el PIN es personal e intransferible. Si cree que su PIN puede ser
conocido por otra persona, debe cambiarlo. El hecho de que el PIN sea conocido por una persona distinta supone un riesgo importante, ya que permite la activación de las claves privadas para poder realizar operaciones de firma electrónica en su nombre. Es obligación del titular notificar la pérdida de control sobre su clave privada, a causa del compromiso del PIN, ya que es motivo de revocación del certificado asociado a dichas claves.
Como consejo adicional, evite escoger un número relacionado con sus datos
personales, así como cualquier otro código que pueda resultar fácilmente predecible por terceras personas (fecha de nacimiento, teléfono, series de
números consecutivos, repeticiones de la misma cifra, secuencias de cifras que ya forman parte de su número de DNI electrónico, etc.)
Se recomienda cambiarlo periódicamente.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
46 VICEN MORALES
-SEGURIDAD EN LA RED CORPORATIVA:
-AMENAZAS Y ATAQUES EN REDES CORPORATIVAS:
Amenaza interna o corporativa y amenazas
externas o de acceso remoto
- Amenaza interna o corporativa
Cualquier empleado puede convertirse en un
punto de fuga de información. Lo único que
necesita es acceso a la misma, ya que para
extraerla hoy en día en muy fácil a través de
dispositivos portátiles (pen drives, discos duros,
USB, etc.) o incluso directamente a un servidor vía
internet.
Lo más lógico es aplicar una una política de gestión de usuarios, cada uno con sus
permisos correspondientes para acceder a determinadas aplicaciones. También es
preciso definir en los procesos de baja de personal algún procedimiento que impida, o
al menos dificulte, que una persona pueda sacar información fuera de las fronteras de
la empresa.
Otra vía interna son los despistes. Instalar una aplicación que deje abierta una puerta
trasera o enviar un correo electrónico a múltiples destinatarios incluyendo las
direcciones en un campo diferente al de “copia oculta”, es decir, dejándolas al
descubierto para cualquiera que lo reciba. Esta práctica ha sido recientemente
sancionada por la AEPD. Se trata errores que pueden salir caros, y no solo por la
sanción administrativa. La solución pasa por controlar lo que instala cada usuario en su
equipo y, en el caso del correo, usar una herramienta profesional de marketing vía
email, en lugar del cásico cliente de correo electrónico.
- Amenaza externa o remota
Con la llegada de internet, las amenazas pueden venir desde el exterior. No se
necesita poner un pie en las instalaciones de la empresa para que alguien pueda
acceder a información propiedad de esta. Se necesita una protección del perímetro
de la red informática, así como un control de los accesos de sus usuarios ¿Quién hace
esto? Un experto en sistemas. Se le contrata para que monte la red y su posterior
mantenimiento periódico.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
47 VICEN MORALES
Las amenazas en el exterior también aparecen cuando alguien no autorizado se hace
con un equipo informático de la empresa. Situaciones de extravío o robo de un
ordenador portátil, un teléfono móvil o un disco duro USB o un uso indebido de los
mismos en el domicilio de algún empleado, pueden poner a disposición de gente no
deseada información protegida. La solución pasa por la encriptación de los datos en
equipos portátiles y la educación de los usuarios a la hora de usarlos fuera de la red
corporativa.
Amenazas: Interrupción, Intercepción, Modificación y Fabricación
Interrupción: se daña, pierde o deja de funcionar un punto del sistema. Su
detección es inmediata. Por ejemplo: destrucción del hardware, borrado de
programas, datos. Fallos en el sistema operativo.
Intercepción: acceso a la información por parte de personas no autorizadas
utilizando privilegios no adquiridos, su detección es difícil, a veces no deja
huellas. Ejemplos: copias ilícitas de programas, escucha en línea de datos.
Modificación: se produce cuando hay un acceso no autorizado que cambia el
entorno para su beneficio, su detección es difícil según las circunstancias.
Ejemplos: modificación de las bases de datos y modificación de elementos del
Hardware.
Fabricación: se produce cuando se añaden transacciones en red, su detección
es difícil: delitos de falsificación. Ejemplos: añadir transacciones en red, añadir
registros en bases de datos.
Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
DoS: (negacion de servicios) el atacante utiliza un ordenador para quitar de
operación un servicio u ordenador conectado a internet. Ejemplos de este tipo
de ataque: generar sobrecarga en el procesamiento de datos de un ordenador,
generar tráfico de datos en la red ocupando todo el ancho de banda disponible,
eliminar servicios importantes de un ISP (proveedor de servicios de internet)
imposibilitando el acceso de los usuarios al correo electrónico a una pagina
web.
Sniffing: conseguir capturar las tramas enviadas a través de la red no enviadas a
el. Para conseguirlo pone la tarjeta de red en modo promiscuo en el cual en la
capa de enlace de datos no son descartadas las tramas no destinadas a la MAC
address dela tarjeta. De este modo podemos ver todo tipo de información de
cualquier aparato conectado a la red como contraseñas, e-mail, etc.
Man in the middle: es un atacante en el que el enemigo adquiere la capacidad
de leer, inserter y modificar a voluntad, los mensajes entre dos partes sin que
ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante
debe ser capaz de observar e interceptar mensajes entre las dos víctimas.
Spoofing: hace referencia al uso de técnicas de suplantación de identidad
generalmente con usos maliciosos o de investigación. Se clasifican en función
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
48 VICEN MORALES
de la tecnología utilizada, entre ellos tenemos el IP soofing (posiblemente el
más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing,
aunque en general se puede englobar dentro de spoofing cualquier tecnología
de red susceptible de sufrir suplantaciones de identidad.
Pharming: consiste en la explotación de una vulnerabilidad en el software de
los servidores DNS o en los equipos de los propios usuarios, que permite a un
atacante redirigir en nombre de dominio a otra máquina distinta.
-RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
Seguridad en los dispositivos de red: terminales, switch y router.
Seguridad en los terminales: instalaciones por defecto no pensadas para la
seguridad o la facilitación a los usuarios son algunos de los motivos por los que
nuestros quipos no son seguros. Algunas medidas que se pueden tomar son:
- Conocimientos del sistema
- Verificación de la integridad
- Protocolos cifrados
- Revisión de los registros
- Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)
- Eliminación de servicios innecesarios
- Reglas de acceso (cortafuegos)
o Ventajas
Control de acceso
Limita el alcance de los problemas de seguridad en redes locales
Limita la posibilidad de utilizar sistemas comprometidos para
atacar a terceros
Limita la posibilidad de extraer información
o Inconvenientes
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
49 VICEN MORALES
Dificultad a la hora de configurarlos
Dificultad a la hora de instalar nuevos servicios
Dificultad con protocolos que usan puertos
aleatorios
Ralentización
Importancia relativa en maquinas sin servicios y con accesos
controlados
- Mantener el sistema actualizado
- A nivel de administración
o Políticas de seguridad
o Diseño estricto de la red
o Barreras de acceso
o Copias de seguridad (recuperación ante desastres)
o Cifrado de las comunicaciones
o Protocolos de autentificación seguros
o Medidas preventivas
o Trampas (Honeypots)
Protección de los switch: los puertos de entrada pueden ser un punto de entrada a la
red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una
función que se conoce como seguridad de puertos. La seguridad de puertos limita la
cantidad de direcciones MAC validas que se permiten por puerto. El puerto no reenvía
paquetes con direcciones MAC de origen que se encuentran fuera del grupo de
direcciones definidas. Existen tres maneras de configurar la seguridad de puertos:
Estática: las direcciones MAC se configuran manualmente con el comando de
configuración de interfaz switchport port-security mac-address. Las direcciones MAC
estáticas se almacenan en la tabla de direcciones y se agregan a la configuración.
Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la
tabla de direcciones. Se puede controlar la cantidad de direcciones que se aprenden.
La cantidad máxima predeterminada de direcciones MAC que se aprenden por puerto
es una. Las direcciones que se aprenden se borran de la tabla si el puerto se
desconecta o si el switch se reinicia.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
50 VICEN MORALES
Sin modificación: similar a la dinámica excepto que las direcciones también se guardan
en la configuración en ejecución.
Routers: debemos tomar las siguientes políticas de seguridad:
- Seguridad física
o Designar al personal para actividades de instalación y desinstalación
o Designar la persona para realizar actividades de mantenimiento
o Designar al personal para realizar la conexión física
o Definir controles de colocación y usos de la consola y los puertos de
acceso
o Definir procedimientos de recuperación ante eventualidades físicas
- Seguridad de configuración física
o Designar las personas que acceden al router vía consola o en forma
remota
o Designar la persona con privilegios de administración.
o Definir procedimientos para realizar cambios a la configuración.
o Definir políticas de contraseñas de usuario y administración.
o Definir protocolos, procedimientos y redes para acceso remoto.
o Definir plan de recuperación que incluya responsabilidades individuales
ante incidentes.
o Definir políticas de revisión de bitácoras.
o Definir procedimientos y limitaciones del monitoreo remoto (SNMP)
- Seguridad de configuración estática
o Definir directrices para la detección de ataques directos
o Definir políticas de administración en intercambio de información
(Protocolos de ruteo, RADIUS, SNMP, TACAS+, NTP).
o Definir políticas de intercambio de llaves de encriptación.
- Seguridad de configuración dinámica
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
51 VICEN MORALES
o Identificar los servicios de configuración dinámica del router, y las redes
permitidas para accesar dichos servicios.
o Identificar los protocolos de routeo a utilizar, y sus esquemas de
seguridad que proveen.
o Designar mecanismos y políticas de actualización del reloj (manual o por
NTP)
o Identificar los algoritmos criptográficos autorizados para levantar vpn´s.
- Seguridad en servicios de red
o Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en
cada interface, así como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
Para conseguir seguridad en el router debemos:
- Loopback
o Enumerar a las personas u organizaciones y ser notificadas en caso de
una red comprometida
o Identificar la información relevante a ser capturada y retenida
o Definir procedimientos de respuesta, autoridades y los objetivos de la
respuesta después de un ataque exitoso, incluir esquemas de
preservación de la evidencia (cadena de custodia)
- Seguridad en servicios de red
o Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en
cada interface, así como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
Seguridad en los servicios de red por niveles: Enlace, Red (IP), Transporte(TCP-UDP) y Aplicación. Seguridad en el nivel de enlace:
- Ataques basados en MAC y ARP o CAM Table Overlow:consiste en el inundar la tabla de
direcciones MAC de un switch haciendo que el switch envie todas las tramas de las direcciones MAC que no tiene en la tabla
a todos los equipos, haciendo que actue como HUB.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
52 VICEN MORALES
o ARP Spoofing:es una técnica usada para infiltrarse en una red Ethernet conmutada que puede permitir al atacante husmear
paquetes de datos en la LAN, modificar tráfico, o incluso detenerlo.
o Ataques que emplean ARP Spoofing: Switch Port Stealing: el atacante consigue que todas las
tramas dirigidas hacia otro puerto del switch lleguen a puertos del atacante para luego re-enviarlos hacia su destinatario y de esta manera poder ver el trafico que viaja desde el remitente hacia el destinatiario
Man in the middle: utilizando ARP Spoofing el atacacnte logra que todas las tramas que intercambian las victimas pasen priemro por su equipo
Hijacking: el atacante puede lograr redirigir el flujo de tramas entre dos dispositivos hacia su equipo. Asi puede lograr colocarse en cualquera de los dos extremos de la comunicación
Denial of service (DoS): el atacante puede hacer que un equipo critico de la red tenga una dirección MAC
inaccesible. Con esto se logra que las tramas dirigidas a la IP de este dispositivo se pierdan
- Ataques basados en VLAN o Dinamic trunking protocol: automatiza la configuración de los
trunk 802.1Q. sincroniza el modo de trunking en los extremos haciendo innecesaria la intervención administrativa en ambos
extremos. o Vlan hopping attack: un equipo puede hacerse para coo un
switch con 80.2.1Q y DTP , o bien se puede emplear como un Switch volviendo al equipo miembro de todas las VLAN.
Requiere que el puerto este configurado con trunking automatico.
o Doublé encapsulated VLAN Hopping Attack: una trama 802.1Q lleva otra trama 802.1Q, solo permiten tráfico en una sola
dirección y solo funciona entre VLAN. o VLAN trunking Protocol:se emplea para distribuir configuración
de VLAN a través de multiples dispositivos. Solo se emplea en
puertos trunk y puede causar muchos inconvenientes. Utiliza autentificación MD5.
- Ataques basados en STP: l atacante puede ver tramas que no debería(esto permite ataques DoS,MIM, etc )
Seguridad a nivel de red: - Filtrado de paquetes: permitir a los usuarios de la red local acceder a los
servicios, limitando asi el acceso a los del exterior. Esto se hace en los filtros del router.
- Monitorización de routers y equipos de acceso:controlar los accesos mediante ficheros LOG
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
53 VICEN MORALES
- Separa las redes y filtros anti-sniffing: con esto conseguimos evitar que una atacante pueda obtener calves de acceso mediante sniffers.
Seguridad en la capa de alicacion:
- Cifrado: nos da integridad, autenticidad, garantía de recepción, y un comprobante del envio
- Certificados digitales:son contenedores de información que se intercambian en trasacciones digitales. Un certificado puede contener datos del emisor y su clave publica.estan firmados con claves privadasde uno o más entes certificadores.
- SSL: es un protocolo de seguridad que provee privacia en las comunicaciones a través de internet. Sus objetivos son: dar seguridad criptográfica, interoperabilidad, extensibilidad y eficienca relativa
- TLS: este protocolo se basa en SSL 3.0 y presenta diferencias menores - SET: propuesta de Visa y Mastercard àra permitir transacciones
elctronicas seguras. Utiliza certificados digitales para verificar la identidad de las partes involucradas en la transacción. La verificación se realiza mediante cifrado asimetrica
-MONITORIZACIÓN DEL TRÁFICO EN REDES: HERRAMIENTAS
Network Manager agregado es una red de clase empresarial / aplicación / plataforma
de supervisión del rendimiento. Se integra perfectamente con otros sistemas
inteligentes de gestión de edificios, tales como control de acceso físico, HVAC,
iluminación, y el tiempo / control de
asistencia.
Airwave Gestión PlatformT (AMP) de red
inalámbrica de software de gestión permite
un control centralizado para redes Wi-Fi. Las
características incluyen: punto de acceso de
gestión de configuración, presentación de
informes, seguimiento de los usuarios,
ayudar a puntos de vista escritorio, y rogue AP descubrimiento.
akk @ da es un sistema de monitoreo de red simple diseñado para redes de
ordenadores pequeños y medianos. Su objetivo es detectar rápido fallo del sistema o
de red y para mostrar información acerca de los problemas detectados por los
administradores. akk @ da está diseñado como un monitor de red pro-activa. No
esperar a que la información de todos los agentes, sistemas, etc recoge la información
que cada minuto (puede reducir este período de 1 segundo). Casi todos los servicios de
los anfitriones control se descubren de forma automática.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
54 VICEN MORALES
Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de enlaces
WAN, detección y mitigación de DDoS, lo que representa el tráfico y la representación
gráfica.
Axence nVision supervisa la infraestructura de red: Windows, servicios TCP / IP,
servidores web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.) También
supervisa routers y conmutadores: tráfico de red, estado de la interfaz, los
ordenadores conectados. nVision recoge el inventario de la red y el uso de licencias de
auditoría - puede alertar en caso de una instalación de programas o cualquier cambio
de configuración en un nodo remoto. Con el agente usted puede supervisar la
actividad del usuario y acceso remoto a los ordenadores.
CommandCenter NOC de Raritan proporciona votación, Windows y UNIX / Linux de
administración de servidores, detección de intrusos, análisis de vulnerabilidades y
análisis de tráfico en un dispositivo integrado.
Cymphonix Red Compositor supervisa el tráfico de Internet por usuario, aplicación, y
la amenaza. Incluye controles de forma de acceso a recursos de Internet por usuario,
grupo y / u hora del día. También con el bloqueo de proxy anónimos, la gestión de
políticas y la supervisión en tiempo real.
David sistema le permite gestionar sus recursos y servicios a través de intranet e
Internet. proporcionar auto-descubrimiento y la construcción de la topología de la red
ofrece para ayudar a mantener una visión intuitiva de su infraestructura de TI.
Recursos, monitoreo en tiempo real y accesibilidad de los datos históricos de la
reacción al fracaso. Interfaces configuradas para los dispositivos de control le permiten
centrarse en los aspectos más importantes de su trabajo.
dopplerVUe proporciona la detección de redes, la cartografía y el sistema de reglas
permite el monitoreo de Ping, SNMP, syslog, y las métricas de rendimiento de WMI. Se
puede utilizar para controlar los dispositivos IPv6. Monitores de servicios tales como
DNS, HTTP y correo electrónico.
eBox es una distribución de código abierto y de desarrollo, basada en Ubuntu Linux,
destinados a gestionar los servicios en una red informática.
EM7 de Sciencelogic es un NMS integrado con problemas de entradas, gestión de
eventos, informes, gestión de IP, DNS y supervisión.
Fidelia también tiene la hélice herramienta de nivel de entrada para las pequeñas
empresas.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
55 VICEN MORALES
FreeNATS , es una red de monitoreo de código abierto, alerta y sistema de
información disponible como código PHP y como un dispositivo virtual.
Red de Monitoreo GEM una herramienta de monitoreo de red que proporcionan
informes de SLA, cuadros de mando, también controla cualquier cosa dentro de una
red informática, los gráficos de rendimiento, las notificaciones previas a los fallos del
dispositivo.
Hounddog ofrece herramientas de fácil y asequible para empresas de TI / MSP.s para
controlar, gestionar y mantener sus redes de clientes, servidores y estaciones de
trabajo.
InterMapper red de monitoreo y alerta de software para Mac, Windows, Linux y
Solaris.
Host IP Network Monitor es una herramienta de monitorización de red y el servidor
que le permite monitorear la disponibilidad y el rendimiento de los servidores de
correo, servidores de Internet, servidores de base de datos y otros recursos de red. Los
contadores de rendimiento en equipos con Windows se puede controlar mediante
WMI. Otros protocolos soportados son HTTP, HTTPS, FTP, SMTP, POP3, IMAP, ODBC,
PING ...
ipMonitor es una solución de monitorización de red que permite a los
administradores de redes, webmasters y proveedores de servicios de Internet para
controlar cualquier dispositivo en red en Internet, la intranet corporativa o TCP / IP
LAN y recibir alertas inmediatamente a través de una alarma audible, mensaje, correo
electrónico, o de terceros software de otros fabricantes cuando falla la conexión. Se
trata de un producto de gran alcance de monitoreo personal reducen el coste, la
sencillez de operación, y la cobertura durante las veinticuatro horas del día.
Sólo por diversión Sistema de Monitoreo de Redes (JFFNMS) es gratuito y está
diseñado para mantener una IP SNMP / Syslog / TACACS + red. Se puede utilizar para
controlar cualquier dispositivo SNMP compilant las normas del servidor, el puerto TCP
o Poller personalizado, también tiene algunas características orientadas a Cisco.
Klogie comercial a distancia del sistema de monitoreo de red que ha diseñado para
facilitar su uso.
LANsurveyor de red y software de administración de escritorio proporcionando
mapas automáticos de la red, informes de gestión de activos, monitor de red y
administración remota y la distribución.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
56 VICEN MORALES
LITIO LITIO | Core es un dispositivo integrado y una plataforma de monitorización de
servicios con un seguimiento de incidentes fuertemente acoplados y el sistema de
gestión de casos, e incorpora una interfaz basada en Web, así como Windows XP /
Vista y Mac OS X consolas de control.
Poco: los ojos , para la infraestructura de gestión de TI de la empresa ofrece una
gestión de fallos, rendimiento, inventario y configuración.
LogisoftAR ofrece es un NMP se ejecuta en Windows proporciona la detección de
dispositivos, la cartografía, falta (utilizando trampas SNMP y syslog) y gestión del
rendimiento. Los informes son proporcionados en las páginas HTML.
MetaNAV de administración de red visualizados es una suite de software para
monitorear las redes informáticas de gran tamaño. Que detecta automáticamente la
topología de red, monitores de carga de la red y los cortes, y puede enviar alertas
sobre eventos de la red por correo electrónico y SMS, que permite una configuración
flexible de los perfiles de alerta.
MoniTiL un seguimiento continuo de las aplicaciones, servicios, redes y eventos
mediante WMI, SNMP, Web, tcp y ping.
Genie vigilancia es a gran escala de recolección de datos y la plataforma de control
integrado de las empresas de telecomunicaciones y providedrs gran servicio, capaz de
controlar múltiples parámetros en 100KS de nodos en ciclos muy shory de alrededor
de un minuto a través de protocolos múltiples (ICMP, SNMP, SQL, HTTP, Telnet, ssh,
WMI, los puertos de registro, abierto ...). Se puede realizar acciones sobre la base de
seguimiento de los cambios de estado con las condiciones y reglas de correlación. La
plataforma viene con un sistema de información incorporado y pre informes
elaborados, y se puede ampliar para controlar cualquier parámetro de los protocolos
soportados. La plataforma puede funcionar como un producto independiente o
conectarse a las plataformas de gestión existentes (HPOV, Tivoli y Micromuse,
unictenter, etc.)
MTD Sentry ofrece información de los dispositivos SNMP y SNMP no por igual, junto a
un sistema de monitoreo de la empresa con las extensiones de dispositivos de vídeo
basados en.
Monolith crea soluciones de gestión de eventos, netflow y rendimiento con una
interfaz basada en navegador, un único código orgánico-set y un motor de cuadros de
mando.
Netcool suite cuenta con cinco familias de productos que apoyan dominio específico
la gestión de TI de extremo a extremo de las operaciones de consolidación y gestión de
servicios de negocios.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
57 VICEN MORALES
NeuralStar proporciona capacidades de clase empresarial incluyendo el nivel de
visibilidad NOC, la gestión de múltiples redes y la distribución geográfica y
conmutación automática por error y redundancia para las operaciones continuas.
OPNET NCompass visualiza las métricas de rendimiento de red en tiempo real, la
consolidación de la topología, el tráfico y los eventos en una vista unificada.
Automatiza la respuesta a eventos de red y contextualmente lanza herramientas de
tercera parte para la solución de problemas asistida.
NetGong es una solución de monitorización de red permite a los administradores de
redes, webmasters y proveedores de servicios de Internet para controlar cualquier
dispositivo en red en Internet, la intranet corporativa o TCP / IP LAN y recibir alertas a
través de una alarma audible, mensaje, correo electrónico, o de terceros software
cuando un error de conexión.
NetInfo es una colección de 15
herramientas de red en una única
interfaz. NetInfo permite a las empresas
para luchar contra la inactividad de la
red al permitir a los administradores de
redes, webmasters y proveedores de
servicios de Internet para aislar los
fallos, el proceso de los datos de
diagnóstico y aumentar la seguridad de la red interna.
NetMapper crea automática hasta a fecha en que Microsoft Visio ® diagramas de red,
la combinación de múltiples física (Capa 2 / 3) y puntos de vista lógica de la red, con
configuraciones de los dispositivos detallados y superposiciones de la topología como
BGP, OSPF, VLANs y VPNs
NetMRI de Netcordia automatiza gran parte de la Red de Cambio y Gestión de la
Configuración (NCCM) mediante la recopilación y el análisis de la configuración de red,
SNMP y syslong / evento, proporcionando todos los días y los problemas procesable.
NetPrefect es un sistema de gestión de clase empresarial y la solución de monitoreo
diseñada principalmente para proveedores de servicios administrados que utiliza una
variedad de mecanismos para comunicarse con las entidades administradas,
incluyendo pero no limitado a, SNMP, WMI, RS232 y icmp con el fin de recopilar
información estadística y el Estado (por ejemplo, el uso de la CPU , el dispositivo /
servicios, etc disponibilidad), así como la ejecución de las funciones de gestión en el
dispositivo.
NetQoS Performance Center Monitores y ofrece información sobre: funcionamiento
de extremo a extremo, análisis de tráfico, la calidad de VoIP, y el dispositivo.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
58 VICEN MORALES
N-Vision provee de gestión de disponibilidad, rendimiento, seguridad y servicio a
múltiples clientes desde una única consola Web central.
NetCrunch de AdRem, proporciona una visualización de topología de red física,
monitoreo del desempeño flexible, de tendencias y elaboración de informes, filtrado
de eventos y la progresividad, la gestión de SNMP, acceso a Internet.
NetMechanica ofrece servicios de bajo costo masnagement red.
Netview
Nimsoft Soluciones de Monitoreo (NMS) para la solución de supervisión de red
comprueba la conectividad de red a los dispositivos (routers, switches, servidores, etc)
y servicios de aplicación (FTP, SMTP, HTTP, etc) que revela la accesibilidad y la latencia
de la red. La solución descubre automáticamente las interfaces de red, el tráfico de los
monitores de interfaz y calcula la utilización de ancho de banda. Utiliza SNMP y si no es
disponible, syslog se puede utilizar.
OP5 monitor proporciona un control activo de la infraestructura de TI - hardware, el
tráfico y los servicios. Esto incluye los componentes conectados a servidores, routers y
servicios de impresoras tales como servicios de correo, servidores web y programas de
virus. Está basado en Nagios.
OpenNMS es una plataforma de red de nivel empresarial de gestión desarrollados
bajo el modelo de código abierto. Está diseñado para escalar a decenas o cientos de
miles de nodos administrados desde una sola instancia. OpenNMS es una plataforma
integrada proporciona la disponibilidad del servicio de gestión, el rendimiento de
recolección de datos (a través de SNMP, JMX, HTTP, WMI, XMP, y otros protocolos),
gestión de eventos (eventos internos, los eventos personalizados a través de una
interfaz XML / TCP, y los sucesos externos a través de SNMP trampas y TL1), caso de
de-duplicación, y las notificaciones flexible (a través de SMTP, XMPP, y muchos otros
protocolos). El software es gratuito bajo la licencia GPLv2, y apoyo comercial,
formación y consultoría están disponibles.
OpenView
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
59 VICEN MORALES
Opsview es la red de la empresa y el software de monitorización de aplicaciones
diseñadas para la escalabilidad, flexibilidad y facilidad de uso. Ops view ha estado en
desarrollo desde 2003 (originalmente basado en Nagios) y se distribuye bajo la licencia
GNU GPL.
Opsview es la red de la empresa y el software de monitorización de aplicaciones
diseñadas para la escalabilidad, flexibilidad y facilidad de uso. Opsview ha estado en
desarrollo desde 2003 (originalmente basado en Nagios) y se distribuye bajo la licencia
GNU GPL.
Orion SolarWinds Orion Network Performance Monitor le permite detectar,
diagnosticar y resolver las interrupciones de red y problemas de rendimiento. Ofrece
puntos de vista centrado en la red que están diseñados para ofrecer la información
crítica que necesitan.
Pandetix MSOware es un servicio basado en web para controlar, gestionar, informar y
notificación de eventos de dispositivos habilitados para IP. MSOware monitores de su
anfitrión con la herramienta seleccionada. Hay una versión de prueba gratuita.
Pandora del Sistema de Monitoreo de Libre es un software libre conjunto de
programas, establecer bajo la licencia GPL, que monitorea y detecta los sistemas de
red mediante las pruebas de control remoto (ICMP, TCP barrido, escaneado en red,
monitorización SNMP ...), o el uso de agentes locales para tomar aplicación / sistema
datga (tiene agentes para Linux, AIX, HP-UX, Solaris y Windows XP, 2000/2003).
Pandora FMS es capaz de disparar las alarmas, dibujar gráficos y mantener un historial
de eventos para cada elemento con un servidor SQL
Q3ADE
Reconocer es un sistema de monitoreo y análisis de tendencia diseñado para hacer
frente a las arquitecturas de gran tamaño (miles de máquinas y cientos de miles de
métricas).
Redcell de Dorado Software incluye: Discovery, resincronización, topología, servicios
de bases de datos, archivado de datos, Programación, Auditoría y registro, del Grupo
de Operaciones, CMDB y supervisión de eventos. La reparación automatizada de
configuración y permite a los administradores encontrar, configurar y monitorizar
aplicaciones y servicios, además de la convergencia technologies.networking,
seguridad, sistemas y storage.from una única consola.
ScriptLogic perspectiva aborda los problemas asociados con el ancho de banda, red y
rendimiento de las aplicaciones y la conectividad que a menudo surgen problemas
para los departamentos de TI. Apoya la perspectiva de varios sitios, es fácil de usar.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
60 VICEN MORALES
SecureMyCompany ofrece alojado, en la red de la demanda y el software de sistemas
de gestión de una tarifa mensual baja. Las soluciones incluyen SNMP, WMI, registro de
eventos y muchas más funciones de supervisión.
ServersCheck es una herramienta de monitoreo basado en web para monitorizar
redes y servidores (por ejemplo, temperaturas, etc)
SevOne ofrece un rendimiento de red distribuida plataforma de gestión que ofrece
una solución escalable y completa en tiempo real, solución de problemas y solución de
informes que soporta más de 15 metodologías para la recolección, tales como SNMP,
NetFlow, SLA ICMP, IP, WMI, API vCenter, XML, y JMX.
Smarts de EMC es una herramienta automatizada de la causa raíz con vistas a la
topología de la infraestructura de red, las aplicaciones y la capa de negocio. ->
Espectro (ex Cabletron, entonces Aprisma entonces Concord Communications
entonces CA). Herramienta de red especializada en gestión de averías y el motor de
análisis de causa raíz. Ayuda a optimizar el tiempo medio de reparación y herramientas
MTBF.The es modular, ya que también puede controlar / gestionar QoS, MPLS / VPN,
red de multidifusión, configuraciones de los dispositivos.
SpyGlass , monitoreo Web y aplicaciones basadas en la aplicación de gestión que
proporciona control de síntesis, métricas y captura de información, implementación,
vea la base de datos y gestión del sistema. Licencia para la vigilancia de un único
servidor.
StableNet PME Carrier-Grade rendimiento de la herramienta de gestión, construida
sobre estándares abiertos. Apoya activamente (Ping, SAA) y pasiva (SNMP, RMON,
NetFlow, SFlow) las mediciones. Integrado topología / inventario, SLA / SLM,
presentación de informes.
Centro de interruptor de gestión de red y software de monitoreo a través de SNMP
(v1-3) dispositivos de red de cualquier proveedor incluido el descubrimiento de la red,
lógico y físico (Capa 2 / 3) de mapeo de topología de red, monitoreo de desempeño,
informes en tiempo real y alertas proactivas.
SwitchMonitor de NetLatency es un sistema de rendimiento de la red de monitoreo
que se ejecuta en Windows y está diseñado para controlar los dispositivos de red para
la utilización y los errores a través de SNMP.
SysOrb monitores de ambos equipos de red y servidores / aplicaciones y se accede a
través de una interfaz web. El monitoreo se hace con los agentes y las encuestas IP y
SNMP. SysOrb viene con una base de datos integrada de estadísticas, módulo de
notificación de alertas, generador de informes, etc
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
61 VICEN MORALES
SysUpTime es un país libre de la red distribuida / sistemas de gestión de producto.
Proporciona a los usuarios fuera de la caja de las capacidades de manera eficaz y
proactiva gestión de redes de cualquier tamaño.
Tembria Tembria Server Monitor es una plataforma de monitoreo de servidor
asequible con un amplio soporte para la supervisión de servidores de Windows
además de soporte para dispositivos Linux y SNMP también.
The Dude es un monitor de red libre buscará automáticamente todos los dispositivos
dentro de las subredes especificadas, dibujar y el diseño de un mapa de sus redes,
controlar los servicios de sus dispositivos y que le avise en caso de que algún servicio
tenga problemas.
NMS Verax es una disponibilidad del servicio y el sistema de monitoreo del
desempeño apoyar una serie de elementos de red (servidores, por ejemplo Windows y
Linux, conmutadores ATM, Brocade y routers Juniper, ADVA Optical Networking FSP),
aplicaciones (por ejemplo, Apache Tomcat y servidores WebSphere, Oracle y Microsoft
SQL servidor de bases de datos), la virtualización (por ejemplo, VMware vSphere) y los
datos de los dispositivos del centro (incluidos los suministros de energía, aire
acondicionado, sensores y detectores).
VitalNet de Lucent proporciona acceso bajo demanda a los datos para realizar un
seguimiento, analizar, gestionar y predecir los problemas, mejorar la utilización de la
capacidad y cumplir con los compromisos de calidad del servicio. Proporciona
visibilidad basada en la Web gráfica en inalámbricas o por cable de varios proveedores
de red para DSL, VPN, IP Centrex, video streaming, GigE y diversos servicios
inalámbricos 3G.
WhatsUp Oro descubre y mapas de la red, utiliza SNMP v1-3, WMI y scripts
personalizados para monitorear los recursos y aplicaciones en sus dispositivos, le
notifica por correo electrónico, SMS, buscapersonas, etc, cuando se producen
problemas, y proporciona históricos y en tiempo real la presentación de informes a
través de una interfaz de consola de Windows, la interfaz web completa, y la interfaz
móvil. WhatsUp Gold está disponible para redes monofásicas y como una solución de
distribución para la gestión de grandes redes geográficamente dispersas
ZettaView es un monitoreo 24 / 7, análisis de tendencias, informes, y el s istema de
gestión de alarmas para LAN, WAN, ATM y que almacena información en una
granularidad 10 segundos en las sondas local.
Zoho Corp ManageEngine OpManager
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
62 VICEN MORALES
Zyrion Traverse una plataforma de monitorización de red, aplicación y servidor con
API abierta, relacionada puntos de vista de TI "servicios" y la integración con
herramientas de análisis de flujo.
-INTENTOS DE PENETRACIÓN
Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de
vulnerabilidades. Su alcance se extiende a: Equipos de comunicaciones;
Servidores;
Estaciones de trabajo; Aplicaciones;
Bases de Datos; Servicios Informáticos;
Casillas de Correo Electrónico;
Portales de Internet;
Intranet corporativa;
Acceso físico a recursos y documentación;
Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información convenciendo al usuario que otorgue información confidencial,
haciéndose pasar por usuarios con altos privilegios como administradores y técnicos).
Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:
Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.
Identificación de las vulnerabilidades existentes mediante herramientas automáticas.
Explotación manual y automática de las vulnerabilidades para determinar su alcance.
Análisis de los resultados.
Sistemas de Detección de intrusos (IDS).
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion
Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o
de Script Kiddies que usan herramientas automáticas.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
63 VICEN MORALES
El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades
anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar
paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de
acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).
Técnicas de Detección de intrusos.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
64 VICEN MORALES
El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a
través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede
aplicar las siguientes técnicas para detectar intrusiones:
Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada.
Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc.
Tipos de IDS: (Host IDS, Net IDS).
Existen dos tipos de sistemas de detección de intrusos:
1) HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades
en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales
modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
2) NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
Software libre y comercial
El software libre (en inglés free software, aunque esta denominación también se confunde a veces con "gratis" por la ambigüedad del término "free" en el idioma inglés, por lo que también se usa "libre software") es la denominación del software que respeta la libertad de los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, modificar el
software y distribuirlo modificado. El software libre suele estar disponible gratuitamente, o al precio de costo de la
distribución a través de otros medios; sin embargo no es obligatorio que sea así, por lo
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
65 VICEN MORALES
tanto no hay que asociar software libre a "software gratuito" (denominado usualmente freeware), ya que, conservando su carácter de libre, puede ser
distribuido comercialmente ("software comercial").
Análogamente, el "software gratis" o "gratuito" incluye en ocasiones el código fuente; no obstante, este tipo de software no es libre en el mismo sentido que el software libre, a menos que se garanticen los derechos de modificación y redistribución de dichas versiones modificadas del programa.
Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar,
distribuir, estudiar, cambiar y mejorar el software. De modo más preciso, se refiere a cuatro libertades de los usuarios del software:
La libertad de usar el programa, con cualquier propósito (libertad 0).
La libertad de estudiar cómo funciona el programa, y adaptarlo a tus necesidades (libertad 1). El acceso al código fuente es una condición previa para esto.
La libertad de distribuir copias, con lo que puedes ayudar a tu vecino (libertad 2).
La libertad de mejorar el programa y hacer públicas las mejoras a los demás, de modo que toda la comunidad se beneficie. (libertad 3). El acceso al
código fuente es un requisito previo para esto.
'Software libre' no significa 'no comercial'. Un programa libre debe estar disponible
para uso comercial, desarrollo comercial y distribución comercial. El desarrollo comercial del software libre ha dejado de ser inusual; el software comercial libre es
muy importante. Cuando se habla de software libre, es mejor evitar términos como: `regalar' o
`gratis', porque esos términos implican que lo importante es el precio, y no la libertad.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
66 VICEN MORALES
El software comercial
El software comercial es el software, libre o no, que es comercializado, es decir, que existen sectores de la economía que lo sostiene a través de su producción, su
distribución o soporte.
El software comercial cuenta con las siguientes características: - Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas
licencias restringen las libertades de los usuarios a usar, modificar, copiar y distribuir el software.
- El desarrollo, programación y actualización de este software sólo lo hace la empresa que tiene los derechos. Como sucede con los productos Microsoft (Windows, Office, etc.).
- En el software comercial se suele esconder y mezquinar los avances y descubrimientos tecnológicos entre las empresas que lo desarrollan.
- Muchas veces con estrategias comerciales se suele hacer que los usuarios actualicen su software comercial, sin que exista una necesidad verdadera de ello, consiguiendo de esta forma hacer que el usuario invierta en nuevas licencias, la mayoría de las veces innecesarias.
Existen además tipos de software intermedios.
Software semilibre Es aquel que mantiene las mismas características que el software libre para los
usuarios individuales, entidades educativas o sin ánimo de lucro, sin embargo prohibe esas libertades para su uso comercial o empresarial.
Software propietario
Es aquel que no es libre ni semilibre;
por lo tanto, su redistribución, modificación y copia están prohibidas o, al menos, tan restringidas que es imposible hacerlas efectivas.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
67 VICEN MORALES
Freeware
No tiene una definición clara y precisa, sin embargo suele usarse para clasificar al software que puede redistribuirse libremente pero no modificarse, entre otras cosas,
porque no está disponible su código fuente. El freeware no es software libre.
Shareware Es un software que permite su redistribución, sin embargo no viene acompañado de su código fuente y, por tanto, no puede ser modificado. Además, pasado un periodo de tiempo, normalmente es necesario pagar una licencia para continuar usándolo, luego tampoco es software libre
VENTAJAS Y DESVENTAJAS SOFTWARE COMERCIAL. VENTAJAS
Las compañías productoras de software propietario, por lo general, tienen
departamentos de control de calidad que llevan a cabo muchas pruebas sobre el software que producen.
Se destina una parte importante de los recursos a la investigación sobre la usabilidad
del producto.
Se tienen contratados algunos programadores muy capaces y con mucha experiencia.
El software propietario de marca conocida ha sido usado por muchas personas y es relativamente fácil encontrar a alguien que lo sepa usar.
Existe software propietario diseñado para aplicaciones muy específicas que no existe
en ningún otro lado más que con la compañía que lo produce.
Los planes de estudios de la mayoría de las universidades del país tienen tradicionalmente un marcado enfoque al uso de herramientas propietarias y las
compañías fabricantes ofrecen a las universidades planes educativos de descuento muy atractivos.
Existen gran cantidad de publicaciones, ampliamente difundidas, que documentan y facilitan el uso de las tecnologías proveídas por compañías de software propietario, aunque el número de publicaciones orientadas al software libre va en aumento.
DESVENTAJAS
Es difícil aprender a utilizar eficientemente el software propietario sin haber asistido a
costosos cursos de capacitación.
El funcionamiento del software propietario es un secreto que guarda celosamente la compañía que lo produce. En muchos casos resulta riesgosa la utilización de un
componente que es como una caja negra, cuyo funcionamiento se desconoce y cuyos
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
68 VICEN MORALES
resultados son impredecibles. En otros casos es imposible encontrar la caus a de un resultado erróneo, producido por un componente cuyo funcionamiento se desconoce.
En la mayoría de los casos el soporte técnico es insuficiente o tarda demasiado tiempo
en ofrecer una respuesta satisfactoria.
Es ilegal extender una pieza de software propietario para adaptarla a las necesidades particulares de un problema específico. En caso de que sea vitalmente necesaria tal
modificación, es necesario pagar una elevada suma de dinero a la compañía fabricante,
para que sea ésta quien lleve a cabo la modificación a su propio ritmo de trabajo y sujeto a su calendario de proyectos.
La innovación es derecho exclusivo de la compañía fabricante. Si alguien tiene una idea
innovadora con respecto a una aplicación propietaria, tiene que elegir entre venderle la idea a la compañía dueña de la aplicación o escribir desde cero su propia versión de
una aplicación equivalente, para una vez logrado esto poder aplicar su idea innovadora.
Es ilegal hacer copias del software propietario sin antes haber contratado las li cencias necesarias.
Si una dependencia de gobierno tiene funcionando exitosamente un sistema dependiente de tecnología propietaria no lo puede compartir con otras dependencias a menos que cada una de éstas contrate todas las licencias necesarias.
Si la compañía fabricante del software propietario se va a la banca rota el soporte técnico desaparece, la posibilidad de en un futuro tener versiones mejoradas de dicho
software desaparece y la posibilidad de corregir las erratas de dicho software también desaparece. Los clientes que contrataron licencias para el uso de ese software quedan
completamente abandonados a su propia suerte.
Si una compañía fabricante de software es comprada por otra más poderosa, es probable que esa línea de software quede descontinuada y nunca más en la vida
vuelva a tener una modificación.
En la mayoría de los casos el gobierno se hace dependiente de un solo proveedor.
SOFTWARE LIBRE
VENTAJAS
Ahorros multimillonarios en la adquisición de licencias.
Combate efectivo a la copia ilícita de software.
Eliminación de barreras presupuestales.
Beneficio social para el país.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
69 VICEN MORALES
Beneficio tecnológico para el país.
Muchos colaboradores de primera línea dispuestos a ayudar.
Tiempos de desarrollo sobre algo que no exista son menores por la amplia disponibilidad de herramientas y librerías.
Las aplicaciones son fácilmente auditadas antes de ser usadas en procesos de misión crítica, además del hecho de que las más populares se encuentran muy depuradas.
Tiende a ser muy eficiente (porque mucha gente lo optimiza, mejora).
Tiende a ser muy diverso: la gente que contribuye tiene muchas necesidades diferentes y esto hace que el software esté adaptado a una cantidad más grande de problemas.
DESVENTAJAS
La curva de aprendizaje es mayor.
El software libre no tiene garantía proveniente del autor.
Se necesita dedicar recursos a la reparación de erratas.
No existiría una compañía única que respaldará toda la tecnología.
Las interfaces amigables con el usuario (GUI) y la multimedia apenas se están estabilizando.
El usuario debe tener nociones de programación, ya que la administración del sistema recae mucho en la automatización de tareas y esto se logra utilizando, en muchas
ocasiones, lenguajes de guiones (perl, python, shell, etc).
La diversidad de distribuciones, métodos de empaquetamiento, licencias de uso, herramientas con un mismo fin, etc., pueden crear confusión en cierto número de
personas.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
70 VICEN MORALES
SEGURIDAD EN LA RED CORPORATIVA:
-SEGURIDAD EN LAS COMUNICACIONES INALÁMBRICAS.
- Seguridad en las comunicaciones inalámbricas.
La revolución WiFi en todo el mundo significa poder conectarse en cualquier
sitio dentro de una gran ciudad, donde suele haber redes sin cables en hogares
y oficinas. Pero resulta triste comprobar que detrás de tanta generosidad no
hay altruismo sino dificultades tecnológicas. Los propietarios de las conexiones
no las cierran porque es demasiado complicado.
¿Abierto o cerrado?
Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier
ordenador cercano al punto de acceso puede conectarse a Internet a través de
él, siempre que tenga una tarjeta WiFi incorporada, claro. En la red cerrada el
ordenador detectará una red inalámbrica cercana disponible, pero para acceder
habrá que introducir la contraseña. Es lo que suele ocurrir en los aeropuertos y
algunos hoteles, donde la contraseña se obtiene previo pago.
Hasta hace poco se empleaba un sistema de cifrado llamado WEP (Wired
Equivalent Privacy) para proteger las redes WiFi. Las transmisiones se cifran con
una clave de 128 bits, y sólo los usuarios con contraseña pueden conectarse al
punto de acceso. La mayoría de las tarjetas y puntos de acceso WiFi son
compatibles con WEP, pero este sistema está desconectado por defecto. Los
usuarios por lo general no se molestan en activarlo, y la red queda abierta. Si el
vecino de al lado utiliza de vez en cuando la conexión de Internet quizá no sea
demasiado grave, pero cuando accede a información confidencial de la
empresa o a fotos comprometidas de las vacaciones la cosa es más seria.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
71 VICEN MORALES
Hoy se utiliza un sistema de seguridad llamado WPA, que son las siglas de WiFi
Protected Access. Este sistema está incluido en Windows XP con Service Pack 1,
es más seguro que WEP y mucho más fácil de utilizar.
REDES CERRADAS
La mayoría de los puntos de acceso o routers sin cable funcionan nada más
conectarlos, o vienen configurados por el operador. Pero si se quiere modificar
algo, como la seguridad, conviene conocer algunos de los parámetros de la
conexión:
El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso.
Por defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se
puede cambiar y poner "PerezWiFi", por ejemplo.
El canal: por lo general se usa el canal 6, pero si el vecino también tiene un
punto de acceso en este canal habrá que cambiarlo para evitar interferencias.
Puede ser un número entre 1 y 11.
La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la
contraseña que tendrá que introducirse en los ordenadores que se quieran
conectar.
La clave compartida WPA: Como en el caso anterior, si se emplea seguridad
WPA hay que seleccionar una clave de acceso para poder conectarse a la red
WiFi.
Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas
para protegerlas. Esto quiere decir que los números y letras se cambian por
otros mediante un factor. Sólo con la clave adecuada se puede recuperar la
información. Cuanto más grande sea el factor de cifrado (más bits), tanto más
difícil resulta romper la clave.
La seguridad con WEP tiene algunos defectos. Las claves puede que no
funcionen bien si se utilizan tarjetas y puntos de acceso de distintos
fabricantes, por ejemplo. Con WPA esto queda solucionado con una clave
o secreto compartido que puede tener entre 8 y 63 caracteres de largo.
Lo que hace a WPA más seguro es que la clave se cambia automáticamente
cada cierto tiempo, y se actualiza en todos los equipos conectados. Hay un
sistema que se encarga de distribuir las nuevas claves de forma segura llamado
TKIP.
SEGURIDAD Y FIABILIDAD
Uno de los problemas a los cuales se enfrenta actualmente la tecnología Wi-Fi es la progresiva saturación del espectro radioeléctrico, debido a la masificación
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
72 VICEN MORALES
de usuarios, esto afecta especialmente en las conexiones de larga distancia (mayor de 100 metros). En realidad Wi-Fi está diseñado para conectar
ordenadores a la red a distancias reducidas, cualquier uso de mayor alcance está expuesto a un excesivo riesgo de interferencias.
Un muy elevado porcentaje de redes son instalados sin tener en consideración la seguridad convirtiendo así sus redes en redes abiertas (o completamente vulnerables a los hackers), sin proteger la información que por ellas circulan.
Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o el WPA2 que se encargan de codificar
la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las formas son las
siguientes:
WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una “clave” de cifrado antes de enviarlo al aire. Este tipo de cifrado no está muy recomendado, debido a las grandes vulnerabilidades que presenta, ya que cualquier cracker puede conseguir sacar la clave.
WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves se insertan como de dígitos alfanuméricos, sin restricción de longitud
IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de usuarios.
Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos
dispositivos autorizados. Es lo más recomendable si solo se va a usar con los mismos equipos, y si son pocos.
Ocultación del punto de acceso: se puede ocultar el punto de acceso (Router) de manera que sea invisible a otros usuarios.
El protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa a WPA. En principio es el protocolo de seguridad más seguro para Wi-Fi en este momento. Sin embargo requieren hardware y software compatibles, ya que los antiguos no lo son.
Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son susceptibles de ser vulneradas.
SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR
73 VICEN MORALES
-RECOMENDACIONES DE SEGURIDAD EN WLAN
Los expertos en seguridad recomiendan a los administradores de TI tomar las siguientes medidas para proteger los datos corporativos de los peligrosos puntos de acceso:
Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos que intentan acceder a redes corporativas.
Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen conexiones e intercambio de datos. Mejor aún, instalar computadoras y
otros dispositivos móviles para que se conecten automáticamente a los datos cifrados de la VPN , de esta forma se pueden determinar sí el dispositivo no ha
sido extraviado o robado. Cerciorarse de que todos los dispositivos y aplicaciones de software están
configurados correctamente y tienen los últimos parches. Asegurarse que las políticas de seguridad corporativa prohíban a las personas la
transferencia de datos sensibles a dispositivos móviles o equipos no autorizados.
Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que requieren un plan de servicio, para que los empleados no tengan que usar los
puntos de acceso públicos para conexiones inalámbricas.