Issuu on Google+

.. ". ·\..0 . üo,dades ••• •

8 • • • • • .,. .

"

••• ,,,,0· ••• e competeoC

Certificados de profesionalidad

p.II.p'

r.

,

Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Aranda

J.Lc 'Yr-


l

Seguridad informática «La base de tu futuro» El proyecto editorial de McGraw-Hill poro lo formación profesional ha sido

~ Formativo Gro~o

Medio

~

desarrollado según tres principios básicos: • Una metodología basada en la práctico y en la adecuación de contenidos y procedimientos a la realidad profesional. • Unos materia les desarrollados para conseguir las destrezas, habilidades y resultados de aprendizaje que necesitarós pora conseguir tu título y desenvolverle en el mercado laboral. • Uno presentación de los conten idos doro y atractiva, con variedad de recursos gráficos y multimedia que facilitarán tu aprend izaje. El proyecto poro el módulo profesional Seguridad informático ha sido desorroliado considerando los unidades de competencia del Catálogo Nocional de Cualificaciones Profesionales:

Unidades de compelencia profesional Mantener y regular el subsistema físico en sistemas informáticos.

(UC0957_2)

Ejecutar procedimientos de administración software base y de aplicación del cliente.

y mantenimiento

en el

(UC0958_2)

Mantener la seguridad de los subsistemas físicos informáticas.

(UC0959_2)

y lógicos

en sistemas

I

Confiamos en que esta obro seo una herramienta útil y eficaz, y que contribuya a tu formación como profesional.


Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Aranda

Revisor técnico Alberto Sánchez Alonso

MADRID - BARCELONA - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MÉXICO NUEVA YORK - PANAMÁ - SAN JUAN - BOGOTÁ - SANTIAGO - SAO PAULO

AUCI<LAND - HAMBURGO - LONDRES - MILÁN - MONTREAL - NUEVA DELHI - PAR ís SAN FRANCISCO - SI ONEY - SI NGAPUR - SToLOU IS - TOKIO - TQRQNTO


Seguridad iurormática . Ciclo Formativo Grado Medio No está permitida la reproducción total o parcial de este libro. ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright. Si necesita fotocopiar o escanear algún fragmento de esta obra, diríjase a CEDRO (Centro Español de Derechos Reprográficos. www.cedro.org)

Nota: Este libro se atiene al artículo 32 del derecho de cita de la Ley de Propiedad Intelectual de 1996 (RDLeg 111996 de 12 de Abril) Derechos reservados © 2010, respecto a la tercera edición en español, por: McGraw-Hill/Interamericana de España, S.L. Edificio Valrealty, \." planta Basauri, 17 28023 Aravaca (Madrid) ISBN: 978-84-481-7137-7 Depósito legal: M-1 9725-20 I O © César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fern ández Álvarez, Laura Fernández Aranda Autores: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez, Laura Fernández Aranda Autores del material complementario: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álva rez, Laura Fernández Aranda Equipo editorial: Ariadna Allés, Paloma Sánchez, Ma ría Justicia, Waldo Pérez Equipo de preimpresión: Meritxell Carceller, Daniel MontanyiI. Diseño de cubierta: neprotel.com Diseño interior: neprotel.com Fotograrías: Age, Aisa, Corbis, Getly, SanDisk, Quick Image, Google Oregón Ilustraciones: Mamen Fuente Canalda Composición: Ediciones Gráficas Arial, S.L. Impresión: Edigrafos, S. A.

IMPRESO EN ESPAÑA - PRINTED IN SPAIN


Presentación En la actualidad tanto las empresas coma los usuarios de a pie guardan gran cantidad de información en sus ordenadores. En el caso de los usuarios domésticos almacenamos gran cantidad de recuerdos en nuestros equipos. Hoy en día es prácticamente impensable realizar una fotografía con cámara analógica; todos, jóvenes y personas mayores, nos hemos actualizado y usamos cámaras digitales para inmortalizar esos grandes momentos de nuestra vids que terminan almacenados en el disco dura. Toda esa información debemos prategerla tanto de posibles pérdidas como de los posibles intrusos. Imaginaos que un desalmado entra en nuestra equipo y d;fund" por Internet esas fotografías que no queremos compartir con nad ie; o pensemos, por ejemplo, en la cantidad de famosos que intentan proteger la intimidad de sus hijos. Para poder seguir manteniendo la confidencialidad, la disponibilidad y la integridad de la información necesitamos tomar numerosas medidas de protección. En el caso de las empresas, toda la información es almacenada en los equipos/ sus comunicaciones son realizadas mediante videoconferencias sin necesidad de desplazarnos numerosos kilómetras para hablar durante una sesión de trabajo. . La mayoría de las actividades desarrolladas en las empresas se encuentran automatizadas mediante diversas aplicaciones informáticas, por lo que la caída de sus sistemas puede suponer grandes pérdidas económicas; la pérdida de información, a su vez, puede hacer parar la actividad de numerosas empresas (imaginad para una inmobiliaria lo que supondría perder la información). Eso sí, lo que en ambos casos sucede es que las empresas pierden fiabilidad frente al resto de las empresas. Además, en el caso de las comunicaciones debemos asegurar tanto la integridad como la confidencialidad y el no repudio. Gracias a todos estos avances tecnológicos hemos sustituido la máquina de escribir y los archivadores por equipos informáticos, o las largas esperas del correo por la inmediatez del correo electrónico y las videoconferencias. Todo este avance se ha desarrollado paralelamente al desarrallo de medidas de seguridad. En este libro estudiaremos las distintas maneras de protegernos sobre posibles ataques ci esa confidencialidad que, por una razón u otra, tanto interesa proteger; serán siempre estudiadas desde un punto de vista práctico. El libro se ha dividido en distintos bloques. En el primero de ellos, introductorio, intentamos justificar y motivar al lector al estudio de la seguridad informótica. El segundo bloque aborda conceptos y técnicas relativos a la seguridad pasiva en los sistemas informáticos, tratándose aspectos como las arquitecturas hardware y, por supuesto, las copias de seguridad, que resultan cruciales en cualquier equipo o sistema que se precie. Los sistemas criptográficos son utilizados constantemente en el día a día de casi cualquier persona, hasta el punto de


que en la actualidad el DNI incorpora un chip electrónica que permite realizar diversas gestiones seguras utilizando técnicas como las que se abordorón en el tercer bloque tratado en el libro.

El cuarto bloque se dedica a la seguridad activa en el sistema, tratando distintas técnicas de seguridad software, relacionadas con términos tan de moda como hacker o virus, de modo que podamos identificar los riesgos a los que se enfrenta cualquier equipo conectado a una red. Por último, no podíamos dejar de hablar de cortafuegos y praxy, considerados como técnicas de seguridad de alto nivel en redes, pero imprescindibles en cualquier sistema o red que quiera estar protegido, especialmente si se conecta a redes no seguras. Son varias las personas que nos han ayudado en este proyecto y que no queremos dejar de mencionar. Agradecemos la colaboración que nos han prestado Daniel Magaña, de la Universidad Antonio de Nebrija, facilitóndonos documentación y fotografías de la realización de las copias de seguridad; a Dominador Saiz, al que le hemos robado numerosas horas de su tiempo libre y a Gustavo Delgado, de Tiscar Instalaciones, por todas las horas que nos ha dedicado y sus explicaciones sobre los centros de procesamiento de datos. Otro mención importante es paro www.informationweek.com. su editor, John Foley, y su editor jefe, Rob Prestan, que nos han permitido utilizar sus imágenes del centro de dotas de Google en Oregón. Dedicamos este libro o nuestros parejos y familias, que han sufrido los sinsabores de esto experiencia y nuestro mol humor. Los a utores


,

Indice o

Unidad l. ~ancep!~s básicos de la seguridad mformallca ....................................... .. l. Seguridad informática ¿por qué? ................. . 2. Objetivos de la seguridad informática ......... .. 3. Clasificación de seguridad .......................... . 3.1. Seguridad física y lógica ........ .. .. .. ....... . 3.2. Seguridad activa y pasiva .............. ..... . 4. Amenazas y fraudes en los sistemas de la información ...................................... .. 4.1. Actuaciones para mejoror lo seguridad .. 4.2. Vulnerabilidades ................................. . 4.3. Tipos de amenazas ............................ .. 4.4. Pautas de protección para nuestro sistema ........................... ................... .

o

8 10 13 13 16 17 18 20 21 22

4. Modos de recuperación frente a pérdidas en el sistema operativo .. .. ............................. 5. Creación de imágenes del sistema .......... .. .... 6. Copia de seguridad del registro .......... .. ........ 7. Políticas de copias de seguridad .......... .. .......

63 69

72 73

O Unidad 4. Sistemas de identificación. Criptografía ........................................

79

1. ¿Cómo aseguramos la privacidad de la información? ....................................... 2. Un poco de historia de la criptografía ............ 3. Criptografía simétrica y asimétrica ............ .. .. 3.1. Criptografía simétrica .. .................. ....... 3.2. Criptografía asimétrica ..... .. .. .. .......... ... . 3.3. Criptografía híbrida ..................... .. ...... 4. Algoritmos ........................................... .. ..... 5. Función Resumen ................... .. .......... .......... 6. Firma digital ...... .. .. .... ...... ... .. .. .. .. .. .. .. .......... 7. Certificados digitales ........ ... .. .. .. .. ..... ..... ... .. . 8. PKI .............. ........................................ ... ....

80 80 84 84 86 90 90 91 92 94 95

5. Leyes relacionadas con la seguridad de la información ...................................... .. 5.1. Normativa que protege los datos personales ......................................... . 5.2. Normativa de los sistemas de información y comercio electrónico ........................ .

26

Unidad 2. Seguridad pasiva. Hardware y almacenamiento ............................ ..

29

O Unidad 5. Seguridad activa en el sistema .............

105

30 30 32

1. Introducción a la seguridad del sistema .. ........ 2. Seguridad en el acceso al ordenador ............ 2.1. ¿Cómo evitamos que personas ajenas . modifiquen la BIOS? ............................ 2.2. ¿Cómo proteger el GRUB con contraseña? .............................. ..... .. ... 2.3. Cifrado de particiones .......................... 2.4. Cuotas de disco ................................... Activación y uso de cuotas de disco en Windows ....................................... Cuotas de usuario en UBUNTU .......... ... 3. Autenticación de los usuarios .................... .. .. 3.1. Políticas de contraseñas ................... .. ... 3.2 . Sistemas biométricos ................... .. .. .. ... 3.3. Listas de control de acceso .................... 4. Vulnerabilidades del sistema ......................... 4 . 1. Evitar vulnerabilidades en Windows ...... 5. Monitorización del sistema .. .......... .. .......... .. . 5.1. Monitorización en Windows ............. .. .. 5.2. Monitorización en Linux ................ ... .... 6. Software que vulnera la seguridad del sistema ......................................... .. ...... 6.1. Clasificación de los atacantes ............... 6.2. Tipos de ataques .................................

106 106

133 133 134

O Unidad 6. Seguridad activa en redes ...................

145

1. Seguridad en la conexión a redes no fiables .. 1.1. Spyware en tu ordenador ................ .... . 2. Protocolos seguros ... .. ................... .. ....... ...... 2.1. Protocolo HTIPS .... .. ........ ............. .. ..... 2.2. Protocolo SSH .................. .. ...... .. .. .. .....

146 147 149 149 150

1. Ubicación y protección física ...................... ..

2.

3. 4.

5.

6.

o

7

1.1. Factores para elegir la ubicación .......... . 1 .2. Control de acceso .............................. .. 1.3. Sistemas de climatización y protección en el CPD .......................................... . 1.4. Recuperación en caso de desastre ...... .. . Sistemas de alimentación ininterrumpida ...... .. 2.1. Definición de SAl ...................... ...... .... . 2.2. Tipos de SAl ............................ .. .. .. .... . 2.3. Modo de funcionamiento .............. .. .. .. .. Almacenamiento de la información .............. .. Almocenomiento redundante y distribuido .... .. 4.1. RAID en Windows .............................. . 4.2. RAID en Windows Vista .................. .... . 4.3. RAID en Windows 2008 Server ...... ..... . Clusters de servidores .................... .... ....... .. . 5.1. Clasificación de los clusters .................. . 5.2. Componentes de los clusters ...... .. ........ . Almacenamiento externo ............................ .. 6.1. Network Attached Storage .............. .. .. .. 6.2. Storage Area Network ............ ....... .. .. ..

Unidad 3. Seguridad Pasiva. Recuperación de datos ............................................ . l. Introducción .................................. .. ...... .. .. .. 2. Tipos de copias de seguridad .................. .. .. . 3. Copias de seguridad de los datos ................ . 3.1. Copia de seguridad de datos en Windows .......... ................................. . 3.2. Copia de seguridad de datos en Linux .. .

23 23

33 35 35 35 36 36 37 38 40 40 43 44 44 45 46 46 46

49 50 51 52 54 61

106 108 112 117 117 1 19 123 123 125 126 129 129 131 131 131

5


,

Indice

o

3. Seguridad en redes cableadas..... ......... .... .. .. 3.1. Red privada virtual (VPN) ......... .... ........ ¿Qué es una VPN? ... ......... .... ............. ¿Cómo funciona una VPN? . ..... ..... ........ Instalación y configuración de una VPN . 3.2. Detección de intrusos ............. .............. 3.3. Arranque de servicios .. ................. .... ... Servicios en Windows Vista ....... .... ....... Servicios en Ubuntu ............ ............. ....

152 152 152 152 152 159 159 159 161

4. Seguridad en redes inalómbricas ....... ........... 4.1. Tecnologías Wi-fi.. ................... ....... ..... 4.2. Conceptos de redes Wi-fi ..................... 4.3. Seguridad Wi-fi.................... .... .... .......

162 163 164 165

5. Seguridad WEP .............. ..... ............ .... .......

166

6. Seguridad WPA ................................... .... ... 6.1. Seguridad WPA personal........... ... ....... 6.2. Seguridad WPA empresarial.................

170 170 172

Unidad 7. Seguridad de alto nivel en redes: cortafuegos ........................................

179

l. Seguridad de alto nivel............................. .. .

180

2. Cortafuegos: qué son y para qué sirven .........

181

3. Tipos de cortafuegos.................................... 3.1. Según su ubicación..... .... ...... .... .. .. ....... Cortafuegos personales.......... ... .... ....... Cortafuegos de subredes ........... .... ....... 3.2. Según su tecnología.................. .... .. .. ...

184 184 184 1 86 186

4. Filtrado de paquetes........... ......................... 4.1. Parámetros utilizados para filtrar paquetes ............... .......................... ... 4.2. Reglas de filtrado.......... .... .... .... .... .......

1 87

o

1 87 188

5. Uso de cortafuegos...................................... 5.1. Criterios para elegir un cortafuegos ....... 5.2. Instalación y configuración de un cortafuegos comercial....................... ...

192 192

6. Arquitecturas de red con cortafuegos ...... .. ..... 6.1. Dual-Homed Has!................................. 6.2. Screened Host ..................................... 6.3. Screened subnet .......... .. ......................

197 197 197 198

7. Monitorización y logs .................................. 7.1. Registra de actividad de los sistemas operativos........................................... 7.2. Registras de actividad del cortafuegos....

199

192

199 200

o

Unidad 8. Seguridad de alto nivel en redes: proxy.................................................

203

l. Intraducción ................................................

204

2. Características del praxy....... .. .. .. ...... .. .. ... .... 3. Funcionamiento del praxy............................. 4. WinGate.............. ........... .... .. ..... ... .. .. ......... 4.1. Instalación ................ ...... .............. .. .... 4 .2. Configuración inicial............... .... .. .. ..... 4.3. Servicios de WinGate .......................... Parada y orranque de los servicios........ Configuración de los servicios.......... ..... 4.4. Tipos de praxy .............................. .. .... 4.5. Creación de usuarios........ .. .. .. ....... ...... 5. PureSight.............................................. .. .... 6. Control de lag en WinGate ........ .. .. .. ...... .. ....

205 206 208 208 209 211 211 212 212 214 217 218

7. Squid ........................................................ 7.1. Instalación de Squid....... .. .. .. ... ............. 7.2. Configuración inicial...................... .. .... http_port....................................... ... ... cache_dir ........ .. .. .. ...... .. ..................... cache_mem......................................... cache_mgr................................. ......... accessJog, cacheJog y cache_store_ lag..................................................... cache_effective_user y cache_effective_ group................................................. ftp_user ........................ ...... ...... .. ........ error_directory .............. ...... ................ 7 .3 . Control de acceso en Squid ........ .. ........ acl............ ...... .......... .. ...... .. ...... .. ....... acl src ...................... .. .. .. .. .. ... .. ........... http_access .............. ...................... ..... AcI ds!.................. .. .. .. .. .. .. .. .. .. ... .. .. .. ... AcI dstdomain ....... .. ...... .. .. .. ........... .. ... urLregex .............. .. ...... .. ...... .. ....... ..... time .............................................. .. ... 7.4. Autenticación ...... .... ............................ 7.5. Clasificación de sitios en Squid ............. 7.6. Gestión del proxy con Webmin. Control de lag.... ................................. Instalar y configurar Webmin para Squid Utilización de Webmin......................... Análisis del lag de Squid con Webmin...

219 219 220 220 220 221 221

Anexo: índice de términos ..................................

221 221 221 221 222 222 222 222 224 224 224 225 226 229 230 230 231 231 235


ijj) n'il od©l d

Conceptos básicos de la seguridad informática

En esta unidad aprenderemos a:

• Valorar la importancia de mantener la información segura. • Describir las diferencias entre seguridad física y lógica y entre seguridad activa y pasiva. • Valorar la importancia de establecer una política de contraseñas. • Contrastar la incidencia del software malicioso y las técnicas de ingeniería social en los fraudes informáticos y robos de información. • Determinar la necesidad de controlar el acceso a la información personal almacenada. • Describir la legislación sobre protección de datos de carácter personal y sobre los servicios de la sociedad de la información y

y estudiaremos: • los servicios de seguridod. • las clasificaciones de seguridad. • las amenazas y fraudes. • legislación: protección de datos y servicios de la sociedad de la información y correo electrónico.

comercio electrónico.


~1

Conceptos básicos de la segu ridad informá tica

• Gene Spafford, experto en seguridad informática, afirma: «El único

sistema verdaderamente

seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterra-

do en un bloque de hormigón, rodeado

de gas nervioso

y

vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi

vida por ello».

l. Seguridad informática ¿por qué?

El espectacular auge de Internet y de [as servicias telemáticos ha hecho que [os ordenadores y [as redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumenta imprescindible en [as tareas de [as empresas. Ya no tenemos necesidad de ir a[ banco para conocer [os movimientos realizados en nuestra cuenta bancaria, ni para realizar transferencias ... directamente podemos rea[izar dichas operaciones desde e[ ordenador de casa. Lo mismo ocurre con [as empresas; sea cual sea su tamaño, disponen de equipos conectadas a Internet que [es ayudan en sus pracesas productivos. Cualquier fallo en [os mismos puede suponer una gran pérdida económica ocasionada por e[ parón producido, bien por [a pérdida de infarmación o por e[ mal funcionamiento de [as equipos infarmáticos, de modo que es muy importante asegurar un correcto funcionamiento de [os sistemas y redes informáticas. Uno de [os principales problemas a [os que se enfrenta [a seguridad infarmática es [a creencia de muchos usuarios de que a ellos nunca [es va a pasar [o que a otros. Es impensable que nas vayamos de casa y nos dejemos [a puerta abierta. Lo mismo ocurre con [a seguridad de [a infarmación. Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros sistemas sean menos vulnerables a [as distintas amenazas. Sí, menos vu[nerabies: nadie puede asegurar que su sistema sea cien par cien segura, hasta [a seguridad de [a NASA y del Pentágono han sido violadas por hackers. Hay una lucha permanente entre [os técnicos protectores del sistema y [os que buscan rendimientos económicos fáciles, o simplemente su minuto de gloria a[ superar e[ reto de asomarse a[ otro [oda de [a barrera de protección. Tenemos que intentar [agror un nivel de seguridad razonable y estar preparados para que, cuando se produzcan [os ataques, [os daños puedan ser evitados en unos porcentajes que se aproximen a[ ciento por cien o en caso contrario haber sido [o suficientemente precavidos para realizar [as copias de seguridad y de esta manera volver a poner en funcionamiento [os sistemas en e[ menor tiempo posible.

~]t¡

..

..

.

~

Detienen en Málaga a un hacker por introducirse en un ordenador del Pentágono MÁLAGA, 16 DE ENERO DE 2006 (EUROPA PRESS) La Guardia Civil ha detenido a un hacker, en una operación desarrollada en Málaga, como presunto autor de un acceso ilegal a través

de Internet a un ordenador del Departamento de Defensa de Estados Unidos. El ordenador al que accedió el hacker estaba ubicudo en la base naval de Painl Loma. en San Diego, California, según indicó la Benemérita a través de un comunicado. La operación, denominada Navy, se inició cuando efectivos de segu ~ fidad informática de la Armada de Estados Unidos detectaron un acceso ilegal a dicho ordenador, por lo que comunicaron este hecho a su Servicio de Investigación Criminal Naval (NCIS). Este servi~ cio detectó que el ataque se había procedido desde un ordenador de España, motivo por el cual lo puso en conocimiento de la Unidad de Ciberterrorismo de la Guardia Civil. La denuncia, interpuesta a través de la Emb~jada de Estados Unidos en España, ponía de manifiesto que «el ataque comprometía gravemente

tanto el correcto funcionamiento como la seguridad de un dique seco de mantenimiento de submarinos nucleares}}. A raíz de la operación realizada por la Guardia Civil, se detectó la existencia de un grupo dedicado a vulnerar la seguridad de sistemas informáticos conectados a través de Internet, con el fin de utilizar la información para fines ilegítimos. Una vez descubierto este grupo, las investigaciones se centraron en una persona residente en Málaga, que resultó ser el autor del mencio~ nado ataque, según la Guardia Civil. Dentro de la misma operación, se identificó y se tomó declaración a otras cuatro personas en distintas provincias de España en calidad de testigos y por su presuma relación con los hechos. Las acciones realizadas por este grupo causaron daños valorados en más de 500000 dólares y habrían comprometido la seguridad de más de un centenar de sistemas informáticos, informaron desde el Instituto Annado.


Conceptos básicos de la segurid ad informática

1

- ---

Caso práctico 1

9

Análisis de contraseñas Vamos a analizar el tiempo que tarda un PC cama las que podemos tener en casa en descubrir una contraseña.

Ripper son aplicaciones clásicas capaces de descubrir contraseñas .

Existen en Internet multitud de programas dedicadas a descubrir las contraseñas haciendo uso del método de fuerza bruta, que consiste en ir probando todas y cada una de las posibles contraseñas . Brutus o John the

Coma se puede ver en la Tabla 1.1 las contraseñas en las que sólo se utilizan caracteres en minúsculas (la misma ocurriría si solamente se hace usa de las letras mayúsculas) san mucha más vulnerables ante este tipo de pragramas .

~_'n~'_-""""',"_~~~_""'"_--.o......-_,...",,,,,,'

r~

,

"

~: M~scülas, l1Ji~Ú5~1:!!é5 y car~pe.slales •

3

Menos de 1 segundo

Un suspiro

4

Menos de 2 minutos

Un suspiro y medio

5

Alrededor de 2 horas

10 segundos

6

Alrededor de unos 9 días

5 minutos

7

Entre 2 y 3 años

Alrededor de 2 horas

S

Alrededor de 2 siglos

Menos de 3 días

9

Unos veinte mil años

Alrededor de 2 meses

Tabla 1. l . Tiempos que tardan en defectar las contraseñas.

Caso p'ráctica 2

9

¿Qué problemas pueden surgir cuando se introduce un virus que formatea equipos en una empresa que vende productos por lnlernel? Vamos a pensar en las per¡uicios ocasionados a una empresa que ha visto afectados sus equipos informáticos por un virus que se ha transmitido por la red. El virus estaba diseñado para formatear los equipos a las 13.30 horas. las páginas web de lo empresa donde comercializaba sus productos de¡an de funcionar. Esto provoca una gran pérdida económica debido a la falta de ventas durante el tiempo en el que no están disponibles. A ello se suma la pérdida de confianza por parte de los clientes al conocer la vulnerabilidad de sus sislemas infarmáticos, y la pérdida de confianza por porte de los proveedores por la mismo razón . Además, si la empresa no ha realizado copias de seguridad de los datos de ventas, clientes, etc., perderá mucha información valiosa como cortera de clientes, pagos a proveedores a facturas.

9

Hacker. Intruso qu e se infiltra en los equipos informáticos como reto. En ningún co so buscan un beneficio eco nómico o dañar la estructura del sistema . Cracker. Intrusos que buscan un beneficio econ ó mico o dañar las estructuras del sistema .

En lo actualidad, los medios de co municació n han popularizado

la palabra hacke r poro ambas acepcio nes.

Caso práctico 3 ¿Qué problemas puede tener un interna uta que se conecta a Inlernet utilizando nuestro router Wifi, el cual no tiene ningún tipo de contraseña? Pensemos el caso extremo, un pederasta que utilizo nuestra conexión para descorgorse pornografía infantil.

9

la policía en una investigación nos señalaría como culpables de las descargas por ser nuestra IP la que de¡a el rastro.


~/ 1

Co nce ptos básicos de lo seguridod informática

------~---------~-----------

2. Objetivos de la seguridad informática

Si estudiamos las múltiples definiciones que de seguridad informática dan las distintas entidades, deduciremos los objetivos de la seguridad informática. Según la IS027002, "La seguridad de la informacián se puede caracterizar por la preservación de: •

Confidencialidad: asegura que el acceso a la informacián está adecuadamente autorizado.

Integridad: salvaguarda la precisión y completitud de la información y sus métodos de proceso

Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la infarmación cuando la necesitam).

Otra de las definiciones de lo seguridad informática dada por INFOSEC Glossary 2000: " Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella informacián que procesan, almacenan y comunicam>.

De estas definiciones podemos deducir que los principales objetivos de la seguridad informática son: •

Confidencialidad: consiste en la capacidad de garantizar que la información, almacenada en el sistema informático o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha información, es decir, que si los contenidos cayesen en manos ajenas, estas no podrían acceder a la información o a su interpretación.

Este es uno de los principales problemas a los que se enfrentan muchas empresas; en los últimos años se ha incrementado el robo de los portátiles con la consecuente pérdida de información confidencial, de clientes, líneas de negocio... En relación a este objetivo, en el último apartado de este tema, analizaremos la Ley de Protección de Datos de Carácter Personal. •

Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento.

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible para sus usuarios. •

Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creación sin autorización . La información que disponemos es válida y consistente.

Este objetivo es muy importante cuando estamos realizando trámites bancarios por Internet. Se deberá garantizar que ningún intruso pueda capturar y modificar los datos en tránsito.

~ Actividades 1. Asocia los mecanismos con los objetivos de la seguridad informática.

No repudio: este objetivo garantiza la participación de las partes en una comunicación. En toda comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio: No repudio en origen: garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío. No repudio en destino: El receptor no puede negar que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo.


Conceptos básicos de la segu ridad informática

e 1

Este servicio es muy importante en los transacciones comerciales por Internet, ya que incrementa la confianza entre las partes en las comunicaciones.

Formas de autenticarse: • Por algo que el usuario sabe:

password, PIN ... • Por algo que el usuario posee:

tarjeta de claves, tarjeta ATM (tarjeta bancaria) ...

Confidencialidad

• Por algo que el usuario es: ca· racterísticas biométricas, hue· 110 dactilar, iris ...

Disponibilidad

No repudio

Fig. 1.1. Esquema de los objetivos de la seguridad informática.

Para conseguir los objetivos mostrados en la Figura 1.1 se utilizan los siguientes meca-

nismos: o

Autenticación, que permite identificar al emisar de un mensaje, al creadar de un documento o al equipo que se conecta a una red o a un servicio.

o

Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios después de haber superado el proceso de autenticación.

o

Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de seguridad tomadas.

o

Encriptación, que ayuda a ocultar la información transmitida por la red o almacenada en los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo y clave de descifrado, pueda acceder a los datos que se quieren proteger.

o

Realización de copias de seguridad e imágenes de respaldo, para que en caso de fallos nos permita la recuperación de la información perdida o dañada.

o

Antivirus, como su nombre indica, consiste en un programa que permite estar protegido contra las amenazas de los virus.

o

Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados en ambos sentidos, desde los equipos hacia la red y viceversa.

o

Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario entre la red interna de una empresa y una red externa, como pueda ser Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de los usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros), o el Web (acceso a páginas de Internet).

o

Utilización firma electrónica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. También se utilizan mucho hoy en día para establecer comunicaciones seguras entre el PC del usuario y los servidores de Internet como las páginas web de los bancos.

o

Conjunto de leyes encaminadas a la protección de datos personales que obligan a las empresas a asegurar su confidencialidad.

I

l

\

ti, (/

¡

1


Conceplos básicos de lo seguridad infarmálico

Q

Caso práctico 4

Certificado digital en Internet Explorer 7 Observemos el certificado dig ital que utilizo G moil a la hora de autenticar o los usuari os mediante el nombre y contraseño del mismo. Poro realizar esto actividad se ha utilizado la aplicación Internet Explorer 7. En la Figuro 1.2, en la zona re servada para las direcciones. podemos observa r que el protocolo utilizado es HTTPS en lugar de HTTP, que suele ser más habitual. En este caso se está utilizando un protocolo de transferencia de hipertexto seguro.

__ __do_ _ _"'_

(;!"ajj _ . -

U_"'_... . . . .... .......... ..... . ...... ............ ..... ~,

,~

___ .. .... ...

ti ::,: :.o :;= ........... _ _ ........___ ..

= Q

~

........

~

~_ ~

Si hacemos e1ic sobre el co ndado, que se muestro en lo parte derecho de lo URl, veremos lo Fig uro 1.3, donde podemos verifica r que lo conexión estará cifrada usando un certificado digital de Google. Si hocemos e1ic sobre Ver Certificados de lo Figuro 1.4 nos muestro la información deta llada del mismo (Fig. 1.5).

~:==""------I :::::-.::.:::..

..-

_...........

...

_ . c,,-J<

" E:'.--;:"""'_. ,,--_... ._ ._ ..._-_ .. ~- . . .

... ... "" ~

Q

..."... _ .. "'.... .. _, .. __ ' .....'''' .......,_.. __ ......

:::~

::~;., .. _- ~ ,_ .........".. _

--,...... , .... -.-.... _.._ .. "-"lo,...,'.....

.,....... c.-n" .... _ [ ';"'--· 1

L::==== ....,.._ . . . . ...____ ~_

~

---·l

__

Fig . 1.2. Pantalla Google.

Fig . 1.3. Pantalla Goagle con certificado.

Ceftifitido

......

'---"'-'

Do..,.,

[ Rl

Certificado

.~

~"'''''''

Rl,¡ta de artifiu.cin

Mostrar:

Rl,¡1iI de

artiliald6n

I

e.....

Este Cbtiflc::¡¡¡do csbi destinado a los sig\JicJ1tcs Pnlpdslto: • A$eg\rlllll identidad de un ~ re!OOlo

o

v'"""

8t.Al;critmo ünero de~eriefrrna

01""76003"'<9"",7 ... ~

de,

=

shalRSA Thawte SGe CA, ThawteCons.,. sábado, 28 de ~ de 2009 •.. domingo, 28 de l!\l!nO de 201, ..

O"""" Ov,,",_ D vA!:do hasta

O""'In

M'M.goog!e,rom, Go~ lflc....

O da~_

-

RSA (102"lBils)

J;11 ..... ~~r4au..::

Emitido par \\'\'II'I.googIe.am

1,'

-1

<Todo:;>

Información del czrtificado

,,1 ... ~..t.Ie-,;.¡....r,.,.

30 91 99 02 91 91 DO d6 b9 el ad b9 61 Oh

19 a2 Ji 15 a6 e5 4a

Váido dHelc 28/03/2009 ham 28/03/2.010

[§03c=:idtlt'=~ a,~

2f 49 el 10 b9 92 de

d3 ea b9 59 17 6e b1

51 30 7f fe 42 De 64

20 57 7b 06 e6 60 bd

22 26 e3 b3 46 76 aO

45 97 c7 bf e7 9a 74

95 d9 00 91 66 e7 5a ef ce al 9c dO be ge 02 b9 22 el 5e 27 ce f9 7f 50 41 b2 50 9f

~

33 9a a1

f1 9b Oc 1f 3e 91

51 10 b9 96

de fe 5a 9d

fb 54 09 la

-

t :::if.:a: proped.l!des···l [Cop¡-;u en Gídt....3

rr.as nformación&efCZI de, ct'fhfirado~

1

Mas nformadón aarca de los d! l a·l!~ d..1cl!' b~,arlf)

I Fig. 1.4. Información general del certificado.

2

o

1f 4e b6 3e 09 3d ah e9 e3 2b b6 e9 a4 3.

Emitido por ihIIwte SGe CA

-""

I

1

Fig. 1.5. Detaffe del certificado.

-'"

1


Conceptos bósicos de la seguridad informótica

1

3. Clasificación de seguridad

Se pueden hacer diversas clasificaciones de la seguridad informática en función de distintos criterios. Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del percance, minimizando los efectos ocasionados por el mismo.

Cenlro de cálculo. Lugar se encuentran ubicados los recursos informáticos de una organización. Sinónimos de centro de cálculo: Centro de procesamiento de

datos (CPD), centro de datos y

centro de cómputo.

3.1. Seguridad física y lógica En este apartado distinguiremos los distintos tipos de seguridad en función del recurso a proteger.

o

Seguridad física

Habitualmente nos centromos en protegernos de posibles hackers, virus ... y nos olvidamos de un aspecto muy importante en la seguridad informática, la seguridad física. La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el cableado ... ) de los posibles desastres naturales (terremotos, tifones ... ), de incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más. A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:

,,..

... . .

"m»1.'

I~~': I

s. ~ n

'.. . .. ....

, •• J

- .. ~ " . .. .. ... p

Fig. 1.6. Terremotos registrados por el Instituto GeográFico Nocional de España de los primeros diez días del mes de julio de 2009.

• El mobiliario de los centros de cálculo debe ser ignífugo. •

Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias

Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores ... para sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionado numerosas pérdidas materiales.

Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales.

inflamables o explosivos.

Incendios

Inundaciones

• Impermeabilizar las paredes y techos del CPD. Sellar las puertas poro evitar la entrada de agua proveniente de las plantas superiores.

Robos

Señales electromagnéticas

Apagones Sobrecargos eléctricas Desastres naturales Ta bla 1.2 .

Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad, vigilantes jurados ... ; con todas estas medidas pretendemos evitar la entrada de personal no autorizado.

Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos informáticos y del cableado de red.

En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales deberemos proteger el centro Frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.

Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida, SAl, que' proporcionan corriente eléctrica durante un periodo de tiempo suficiente.

• Además de proporcionar alimentación, los SAl proFesionales incorporan filtros para evitar picos de tensión, es decir, estabilizan lo señal eléctrico. •

Estando en continuo contacto con el Instituto Geográfico Nocional y lo Agencio Estatal de Meteorología, organismos que informan sobre los movimientos sísmicos y meteorológicos en España.

Amenazas y mecanismos de defensa en seguridad Física. 13


Conceptos básicos de la seguridad informática

o

Seguridad lógica

La seguridad lógica complementa a la seguridad física, protegiendo el software de las equipas informáticas, es decir, las aplicaciones y las datas de usuaria, de rabas, de pérdida de datas, entrada de virus informáticos, modificaciones na autorizadas d e los datas, ataques desde la red, etc.

fir ......~ d. IV;""" .."

r...... _. ...... ............

,...M................"....""'''''... ''''.H•

...... '"'''''' ......""¡'" .., ... .......... . "...,, ......... ~., .,, '''

.<_ ... .,...."",.......,..".,.. ..•..-

a._ .. _ ... . _ ... . .. ~

(~'W"

".<t...,D

#'fPtttEíd

::=-.:::::.'_.__ "'-r.,... . _ ...... _ _ . ""' • • , _

~

..

~~

. . . . . . <&O<a ...

........(-,

...... ..

,

..... _ ." _ _..... ..,.,....... "'""'" .. ......... """......... . . ;:'.;:.:...........'''''''''''''.,...... .. ~ C' _( ....=.::= _................._...,..,. .. ............. ,........."........ _., ""',,...,.. ..... "' ... ..,. ............ . ..... " _

~ .,...

r: _

_ --""'~

"_ --

. . - 0 - ........ ......... _

.. :>T.>I

.. . ' _ . ,

"-~

.. _ J

~,

-

.."" •.•... _........ ,,.,<::;!;.u=

A continuación vamos a enumeror las principales amenazas y mecanismos para salvaguordarnos de las mismas:

• Cifrar la información almacenada en los soportes para que en caso de

robo no sea legible. Robos

• Utilizar contraseñas para evitar el acceso a lo información . • Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras,

caligrafío ... ). • Realizar copias de seguridad para poder restaurar la información per-

dido. Pérdida de información

• Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del sistema operativo adecuado. • Uso de conjunto de discos redundantes, protege contra la pérdida de datos y proporciona la recuperación de los datos en tiempo real.

• Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp ... Pérdida de integridad en la información

• Mediante la firma digital en el envío de información a través de mensajes enviados por la red. • Uso de la instrucción del sistema operativo Windows¡ sfc (system file

checker). Entrada de virus

• Uso de antiviru s, que evite que se in fecten los equipos con programas malintencionados.

Ataques desde la red

• Firewall, autorizando y auditando los conexiones permitidas. • Program as de monitorización • Servidores Proxys, autorizando y auditando las conexiones permitidas.

Modificaciones no autorizadas

• Uso de contraseñas que no permitan el acceso a la información. • Uso de listas de control de acceso. • Cifrar documentos.

Tabla 1.3. Amenazas y mecanismos de defensa en seguridad lógico.


Conceptos básicos de la seguridad informática

Caso práctico 5

1

9

Verificación de la integridad de 105 ficheros del sistema en Windows Vista En algunas ocasiones, los virus modifican o dañan los ficheros del sistema. A continuación vamos a comprobar mediante el uso del comando sfc de Windows Vista la integridad de los mismos.

Para ejecutar muchos cornalnd,,. del sistema deberemos contar con privilegios de administrador.

Las acciones que debemos realizar son las siguientes: Hacemos dic en el botón Inicio. En el cuadro de búsqueda, escribimos Símbolo del sistema o cmd. Escribimos sfc/ verifyonly , y empiezo la comprobación del sistema (Fig . 1.7). Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en lo Figuro 1.8.

Fig. 1.7. Comando sfc.

Fig. 1.8. Final eiecución de sfc. Con el parámetro / scannow el comando examina inmediatamente todos los archivos del sistema protegidos y reemplaza las versiones incorrectas que encuentre por versiones correctas de los mismos.

En el caso de realizar el caso próctico en Windows XP la orden deberia ser: sfc/S CANNOW


y,

1

Conceplos básicos de la seguridad informática

3.2. Seguridad activa y pasiva Como se comentó al inicio del aportado 3, aquí el criterio de clasificación es el mamen· to en el que se ponen en marcho las medidos oportunas.

o

Seguridad activa

La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los doñas en los sistemas informóticos. A continuación, vamos o enumerar los principales técnicas de seguridad activa: .

,

previene? t:"GJ!ue. .

.".'~~

'. . "',

Uso de contraseñas

Previene el acceso a recursos por parle de personas no autorizadas.

listas de control de acceso

Previene el acceso a los Ficheros por parle de personal no autorizado.

Encriptación

Evita que personas sin autorización puedan interpretar la información.

Uso de software de seguridad informática

Firmas y certiFicados digitales Sistemas de Ficheros con tolerancia

a fallos Fig. 1.9. Tarieta inteligente.

'

Cuotas de disco

Previene de virus informáticos y de entrados indeseadas sistema informático.

01

Permite comprobar la procedencia¡ autenticidad e integridad de los mensajes. Previene fallos de integridad en caso de apagones de sincronización o comunicación. Previene que ciertos usuarios hagan un uso indebido de la

capaddad de disco.

Tabla 1.4. Técnicas de seguridad activa.

En las Figuras 1.9 y 1.10 podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activo, impiden el acceso a personas no autorizadas a los recursos, y los SAl Isistemas de alimentación ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar lo información una vez que se ha praducido el desastre lel apagón de luz).

o

Seguridad pasiva

La seguridad pasiva complemento O la seguridad activo y se encargo de minimizar los efectos que hoyo ocasionado algún percance. Fig. 1.10. SAl.

A continuación enumeramos los técnicos más importantes de seguridad pasivo:

Conjunto de discos redundantes

Podemos restaurar información que no es válida ni consistente.

SAl

Una vez que la corriente se pierde las bateríos del SAl se ponen en funcionamiento proporcionando la corriente necesaria para el correcto funcionamiento.

Realización de copias de

A partir de las copias realizadas, podemos información en

seguridad

caso de pérdida de dolos.

Tabla 1.5. Técnicas de seguridad pasivo.

6


Conceptos básicos de la seguridad informática

1

4. Amenazas y fraudes en los sistemas de la información

Durante los primeros meses de 2009, en España hemos vivido una época de crisis financiera, lo que ocasionó numerosos despidos en las empresas. la situación produjo un aumento en los casos de robos de información confidencial por parte de los empleados despedidos, y puso en evidencia la falta de seguridad informática en dichas empresas. El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanterías), como los equipos informáticos (servidores, ordenadores de escritorio, impresoras), como los datos que se manejan (datos de clientes, facturas, personal) . Cualquier daño que se produzca sobre estos activos tendrá un impacto en la empresa (Fig. 1.11).

Aclivos ' )

!

'ff

la seguridad de un sistema real

nunca será completa, pero el

uso de buenas politicas de seguridad es imprescindible poro evitar

y minimizar los daños.

,

Daño

===~»

G <II~t====

,-_V _U_In_e_ ra_bi_lid_a_de_s___

4Riesgos

Plan de acluación

Fig. 1.11 . Posos poro lo meioro de lo seguridad.

Actividades 2. Analiza si aumenta o disminuye el riesgo en caso de que el daño sufrido por SiTour sea, además de la pérdida de datos de los clientes, la pérdida de facturas y datos de proveedores. Identifica previamente activos, daños, impactos y vulnerabilidades.

3. Analiza si aumenta o disminuye el riesgo en caso de que se instale un cortafuegos y se mantenga un antivirus actualizado en el portátil del director de SiTour.

Caso práctico 6 Especificar los activos, daños e impacto que sufre la agencia de viajes SiTour que almaceno los datos de los clientes únicamente en un portátil que utiliza el director En un descuido se le cae el portátil al suela y este se estropea. los datos del disco no se recuperan hasta dos días deSPUéS del accidente.

l

En este caso, los activos son el portátil y los datos de los clientes, el daño es la rotura del portátil y el impacto es la pérdida de negocio durante 48 horas y la necesidad de

9' 9

adquirir un nueva equipo. En el nuevo portótil se graban las datas recuperados de los clientes, siendo de nuevo la única copia existente de los mismos la que hay en el disco duro. Se instalan ademós los programas necesarios para la gestión de SiTour pero no se considera la necesidad de instalar un antivirus y un Firewall , por lo que se estó haciendo vulnerable el equipo. Una vulnerabilidad es cualquier fallo que compromete la seguridad del sistema.


Conceptos básicos de la seguridad informática

q

Coso práctico 7

Especificar los activos, doñas, impacto y vulnerabilidad que sufre la agencia de viajes SiTour El director ha recibido un correo de un remitente desconocido con un fichero od· junto que resulto ser un virus, y dado que no hoy un ontivirus funcionando en el portátil, este se infecto y el virus borro el contenido del disco duro de formo irrecu· perable. En este coso los activos son el portátil y los datos; el daño es lo pérdida de datos, el impacto es lo pérdida de negocio de lo empresa , y lo vulnerabilidad se genero por lo falto de ontivirus. El impacto es de muy alto nivel porque, como recordarás, no hoy otra copio de los datos de los clientes . Un riesgo es lo posibilidad de que se produzco un impacto negativo para lo em· preso aprovechando alguno de sus vulnerabilidades (Fig . 1.10). Por ejemplo, en el coso anterior el riesgo es que, o través de lo vulnerabilidad que supone no tener un antivirus se produzco lo pérdida de clientes e incluso lo quiebro de lo empresa.

4.1. Actuaciones para mejorar la seguridad

.. .

.

Los posos o seguir para mejorar lo seguridad son los siguientes: •

Identificar los activos, es decir, los elementos que lo empresa quiere proteger.

Un problema que suele encono trarse o la hora de diseñar estos

Formoc ián de los trabajadores de los empresas en cuanto o materias de seguridad.

actuaciones es que los gerentes de las empresas no ven la

Concienciac ión de lo importancia de lo seguridad informático para los trabajadores de lo empresa. .

Evaluar los riesgos, considerando el impacto que pueden tener los daños que se produzcan sobre los activos y los vulnerabilidades del sistema.

Diseñar el plan de actuación, que debe incluir:

necesidad de invertir personal, esfuerzo y dinero en seguridad informática .

Los medidos que troten de minimizar el impacto de los daños ya producidos. Es lo que hemos estudiado referido o la seguridad pasivo. Las medidos que traten de prevenir los daños minimizando la existencia de vul· nerabilidades. Se trata de la seguridad activa. •

Revisar periódicamente las medidos de seguridad adoptados.

~ Actividades 4. Supón que en el ordenador portátil con cámara web integrado que tienes en tu habitación, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes siempre conectado o Internet. Un desconocido tomo el control de tu portátil y te dos cuento porque te encuentras lo cámara we b encendido y tú no lo has conectado. Analizo activos, vulnerabilidades y riesgos, y detallo cuales podrían ser los daños producidos y el impacto de los mismos. 5. Imagina ahora que lo persono que ha tomado el control de tu ordenador no hoce nado en tu ordenador y tú no te dos cuenta de esta situación. Un día te dejas conectado tu DNI electrónico en el lector del ordenador. Analizo los posibles riesgos y el impacto de los mismos. 18


1

Conceptos básicos de lo seguridad inFormática

Caso práctico 8

9

Descubrir qué equipos están conectados en la red de SiTour, qué servicios tienen instalados y descubrir qué programa y versión está detrás de un servidor Web

3. Investiga vulnerabilidades que puedan tener los protocolos activos Ahora que ya conocemos que programa está utilizando e[ equipo SERVER para ofrecer e[ servicio Web y la ver1. Analiza la red en busca de equipos y servicios sión del mismo, podemos buscar en Internet sus vulneraExisten muchos analizadores de red, nosotros para este bilidades conocidas. caso vamos a utilizar nmap y su interfaz gráfico Zen· Una página en la que podemos encontrar esta informap (http://nmap.org), un programa que se puede eiemacián es http://securityfocus.com. También puedes cutar sobre Windows o GNU/Linux. encontrar las vulnerabilidades en las páginas oficiales, Como se puede ver en la Figura 1.12 (resultado de un es decir, en este caso en www.apache.org. análisis rápido, quick scan) nmap ha detectado dentro Recuerda que un servidor Web tiene por abietiva servir de la red de SiTour tres equipos, el equipo SERVER, el aplicaciones de tipa Web, es decir, programas consrauter y nuestro propio equipo. Para el equipo SERVER, truidos con las lenguaies HTML, iavaScript y PHP entre que es el que está seleccionado en la figura, ha detecotros. Estos programas también pueden tener fallos que tado varios servicios activos. Un atacante estudiaría podría utilizar un posible atacante. todos los servicios activos y las versiones de los proSi utilizamos aplicaciones propias de la empresa, tengramas que dan estos servicios para buscar una vulnedremos que descubrir y carregir nuestras propias vulnerabilidad en ellos. Nosotros en este caso práctico nos rabi[idades si par el contraria utilizamos aplicaciones vamos a centrar en el servicio http. más genéricas como por eiemplo WordPress, Joomla o Maodle, tendremos que seguir las noticias oficiales de seguridad de esas aplicaciones para que en casa de que se produzca un fallo, solucionarlo en cuanto este Seil.n 1001s E,rofile .l:ielp sea conocida por la empresa. I l ,>"V () f) Ü lb ~ o 1: • Estos pasos también se pueden simplificar a través New Sean Command wízard Save Sean Open Sean Report a bug Help de algún programa de detección de vulnerabi[idades 1 Quick Sean on 192.168.1.1/24 cama, par eiemp[a, nessus (www.nessus.org).

Para poder tomar medidas y proteger nuestra red, es bueno conocer los pasos que un atacante seguiría para intentar abordar nuestra equipo:

'A'

!vi

Target: ( 192.168.1.1/24

Profile:

IQuick Sean

H

I Hosts 1I Serviees I

OS

Ii' Ii' IU

I Host 192.168.1.2 192.168.1.3 192.168.1.203

Ports I Hosts

.,., .,.. .,

IPort 80

m 139 44S

'54

~map

Output IHost Details Iscan Details

I Protocol

"p "p "p "p "p

I State

1Sean I

I

Command: Inmap.T Aggressive.v.n 192.168.1.1/24

I SeNiee

open

http

open

msrpc

open

netbios·ssn

open

mierosoft·ds

open

n,p

I

I Version

Iools

Se.an

.e,rofile

.l:ielp

~

,>"V

lb

o

New Sean

Intense Sean on 192.168.1.1124

A'

Fig. 1.1 2. Equipos de Jo red.

@ Help

1:

Profile: Ilntense Sean

!vi

I Sean

Command: Inmap ·T Aggress ive.A.v 192.168.1.1{24

~I OS

2. Investiga los servicios que tiene activos el equipo que se quiere atacar Dentro del mismo programa, como se ve en la Figura 1.13, que muestra el resultado de aplicar un escaneo más profundo, se nos muestra el programa y [a versión que está detrás de dicho servicio. En el caso del servidor Web, puerto 80, el programa servidar es Apache httpd 2.2.11.

Q Report a bug

¡

!vi

Tll:rget: 1192.168.1.1/24 ~~

rf:J

Command Wizard Save Sean Open Sean

D Ii' /

Serviees

I Host

I Hosts Nmap Output IHost Details Isean Detaü;l I I Ports rnteresting po r ts on 192.168.1.203:

192.168.1.2 192.168.1.3 : 192.168.1 .203

Hol libol!!o' 1710 fittered ports VERSIOU PORT STATE SERVICE Apache httpd 2.2.11 80/tcp open http ((Win32) PHP/ 5.3. O) Ili c r oso ft willlJ ows RIlC 135/ t cp 0 rU! 1I ms rpc 139/ t c p opcn nc tLli os - ss ll '1<I5/ l c p a pclI II c tb i os - ss n 55'1/ l c [l a [l cn rt s p?

..

, _ ,"

Fig. 1.13. Detalle de Jos servicios.

" ................. -.,.4.0

B

I I


~/1

Conceptos básicos de la seguridad informática

4.2. Vulnerabilidades Las vulnerabilidades de un sistema san una puerta abierta para posibles ataques, de ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser apravechadas. Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema:

• Mic:ro,;oft tiene su propia página sobre noticias de seguridad: http://www.microsoft.com/ spain/seguridad Poreiemplo, busca: "boletín MS09027», donde encontrarás infor· moción sobre una vulnerabilidad de Microsoft Office Word.

Vulnerabilidades ya canacidas sobre aplicaciones o sistemas instalados. Son vulnerabilidades de las que ya tienen conocimiento las empresas que desarrallan el programa al que afecta y para las cuales ya existe una solución, que se publica en forma de parche. Existen listas de correo relacionadas con las noticias oficiales de seguridad que informan de la detección de esas vulnerabilidades y las publicaciones de los parches a las que podemos suscribirnos.

Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades también son conocidas por las empresas desarrolladores de la aplicación, pero puesto que nosotras no tenemos dicha aplicación instalada no tendremos que actuar.

Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona aiena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este pragrama.

"

El técnico de seguridad, antes de instalar cualquier aplicación, debe

conocer sus vulnerabilidades. De esta manera podrá determinar

si es necesario la descarga de algún parche o bien desestimar su instalación.

Crítica

Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una idea de los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificación:

Vulnerabilidad que puede permitir la propagación de un gusano de Infernet sin la acción del usuario.

Importante

Moderado

Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que respondan a estos informes.

Vulnerabilidad que puede poner en peligro lo confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento. El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías o la dificultad intrínseca en sacar partido a la vulnerabilidad.

Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.

Baia

Tabla 1.6. Clasificación de gravedad de los vulnerabilidades Iwww.microsoft.coml.

~ Actividades 6. ¿Que clasificación de las que hemos estudiado en la Tabla 1.6 han dado a la vulnerabilidad que se comenta en el ¿Sabías que? de esta misma página? Z

Busca una de las últimas vulnerabilidades publicadas por Microsoft que afecte a uno de sus sistemas operativos. Haz un informe con los siguientes puntos: •

:0

la descripción de la vulnerabilidad,

a qué software afecta,

qué clasificación le ha dado Microsoft,

qué impacto podría tener, si en tu opinión afecta a nuestros sistemas (los de clase),

qué medidas tenemos que tomar para corregir esta vulnerabilidad .


Conceplos básicos de la seguridad inFormática

1

4.3. Tipos de amenazas Un sistema informático se ve expuesto a un gran númera de amenazas y ataques. En este apartado veremos una pequeña introducción a las clasificaciones más importantes, y trataremos este tema con más detalle en la Unidad 5: Seguridad activa en el sislema. Para identificar las amenazas a las que está expuesto un sistema informático realizaremos tres clasificaciones: la primera de los tipos de atacantes, la segunda de los tipos de ataques que puede sufrir y la tercera de cómo actúan estos ataques. la Tabla 1.7 recoge, en la primera columna, los nombres con los que se han denominado a las personas que llevan a cabo los ataques; en la segunda columna, verás una pequeña definición que los caracteriza.

En 2005 Creative distribuyó en Japón cerca de 3700 reproductores de mp3 infectados con virus. la

compañía

Creative

Labs

anunció que en 3700 de sus reproductores de MP3 vendidos en Japón se ha distribuido accidentalmente un virus que afecta al sistema operativo Windows, según informó el sitio británico

The Regisler. Hackers

Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas pero sin motivación económica o dañina.

Crackers

Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intención maliciosa, bien para dañarlo o para obtener un beneFicio económico.

Phreakers

Crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas gratuitas.

Sniffers

Expertos en redes que analizan el tráfico para obtener información extrayéndola de los paquetes que se transmiten por la red.

lammers

Chicos jóvenes sin grandes conocimientos de informática pero que se consideran a sí mismos hackers y se vanaglorian de ello.

Newbie

Hacker novato.

Ciberterrorista

Expertos en informática e intrusiones en la red que trabajan para países y organizaciones como espías y saboteadores informáticos.

Programadores de virus

Expertos en programación, redes y sistemas que crean programas dañinos que producen efectos no deseados en los sistemas o aplicaciones,

Carders

Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automáticos.

El virus que se coló en los MP3 player corresponde al gusano Wullik-B (también conocido como Rays-A), actualmente detectado por la mayoría de las software de seguridad y que según F-Secure sólo se activa si el usuario accede al archi-

vo infectado y hace doble clic sobre él. Fuente: www.cadenaser.com

Tab la 1.7. Tipos de atacantes.

En la Tabla 1.8 se recogen los principales ataques que puede sufrir un sistema si se apravechan sus vulnerabilidades.

Interrupción

Intercepción

Un recurso del sistema o la red deja de estar disponible debido a un ataque. Un intruso accede a la información de nuestro equipo o a la que enviamos por

la red.

Modificación

La información ha sido modificada sin autorización, por lo que ya no es válida.

Fabricación

Se crea un producto Ipor ejemplo una página Web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.

Tabla 1.8. Tipos de alaques.


Conceptos básicos de la segu ridad informática

Los tipos de amenazas pueden clasificarse también en función de cómo actúan los ataques, siendo los principales los que se han incluido en la Tabla l.9 que aparece a continuación:

pe o algún doto del mismo Icama su dirección MAq

Spaafing

Suplanto lo identidad de un

Sniffing

Monitorizo y analizo el tráfico de la red para hacerse con información.

Conexión no autorizada

Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se descubren, se realiza una conexión no autorizada a los mismos.

Malware

Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo, dañando el sistema de múltiples formas .

Keylaggers

Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través del teclado, e incluso pueden realizar capturas de pantallas.

Denegación de Servicio

Interrumpe el servicio que se está ofreciendo en servidores o redes de ordenado-

Ingeniería social

Se obtiene información confidencial de una persona u organismo para utilizarla con fines maliciosos. Los ejemplos más llamativos son el phishing y el spam.

Phishing

Se engaña al usuario para obtener su información confidencial suplantando la identidad de un organismo o página web de Internet.

res. También denominado DoS Idenial of Servicel.

Tabla 1.9. Formas de actuar de los ataques.

4.4. Pautas de protección para nuestro sistema Cualquier equipo conectado en red esiá expuesto a ser atacado. Como ya sabes, hay auténticos expertos informáticos que se dedican a buscar vulnerabilidades en los sistemas, dedicando mucho tiempo y esfuerzo a este fin. Para prateger tu sistema tendrás que ser más listo que ellos y dedicar también mucho tiempo y esfuerzo a esta tarea. Algunas de las pautas que debes seguir son: o

No instalar nada que no sea necesario en los servidores.

o

Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen vulnerabilidades de los programas por lo que es necesario mantener siempre actualizado el sistema.

o

Formar a los usuarios del sistema para que hagan uso de buenas prácticas.

o

Instalar un firewall. Esta herramienta permite controlar el tráfico entre una red privada y una pública.

o

Mantener copias de seguridad según las necesidades.

o

Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desarrollada en el sistema, por la que su revisión periódica puede detectar a tiempo un posible ataque.

o

Sentido común y experiencia previa del administrador.

~ Actividades

8. Analiza el artículo del primer apartado de la unidad e identifica el tipo de atacante del que hablan y el tipo de ataque que realiza.

9. Analiza cuales de las pautas no cumple el sistema que tienes en tu casa. 22


Conceptos básicos de la seguridad informática

1

5. Leyes relacionadas con la seguridad de la información

En los siguientes apartados vamos a trotar las principales leyes relacionadas con la seguridad de la información: Ley de protección de datos de carácter personal y Ley de servicios de la información y el comercio electrónico.

5.1. Normativa que protege los datos personales Muy a menudo, en nuestro vida diaria, nuestros datos personales son solicitados para realizar diversos trámites en empresas o en organismos tanto públicos como privados; por e¡emplo, cuando cambiamos de número de móvil o contratamos un nuevo proveedor de servicios de Internet. Desde ese instante, nuestro nombre, apellidos, dirección, etc., pasan a formar parte de una serie de ficheros. Su gestión está regulada por la Ley de Protección de Datos de Carácter Personal (LO 15/1999), más conocida como LOPD, que se desarrolla en el RD 1720/2007, Y es supervisada por la Agencia Española de Protección de Datos. El ob¡etivo de esta leyes garantizar y proteger los derechos fundamentales y, especialmente, la intimidad de las personas físicas en relación con sus datos personales. Es decir, especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre otros aspectos. Puede que nunca te hayas f¡¡ado, pero es habitual encontrar carteles donde se hace referencia a esta ley, por e¡emplo en las estaciones de RENFE o cuando rellenas tu matrícula.

11

AlHXOI

' lI'I'u;>t:O ;lO r.:uu<pr.

Comunidad de Madrid

Cuando LOPD habla de ros, se refiere a «conjunto organizado de datos de carácter

personal cualquiera que fuera la forma o modalidad de su crea· ción, almacenamiento, organiza· ción y accesQ». Es decir, no solo

se aplica a ficheros de datos en soporte informático, sino también a documentos impresos, vídeos, grabaciones de audio, etcétera.

9

En algunas de las comunida· des autónomas, como Madrid,

Cataluña, El País Vasco y Galicia, existen leyes y decretos que, basándose en la LOPD, regulan los ficheros de datos de carácter personal y la agencia de Protección de Datos de dicha comunidad.

"".dl¡¡dd.~ I6" . " .. ........ oll . nlclu m .. fond ... plblbn. Ck. .... FOI' ........ ... d. G...do .. .,¡) o

_ . 101.._

t«I:l:.

l:¡"..¡al' ..,.tJ....·...

~_..

IDmI-·,><:·.""doI l·"'·Go'C>'-

ICH'"' .,..' . ~ I <II. I

.........

.. "" .. ..... :~

...

"'" '" IL~ ... "". (0.'\;$ ' ,....." ... ..-~

D

.<"" ••".( ......

CO OOlf~ .. _

DOo.<I".. <1o

_~ ... .., .. ,...

0 "-."....,

<IO~ •

& ........ _....,

<"'""" •.,III I ~ . ;a.."'.........."'ail'o ¡'O,¡.,..... '''' ...... I',.~...

'l;..... .

I T.~b-.

1o

.... ent:aGl,....

Dc..' ~

Dc. .<I"G<lo~ • • & . . . . ... . "' ....._. . .. /ro:I: _

...,.,."'10 ,....h ••• "' • ••"........ ................ eo :s ."1:.

Los datos personales recogidos, serán tratados con su con-

<la"'_''''

sentimiento informado en los términos del artículo 5 de la Ley Orgánica 15/ 1999, y de conformidad con los principios dispuestos en la misma y en la Ley 8/2001, de la Comunidad de Madrid, pudiendo ejercer el derecho de acceso, rectificación,

I

=11 II:IIJ:""'. .. , .... "'.~ ... •0< . " 1Il~

... .. ...:E<'...

..

.. _~.,= ": CQ

~ . \.6rG~.,. <O ....

I>.c • .,. ....... ",,.. oCHa>

(. ;.~. 'aoIU:.....".r .... ", 'o..l

11Ft. PRE SIDENtE DEL CON!) EJO ESCOlAR oa CfNfltO

Fig. 1.14. Formulario de matriculación de lo Comunidad de Madrid.

'0""

V

cancelación y oposición ante el responsable del fichero. Para cualquier cuestión relacionada con esta materia, o si tiene usted alguna sug erencia que permita mejorar este impreso, puede dirigirse al teléfono de información administrativa 012.


Concep tos básicos de la seguridad informático

o

Protección de datos

La LOPD no solo la tenemos que conocer desde nuestra profesión como técnicos en sistemas microinformóticos y redes, sino también como particulares, ya que nuestros datos están almacenados en ficheros que deberán cumplir esta legislación.

q

Caso práctico 9

La agencia de viajes SiTour ha decidido hacer una ficha a cada cliente que solicite información sobre algún viaje, con el objetivo de enviarle sus nuevas ofertas y promociones Describe el proceso que tú, como técnico informático de la agencia, tendrás que realizar para poder almacenar y gestionar dichos datos de acuerdo a la narmativa vigente. En primer lugar, según la LOPD se debe solicitar a la Agencia de Protección de Datos la creación de dicho fichero. En esta solicitud habrá que especificar: Responsable del fichero: La agencia de viajes SiTour. Finalidad: El ob jetivo es comercial, es decir, el envío de ofertas y promociones. Tipo de datos de carácter personal que contiene: nombre y apellidos, DNI o NIE, teléfono, dirección postal y correo electrónico. Medidas de seguridad: nivel básico, según se especifica en la LOPD. Los datos que se deseen almacenar en el fichero tendrán que ajustarse a los objetivos, es decir no se puede solicitar al cliente sus ingresos anuales. Estos datos solo podrán ser utilizados para el objetivo para el que se han recogido y tendrán que ser cancelados una vez que no sean necesarios para este objetivo. La Agencia de Protección de Datos se pronunciará sobre la solicitud en un plazo de un mes y si no se entenderá que el fichero se ha inscrito correctamente. En el momento de la recogida de datos de carácter personal, hay que informar al cliente de: La incorporación de sus dotas a un fichero de datos de carácter personal. La finalidad de estos datos, que en este caso es el envío de ofertas y promociones . De su derecho de acceso, rectificación y cancelación, así como del procedimiento que el cliente debe seguir, ya dónde debe dirigirse para ejercitar dicho derecho. De la identidad y dirección del responsable del tratamiento de los datos, en este caso la agencia de viajes Sitour. Además, tanto la persona responsable del fichero como quienes intervengan sobre él tienen deber de secreto sobre los datos que contiene. El documento informativo que se proporcionará a los clientes, y del que la empresa guardará una copia firmada por este, podría ser el siguiente:

En cumplimiento de la establecido en la ley orgánica 15/ 1999 de Protección de Datos de Carácter Personal y en el Real Decreto 1720/2007, que aprueba su reglamento de desarrollo, los clientes quedan informados y prestan su consentimiento a la incorporación de sus datos a los ficheros existentes en SiTour y al tratamiento de los mismos. Los datos personales serán tratados exclusivamente con la finalidad de informar al cliente sobre nuevas ofertas y promociones. No se real izará ninguna cesión de estos datos. Según lo dispuesto en la misma ley, los clientes tienen derecho a consultar, modificar o cancelar los datos proparcionados a SiTour, dirigiéndose al departamento de informática de SiTour.

24

'"


Conceptos básicos de la seguridad informática

o

1

Medidas de seguridad

Como ya sabes, siempre que se vaya a crear un fichero de datos de carácter personal, es necesario solicitar la aprobación de la Agencia de Protección de Datos. Cuando se realiza esta solicitud es obligatorio especificar los datos que contendrá el fichero y el nivel de seguridad que se aplicará al fichero. Los niveles de seguridad son tres: básico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la Tabla 1.1 o.

Todos los datos de carácter personal tienen que tener como mínimo este nivel. Referidos a inFracciones administrativas (o penales), a gestión tributaria, datos Fiscales y Financieros. Dalas que proporcionan inFormación sobre las características o personali-

Básico

Medio

dad de las afectados. Referidos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Auditoría. Proceso que consiste en obtener y evaluar objetivamente los procesos de una empresa para comprobar que cumplen con las normas y criterios establecidos.

niv~

Las datos referentes a los de seguridad están especificados con más detalle en la LOPD y en el decreto 1720/2007.

Alto

Tabla 1.10. Correspondencia dotas - seguridad.

Actividades El nivel que debe aplicarse es el más alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel es básico, pero si además se incluye la afiliación sindical, el nivel de seguridad del fichero será alto. Cada nivel tiene unas características de seguridad propias, como se ve en la Tabla 1.1l.

y obligaciones de cada usuario del fichero. El responsable del fichero debe mantener una lista de usuarios y sus accesos actualizada. Las contraseñas

Debe existir un documento de seguridad donde figuren las Funciones

de los usuarios (en caso de ser este el método de autenticación) serán cambiadas en un periodo no superior a un año. Básico

Es obligatorio crear un registro de las incidencias relacionadas con este fichero . Cualquier documento que contenga datos de carácter personal que se deseche tendrá que ser borrado o destruido. Habrá que realizar copias de seguridad como mínimo una vez a la semana. Al menos una vez cada dos años una auditoría verificará que los procedimientos de seguridad aplicados son los correctos.

Medio

Alto

Deben establecerse mecanismos para evitar el acceso reiterado no autorizado a los datos y sistemas de control de acceso a los lugares donde estén los equipos que almacenen los datos. Los datos deben ser cifrados para que no se manipulen cuando se realice su transporte, por ejemplo, cuando se almacenen los datos en un portátil. También deberán ciFrarse para realizar cualquier transmisión por redes públicas o inalámbricas. Las copias de seguridad deben almacenarse en un lugar Físico diFerente a los datos. Deberán registrarse los intentos de acceso a los datos de los dos últimos años como mínimo.

Tabla 1.11. Características de los niveles de seguridad.

9'

10. Dadas las siguientes situaciones, identifica el tipo de infraccián que SiTour está cometiendo. Para ello consulta el artículo 43 de la LOPD: o SiTour realiza el envío de ofertas y promociones sin solicitar la creación del fichero de datos de sus clientes. o SiTour no está realizando copias de seguridad del fichero de datos. o SiTour realiza la recogida de datos a sus clientes sin informarles de la finalidad del fichera.

11. Las infracciones de la actividad anterior tienen asignada una sanclon económica en el artículo 45 de la LOPD. Búscala e indica cuál es en cada caso.


Conceptos básicos de la seguridad informática

5.2. Normativa de los sistemas de información y comercio electrónico La regulación de los sistemas de información es un temo muy extenso y complejo, tanto que existe un organismo, lo Comisión del Mercado de las Telecomunicaciones (CMT). que establece las normas y procedimientos de los mercados nocionales de comunicacio· nes electrónicas y de servicios audiovisuales. Lo ley 34/2002 de servicios de lo información y el comercio electrónico regula el régi. men jurídico de las servicias de lo sociedad de la información y lo contratación por vía electrónica en las empresas que proporcionan estos servicios establecidos en España o en estados miembros de lo unión Europea. Algunos de los aspectos más importantes de esto ley son:

~

b·· ....? ¿Sa' ... Ias que

Los empresas o las que afecta están obligadas o nombre, domicilio, dirección de correo electrónico, información clara sobre el precio de las productos. la página web, la empresa estará cumpliendo con

Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la información contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos o enlaces a datos incluidos por clientes.

Establece la validez de los contratos realizados por vía electrónica. Para demostrar la existencia de dicho contrato jurídicamente es suficiente con la presentación del documento en formato electrónico. Por ejemplo en el caso de los billetes de transpor· te adquiridas a través de Internet, el documento electrónico justifica dicho controto.

Si se detecla que un conlenido

o un enlace a un contenido no

cumple la normaliva Ipor ejem· plo, atenta conlra la dignidad de una persona o contra los

derechos de aulor). la empresa que lo aloja tiene que colaborar para suprimir o inutilizar el con-

lenido o el enlace.

proporcionar información sobre número de identificación fiscal e Si esta información se incluye en este requisito.

La aplicacián de estas leyes ha derivado en acciones judiciales, como la siguiente:

o-m ..

"

.

;

.

~tección de Datos multa a Telefónica con 60.000 euros . • La Agencia Españolo de Protección de Dolos IAEPD) ha impuesto a Telefónica una multa de 60 101 ,21 euros por haber revelado dolos de clientes a consecuencia de un problema técnico que sufrió el porlal de Terra. htlp://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php

... Un grupo de jóvenes insulto y veja en 2006 a un chico de 17 años con síndrame de dawn. Uno de ellos lo grabo y acabo colgado en Google Video, el servício de hospedaje de vídeos del gigante informótico que mós larde adquiriría Yautube. Lo escena llego o recibir 5.500 visitas en dos meses

y aparece entre los «vídeos más divertidos». ¿Quién es el res-

ponsable de lo dignidad del agredido, socavado en unas imógenes que alcanzaron uno audiencia global? Un juez en Milón lo juzgo desde hoy, cenlróndose en lo responsabilidad de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresidente de la empreso, se enfrentan a una acusación penal por difamar a la víctima y a Vivi Dow n, una asociación de personas con síndrome de down. Ademós, la Fiscalía les consi-

dera responsables del incumplimienlo de la legislación ilaliana en materia de privacidad. 15/12/2009 Daniel Basleira • Diario Público


Conceptos básicos de la seguridad informática

1

Comprueba tu aprendizaje Identificar las necesidades de la seguridad informática 1. Analiza las perjuicios que puede ocasionarte la conexión a una red wifi que no pide ningún tipo de contraseña.

2. Analiza la seguridad que tendrían las claves farmadas exclusivamente por números.

3. Comprueba la seguridad de las contraseñas que habitualmente utilizas en el comprabadar de contraseñas de Microsoft: hHp://www.microsoft.com/latam/

athome/security/privacy/password_checker.mspx.

4. Escribe en un papel tu nombre, apellidos, númera de teléfono móvil, número fijo, fecha de nacimiento, dirección postal, nombre de familiares y mascotas y nombres de usuario para el equipa de tu casa, el correa electrónica y otros servicios a los que accedes por Internet. Intercambia tu papel con el de un compañero e intenta, haciendo combinaciones de estos datos, descubrir sus contraseñas.

5. En esta actividad vamos a trabajar con Chrame, navegador gratuito diseñado por la compañía Google. En caso de que no lo tengas descárgatelo de Internet. Vete a la página de Gmail, es decir al correo electrónico de Google, y busca en ella el certificado que utiliza Gmail.

f9

11. Infórmate en la página de Microsoft sobre la vulnerabilidad MS07-041 que afecta al servidor Web de Microsoft Internet Information Server.

12. Busca un boletín de seguridad de Microsoft en el que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderna un resumen, cómo ha sido clasificada, a qué sistemas afecta, si crees que nos afectaría y cómo pueden protegerse los equipos afectados de esta vulnerabilidad.

13. Accede a la página de Hispasec Sistemas hHp://www. hispasec.com/index_html y suscríbete a «Una al día» para recibir en tu correo electrónico una noticia cada día sobre problemas de seguridad que afecten a cualquier sistema. Elige una noticia que afecte a un sistema que conozcas y haz un resumen del problema de seguridad en tu cuaderno.

14. Busca información sobre las listas Robinson y averigua en qué consisten, cómo funcionan, quién puede entrar

a formar parte de ellas y cuál es el procedimiento para que una persona sea incluida en ellas.

Reconocer la legislación y normativa sobre la seguridod y protección de datos onalizando las repercusiones de su incumplimiento

15. En el Caso práctico 9 vimos el procedimiento que

seguridad sufre un ataque a través del servidor Web utilizando una vulnerabilidad conocida. ¿Que medidas tomarías?

seguido por SiTour para almacenar y gestionar los datos de sus clientes según la normativa vigente. Una vez que ha realizado todo este proceso, SiTour envía a SiCon, una empresa de construcción con la que tiene acuerdos comerciales, los datos de su fichero de clientes pero no informa a estos del envío. Responde a las siguientes preguntas: • ¿Cuál es el organismo que se ocupa de controlar y multar estas infracciones? • ¿En que ley se recogen las sanciones a aplicar? • ¿Cuál es la gravedad de la infracción que está cometiendo? • ¿Qué multa pueden tener? Nota: Es la primera vez que se sanciona a estas empresas y el volumen de datos afectadas no es muy alto, por lo que las sanciones a aplicar serán las mínimas pasibles.

9. Pon un ejemplo de sistema en el que los riesgos estén

16. Terminado este curso y con la formación adquirida,

6. Rellena la siguiente tabla:

Física

activa

7. Indica los pasos que debemos realizar para conseguir mejorar la seguridad informática.

8. Imagina que la empresa en la que eres responsable de

asociadas a impactos altos y otro ejemplo en el que estén asociados a mayor probabilidad de vulnerabilidades.

10. Busca una noticia en un periódico sobre seguridad informática e identifica los tipos de atacantes y los tipos de ataques. ¿Crees que el ataque se pudo llevar a cabo debido a una mala planificación de la seguridad?

decides montar una empresa en Internet que se va a dedicar a ofrecer un disco duro an-line. Necesitas de cada usuario: nombre, apellido, teléfono y dirección de correo electrónico. ¿En qué afectan estos datos a la formación de tu empresa? ¿Qué medidas de seguridad tendrás que tomar cuando almacenas esta información?


~/1

Conce ptos básicos de la seguridad informótica

Confidenciolidod Disponibilidod Integridod

Interrupción

No Repudio

Intercepción

Modificación

-C

Seguridad físico Fabricación

Seguridad lógica

pasiva

Spoofing Sniffing Conocidas sobre aplicaciones o sistemas instalados

Conexión no autorizada

Molwore

.. .. .

~

Conocidas sobre aplicaciones no inslaladas

Keyloggers

Aún no conocidas

Denegación de servicio Ingeniería social

Hackers Crackers

Phreakers Sniffers

..

Lammers

Newbie Ciberterrorisla Programadores

de virus

Carders

B

Ley 15/1999

{

de protección de dalos de carácter personal

Ley 34/2002 de servicios de la información y el comercio electrónico


lUJ n'il Dd<OJ dl

Seguridad pasiva. Hardware y almacenamiento

En esta unidad aprenderemos a: • Definir las características de la ubicación física y condiciones ambientales de los equipos y servidores, así como los protocolos de actuación frente a incidencias y alarmas en el subsistema físico. • Seleccionar y verificar los sistemas de alimentación ininterrumpido y dónde utilizarlos. • Describir las tecnologías de almacenamiento redundante y distribuido.

y estudiaremos: • Ubicación y protección física de los equipos y servidores. • Sistemas de alimentación ininterrumpido. • Almacenamiento de la información. • Almacenamiento redundante y distribuido: RAID, clusters, NAS y SAN.

• Clasificar y enumerar los distintos métodos de almacenamiento según su disponibilidad y accesibilidad a la información. • Identificar y utilizar medios de almacenamiento remotos y extraíbles.


Seguridad pasivo. Hardware

y alma cenamiento

l. Ubicación y protección física

El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dónde vamos a instalarlo. Esta decisión puede parecer superflua, pero nada más lejos de la realidad: resulta vital para el mantenimiento y protección de nuestros sistemas. Los planes de seguridad física se basan en proteger el hardware de los posibles desastres naturales, de incendios, inundaciones, sobrecargas eléctricas, robos y otra serie de amenazas.

Se trata, por tanto, de aplicar barreras físicas y procedimientos de control, como medidas de prevención y contra medidas para proteger las recursos y la información, tanta para mantener la seguridad dentro y alrededor del Centro de Cálculo como los medios de acceso remoto a él o desde él. Veremos algunos de los mecanismos de seguridad física de los que hemos hablado en la Unidad 1, que, cama recordarás, se recogen en la Tabla 1.2, relativa a amenazas y mecanismos de defensa de seguridad. Cada sistema informática es única. Par ejemplo, en la Figura 2.1 se puede ver la vista parcial de un CPD de una organización grande, pero en pequeñas empresas u organizaciones, ei CPD podría estar compuesta sala par una de esios módulos a par un servidor. Cuando hablemos del plan de seguridad física na podemos pensar que existe un plan de seguridad general aplicable a cualquier tipo de instalación.

~ Actividades

En esta unidad nos centraremos en las pautas de aplicación general, teniendo en cuenta que estas deben personalizarse para cada empresa y cada edifido. Además, no es lo mismo establecer las características de una sala técnica en una zona donde los terremotos son habitLJales, por ejemplo, a hacerlo para una zona donde apenas hay temblares apreciables.

\

Fig. 2 .1. Saja de servidores.

1. Realiza en equipo una tormenta de ideas para descubrir qué factores hay que tener en cuenta para elegir dónde situor los equipos que forman el CPD. Es esencial que tengóis siempre presente lo importante que son estos equipos y la información que manejan para cualquier organización. Fíjate en la Figura 2.1 para analizar estos factores, teniendo en cuenta los equipos y armarios donde se instalan, que puedes ver en la imagen, así como las características de este CPD.

1.1. Factores para elegir la ubicación Cuando hay que instalar un nuevo centra de cálculo es necesario fijarse en varios factares. En concreta, se elegirá la ubicación en función de la disponibilidad física y la facilidad para modificar aquellas aspectos que vayan a hacer que la instalación sea más segura. Existen una serie de factores que dependen de las instalaciones propiamente dichas, coma son: •

El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cómo es el acceso de equipas y personal, y qué características tienen las instalaciones de suministro eléctrico, acondicionamiento térmico, etc. Igualmente, hemos de atender a cuestiones de índole física como la altura y anchura de los espacias disponibles para la instalación, si tienen columnas, cómo es el suelo, la iluminación, etc.

Tratamiento acústico. En general, se ha de tener en cuenta que habrá equipos, como las de aire condicionado, necesarios para refrigerar los servidores, que son bastante ruidosos. Deben instalarse en entornos donde el ruido y la vibración estén amortiguados.

Seguridad física del edificio. Se estudiará el sistema contra incendias, la protección contra inundaciones y otras peligros naturales que puedan afectar a la instalación.


Seguridad pasivo. Hardw are y almacenamiento

Suministro eléctrico propio del CPD. La alimentación de los equipos de un centro de procesamiento de datos tiene que tener unas condiciones especiales, ya que no puede estor sujeta a los fluctuaciones o picos de lo red eléctrico que pueda sufrir el resto del edificio. No suele ser posible disponer de toda una red de suministro eléctrico propio, como la que ves en la Figura 2.3, pero siempre es conveniente utilizar una sistema independiente del resto de la instalación y elementos de protección y seguridad específicos, como sistemas de alimentación ininterrumpida, a los que dedicaremos el Apartado 2 de la unidad: equipos electrógenos, baterías, etc.

Existen otra serie de factores inherentes a la localización, es decir, condiciones ambientales que rodean al local donde vayamos a instalar el CPD. Los principales son los factores naturales (frío, calor, inundaciones, incendios o terremotos); los servicios disponibles, especialmente de energía eléctrica y comunicaciones (antenas, líneas telefónicas, etc.), y otras instalaciones de la misma zona; y la seguridad del entorno, ya que la zona donde vaya situarse el CPD debe ser tranquila, pero no un sitio desolado. Otros factores que han de tenerse en consideración son el vandalismo, el sabotaje y el terrorismo.

o

2

Fig. 2.2. Sistema de refrigeración del centro de datos de Google en The Dalles, Oregón. Fuente: www.informationweek.com .

¿Dónde se debe instalar el CPD?

Atendiendo solo a estos factores ya podemos obtener las primeras conclusiones poro instalor el CPD en una ubicación de características idóneas. Así pues, siempre que podamos, tendremos en cuenta que: •

Deben evitarse áreas con fuentes de interferencia de radiofrecuencia, tales como transmisores de radio y estaciones de TY.

El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable o nocivo.

El espacio deberá estar protegido ante entornos peligrosos, especialmente inundaciones. Se buscará descartar:

Fig. 2.3. Sistema de alimentación del compleja de Google en The Dalles, Oregón. Fuente: www.;nformationweek.com.

Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son más propensas al vandalismo o los sabotajes . Sótanos, que pueden dar problemas de inundaciones debido a cañerías principales, sumideros o depósitos de agua . Última planta, evitando desastres aéreos, etc. Encima de garajes de vehículos de motor, donde el fuego se puede originar y extender más fácilmente. Según esto, la ubicación más conveniente se sitúa en las plantos intermedias de un edificio o en ubicaciones centrales en entornos empresariales.

Actividades " 2. Estudia las instalaciones de tu centro. Dadas las características del mismo, ¿dónde crees que podría instalarse un pequeño centro de cálculo?


Seguridad pa siva. Hardware

y almacenamiento

1.2. Control de acceso De modo complementario o la correcta elección de la ubicación del CPD es necesario un férreo control de acceso al mismo. Dependiendo del tipo de instalación y de la inversión económica que se realice se dispondró de distintos sistemas de seguridad, como los siguientes: o

Servicio de vigilancia, donde el acceso es controlado por personal de seguridad que comprueban la identificación de todo aquel que quiera acceder a una ubicación. En general, suele utilizarse en el control de acceso al edificio a al emplazamiento y se complementa can otros sistemas en el acceso directa al CPD.

Fig. 2.4. Control de acceso al complejo de Google en The Dalles, Oregón. Fuente: www.inFormationweek.com.

Q

o

Detectores de metales y escáneres de control de pertenencias, que permiten «revisar» a las personas, evitando su acceso a las instalaciones con instrumentas potencialmente peligrosas a armas.

o

Utilización de sistemas biamétricas, basados en identificar características únicas de las personas cuyo acceso esté autorizado, coma sus huellas digitalizadas a su iris, de los que hablaremos en la Unidad 5.

o

Protección electrónica, basada en el usa de sensores conectadas a centrales de alarma que reaccionan ante la emisión de distintas señales. Cuando un sensar detecta un riesgo, informa a la central que procesa la información y responde según proceda, par ejemplo emitiendo señales sonoras que alerten de la situación.

Caso Jlráctico 1

Estudio de la ubicación del CPO de SiCon SiCon, una importante empresa de construcción, ha decida trasladar sus oficinas a un nueva edificio. Una de los factares más impartantes para decidir entre las posibles ubicaciones, tres en total, es determinar cuál ofrece las mejores garantías para la instalación de su CPD. Es nuestra responsabilidad como técnicas informáticos presentar la propuesta de ubicación más conveniente.

l. Se trata de tres edificios situadas en diferentes zonas, consideradas todas ellas como seguras desde el punto de vista de robos y vandalismo, y que se sitúan en la misma área geográfica, donde no son habituales las inundaciones. Además se han seleccionado edificios con buenos sistemas contra incendios, etc. 2. El primero de ellos se sitúa en el centro de una gran ciudad, junto a otra serie de edificios principalmente de oficinas, aunque también hay alguno de viviendas; el segundo de los edificios se encuentra en un gran parque empresarial con múltiples oficinas, pero donde no hay fábricas; el tercero, en un polígono industrial, donde se concentran fábricas de metalurgia, factorías de vehículos, así como otra serie de fabricas de maquinaria pesada. 3. Los edificios tienen control de acceso mediante guardias y cámaras, que mantendrá una empresa externa. 4. La altura de los edificios, es decir, las plantas disponibles en cada edificio, es distinta. En el edificio céntrico disponemos de siete plantas en un edificio compartido con otra empresa, en el parque empresarial de un edificio de seis plantas y en el polígono industrial de un edificio de dos plantas, ambos de uso exclusivo de SiCon.

~ Actividades 3. Busca información sobre distintos sistemas de protección electrónico, sus aplicaciones y costes de implantación.

,

. c:

Las tres zonas están bien dotadas de servicios de comunicaciones y las instalaciones no presentan problemas eléctricos. (Continúa)


Seguridad pasiva. Hardware y almacenamiento

Caso I!ráctico 1

2

9

¡Continuación}

6. En el edificio situado en el centro de lo ciudad será necesario realizar ciertas reformas para amortiguar los sonidos de los equipos que se instalen, dada la cercanía de edificios de viviendas.

7. La empresa ha decidido realizar la inversión necesaria para instalar sistemas de control de acceso biométrico al CPD, para garantizar que sea la más seguro pasible, así como las sistemas de alimentación necesarias. 8. Una vez que conocemos estos datos, podemos realizar una tabla valorando las instalaciones en función de su conveniencia, donde morcaremos si se adecúa al factor de seguridad correspondiente. En uno situación real, el estudio sería más extenso y se deberían visitar los edificios para comprobar factores como la situación de tuberías (que no deben pasar por encima de la CPD), etc.

El edificio

./

./ ./

Tratamiento acústico

Seguridad física del edificio

./

./

Fadores naturales

./

./

Servicios e instalaciones cercanas

./

./

Seguridad del enlorno

./

./

Control de acceso

./

./

Tabla 2.1 . Va/oración de /0 ubicación. 9.

La valoración realizada indica que la ubicacián más apropiada es la del centra empresarial, donde además contamos con la venta¡a de poder instalar el CPD en la penúltima o antepenúltima planta, de las seis que disponemos. Aunque no se ha indicado, el hecho de que el edificio sea de uso exclusivo es otro factar venta¡oso ya que facilitará el control de acceso al mismo, como también lo será la consideración de si se trata de un emplazamiento en propiedad o alquilado.

Actividades

t'

4. Copio lo Tabla 2.1, y complétala con uno columna denominada Justificación, donde rozones por qué codo uno de las ubicaciones es adecuado o no respecto a coda factor de seguridad. E¡emplo: «lo ubicación del edificio en el polígono industrial no resulta adecuado por... mientras que el edificio céntrica y el parque empresarial sí porque ... ».

1.3. Sistemas de climatización y protección en el CPD Además de instalar el CPD en la me¡or localización posible, es imprescindible que se instalen en su interior, ¡unto con los equipos propios de procesamiento de datos, sistemas de climatización, de protección contra incendios (PCI) y sistemas de alarmo apropiados. Los equipos de un centro de praceso de datos disipan mucha energía calorífico y hoy que refrigerarlos adecuadamente poro mantener los condiciones interiores de temperatura y humedad estables, yo que altas temperaturas podrían dañar estos equipos. Lo decisión sobre qué sistemas de climatización han de instalarse depende de los característicos de codo CPD, pero hoy un hecho que siempre ha de tenerse en cuenta: no se trato de climatizar el cuarto sino de refrigerar el equipo. Por ello debemos situar el servidor o rock o lo altura adecuado paro que le alcance lo circulacián de aire, y de modo que el aire frío de lo máquina se diri¡a o lo porte del equipo que absorbe aire, no a lo que lo expulso .

9

Con un extractor doméstico de aseo puede renovarse 10 veces

por hora el aire de uno habilación de 2x2x2,5m. En un gara¡e, por e¡emplo, el aire se debe renovar según la normativa siete veces por hora.


Seguridad pasivo . Hardware

otros sistemas aún más

compleios, como el uso de pasillos fríos y pasillos calientes y la refrigeración líquida, utilizados en grandes CPD con múltiples racks.

y almacenamiento

Podemos, por ejemplo, utilizar un ventilador que expulsa el aire caliente al exterior para refrigerar un servidor como el que ves en la Figuro 2.5. Se trata de una opción bastante económica en la que debes tener en cuenta que haya recirculación del aire, es decir, que el aire debe atravesar el servidor. Para un CPD que tenga varios racks, podemos optar por el uso de equipos murales o equipos de techo. En la Figura 2.6 puedes ver este tipo de instalación, donde también se ha instalado un secuenciador en una zona de temperatura característica. Este secuenciador proporciona un sistema de seguridad adicional, ya que alterna el uso de cada uno de los splits instalados, y, en caso de que suba la temperatura, ambos equipos se pondrán en funcionamiento para enfriar el CPD.

23 oC Rejilla puerta

50 %

Fuera sala Fig. 2.5.

Aire frio

Sistema de climatizoción con ventilador.

Fig. 2.6. Sistema de climatización con Sp/its.

Los sistemas contra incendios son otro de los factores clave en un CPD. No es tu misión instalarlos, pero sí debes conocer su funcionamiento básico ya que de ello puede depender inclusa tu propia seguridad. Es habitual utilizar dos tipos: •

Sistema de detección, como el sistema de detección precoz, que realiza análisis continuos del aire, de modo que puede observar un cambio de composición en el mismo, detectando un incendio incluso antes de que se produzca el fuego yactivando el sistema de desplazamiento de oxígeno.

Sistema de desplazamiento de oxígeno. Este tipo de sistemas reduce la concentración de oxígeno, extinguiendo así el fuego, de modo que no se utiliza agua, que puede dañar los equipos electrónicos. Dado que se produce un desplazamiento de oxígeno, es muy importante que el personal humano siga las normas de evacuación de la ubicación, ya que su activación podría perjudicar su integridad física.

~ Actividades 5_ La agencia de viajes SiTour está considerando la necesidad de disponer de un centro de datos para gestionar y centralizar la información que maneja habitualmente. Estó situada en un local comercial bajo, que dispone de una sala central, donde se realiza casi toda la actividad comercial, de dos despachos, uno de ellos utilizado por el director de la agencia y de un pequeño almacén. La agencia se sitúa en un barrio de clase

media, donde no hay un índice especialmente alto de robos, junto a un edificio que está actualmente vacío. ¿Cuál crees que es la ubicación idónea para la instalación del CPD? 6. Investiga sobre distintos sistemas de climatización y contra incendios que podrían ser adecuados para el CPD de SiTour.

________________--J)


Seguridad pasiva. Hardware

y almacenamiento

1.4. Recuperación en caso de desastre Nuestro objetivo debe ser siempre evitar daños en el CPD, pero hay que ser realistas y tener preparado un plan de contingencia que debe ponerse en marcha en caso de desastre. Una opción que ha de tenerse en cuenta es tener un centro de backup independiente, de modo que aunque los equipos del CPD queden fuera de servicio por una avería muy grave, la organización podró seguir realizando su actividad con cierta normalidad. Dentro de los planes de contingencia debemos tener en cuenta la realización de sistemas redundantes, como los sistemas RAID que abordaremos en el Apartado 4 de la unidad y el uso de copias de seguridad, a lo que dedicaremos la Unidad 3. En caso de que se produzca un desastre, el primer paso es que se reúna el comité de crisis para evaluar los daños. Si se decide poner en marcha el plan de contingencia, es importante que los trabajos comiencen por recuperar las bases de datos y ficheros esenciales, así como desviar las comunicaciones más críticas al centro alternativo, desde donde se comenzará a operar en las áreas que sean prioritarias, ya que de no hacerlo las consecuencias podrían ser desastrosas.

2

Actividades ~ Z Existen muchas empresas que ofrecen soluciones de almacenamiento y centros de datos. Busca información en Internet sobre alguna de ellas y analiza las ventajas y desventajas que puede tener para una empresa utilizar sus servicios, tanto desde el punto de vista de la seguridad como desde el punto de vista económico.

2. Sistemas de alimentación ininterrumpida

Ningún equipo informático, por sofisticado que sea, está exento de sufrir un corte de luz y apagarse. Es por ello que es necesario, especialmente cuando se están procesando datos o dando servicios de alojamiento web u otros, utilizar sistemas auxiliares de alimentación.

2.1. Definición de SAl Un SAlo sistema de alimentación ininterrumpida es un dispositivo electrónico que permite proteger a los equipos frente a los picos o caídas de tensión. De esta manera se dispone de una mayor estabilidad frente a los cambios del suministro eléctrico y de una fuente de alimentación auxiliar cuando se produce un corte de luz. Este tipo de sistemas nacieron originalmente con el objetivo de proteger el trabajo que se estaba realizando en el momento en que se producía un apagón. La idea consistía en proporcionar al usuario del equipo el tiempo suficiente para guardar la información y apagar correctamente los equipos cuando se producía un corte en el suministro eléctrico, aunque posteriormente se le ha agregado capacidad para poder continuar trabajando cierto tiempo, aunque no se disponga de suministro.

UPS (Uninterruptible Power son los siglas inglesas de También se conoce como

No

break.

Las características de los SAl dependen de cada modelo en concreto, pero en la siguiente tabla tienes un resumen de sus funcionalidades.

Alimentación de ordenadores

Se pueden conectar de uno a varios equipos al mismo SAl.

Tiempo extra de trabajo

Permiten seguir trabajando con el ordenador de 15 a 270 minutos cuando se produce un corte en el suministro eléctrico.

Alimentación de otros equipos

No están diseñados para conectar dispositivos de alto consumo de energía (como grandes impresoras láser

o plottersl.

Regulador de voltaje

Integrado en algunos modelos para evitar que los picos de tensión que se producen en la línea afecten a la alimentación de los equipos.

Otros conectores

Algunos incorporan conectores para conectar el módem, router u otros dispositivos imprescindibles en la comunicación y protegerlos.

Tabla 2.2. Características de los SAl.


Seguridad pasiva. Hardware

y almacenamiento

2.2. Tipos de SAl En general, podemos identificar dos tipos de SAl, en función de su forma de trabajar:

Sistemas de alimentación en estado de espera o Stand-by Power Systems (SPS). Este tipo de SAl activa la alimentación desde baterías automáticamente cuando detecta un fallo en el suministro eléctrico.

SAl en línea (on-fine), que alimenta el ordenador de modo continuo, aunque no exista un prablema en el suministro eléctrico, y al mismo tiempo recarga su batería. Este dispositivo tiene la ventaja de que ofrece una tensión de alimentación constante, ya que filtra los picos de la señal eléctrica que pudiesen dañar el ordenador, si bien el tiempo extra de trabajo que ofrece es menor que el de los SPS.

---

"' ~ ""

I!Il O.Ba~...,

\O Ovc<l_ llEI ~ B~

Back·UPS

es

6

5

o

Fig. 2.7. Distintos modelos de SAl.

2.3. Modo de funcionamiento Como ya hemos dicho, un SAl es un dispositivo auxiliar que alimenta un ordenador, bien de modo continuo o bien quedando a la espera hasta que es necesario (cuando hay un corte de luz). Las Figuras 2.8 y 2.9 ilustran este funcionamiento. En la Figura 2.18 podemos ver una representación de un SAl en línea, en una situación normal donde hay suministra eléctrico. El SAl está conectado, por un lado, a un enchufe de la red, a través del cual recibe la corriente con la que va cargando sus baterías, y por otra se conecta al equipo o equipos a los que vaya a prateger. En la Figura 2.9 podemos ver cuál es la situación cuando se praduce un corte de luz, y la alimentación del ordenador depende únicamente de las baterías internas del SAl. Dispondremos de alimentación el tiempo que estas baterías tarden en descargarse .

• :..'

Fig. 2.8. SAl con alimentación eléctrica.

Fig. 2.9. SAl cuando hay un corte de alimentación eléctrica.


Seguridad pasiva. Hardware

y almacenamiento

3. Almacenamiento de la información

Otro de los factores clave de la seguridad de cualquier sistema es cómo y donde se almacena la información. En este punto hablaremos de los tres aspectos más importantes que debemos tener en cuenta cuando tratemos la seguridad física de la información: el rendimiento, la disponibilidad y la accesibilidad a la misma. Existen numerosas técnicas que se esperan proporcionen estas características, como son

los sistemas RAID, los clusters de servidores y las arquitecturas SAN y NAS, a los que dedicaremos el resto del tema. Pero, ¿qué entendemos por rendimiento, disponibilidad o accesibilidad a la información?

No hay que confundir acc:esible con seguro, un sistema con dificultad de acceso puede no ser seguro si una vez que se llega

al emplazamiento es posible hacerse con la información simplemente abriendo una puerta.

Pues bien, siempre que hablemos de rendimiento nos estaremos refiriendo a la capacidad de cálculo de información de un ordenador. El objetiva es obtener un rendimiento mayar, y esto se puede conseguir na solo can grandes y modernos ordenadores, sino utilizando arquitecturas que reciclan equipas que se han dejada de usar parque se encontraban anticuadas. El concepto de disponibilidad hará referencia a la capacidad de las sistemas de estar siempre en funcionamiento. Un sistema de alta disponibilidad está compuesto por sistemas redundantes o que trabajan en paralelo, de modo que cuando se praduzca un fallo en el sistema principal, se arranquen los sistemas secundarios automáticamente y el equipo no deje de funcionar en ningún momento.

Otra factor importante es la accesibilidad a la información; si nuestra información se encuentra duplicada y en lugar seguro, pera la accesibilidad a ella es mala, por ejemplo porque solo es posible acceder por carretera y se han almacenado las copias de seguridad a una distancia de varias horas de viaje, en caso de desastre el tiempo que se empleará en poner en marcha el plan de recuperación será mayor que con un sistema accesible.

Fig. 2.10. Racks de computadoras de un ePD ¡Will Weterings).

Actividades " 8. Busca en Internet información sobre distintos tipos de SAl disponibles en el mercado. Crea una tabla clasificándolos en función del tiempo de trabajo extra que ofrecen, del númera de equipos que pueden conectarse a ellos, si disponen de reguladores de tensión y de su precio. Algunos de los fabricantes más importantes que puedes consultar son Emerson, APC, Eaton, Socomec. 9. Como ya sabes, un SAl incorpora habitualmente mecanismos reguladores de tensión, pero su precia hace que no sea asequible a un usuario doméstico. En el mercado existen alternativas mucho más económicas para prateger los equ;-pos contra subidas y picos de tensión. Busca información sobre estos equipos en Internet, y selecciona el que te parezca más adecuado para tu ordenador personal; justifica el porqué de tu elección. Puedes consultar las páginas de los fabricantes de la Actividad 8.


i /2

Seguridad pasiva. Hardware y almacenamiento ----~--~------~----------------------

4. Almacenamiento redundante y distribuido RAIDQ

A1 A3

A2

A5

A6 A8

RAID consiste en un conjunto de técnicas hardware o software que utilizando varios discos proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabilidad en el almacenamiento. Se trato de un sistema de almacenamiento que utilizando varios discos y distribuyendo o replicando la información entre ellos consigue algunas de las siguientes características:

A4

A7

Mayor capacidad: es una forma económica de conseguir capacidades grandes de almacenamiento. Combinando varios discos más o menos económicos podemos conseguir una unidad de almacenamiento de una capacidad mucho mayor que la de los discos por separado.

o

Mayor tolerancia a fallos: en caso de producirse un error, con RAID el sistema será capaz en algunos casos de recuperar la información perdida y podrá seguir funcionando correctamente.

o

Mayor seguridad: debido a que el sistema es más tolerante con los fallos y mantiene cierta información duplicada, aumentaremos la disponibilidad y tendremos más garantías de la integridad de los datos.

o

Mayor velocidad: al tener en algunos casos cierta información repetida y distribuida, se podrán realizar varias operaciones simultáneamente, lo que pravocará mayor velocidad.

.....

...... Disco O

o

Disco 1

Fig. 2.11 . RAID O.

Este conjunto de técnicas están organizadas en niveles. Algunos de estos niveles son: o

RAID nivelO (RAID O): en este nivel los datos se distribuyen equilibrada mente (y de forma transparente para los usuarios) entre dos o más discos. Como podemos ver en la Figura 2.11 los bloques de la unidad A se almacenan de forma alternativa entre los discos O Y 1 de forma que los bloques impares de la unidad se almacenan en el disco O y los bloques pares en el disco l. Esta técnica favorece la velocidad debido a que cuando se lee o escribe un dato, si el dato está almacenado en dos discos diferentes, se podrá realizar lo operación simultáneamente. Para ello ambos discos tienen que estar gestionados por controladoras independientes. Hay que tener en cuenta que RAID O no incluye ninguna información redundante, por lo que en caso de producirse un fallo en cualquiera de los discos que componen la unidad provocaría la pérdida de información en dicha unidad.

o

RAID 1

""-

A1 A2 A3

A1 A2 A3

~

A4

RAID nivel 1 (RAID 1): a menudo se conoce también como espejo. Consiste en mantener una copia idéntica de la información de un disco en otro u otros discos, de forma que el usuario ve únicamente una unidad, pero físicamente esto unidad está siendo almacenada de forma idéntica en dos o más discos de forma simultánea. Como podemos ver en la Figura 2.12 todos los bloques de la unidad A se almacenan de forma idéntica en ambos discos.

A4

Si se produjera un fallo en un disco la unidad podría seguir funcionando sobre un solo disco mientras sustituimos el disco dañado por otro y rehacemos el espejo.

'-Disco O

---

Fig. 2. 12. RAID 1.

.....

'Disco 1

El principal inconveniente es que el espacio de la unidad se reduce a la mitad del espacio disponible. Es decir, si disponemos de dos discos de 1 TB cada uno (2 TB entre los dos) y montamos una unidad en RAID 1, esta unidad tendrá un espacio total de 1 TB.


Seguridad pasiva. Hardware y almacenamiento

RAID nivel 5 (RAID 5): En RAID 5 los bloques de datas que se almacenan en la unidad, y la información redundante de dichos bloques se distribuye cíclicamente entre todos los discos que forman el volumen RAID 5. Por ejemplo si aplicamos RAID 5 sobre un conjunto de 4 discos, como vemos en la Figura 2.16, las bloques de datos se colocan en tres de los cuatro discos, dejando un hueco libre en cada línea que irá rotando de forma cíclica (una línea está formada por un bloque con el mismo número de orden de cada disco y estó representado en la Figura 2.16 con el mismo color). En este hueco se colocará un bloque de paridad. Con este sistema, el bloque de paridad (en la Figura 2.13, Ap, Bp ... ) se coloca cada vez en un disco. Como vemos en la Figura 2.13 el bloque de paridad de la línea A (Ap) está en el disco 3, el bloque de paridad de la línea B (Bp) está en el disco 2 yasí sucesivamente.

2

Disco O Disco 1 Disco 2 Disco 3 Fig. 2.13. RAID 5.

El bloque de paridad se calcula a partir de los bloques de datos de la misma línea, de forma que el primero será un 1, si hay un número impar de unos en el primer bit de los bloques de datos de la misma línea, y O si hay un número par de unos. Por ejemplo, en la Figura 2.13 en el bloque de paridad Ap el primer bit (el más significativo) será un 1 porque hay un número impar de unos en el primer bit de cada bloque de datos de esa línea (es decir los bit marcados en rojo). El espacio total disponible para un volumen RAID 5 que utiliza N discos es la suma del espacio de los N discos menos el espacio de uno.

Actividades

0~01 011

Linea B

1--...11111010

11110001

Linea

e

Cp

Linea D

1--...1110000C!.... Dp

Linea E

11111110

01111110

Linea F

11110000

00001110

Linea G

00101011 Disco O

--

f.... 0 50 11101

Bp

1--... 101

-----

Ap

00010101

f....1111011!...-

00001109.-

10001001

1111101~

f....1 01 01 01.9...

10101010

..:.-

f....

Gp Disco 1

Fp

Ep

01011101

10101010

00110110

Disco 2

Disco 3

Fig. 2.14. Conjunto de 4 discos.

11. Imagina que se perdiera el disco 1. Llega una petición de lectura de la línea F, ¿podría realizarse? ¿Qué información devolvería?

12. Cuando aún no se ha recuperado el disco, llega una petición de escritura para la línea F: hay que escribir el valor 1000llll OOOOlllO Ol Olll O. ¿Crees que se podrá realizar esta operación? Haz las modificaciones que sean necesarias.

13. Una vez que se ha conseguido un disco con las características adecuadas, se

l

En RAID 5 si se produce fal en dos discos la información es irrecuperable. Esto parece muy

calcula los bloques de paridad y completa la figura.

IDID0 11011

Home de Windows XP y Windows Vista.

9t

10. Dado el conjunto de 4 discos de la Figura 2.14 que monta un volumen RAID 5,

Linea A

Los discos dinámicas na están disponibles en las versiones

decide sustituir el disco dañado y recuperar el funcionamiento normal de la unidad utilizando los cuatro discos. Recupera la información de dicho disco utilizando solo la información de los discos O, 2 y 3.

improbable, pero o medida que se añaden más discos, la proba-

bilidad aumenta.


Seguridad pa siva . Hardware

y almacenamiento

4.1. RAID en Windows

~.

-""" , """""""-.....-....j

Se puede pasar un disco básico a dinámico sin perder informa~ ción, pero no al revés. Además cuando un disco se con~ vierte en dinámico solo podrá arrancar el sistema operativo que está activo en el momento de la conversión.

En Windows estamos acostumbrados a que una unidad física corresponda con una unidad lógica (o varias en caso de tener varias particiones). Este es el concepto clásico de Windows, los discos básicos. A partir de Windows 2000 comienza a aplicarse además de los discos básicos un nue· va tipo de almacenamiento llamado discos dinámicos. Al igual que en los discos básicos creábamos unidades lógicas, en las discos dinámicas creamos volúmenes dinámicas. Existen cinca tipas de volúmenes dinámicos: •

Simples: es un valumen que utiliza espacio de un solo disco física. Es el tipo de disco dinámica que se crea cuando transformamos una unidad lógica en un volumen dinámico.

Distribuidas: es un valumen que se crea ocupando espacia de varias discos. Se construye coma una concatenación de discos, sin existir una regla que especifique cómo tienen que almacenarse las datas en las discos (coma ocurre en RAID O). Permite crear unidades grandes a partir de varios discos. Los principales inconvenientes san que na supone ninguna meiara en la velocidad del acceso y que na incluye redundancia. También san conocidas cama JBOD.

Seccionadas: corresponde can el nivelO de RAID.

Refleiados: corresponde con el nivel 1 de RAID.

RAID 5: corresponde con el nivel 5 de RAID.

4.2. RAID en Windows Vista Dentro de la rama de sistemas operativos de Microsoft no orientados a servidores (Windows XP, Vista ... ) solo es posible crear los tres primeros tipos de volúmenes dinámicos: simples, distribuidos y seccionados.

q

Caso p'ráctico 2

Creación de volúmenes seccionados en Windows Vista Crear un volumen seccionado en Windows vista para acelerar el acceso a disco y meiarar así la experiencia de los usuarios mientras realizan operaciones de tiempo real.

1. Accedemos al administrador de equipos de Windows. Para ello accedemos a la sección de Sistema y mantenimiento del Panel de control, accedemos a Herramientas administrativas y posteriormente al Administrador de equipos. Una forma más rápida de acceder a esta ventana es hacer clic con el botón derecho del ratón sobre el acceso directo a equipo y seleccionar la opción

Administrar. 2. Una vez que nos encontramos en la consola de administración de equipos (Fig. 2.15), accedemos en la ventana de la izquierda (árbol de la consola) a Administración de discos, que se encuentra dentro de la sección Almacenamiento.

S u sc~r nu ev~>

Ver el

his t ori~ 1

Debemos comprobar en el administrador de discos que tenemos al menos dos discos más a parte del disco en el que tenemos el sistema operativo. soluciones de problemas

Información y herramientas Consultar la puntuadón total de I~ Usar herr~m i en t as p~ra

J:iJ11 Administrador de dii, oo.;iti,'o,1 ~ ~ Ver hardware y dispositivos

i I equipos ~ Administraci6n de impre1ión ~ Configurac1ón del sistema !EJ Directiva de seguridad local r§ Firewall de Windows con seguridad avan ... ~ Herra mi enta de diagnóstico de memoria ~ lniciador ¡SCSI (lI Monitor de confiabilidad y rendimiento ~ Orlgene1 de datos oose @ Programadordetareas 1&,Servidos eventos

Fig. 2.15. Acceso a Administración de equipos en Vista o través de Panel de control.

(Continúal


Seguridad pasiva, Hardware

y almacenamiento

Casa p'ráctica 2

9

(Continuación)

En la Figura 2.16 podemos ver cuatro discos, el disco O que es el volumen de sistema y de inicio y los discos 1, 2 Y 3 que de momento son discos con todo su espacio sin asignar.

Para poder continuar con los siguientes pasos de este caso práctico tenemos que tener al menos 2 discos del mismo tamaño y sin asignar (es decir, libres).

9 DiK" O OinlÍmk" 10,OOGB Enp lntlllll

""

10,00 GB NTFS Cenede (Sislema, Ananque, Archivo de pIgin. cifln, Ve lc.d ,,)

blI DbI;" 1 BlÍsieo 10'OOI;, ~e"~,----.!. En pi Nuevo VIl~mVl cftrtribuido_

:

~

Nuevo VOktnVl secd oru do_ Ccnvm i, VI disco dinimico_

ic

Cc n'rol;' VI di.aI GPT

10,00

E,p

Propiedades

U D B,hic Ayu da 10,OOI.... lOm .oo' " " " . - - - - - - ' En plnlall. No Is'gnado

.....:...."I..

Fig. 2.16. Administrador de equipos.

3. Para convertir los discos que tenemos libres en discos seccionados, pulsamos con el botón derecho sobre uno de los discos sin asignar, yen el menú desplegable que nos aparece seleccionamos la opción Nuevo volumen

-

- _ ... .....

~

.. IJ, I!I D.,.rlll • .Il

It .......

"" _

... , ......

c - ....... _ _ .. ...... ..

seccionado (Fig. 2.17). Nos aparecerá el Asistente para nuevo volumen seccionado (Fig. 2.18). Pulsamos en Siguiente para seguir con la configuración.

Asistente p.ilr.l nuevo volumen s.ccdonado

..,....,."...".....,II»=r.. ." ........ -==-nclo

4. Seleccionamos los discos que queremos utilizar para generar el volumen seccionado (Fig. 2.19). Los discos que seleccionemos almacenarán de forma repartida (tal y como se explica en el punto 3) los ficheros y direc-

_d_

121

l'uede~ b<h<:: l r .... """"""~docb:::op""'etI.ooUnen .

S<Iecoc:neIo.cb:cs_d ........

JcIes;ouesha;.ck:en~.

........

~

[] ~ I;";" ~Io..,

. ,.

=r.oornia:lo<bx:nt40(l.lB)-. Sfto:i::r.t lo Cdid.o~ d. ts¡l&:>:I (I.IB)

I

'

"

"

C

~

'

*

.

,

torios que coloquemos en el nuevo volumen seccionado. En la Figura 2.19 puedes ver que para el desarrollo de este caso práctico se han seleccionado los tres discos que estaban sin asignar en la Figura 2.16. 11uMr ........... ~ "fIIlIrldno do .... cJ.I o n.II. do ~ p." ctt ...... ..:cao tn.b 1""",,",0 . PIret!. U7W ...... 1oInr de Lrida;j DoQ do LndI~''''V"::itnon.

@r ~!alolnrdc<ri1a:l~. ,

;

10000MB

HIZJ81.1B

I <~todo.l

T5!Iñ>l.:tIrIdclvcUnon .... ~ab,\ .. (M~

.

Fig. 2. 18. Asistente para V"¡',,ncIAn seccionado,

Fig. 2.17. Nuevo volumen seccionado,

' ................ lUÓIINdO

.

.

.... r... _r~~ "'~ _ ·'" _ _ .... ...........

O M:rt.-., lo 09HrU cnU IfTFS Yacl.,

II ! e Ha ..qw ...... I.tr.Dl\Udo_dc...-.dad

]

lC3 Ó='

I

"", - .- ¡¡¡¡m-

~ ~I ~.>

I I c.nc:.u I

Fig. 2.19. Seleccionar discos a seccionar,

~1 SQ.>tne>

I I ""'" I

Fig. 2.20. Asignar letra a la nueva unidad.

(Continúo)


~/2 q

Seguridad pasivo. Hardware y almacenamiento ------~--~--------~--------------------------

Caso práctico

:2

(Continuación)

5. Eri el siguiente paso seleccionamos la letra de la unidad que queremos asignarle al nuevo volumen (tiene que ser una letra que no esté asignada a ninguna otra unidad). Si seleccionamos la opción Montar en (o siguiente carpeta NTFS vacío podemos integrar el espacio de este volumen dentro de una unidad ya existente eligiendo la carpeta en donde queremos añadir este volumen.

6. A continuación en la Figura 2.21 seleccionamos el sistema de archivos con el que se desea formatear el nuevo volumen (Windows recomienda NTFS) y la etiqueta que queremos asignar a la unidad. En el caso de la Figura 2.21 se ha seleccionado sistema de ficheros NTFS y como etiqueta del volumen «Datos usuariOS».

........

-~ Debe fo:m.!l!ear ~e vol.rnerlarlles de poder ~ dilo. en él.

Anallzadón del Asistente para nuevo volumen secdonado

~----------------------------" I .

I

{) No fOlllllllfW este voh.rnen @ Famaeil'" ale vob!Ien can La adop3Ci6n li¡.l.ier1e:

~em/l6e

~INTF~S~~~~§"I

arc:Nvc1: Ta-nñcl"'u..dad de~: ~emNdo ~a del vobnen:

.. 1

1, 1

Odas USUlIri::.

!'

D IWI...mSo~

O HabU. ~ de an;tyyg , Y ClfpeID'I

Fig. 2.22. Finalización asistente.

Fig. 2.21. Formolear volumen.

7.

Por último se nos muestro un resumen de las operaciones que se van a realizar, en donde debemos comprobar que corresponde con lo que deseábamos hacer inicialmente. Uno vez que pulsamos sobre Finalizar, se nos muestra una advertencia (Fig . 2.23) en la que se nos avisa

que los discos seleccionados se van a convertir en discos dinámicos y que después de esta operación no se podrá arrancar ningún sistema operativo instalado en ellos a excepción del sistema actual (Windows Vista). Podemos pulsar sí porque inicialmente los discos no estaban asignados (Fig. 2.19), así que no contienen ninguna informacián.

~A~d~m~i~ n i~n~~~c~io~·n~d~ .d~is~co~s~____________-~II~~_____________________~ f13l 13 ~\ 1

I

la operación elegida convertirá 105 discos básicos seleccionados en discos dinámicos. Si los discos se convierten en dinámicos, no podrá iniciar ningún sistema operativo instalado en los volúmenes de los mismos, a excepción del volumen de arranque actual. ¿Está seguro de que desea continuar?

No

Fig. 2.23. Aviso de arranque de atros 50.

8. Puedes comprobar que la unidad generada tiene un tamaño igual al tamaño de las tres unidades. En el caso concreto de este caso práctico, 30 GB. Si cada uno de los discos que forman este nuevo volu12

men tuviera una contraladora diferente aceleraríamos mucho los procesos de lectura/escritura en disco, ya que podrían realizarse 3 lecturas o escrituras al mismo tiempo.


Seguridad pasiva. Hardware

y almacenamiento

2

4.3. RAID en Windows 2008 Server

En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los tipos de volúmenes dinámicos estudiados en el Apartado 4.1. En concreto en el siguiente caso práctico crearemos un volumen reflejado utilizando Windows 2008 Server.

Caso p'ráctico 3

9

Reflejar en Windows 2008 el volumen de sistema y de inicio 1. Arrancamos Windows 2008 Server y entramos en el

Administrador de/servidor (Fig. 2.24). El administrador del servidor lo podemos encontrar en las Herramientas administrativas igual que el Administrador de equipo en Windows Vista. También podemos entrar pulsando el botón secundario del ratón sobre el acceso directo de equipo.

.

Microsoft también recomienda que los discos sean de las mismas características y estén manejados por controladoras diferentes. Así nos estaremos protegiendo ante un mayor número de tipos de fallos (si se produjera un fallo en la controladora de uno de los discos el otro seguiría funcionando).

3. Una vez comprobado esto, hacemos dic sobre el área asignada del volumen que queremos reflejar y seleccionamos la opción Agregar reflejo, tal y como podemos ver en la Figura 2.25. Si no aparece esta opción por lo general se debe a que el volumen que tenemos sin asignar no es del tamaño adecuado.

4. En la ventana Agregar reflejo seleccionamos el disco1 ,

..._,

,,=

IM OG!l frI_WI

I DS.

.!..l

que es sobre el que queremos reflejar el disco del sistema (disco O) y pulsamos sobre Agregar reflejo .

I

. 'b...~.aé: . ~

!~. C'lG!l I ",.~,do

.

=

.:.=n= ....

Fig. 2.24. Administrador de servidor.

L

2. Es fundamental que los discos que vayamos a utilizar para reflejarse sean del mismo tamaño. Puesto que uno de los discos, el del sistema (disco O en la Figura 2.24) ya está asignado y tiene un tamaño, tendremos que utilizar un disco de mayor o igual tamaño que este. En el caso de la Figura 2.24 se ha utilizado un disco de igual tamaño.

Agregar reflejo

Si agrega un reflejo a un volumen existente se podrá tener una redundancia de datos. ya que se conservarán múltiples copias de los datos de un volumen en diferentes discos. Seleccione una ublcadón para el reflejOde C:. Discos:

I ~regar reflejo I

1r.F5

rx

(

Cancelar

Fig. 2.26. Agregar rel/e;o.

..

~ ,~

~;r ... ..... ~ •. ~

Fig. 2.25. Agregar rel/e;o. Administrador de discos.

..

5. Windows muestra una alerta (Fig. 2.26) que advierte, igual que en el caso práctico anterior, de que los discos se van a transformar en dinámicos y por tanto solo podremos arrancar a partir de este momento Windows 2008 Server. A partir de este momento, el sistema replicará la información que contenga el volumen del sistema en el otro disco. Así, si se produce un fallo en un disco del sistema seguirá funcionando con el otro.


~~

Seguridad pasiva. Hardware y almacenamiento

------~--~--------~--------------------------

5. Clusters de servidores Un cluster de servidores en un conjunto de vorios servidores que se construyen e instalan para trobajor como si fuesen uno solo. Es decir, un cluster es un grupo de ordenadores que se unen mediante una red de alta velocidad, de tal forma que el conjunto se ve como un único ordenador, mucho más potente que los ordenadores comunes. Una de sus principales ventajas es que no es necesario que los equipos que lo integren sean iguales a nivel hardware ni que dispongan del mismo sistema operotivo, lo que permite reciclor equipos que se encontraban anticuados o en desuso y rentabilizor su uso mediante un cluster de servidores, como el que puedes ver en las Figuros 2.27 y 2.28. Fig. 2.27. Clusler casero con ordenadores diversos (vista delantera).

Con este tipo de sistemas se busca conseguir cuatro servicios principales, aunque, en generol, según el tipo de cluster que utilicemos, obtendremos una combinación de vorios de ellos: o

Alta disponibilidad.

o

Alto rendimiento.

o

Balanceo de carga.

o

Escalabilidad.

5.1. Clasificación de los clusters Fig. 2.28. Clusler casero con ordenadores diversos (vista trasera).

Como en tantas otras tecnologías, podemos realizor la clasificación de los clusters en función de varios conceptos, pero todos ellos relacionados con los servicios que ya hemos mencionado. Atendiendo a estas carocterísticas hablamos de tres tipos de clusters:

los clusters son sistemas tan fiables que organizaciones como Google y Microsoft los utilizan para poner en marcha sus por-

tales. Por ejemplo, en el año 2003, el cluster Google llegó a estar conformado por más

de 15 000 ordenadores personales.

o

Clusters de alto rendimiento (HC o Hjgh Performance C/usters). Este tipo de sistemas ejecutan tareas que requieren de una gran capacidad de cálculo o del uso de grandes cantidades de memoria (e incluso de ambas conjuntamente). Cuando están realizando este tipo de toreas, los recursos del cluster son utilizados casi en exclusiva duronte periodos de tiempo que pueden ser bastante largos.

o

Clusters de alta disponibilidad (HA o High Avai/abi/ity). Con estos clusters se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen. Poro ello se utiliza hordwore duplicado, de modo que al no tener un único punto de fallos (aunque se produzca una avería en un componente siempre habrá otro que pueda realizor el mismo trabaja), se garontiza la disponibilidad del sistema. Por otra parte, incorporan softwore de deteccián y recuperoción ante fallos, con objeto de hacer más confiable el sistema para su uso.

o

Clusters de alta eficiencia (HT o Hjgh Throughput). En estos sistemas el objetivo centrol de diseño es que se puedan ejecutor el mayor número de tareas en el menor tiempo posible, entendiendo que hablamos de tareas individuales cuyos datos na tienen dependencia entre sí.

Otro tipo de clasificación de los clusters de servidores viene dada por su ámbito de uso, donde hablaremos de dos tipos: o

Clusters de infraestructuros comerciales, que conjugan la alta disponibilidad con la alta eficiencia.

o

Clusters científicos, que en generol son sistemas de alto rendimiento.

Lo cierto es que muchas de las carocterísticas de las orquitecturas de hardwore y softwore son las mismas en todos estos tipos de clusters, aunque luego los requisitos de las. aplicaciones que funcionen sobre ellos sean muy distintos. Esto hace que un determinado tipo de cluster pueda también presentor coracterísticas de los otros.


Seguridad pasiva . Hardware y almacenamiento

5.2. Componentes de los clusters

Poro que un cluster funcione necesito de uno serie de componentes, que, como yo sobemos, pueden tener diversos orígenes; es decir, no tienen por qué ser de lo mismo morco, modelo o característicos físicos. Entre estos componentes están:

Nodos: es el nombre genérico que se dará a cualquier máquina que utilicemos para montar un cluster, como pueden ser ordenadores de sobremesa o servidores. Aún cuando podemos utilizar cualquier tipo de hardware para montar nuestro sistema, es siempre buena ideo que hoyo cierto parecido entre los capacidades de todos los nodos (en la Figura 2.29 puedes ver un cluster montado con ordenadores idénticos), ya que, en coso contrario, habrá siempre cierta tendencia o enviar el trabajo a realizar a aquel equipo que disponga de una mayor capacidad de procesamiento.

Sistema operativo: podemos utilizar cualquier sistema operativo que tenga dos característicos básicas: debe ser multiproceso y multiusuario. Es también conveniente que sea fácil acceder o él y usarlo, poro facilitar el trabajo sobre el mismo.

• Conexión de Red: es necesario que los distintos nodos de nuestra red estén conectados entre sí. Para ello podemos utilizar una conexión Ethernet (con las placas de red que incorporan los equipos e incluso con las integradas en los placas base) u otras sistemas de alta velocidad como Fast Ethernet, Gigabit Ethernet, Myrinet, Infiniband, SCI, etc.

Middleware: es el nombre que recibe el software que se encuentra entre el sistema operativo y las aplicaciones. Su objetivo es que el usuario del cluster tenga la sensación de estar frente a un único superordenador yo que provee de uno interfaz único de acceso 01 sistema. Mediante este software se consigue optimizar el uso del sistema y realizar operaciones de balanceo de carga, tolerancia de fallos, etc. Se ocupa, además, de detectar nuevos nodos que vayamos añadiendo al cluster, dotandolo de una gran posibilidad de escalabilidad.

Sistema de almacenamiento: cuando trabajamos con clusters podemos hacer uso de un sistema de almacenamiento interno en los equipos, utilizando los discos duros de manero similar a como lo hacemos en un PC, o bien recurrir o sistemas de almacenamiento más complejos, que proporcionarán una mayor eficiencia y disponibilidad de los datos, como san los dispositivos NAS (Nefwork Attoches Storoge) o las redes SAN (Storoge Areo Nefwork), de lo que hablaremos con mayor detalle en el siguiente apartado, dedicado al almacenamiento externo.

Fig. 2.29. Cluster montado con equipos idénticos.

Actividades ~ 14. Realizo un listado de sistemas operativos multiusuario y multiprocesador. Consulto en Internet si pueden utilizarse poro montar un cluster de servidores.

15. Busco información sobre los conexiones de alto velocidad mencionados en el Apartado 5.2. ¿Qué velocidades proporcionan? ¿Qué requisitos hardware necesitamos poro utilizarlos?


Seguridad pasiva. Hardware y almacenamiento

• NAS ,----------- -- - -----

6. Almacenamiento externo

En el apartado anterior hemos visto que con los clusters podemos procesar mucha más infarmacián que un ordenador independiente, pero ¿dánde guardamos esta informacián? Una posibilidad es utilizar las sistemas de almacenamiento de las nodos, sus discos duros, por ejemplo. Pero existen otras alternativas que nos permitirán un control y una gestión mucha mayores sobre los datos procesados, como las tecnologías NAS y SAN. El uso de cualquiera de estas tecnologías es independiente de la existencia de un cluster, aunque resulta idónea como método de almacenamiento cuando se dispone de uno, especialmente si las complementamos con utilidades para la realización de copias de seguridad como las que veremos en la Unidad 3.

6.1. Network Attached Storage Los dispositivos NAS (Nelwork Attached Storage) son dispositivos de almacenamiento específicas, a los cuales se accede utilizando protocolos de red, generalmente TCP/IP, como puedes ver en lo Figuro 2.30. Lo ideo consiste en que el usuario solicita al servidor un fichero completo y, cuando lo recibe, lo maneja localmente, lo cual hoce que este tipo de tecnología sea ideal para el uso con ficheros de pequeño tamaño, ofreciendo la posibilidad de manejar uno gran cantidad de ellos desde los equipos clientes.

[1

Disco

n:

- -- - --- -- - -- -- -- - __ , Fig. 2.30. Arquitectura NAS.

r

____ _

_

SAN

__ _____ ___ __ •

El uso de NAS permite, con bajo coste, realizar balanceo de carga y tolerancia a fallos, por lo que es codo vez más utilizado en servidores Web poro proveer servicios de almacenamiento, especialmente contenidos multimedia. Hay otro factor que debemos tener en cuenta, y es que los sistemas NAS suelen estar compuestos por uno o más dispositivos que se disponen en RAID, como hemos vistos en el Apartado 4 de lo unidad, lo qu!,! permite aumentar su capacidad, eficiencia y tolerancia ante fallos.

6.2. Storage Area Network Una red SAN (Storage Area Nelwork) o red con área de almacenamiento, está pensada paro conector servidores, discos de almacenamiento, etc., utilizando tecnologías de fibra (que alcanzan hasta 8 Gb/s), como ves en la Figura 2.31. El uso de conexiones de alto velocidad permite que sea posible conectar de manero rápida y segura los distintos elementos de esta red, independientemente de su ubicación físico. De modo general, un dispositivo de almacenamiento no es propiedad exclusiva de un servidor, lo que permite que varios servidores puedan acceder o los mismos recursos. El funcionamiento se basa en las peticiones de datos que realizan las aplicaciones 01 servidor, que se ocupo de obtener las datos del disco concreto donde estén almacenados. Dependiendo de lo cantidad de información manejado, podremos optar por el uso de una u otra tecnología. Poro grandes volúmenes, sería conveniente utilizar una red SAN, mientras que poro pequeñas compañías lo idóneo sería un dispositivo NAS. Esto no quiere decir que ambas tecnologías sean excluyentes; existe, de hecho, la posibilidad de combinarlas en sistemas cuyas características así lo riequieran.

,,- - - - - - - - ,

[1

- - - - - - -

Disco

-,,

11

"-------------- - - - -, Fig. 2.31. Arquitectura SAN. 16

~ Actividades 16. Compara las tecnologías NAS y SAN. ¿Qué ventajas y desventajas tiene el uso de cada una de ellas?


Seguridad pasiva. Hardware

y almacenamiento

2

Comprueba tu aprendizaje " Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Gestionar dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información

1. En la actualidad se están buscando alternativas para aprovechar el calor generado por los Centros de Datos en otros usos. Busca infarmacián y noticias de este tema, crea un pequeño documento con las más curiosas y añade algún posible uso alternativo que se te ocurra.

4. Comprueba en la documentación de tu placa base si

2. Busca información sobre el funcionamiento de los sistemas de detección precoz contra incendios, e ilústralo con casos reales de uso.

J. Últimamente están praduciéndose algunos picos de tensión y cortes intermitentes en la zona donde está situada la agencia de viajes SiTour, lo que les ha llevado a plantearse la posibilidad de instalar SAl que evite posibles daños en sus equipos y les proparciones el tiempo necesario para guardar los datos con los que estén trabajando en el momento del corte. ¿Qué equipo les recomendarías? ¿Por qué?

so parta algún tipo de RAID. Si lo soporta, localiza la opción en el menú de configuración de BIOS.

5. Genera un volumen seccionado en Windows utilizando tres discos.

6. La red de Supercomputación Española se compone de varios c1usters situados en diferentes puntos del país. Averigua qué sistemas la integran, cuál es su localización geográfica y cuál es la finalidad de uso principal de cada uno de ellos.

7. Las siguientes figuras representan redes donde se han utilizado alguno de los sistemas de almacenamiento vistos en la unidad: NAS y SAN. Identifica cuál corresponde a cada uno de ellos y explica por qué.

Puedes utilizar la tabla que desarrallaste en la Actividad 7 de la unidad, ya que debes tener en cuenta los mismos factores utilizados como referencia para realizar dicha actividad.

Array de discos

Fig. 2.32. Arquitectura 1.

Fig. 2.33. Arquitectura 2.


-=::y-

r

2

Seguridad pasiva. Hardware y almacenamiento

Edificio Espacio y movilidad Factores relativos

Tratamiento acústico

...._...:0:.;105 instalaciones

Seguridad física del edificio Suministro eléctrico propio del CPO

Factores naturales

Servicios disponibles

Otros factores

Seguridad del entorno

Control de acceso

Recuperación ante desastres

En estado de espera ISPS)

--

~- (

En línea

Almacenamiento

"-_...:.:: re::;:: du:::: nd;;:;:a~ nte~_,,

-f

RAID O RAID 1 RAID 5

C·", .~ ,í'• Almacenaml

Cluster de alto rendimiento

~ ~eíliil~nfo:rmamon

Cluster de servidores

Cluster de alta disponibilidad Cluster de alta eficiencia

Network Attached Storage

Slorage Area Network

.8


llJUllDdOJdJ

Seguridad pasiva. Recuperación de datos

En esto unidad aprenderemos a:

• Seleccionar estrategias para la realización de copias de seguridad. • Realizar copias con distintas estrategias. • Crear y restaurar imágenes de restauración de sistemas en funcionamiento.

• Aplicar técnicas de recuperación de datos. • Definir políticas de copias de seguridad.

y estudiaremos: • Copias de seguridad e imágenes de respaldo. • Medias de almacenamiento en copias de seguridad. • Políticas de copias de seguridad. • Software de copias de seguridad. • Recuperación de datos.

(

( .,

~,, ~t(


Seguridad pasiva. Recuperación de dolos

1. Introducción / ,

¿Sabías.q,!e•••?

Según un estudio realizado por la Universidad de Texas, solo el

6 % de

las empresas que tienen

pérdidas catastróficas de datos logran seguir su aclividad frente a un 43 % que nunca podrán reabrir su negocio; el resto tendrá que cerrar en dos años.

Hoy en día, tanta las empresas como los particulares guardamos gran cantidad de información en los soportes de almacenamiento de nuestros equipos informáticos. En un gran número de entidades y hogares dicha información se encuentra protegida contra amenazas lógicas, una vez que tenemos instalados programas específicos poro ello, como antivirus o firewall; sin embargo, son muchas menos las personas o entidades que realizan copias de seguridad; copias que permitirían restaurar la información en caso de pérdidas ocasionadas por desastres de diversa índole, coma incendios, inundaciones, apagones, terremotos ... Dichos desastres pueden suponer grandes pérdidas para las empresas en caso de no poder recuperar la información.

Según información publicada en The Guardian una empresa incapaz de acceder a sus datos durante diez días nunca se recu-

perará totalmente: el 43 % de ellas irá a la bancarrota, ya que una parada de tan solo cuatro

horas puede costarle hasta un 30 % de sus ingresos mensuales a una compañía de servicios de telecomunicaciones e infraestructura.

Recordemos algunos de los sucesos ocurridos en los últimos años, la caída de las Torres Gemelas o el grave incendio ocurrido en la Torre Windsor. En ambos casos se perdió

gran cantidad de información. En el caso del incendio en Madrid fallaron los deteclores de humo, las alarmas ... pero no fallaron, en cambio, los planes de protección de datos de las empresas Garrigues y Deloitte, que en poco más de 72 horas después del suceso, trabajaban con acceso pleno a cada una de sus aplicaciones y a la información. Gracias al plan de recuperación en caso de desastre, estas empresas pudieron en un breve espacio de tiempo volver a su actividad sin sufrir grandes pérdidas económicas. Estos desastres lograron que numerosas empresas que no tenían planes desarrollados de recuperación para casos de desastres tomaran consciencia de la necesidad de los mismos y empezaran

a realizar copias de seguridad, tanto de la configuración de los sistemas como de los datos.

Todos, tanto las grandes empresas multinacionales como el usuario de a pie, debemos guardar copias de seguridad de la información de nuestros equipos, porque Murphy puede aparecer en cualquier momento a hacernos una visita. Cuántas veces hemos dedicado horas a preparar un traba¡o para clase y en el último momento se ha ido la luz o ha entrado un virus, y es entonces que nos lamentamos de no haber hecho copias de seguridad cada cierto intervalo de tiempo. Como conclusión, las copias de seguridad garantizan dos de los ob¡etivos estudiados en la primera unidad, la integridad y disponibilidad de la información. Estas son útiles para restaurar el sistema operativo, las aplicaciones y los datos en caso de ocurrir algún desastre. Además, debemos tener presente lo que estudiamos en la primera unidad referido a la Agencia Española de Protección de Datos; recordemos las exigencias de dicha entidad a las empresas que almacenan datos personales de usuarios: estas deberán realizar copias de seguridad de los datos recogidos en sus equipos. Estas copias de seguridad se podrán realizar en multitud de soportes de almacenamiento, cintas, CD, DVD, en discos duros externos o en dispositivos de almacenamiento remotos.

Otro punto en el que deberíamos pensar es cómo destruir de manera segura los soportes donde hemos guardado los datos, ya que en numerosos casos se almacena información confidencial. Debemos evitar que, una vez que consideremos la máquina obsoleta para nuestra empresa y la tiremos o la reciclemos, vendiéndola a empresas o a particulares con menos necesidades que nosotros, estos puedan leer la información confidencial del disco. En el mercado existen diversos métodos que garantizan la destrucción de los datos.

~ Actividades 1. Visita las páginas http://www.blancco.com/en/frontpage/ y http://www.edrsolutions.com. Analiza los distintos tipos de mecanismos de destrucción de disco y ordenadores que poseen.

;0


Seguridad pasiva . Recuperación de dolos

2. Tipos de copias de seguridad

Dependiendo de la cantidad de ficheros que se almacenan en el momento de realizar la copia, podemos distinguir tres clases de copias de seguridad: •

Completa: como su nombre indica, realiza una copia de todos los archivos y directorios seleccionados_

Diferencial: se copian todos los archivos que se han creado a actualizado desde la última copia de seguridad completa realizada_ Por ejemplo, si hacemos una copia de seguridad completa todos los viernes a las 00:00 horas y una copia de seguridad diferencial el resta de las días, cada copia diferencial guardará los archivos que se hayan creado o modificada desde el viernes a las 00:00 horas hasta e l momento de realizar la nueva copia. Una de las ventajas de este tipo de copia frente a la anterior es que se requiere menos espacio y tiempo para el proceso de la copia . ./

./

./

f

Modificación 1....día 3

Copia diferencial día 3

Datos

día 1 Copla lolal

1....Modificación ./ dla 2

Copia diferencial

l

día 2

1....Modificación día2

1/

IL

1/

Fig_3. 1. Archivos modificados que se deben guardar en /a copia diferencial. •

Incremental: se copian los archivos que se han modificada desde la última copia de seguridad completa o diferencial realizada. Por ejemplo, si hacemos una copia completa los viernes a las 00:00 horas y copias de seguridad incremental el resto de los días a la misma hora, cada copia incremental solo guardará los archivos que se hayan modificado el día que se realiza la copia desde las 00:00 hasta las 23:59. Una de las ventajas de este tipo de copias de seguridad frente a la anteriar, es que el proceso de la copia es mós rópido y ocupan menos espacio; ahora bien, si hemos de restaurar los archivos por pérdida a causa de un desastre, necesitaremos la copia de seguridad completa, y todas las copias incrementales realizadas desde la copia integral. ;-

./

Modificación

1/

dla3 Datos día 1 Copia lolal

1....Modificación

Clfa 2

1/

I

Copia incremental día2

-

Copia incremental día 3

1....Modificación

1/

dla2

1/

1/

Fig. 3.2. Archivos modificodos que se deben guardor en Jo copio incrementol.

Actividades ~

2. Indica qué necesitamos cuando se realizan copias completas y diferenciales para restaurar la información.

3


Seguridad pasiva. Recuperación de datos

3. Copias de seguridad de los datos las copias de seguridad de las datos, como su nombre indica, son copias de la información que se almacenan en un lugar diferente al original. Aunque parezca mentira, se trata de un error muy habitual que tanto los administradores como los usuarios del sistema suelen cometer, al guardar las copias de los datas en la misma ubicación que los originales a muy cerca de los mismos. lo que suele hacerse por comodidad resulta un fallo garrafal: imaginemos que en una empresa se produce un incendio o una inundación en el centro de cálculo, donde además se guardan las copias de seguridad de los datos y las imágenes de los sistemas, ¿qué sucedería? El incendio arrasaría tanto los equipos con sus sistemas y datos como todas las copias e imágenes de respaldo de los sistemas, aplicaciones e información. la empresa habría perdido toda la información, por lo que perderían mucho tiempo y dinero hasta volver a recuperarlo todo. lo habitual, en las organizaciones con una buena seguridad, consiste en almacenar una copia de los datos en el propio centro de procesamiento de datos, y otra copia completa en un lugar diferente al centro de cálculo, que se encontrará protegido de la misma manera que los centros de procesamiento de datos. Otro de los problemas clásicos cuando las organizaciones realizan copias de seguridad resulta de la mala política de etiquetado de las copias. Debemos ser muy exhaustivos cuando etiquetamos las copias de respaldo, y al mismo tiempo, hemos de conseguir que los datos que etiquetemos no sean muy claros para los posibles intrusos. Se recomienda etiquetarlas mediante códigos impresos, códigos cuyo significado sea conocido exclusivamente por los técnicos que manejan las copias de seguridad.

o

¿De qué archivos debemos hacer copias de seguridad?

las copias de seguridad deben realizarse de todos los archivos que sean difíciles o imposibles de reemplazar (esquemas . de red, distribución de IP, listas de control de acceso, etc) .

o

¿Dónde debemos hacer las copias de seguridad?

Como hemos comentado anteriormente, una de los errores más habituales es utilizar el mismo soporte en el que se encuentran los datos para almacenar las copias o ubicarlas en el mismo lugar donde se encuentran los equipos de los que hemos realizado las copias. la finalidad de la copia de seguridad es poder recuperar los datos en caso de desastre. Si la copia se encuentra en el mismo disco o en una partición del mismo y se produce una avería física en él, no podremos recuperar los datos ni la copia de seguridad. las copias de seguridad se pueden hacer en distintos soportes, en discos duros externos, en discos compactos, en OVO, en cintas, en memorias flash, en discos SSO ... la realización de copias de seguridad en un sitio diferente a la ubicación original se denomina OFf-sile Dala Proleclion. Existen numerosas empresas especializadas en dichos servicios, como hHp://www.perfectbackup.es.

o

Soportes

A continuación vamos a analizar las ventajas y desventajas de los distintos soportes: •

Fig. 3.3. CD regrcbcble.

los discas CO y OVO regraba bies ofrecen un númera muy limitado de escrituras, a pesar de que la mayoría de los fabricantes aseguran que se pueden realizar unas mil grabaciones. la experiencia nos demuestra que después de varias decenas de escrituras, las grabaciones fallan, y aparecen mensajes del tipo «el soporte es de solo lecturo ». .


Seguridad pasiva . Recuperación de dolos

La cinta es una de los soportes más antiguos que se siguen utilizando en la actua· lidad. Sus características principales son el gran volumen de almacenamiento que permiten y su alta fiabilidad. Son más lentas que los discos duros convencionales, pues como sabemos, el acceso a las datos es secuencial (siempre debemos recorrer toda la cinta desde el principio hasta que encontremos el dato).

Los memorias de tipo flash (pendrive, microSD, compactFlash y similares) no son muy recomendables, ya que se suelen estropear con facilidad debido a los golpes y a los altos voltajes que reciben en ocasiones accidentalmente, y además hay que tomar en cuenta la capacidad tan escasa que tienen.

3

Fig. 3.4. Distintos modelos de almacenaje.

Los discos duros o discos rígidos usan métodos de grabación basados en la imanta· ción del soporte. Aunque han ido evolucionando ráridamente, esto sola ha supuesto un incremento en la capacidad de los mismos, en e tiempo de acceso a los sectores y en lo fiabilidad. Hoy que recordar que no hoce muchos años ero necesario opor· cor lo aguja del disco poro poder trasladarlo de un lugar o otro. Si lo aguja no se aporcaba, una vez que desconectábamos el disco esta se movía y podía golpear y rayar los discos que componían el disco duro. Hoy en día ya no es necesario aparo car la aguja, es una operación que los discos realizan automáticamente cada vez que se apagan.

Se está investigando en una nuevo tecnología basado en nanotubos que permitirá una

durabilidad de los discos duros muy

superior

a

la

actual.

Hablamos de unos 1000 años.

Fig. 3.5. Distintos modelos de discos duros.

En la actualidad se empiezan a realizar copias de seguridad en soportes SSO. La desventaja de este tipo de unidades es el precio, son muy caras, y su capacidad es limitada. Sin embargo, este tipo de tecnología SSD (Salid Slale Orive) tiene grandes venta jas frente a los discos duros convencionales porque no tienen elementos mecá· nicos, lo que los hace ser mucho más fiables frente a los discos duros tradicionales . El rendimiento de la tecnología SSD es mayor que el de los discos duros clásicos, y el tiempo de acceso de los SSD es bastante inferior a un milisegundo frente a las varias decenas de milisegundos habituales de los discos duros tradicionales. Es una de las opciones de futuro, dado que su precio actual hace impensable adquirir un disco de 500GB.

Actividades "

l

3. Realizar un estudio como parativo que recoja los distintos tipos de sopor· tes, con su capacidad máxima y precio medio par GB.


~/3

Seguridad pasiva. Recuperación de dalas

- - --

3.1. Copia de seguridad de datos en Windows Hay muchas herramientas que permiten hacer copias de seguridad de los datos en sistemas Windows. Vamos a estudiar en profundidad la herramienta Backup4all. Esta herramienta nos permite proteger los datos de los posibles pérdidas parciales o totales, automatiza el proceso de realización de copias de seguridad y permite, entre otras funciones, comprimir y cifrar las copias de seguridad.

q

Caso práctico 1

Crear copia de seguridad completa para poder recuperar 105 datos con facilidad en caso de desastre

garnos gratuitamente de la página www.backup4all.com/ download.php.

En esta práctica vamos a crear una copia de seguridad del directorio denominado "Seguridad Infarmática». En él se encuentran almacenados datos impartantes que na queremos perder. Para realizar el backup, vamos a utilizar la aplicación Backup4all Professional, que podremos descar-

1. Una vez instalada la aplicación, veremos una panta-

o ~~~..,.,.. .t:1 ·

!!:..-

It ,,~

~,,-

~m

,-

,QOlS11.QD

-

. ....... ]11

....

~ .", 1:: 1•,

... 1'"fui

U

U

¡~ a

~I

l

(9

lla similar a la de la Figura 3.6. En dicha pantalla se encuentran desactivadas los botones de Backup (copia de seguridad) y Restare (recuperación), debido a que aún no hemos realizado ninguna copia de seguridad. 1=1 8 J

( ) I¡ ..... e.:;kup W",¡n;\

a I

@ Name your backup Dld",pnlmo::

Where do you want lo saya your backup?

Fclder.

Advlncrdm~de

Fig. 3.6. Pantalla inicial Backup4all Prafe55ianal. 2. Hacemos dic sobre el icono New,! para realizar una nueva copia de seguridad. Como se trata de la primera copia de respaldo que vamos a realizar la haremos completa. 3. En la nueva pantalla (Fig. 3.7) escribimos el nombre y la ubicación donde vamos a guardar la copia de seguridad. Como vemos, la aplicación permite elegir dónde queremos realizar la copia de seguridad: local (en el propio disco, grabarla en un CD o DVD o bien en un disco duro externo), en la red, o bien mediante FTP. En esta primera práctica vamos a guardar la copia en la carpeta que par defecto nos indica la aplicación. 4. Para continuar, podemos hacer dic bien en el botón Nexl (Siguiente), bien en el botón Advanced made (moda avanzado). Al ser la primera vez que manejamos la aplicación, haremos dic en el botón Next para ir familiarizándonos con la herramienta. En la nueva ventana (Fig. 3.8) debemos elegir el directorio, fichero!s o

4

I

Fig. 3.7. lugar y nombre de la copia de seguridad. e

'"

"

Whal do you want to backup?

~!5el~",~·.;;"",of",fiIH",.",",,,,f.,,,,,,,,,"=======;~ ... 1 ~'::r1 (dnl.JI lo blCkup 111 File\Folder m 1iJ €!)

Si:e

III

e Hillerfil on Synem DI

01

=

G'l ~ (2)

Plgdile en 5ylltm TtmPCraryFilts'Ule

l

C~"'d;f!.¡";i.'51 ~, ,:¡':,";:'.=l l=:!, "=; ~:; :JI lO:~~: 1 [

Adv,nctd mode

I

I

P,eviOUl

1I

Nul

II

»Ve ~

II

Fig. 3.8. Directorio del que vamos a hacer la copia.

(Continúa)


Seguridad pasiva. Recuperaci ón de dolos

3

Casa práctico 1

9

(Continuación)

conjunto de directorios de los que vamos o realizar lo copio. En nuestro coso, queremos hacer lo copio del directorio llamado «Seguridad Informático» , por lo que tenemos que hacer dic en Add folder (añadir carpeta). En el coso de se quisieron hacer copias de seguridad de ficheros, deberíamos haber hecho dic sobre Add files (añadir ficheros). Después de seleccionar el directorio hocemos dic en Next.

o

5. En lo siguiente pantalla (Fig . 3.10) debemos elegir el tipo de copio; como es lo primero vez que guardamos los datos, haremos uno copio de seguridad completo, de modo que elegimos lo opción Make full (Realizar completo). En esto pantalla podemos optar también por cifrar lo copio . En este coso no lo cifroremos, por lo que dejamos marcado lo opción por defecto (No).

New Badrup WlL!rn

How do you want to backup?

·1

IMakefull Encrypt? O Yes

@ No

I le."! pil:;w.ord: Confirrn new pilssl".'ord:

Help How do you \11M! lo backup?

Advaneed mode

Previous

H

Next

II

SlIve ~

II

Cincel

Fig. 3.9. Tipo de copio.

6. En lo siguiente pantalla debemos especificar lo periodicidad de lo copio. En nuestro coso debemos seleccionar lo opción manualmente, yo que por el momento no queremos que se repito lo copio completo en un futuro. Después de dicho elección, hocemos dic sobre Save (Guardar) y seleccionamos la opción Save and run (Guardar y ejecutor). Inmediatamente después, lo aplicación se pone en funcionamiento y empiezo o almacenar lo información se-

leccionada en la nuevo ubicación. Tronscurridos varios minutos, lo copio de seguridad habrá terminado y podremos comprobar cómo los datos guardados en el directario Seguridad Informático se han copiado en un archivo comprimido (con extensión zip) dentro del directorio COPIA_SEGURIDAD (nombre del backup, Fig . 3.8) en el directorio My Backup4all que se encuentra en lo carpeta

Mis Documentos.

)

Lo mismo herramienta, Backupal14Professional, nos permite realizar copias de seguridad incrementales, como veremos en el siguiente coso práctico.

Actividades _ 4. Habitualmente los usuarios de o pie guardamos lo información bajo el directorio Mis Documentos. Os proponemos que realicéis uno copio de seguridad como pleta de dicho carpeta en un disco extraíble.


Seguridad pasiva. Recuperación de datas

¡q Para

comprobar el

funciona~

miento de la copia de seguridad diferencial es conveniente que modifiquéis la información alma~ cenada en el directorio donde vamos a realizar la nueva copia

diferencial.

Caso flráctico 2

Crear copio de seguridad diferencial para salvaguardar los archivos que se han creado o actualizado desde la última copia de seguridad completa realizada Poro realizar esta actividad, vamos a utilizar la misma aplicación que en el caso práctico anterior, Backupall4Professional.

1. En el caso práctico anterior, realizamos la copia de seguridad completa del directorio «Seguridad Informática» que guardamos con el nombre Copia_Seguridad (Fig. 3.10).

-

.. _-,- -..

,

Im~Kl.. o"

l>dh"..........

I""'~

1i:U>.=

l.~

... _

_ ..... ' n ....

....... - -

Fig. 3.10. Información de las copias de seguridad.

2. Paro hacer la copia diferencial de la copia realizada en el caso práctico anterior, debemos seleccionar la copia de seguridad realizada anteriormente, denoO minada «Copia_seguridad».

3. Hacer dic sobre el icono Properties

' ,,,mio

(Propiedades).

4. En la nueva ventana, modificaremos el tipo de copia seleccionando diferencial (dentro de Type, seleccionamos DifferentiaJ). Con ello, conseguiremos que se guarden los ficheros nuevos y aquellos que hayan sido modificados desde que se realizó la copia completa del directorio. Por último hocemos dic en Save and run (Guardar y ejecutar).

G~.'~I

~-~"

\.1

i.=l ~..rtI d"""

I

E.<: . rn, 1hMd d,....

I

CD.

~ Actividades 5. Anteriormente hemos realizado una copio completa del directorio Mis Documentos. Debido a que constantemente estamos actualizando los documentos ya creados o bien creando

I

ovo cr E~fOV

I

~m"",,~I.

I

Il tI",,,,k

I

FTl' .. "",r

I

So"rn.

I

......

1.CJ;i' ~_

....

I

R) I 'h.cI;flctl11li.I""o<l'

so

D W'h.clill,,01\l;.I .. , ....

!;¡¡

-

i6

I!

P, ........

I

:,'

d- ,. 01 htI ~.tkup '''' ~~

I

nuevos documentos¡ os pro~

ponemos que realicéis una copia de seguridad diferencial de dicha corpeta.

In,atl>~

keful ~

'Fig. 3.11. Definición de la copia diferencial.

,:'


Seg uridad pasiva . Recuperación de datas

3

Una buena solución sería automatizar este proceso para que la copia de seguridad se haga siempre a partir de una determinada hora.

Caso F!ráctico 3

9

Programar la realización de uno copio incremental todos días o los 22:00 horas En esta práctica vamos a programar una copia de seguridad del tipo incremental para que se realice de manera automática todos los días a las 22:00.

1. Abrimos la aplicación Backupal14 Professional y hacemos elic en Nuevo. 2. En la nueva pantalla hacemos elic en Advanced mode (Modo avanzado, Fig. 3.12).

l l amo your b<1ckup

Wh cro do you w<1nllo !)<1VO your b<1ckup? (il. ,,1

f ol~. c.

Fig. 3.12. Cuadro de diálogo de la nueva copia de seguridad.

3. En el panel izquierdo de la nueva pantalla hacemos clic sobre General. En el panel derecho escribimos el nombre de la copia, en nuestro caso Copia_incremental, y rellenamos el campo de descripción. El resto de los campos los dejamos como estaban.

Ph ""~"'''''''"''''I''>

"

<1>.DI'tI., .o.-"..

....,•

. . ...... t>o

""""

t .. ~.

1"""

j "'''....., i

.... ""' ...

Fig. 3.13. Pestaña General de la copia de seguridad.

4. En el panel izquierdo hocemos elic en Destination (Destino) y elegimos el soporte donde vamos a guardar la copia de seguridad. En nuestro caso vamos a seleccionar un disco duro externo. Inmediatamente después de realizar la nueva elección podemos observar cómo la bola verde, que anteriormente estaba situada junto a Local hard drive, ha cambiado de posición situándose al lado de External hard drive (Disco duro externo). Hacemos elic en el panel izquierdo sobre External hard drive, y elegimos el disco a utilizar haciendo elic en la pestaña para ver los disponibles. Hacemos elic en Browse (Explorar) para especificar la carpeta donde queremos guardar la nueva copia.

57


Segurid ad pasi va. Recuperació n de dolos

q

J

Casa práctico 3

I

(Continuación)

5. En el panel izquierdo hacemos clic sobre Sources (Fuente u origen) para definir qué datas queremos guardar en la copia de seguridad. Hacemos clic en Add folder (añadir carpeta) en el caso de querer añadir un directorio, o en Add file (Añadir fichero) para añadir archivos. Posteriormente buscamos la carpeta/s y/o fichero/s. I O ~·t.< ..... , , -,

,I:~~:::.::,. ~-Lá¡~1 '~""~.~~ -§'~.~~-~'~~~~~===~:J CO. !Ml.,.t.... <IJ

"''''''''''1.

=

~~'*-;~I ..... ~.~ f....r""'..

~

_. .

SeIea Itle fcIder to be &ddell In Itle SDU'=crbWul:

I

• 'il L:l I;o\u...,v.n...

Mis equipos '<irtuales My BIC~U¡>,bll r, ¡!j My Hcfmann ~ ] Ilrc gramll ~ J.. pUrllo r. ] SEGURlDADINFORMÁTICA ~

JJ

~.

,.

,~

M ...

.

J.l

::1

~..,,_

lOa

n • .."...,

1

L..!U

Brome Fer Fcld~r

"

,.!."

CMp:1ZI:

L. TElOE

I

m

e ,

-

SEGlRlDAO ll'a:oRMÁllCA

Ic.ur rueva I3J)eIZl I

~I~I

Fig. 3.15. Explorando.

Fig. 3 . 14 . Definición de la información a copiar.

6. En el panel izquierdo hacemos clic en Type (tipo) para determinar el tipo de copia que queremos realizar. En nuestro casa seleccionamos incremental.

lD<ol h. nl ~, .....

1.1

bl.m.1h.,~ Il).

<!t~

ovo '" ~1"'"1

R.movelll.

1I.",,,,,t

~ ~Ih<<I<f ..... ~"l.upl¡p<:

N _ (l Di/f.. "",.1 ",' In""""""

FfP ..... "

O ~ ... IimiI"....,h..

r:fr.le._

t:l V.... limó n""'b .. r:ft"kup

'"' 11.1

l.,C'.m,o'ol

I ¡

Io\;/ro,

,

·c, " :

Com~ , • .,.on

M;.nad

IL~ ~~' Fig. 3 . 16. Definición del lipo de copia a realizar.

7. Como vamos a guardar la copia de seguridad en un disco dura externo, a priori sin protección en el acceso a los datos, vamos a intentar asegurar la copia contra intrusos, cifrándola (concepto que veremos en profundidad en la siguiente unidad). El cifrado permitirá ocultar la información a personas ajenas. Cifraremos la unidad mediante el algoritmo AES (128 bits). A continuación escribimos la clave para cifrar. Esta contraseña debe ser de al menos 8 caracteres, y debe estar formada tanto por números como por letras en mayúsculas y minúsculas (Figs. 3.18 y 3.19). (Continúo)


Segurida d pa siva. Recuperación de datos

_ _~_ _ _ _ _ _ _ _ _ _ _ _ _ _ _-=C:::a::s;:; a..!:p'::.ra :::; · ctico

3

3

9

(Continuociónl 0' .... __ --...0 · ...... ,-.....

l~

Se:t password

'r=~--~---=~=----

I

EntEr cid pasEwc rd: D ....., ... , ' ..... ~ .." ..... .. "' .. , .. ,... D Lh .......... ,'.-. ..... .

._.

1 ' : : . ,' : "

Enter new eassword:

... ,,, ...,,......

~

•••••••••

.~

.,......,."",,

l'

::::=~~, ~ .

....... , ""',.. _ ...... '. ,• ...... ~~~ .. - , .... .... "" ... '.. ' ~ ,_......

1

.... ... _

Confirm new password:

l·········

~,

[j Show pllssword

·1

OK

1 1 C.""I

CE:JC§!J

Fig. 3. 17. Comprimir y cifrar copio.

Fig. 3.18 . Contraseño.

8. Progromamas la copia haciendo clic sobre Scheduler (Planificadorl. Hacemos clic en Add (Añadir). En la nueva ventana definimos el tipo de copia, el usuario y la clave del mismo,

:::::::::.. Ii•:;:.: -. ,,"'c,

C...-.:=

lo'

, '¡ •• -

1·::! ;::::-

1I 11

""'",,===3

~ ""u, 1"" !!:."'"..".., 1:10,,, ,,,,,,,01,,, ,,,,

~

.1

c ¡"" C T.~

..:::::::::"_._ ......-

b --.y l ~~:~.~_~-~ . ,,~'-'Fig. 3.19. Programador.

Fig. 3.20. Propiedades de lo programación,

9. Posteriormente se abre una nueva ventana en el que especificamos la periodicidad y la hora en la que se realizará la copia. En nuestro caso definimos que se realice todos los días a las 22.00 horas. . , ¡:¡

~ Alas llOO rwamen!e,comenW\doel l 1110/2009

Prcgramar t!<u:

H::nI d~ n.:i:I :

I ~~ ~ ~.___ ~ .. I 22.00

¡;j

I AVIMlla:lu u. I

I'regz:nMla ta.-ea a.u..!:tlenl e

Cada ~ d¡a(l)

Fig. 3.21. Definición de lo hora y periodicidad de la capia.

59


Seguridad pasiva . Recuperación de dolos

Como es lógico, lo herramienta nos permite, en caso de pérdida de datos, recuperar la información a partir de las copias de respaldo realizadas. Veamos un ejemplo en el siguiente caso próctico.

Q

Caso p'ráctico 4

Restaurar copia de seguridad para recuperar los dalas perdidos En esta próctica vamos a intentar recuperar los datos que guardamos en la copia de seguridad incremental realizada anteriormente con la aplicación Backup4all Professional. lo Hacemos elic sobre el ic ano

I,,¿ 1

para restaurar la copia.

20 En la nueva ventana defi nimos dónde queremos que se restaure la copia . En el caso de querer que se re staure en la misma ubicación, dejamos la opción por defecto, Use original loe alion; en caso contrario, marcamos la segunda opción, Choose another localion (Elegir otra ubicación). 30 Elegimas la que querem os restaurar entre las distintas opciones: restaurar las últimas versiones de tod os los ficheras, seleccionar los ficheros y restaurar la última versión de los mis mas, filtrar los ficheros y restaurar la última versión .. . En nuestro caso selecciona mas la primera opción, Restaurar las últimas versiones de todos los ficheros, y hacemos elic en Finish. O CC¡::;'.i~I · Rnlc,..W••• Whoro do you

Wiln 110 ros loro?

~u .... ~n.g;., .II"totic:n

o Chceu oncth.. lcuúon o D~ no' " .... d,c.o 1,

CC=========:=JI@

How do you wanll o rasloro? 'I!' l'.fit=th. t'I«t ""';"n O P.clcrc.H rol ....... O Chcc .... r~n."d tule,. \h. 1.1001 VftUcn e Che~dfo/l .. ro/n. nd' etc,,\ho l.otet ""';cn

() Chcc.dfoll .. r,rn ond, ..u;' .lnyvtnicn

El Rmcn: oc.Iudod ond del cttdrda D p....¡ .... rd..... "'. md d ..c.rd

- O-

tic......

Fig. 3.22. Cambia ndo las propiedades de una copia. 40 Como la copia incremen tal se había cifrado para protegerla de posibles intrusos, debemos introducir Ia elave. Ent~ r

Password

Enter pi!lssword for bIckup number 2 (fiI~ -C:\ Users\Ani!l\ Documl!nts\S.. AD INFORMÁl1CA\ tl!lT1a3\ tl!lTl

•••••••••

I Figo30230Clave de ciFrado.

~ Actividades 60 Restaura las copias de seguridad creadas en las Actividades 4 y 5 .


Seguridad pasiva. Recuperación de dolos

3

3.2. Copia de seguridad de datos en Linux

Hay muchas aplicaciones sobre Linux que nas permiten realizar copias de seguridad, desde las más básicas cama dump y restare hasta herramientas más avanzadas cama duplicity. En el siguiente caso práctico vamos a aprender a manejar dicha herramienta. Casa práctico 5 Crear copias de seguridad y restauración de las mismas con la herramienta duplicity en GNU/Linux 3. Cifra la información utilizando el archiconocido programa GnuPG.

Duplicity es un software libre que se utiliza en las distribuciones GNU/Linux para realizar copias de seguridad. Sus características principales son las siguientes:

4. Se utiliza mediante el uso de comandos, de modo que es muy sencillo realizar scripts para automatizar tareas.

1. Puede guardar la copia en un servidar FTP. Sugerimos

Antes de poder utilizarlo para realizar copias de seguridad y guardarlas en un servidor FTP necesitamos instalarlo, ya sea mediante el uso los comandos para instalar software de nuestra distribución, ya mediante el uso de alguna aplicación grófica como el Gestar de paquetes de Synaptic IFig. 3.24).

la aplicación quick and easy Ftp server, por ser muy sencila su configuración . 2. Comprime las copias para ocupar menos espacio y consumir un menor ancho de banda.

,

"',.

p' : 6rChivo fditar faqulte t.onnguración Al'-I da

1m

~

Recargar Marcar todas 111 actualizaciones

"

<P Aplicar

=

! :-

~ prop~ades ! Buscar - .¡versión instalad..

Todo

E

Paquete

duplicity

O

baclr;upninja

0.9.5· 2

fOJ

dupicity

0.4.10

!' I

ultima

I

¡I )

encrypted bandwldlh--efflcJent backup

1'1

i . 1 Duplicity backs directori u by producing encf)'Pted tar·formal

I

volumes

I I

S.eccianes

I I I

Origen

fstado

[íbos pef'5ooahados Besukadol da bú. queda

I and uploading them lo a remote or local file server. Because I dupWcity uses librsync. the incremental archives are space effici!nt I and onty record the parts of files tha! h....,. changed since the last I badrup. I Because duplicityUll1 GnuPG to encl)1ll and/or sign thuI ;¡¡rchives. they

.

¡2 pilquetes lisIados. 1122 Instalados. o rot05. 3 para inltalarfatlualizar. O para eliminar; se uSBrin 1

Fig. 3.24. Geslor Synaplic.

Es posible que nuestra distribución no tenga instalado el paquete G nuPG, en cuyo caso también tendríamos que instalar el paquete correspondiente. Una vez realizado todos los pasos anteriores, y por supuesto teniendo acceso a un servidor FTP, estamos en disposición de realizar copias de seguridad cifradas y comprimidas que se guardarán en el servidor remoto.

En esta práctica vamos a cifrar una carpeta de nombre '<recetas», que se encuentra en el escritorio del usuario Macarena. Para ello abriremos un Terminal y ejecutamos el comando que muestra la Figura 3.25. Como podemos observar, haremos una copia de la carpeta en un servidar FTP de nombre ftp.sitour.com, utilizando la cuenta que allí tendrá el usuario Macarena. Tras la o

~rchivo

Editar Y'er Terminal

~olapas

rw

AlUda

macarena@jupiter:-$ duplicity --short-filena.es Escritorio/recetas/ ftp://.acarena@ftp.sitour.com

Fig. 3.25. Comando duplicity. (Continúa)


~/3 q

Seguridad pasiva . Recuperación de datas

----

Caso práctico 5

(Continuación) ejecución del comando se nos pide que introduzcamos dos claves: la primera, la del usuaria Macarena en el servidor FTP, y la segunda, la que utilizará GnuPG para el cifrado de la informacián. ¡¡d~ ar

6rChiva

~.r

En nuestro caso hemos introd ucido «patata» e «i nesqueguapaes» (Fig. 3.26). A cantinuacián se nas muestro infarmacián sobre el resultada.

~d/l

rl rmlna! .solape.

.. c... nl@jupiter,·t i~p\idt~ · · 'hoH-Ht ,,, .. u !se.itado/recelosl ftp :// .. c.r.nl~ftp.,it.ur . c .. PIo~"""rd for 'ftp,sitour.ul' : GnuP<l plnph'UI : Relrp. tu contir.,

Fig. 3.26.

(n traducción

~..

C/u ""'"

lt'I'

J''''''''''''

de contraseñas.

~u.......

T

UI

'K••• nlpj""i~uplldt' · ·' .... n · lit"" ..., I!n ti to d. ./n cltl . ' flp " I ..c.r .... ~lIp . lito .. r . co. PIo ...... ,d fo. ' f1., . • ilour. u . ' , GnuIPG p.u .. II.... : Ro-1JPo lO confi .. , 'ID .ivnl'tu ... f"""d. Mulli", u fuU lote1up,

··-----------·1 Bukup 5ulinlu l · ···· ··· · ·····

,Ito"

5nnTi .. 1255337972 . !>1 Oct 1] lO:~ : S2 200!1I EndTi .. ~n . S5 tito .. Oct 11 IO:U, S:Z lOO'J ) ,.dTi .. 0.04 10 . D4 UCOncll)

a, ..

Sou retFilu , So'I rccFihSh. 16-410 11S .1 d)

lb1'ilu , /CIof'ih5iz. 1~ 116.1 IlDI

o.htedFU u o o. lnv.~FU.1

o

o.ln g.~FU .5iz. o. lng.~OoltI5h.

o 10 by tu l o 10 byt .. l

OoHIEntri .. 6 ~ltlSiZl 78 178 byt .. l TotolOortin.tionSiz.Chlng.

s.-~

(5-1, b,t nl

Errors o

Fig. 3.27. Información del resultado de ejecutar el comando duplicity.

La primera vez que utilizamos duplicity para realizar el backup de una carpeta la aplicación genera una copia de seguridad completa . A partir de ese momento, las copias de seg uridad sobre dicha carpeta serán de tipo incremen-

tal, es decir; se copiarán únicamente los archivos nuevos a modificadas desde que se hizo la copia anterior. Se puede forzar en cualquier momento la realizacián de la copia completa añadiendo el modificador «full» (Fig . 3.28).

•• , ...... ""' .....J .. ..... .

6rthivo

Ed~ ar

~r

I. rminal

s.a l~pu

~da

.. cl r.n.@ju~il. r ' .' cIu~licll, ,.,11 .. • Ioort - U h n.. u EI<r1urio,rlcdal' ft~"I ..nr.l\ltftp.sitour.co ..

Fig. 3.28. Copia de seguridad completa con duplici ty _

Si la que queremos es restaurar la copia de seguridad tendrem os que ejecutar el comando que muestra la Figura 3.29.

Si quisiéramos reponer un unlco fichero, par ejemplo el fichero paella de la carpeta «españolas», en el directorio del que hemos hecha la copia de seguridad «recetas», tendríamos que ejecutar un comanda cama el de la Figura 3.30.

e,rthivo Editar ~r Jem'lfl aJ s.olapas ~a n Clr.n.@jupit"r , ., dul'ticity • ·,hut · filen .." ftl" /f .. c ... nl,ltp . 5;,0 .. r .ce l ElcriteriD/ rccctu/ nc ... na@jupitor:., •

Fig. 3.29. Reslaurar copia de seguridad con duplicity

Fig. 3.30. Res/aurar un lichera de la copia de seguridad.

Cama vemos hemos utilizado el modificador - -fileto-restore, que toma tres argumentas: el primero, el fiche ra que queremos restaurar; el segunda, el lugar donde

se encuentra la copia de seguridad; y el tercera, el lugar en el cual la vamos a re staurar. )


,

3~I

_________________________S_e~g~u_ri_d_o_ d ~p_o_si_vo_._R_e_c_u~ pe_r_o_c_ ió_n_d_e_d_o_IO_S_______

4. Modos de recuperación frente a pérdidas en el sistema operativo A lo largo de lo unidad hemos estudiado los distintos formas de recuperar lo información (correos electrónicos, documentos de Word, Excel, bases de datos) perdida o causa de algún desastre. Al igual que los datos, el sistema operativo falla o funciona de manera imprevisible debido a alguna actualización incorrecta o al insertar una nueva aplicación, un nuevo controlador poro algún dispositivo, etc. Al igual que realizamos copias de seguridad de los datos, debemos realizar otras del sistema operotivo, para así restablecer su correcto funcionamiento lo más rápidamente posible y evitar la instalacián del mismo desde cero (esta última es la opción más drástico y la que más tiempo consumiría). En el caso de los sistemas operativos de la familia Microsoft podremos intentar restaurar el sistema del equipo al estado en el que se encontraba antes de realizar la acción que produjo la avería en el mismo. La restauración permite devolver los archivos del sistema a un momento anterior. Pero paro ello debemos crear y guardar puntos de restauración. El sistema operativo Windows Vista ofrece la posibilidad de guardar puntos de restauración de manera automático, para lo cual deberemos tener activada la prateccián del sistema. Coso práctico

6

9

Activar la protección del sistema en Windows Vista para que cree puntos de restauración automáticamente En esto práctica vamos o activar lo protección del sistema en Windows Vista para que sea el propio sistema operativo el que se encargue de generar puntos de restauración de forma automática. Gracias a dichos puntos de restauración podremos recuperar el sistema operativo en caso de fallo.

1. Abre el Panel de control.

2_ Hoz clic en Sistema. 3. En el panel izquierdo hoz clic en Protección del sistema.

4_ Selecciono lo casilla de verificación que aparece al lado del disco en el que quieras activar la protección automático, hoz clic en Aplicar y posteriormente en Aceptar. uu

Prcpiod.od .. d~ ;;,1=\.0 ,- ~ ....... n .......

-..-

I'r.::IIC:I6n 001 Il0l .....

t; :::...~:;o=~~~~= Re.taI. <111 ........ G)u:!a. rr.t .... Io • .-cI'rm a"'¡""", deI_niy c:m> etI ............

I FlalanrOlll....._ I

~Olft ........

--

Mc.dom:loo..rr.ó1l1JomiICa Cnt.FUtcsdo_~..c~.endoccs..,¡~·

>--, 0"" '""~.~~- .." .

El J. W"RE

O ",\Io:!a':·)~1

P. . .,.•

~

'''''"'

O!l11l!2!1C!902!D5

..,lU1:>do_~ . ~ ÓOI;luH ht;a de ... ~

_ _ '" ó=I J

do mtan<:ic!n _

1 ""' ,

.....".-. . ..,....

1-1 1"""'" 1 ~

Fig. 3.31. Prolección del sislemo.

Fig. 3.32. Activación de lo protección del sistema.

):

Restaurar el sistema no funciona si se utilizan discos inferiores a 1 GB.

'.

- . Impor:tant!'

1" \ •

En el caso de guardar punlos de restauración de manera automática debemos tener al menos

300MB de espacio disponible. Restaurar sistema puede llegar a ocupar hasla el 15 % del espacio de disco.


Seguridad pasiva. Recuperación de dalos

~ Actividades 7. Crea un punto de restauración manualmente.

En el caso de tener activada la protección automática del sistema, este creará los puntos de restauración todos los días y justo antes de detectar el comienzo de lo realización de cambios en el equipo. En el coso de no tener activada lo pratección automática, debemos crear los puntos de restauración manualmente, cuando pensemos que alguna de los acciones que vayamos o realizar (instalación de actualizaciones, instalación de cantraladares de nuevos dispositivos, etc.) pueda dejar al sistema operativo en un estado inestable. Q

caso

~rác tico

7

Crear punto d e restauración antes de una instalación de un cantrolador que puede dejar 01 siste ma operativo en un estado imprevisible Los puntos de restauración son creados por la restauración del sistema a intervalos específicos, cuando detecta el comienzo de la realización de cambios en el equipo o bien cuand o de manera manual se lo solicitamos. Para crear un punto de restauración manualmente debemos realizar los siguientes pasos:

1. Abrimos eI Panel de control.

2. Hacemos dic en Sistema. 3_ En el pan el izquierdo, hocemos dic sobre Protección del sistema. 4_ En la pesta ño Protección de l sistema hocemos dic sobre Crear (Fig. 3.33 ). 5_ Ponemos un nombre 01 punto de restau ración indica ndo el momento en el que se crea . En nuestra coso, «Antes de instalar tarjeta Wi-Fi» y hocemos d ic en Crear. (Fig . 3.35)

6_ Empiezo el proceso de creación del punto de restauración. Una vez creado el punto de restauración, podemos proceder a instalar la tarjeta Wi-Fi con lo seguridad de que si el proceso dejase 01 sistema operativo en un estado inestable, podríamos recuperarlo utilizando el punto de restauración creado anteriormente. PrcpOnlode,,,",w

,-

--~ d. '"..... ::..!n ~. . .s......... ~cr.bo en ....0l'Il . ,r.l!1.n!~ ~.- ."" :n a "!!, ' . ~ ......; lÍi ~~"::pone.

.

.....-.

Protección de l sistema

UU

Crea r un punto de restauración ~

Escriba U'I.!I desoipd6n para ayud&r a ~~b el pu11D de restallaOÓll. La fedla y hora adIJ~es se &Qre;6n '1I1Dm1tic.1mente.

..... ""..,.. .

-

d."" ..... d..

¡uto""-"""

I

Antes de iUWu tarjeta Will

I\n.ll a..rt ......

o..p.rI.. .s.rt

....

1I1

~ J, Wn"E 0E:. \.\Iuf;)(

'-

I "'M II ""'"'" I I ~I 1I

-

-

Fig. 3.34. Nombre de punID de restauración,

~ ..... oII<n

I::. c!oc=.

Fig. 3.33.

erear punto de restauración. Protección del sistema Creando un punto de restauradón. "

Fig. 3.35. Creando punto de restauración.


3~I

___________________________S_e~g_u_ri_d_a_d~p_a_s_iv_a_._R_e_cu~p_e_r_a_ci_ó_n_d_e__d_at_o_s_______

Cuando creamos puntos de restauración mediante la herramienta Restaurar sistema se guarda información del estado del sistema en el directorio X:\System Volume Information, donde X es la unidad en la que se encuentra instalado el sistema operativo (por lo general C). Esta información es una «instantónem> del estado del sistema, de su registro y de las aplicaciones y controladores instalados. La restauración a un punto anterior solo afecta a la configuración de los archivos del sistema, programas, orchivos ejecutables y el registro; no afecta a los documentos personales, par lo que con dicha operación na podemos intentar recuperar un archivo que hayamos eliminado. Caso práctico 8

9

Restaurar el sistema a un punto anterior creado para recuperar el correcto funcionamiento del sistemo operotivo

Supongamos que después de la instalación del controlador de lo nueva tarjeta Wi-Fi, el sistema operativo ha empezado a fallor. Gracias a que habíamos creado un punto de restauración antes de la instalación previendo el posible percance, podemos recuperar el correcto funcionamiento del sistema, restituyéndolo a su estado anterior a la instalación del controlador.

3. Se abre una nueva ventana en la que elegimos el punto de restauración, «Antes de instalar tarjeta wifÍ». Hacemos clic en Siguiente.

4. En la siguiente ventana nos pide confirmación de la restauración del sistema al punto seleccionado.

5. Se abre un nuevo aviso en el que nos informa de que no podremos interrumpir la operación de restauración. Hacemos clic en Sí y empieza el proceso de restauración.

1. Hacemos clic en Inicio, posteriormente clic en Herra-

mientas de sistema y por último en Restaurar sistema.

Una vez finalizado el proceso de restauración el sistema funcionará con normalidad. Se habrá desinstalado el controlador de la tarjeta Wi-Fi, pero no se perderá ninguno de los documentos posteriores a la creación del punto de restauración.

2. Se abre una nueva ventana, Restaurar archivos y configuración del sistema, en la que hacemos clic en Siguiente para restaurar el sistema.

Elegir un punto de restaunldón

Restaurar archivos y configuración del sistema

RestaLlMs.'stema noam!:i4rA ni e!:m:rarj ~ dOQmll!!1to y el proce:s.o es re~e.

Restlurlr SiStema puede ' yu:W a r~'er m II'QbIcmu que ¡)UecW1 p-ovoar que el e:;uitXI se ejea...te CD!Ile!1 clUd Q deJe de responder.

I1a9I de; en el p.,nto de restlur.OÓI'I que d~e L!SIII" y depul!:s haga óc: en sou;enll!. l e';"'" . ~ ~!!J~ !In Mio de 'Mt", .."c'_-\n?

Feala yhora

1-

Ol/1Df20090:2Il:::.5

I

CanczIar

I

----------=!!!!!~~'f

,~u rar siste m a

Un. ve:.:: iniciado, no H posib le interrumpir RUbur, r sirtema y no se pueden deshacer los cambios harta que se haya completado. ¿Está seguro de que duea continuar?

' l

11

No

SiS~:~

Preparándose para restaurar : 1 1

Fig. 3.38. Menso;e de aviso.

11 Sg.ier¡tIl > I

Fig. 3.37. Elección del punto de restauración.

Fig. 3.36. Pantalla inicial Restaurar sistema.

SI

< "'trb

Fig. 3.39. Restaurando el sistema.

,


y 3

Seguridad pasiva. Recuperación de datas

~~~~~~~~~~~~~~~~~~~--

q

Caso p'ráctico 9

Eliminar en Windows Vista los puntos de restauración más antiguos y dejar los más recientes En numerosos ocasiones hemos oído hablar de lo mucho que ocupa este sistema operativo. Gran parte del tamaño se debe a que incluye mucha información en los puntos de restauración (versiones anteriores e instantáneas). Como comentamos, los puntos de restauración pueden llegar a consumir el quince por ciento de la memoria del disco duro. Mediante el liberador de espacio en disco podemos eliminar todos los puntos de restauración excepto los más Opciones del Libeflldor de eSp'acio en d¡ICo ~

l -Jo

recientes. Antes de proceder, anotad el espacio disponible en disco.

1. Hacemos dic en el botón de Inicio de Windows Vista, Todos los programas, Accesorios, Herramientas del sistema y a continuación en Liberador de espacio en disco.

liberador de espacio en disco: sele<ción de uní ...

Elija los archivos que desea considerar para liberar espacio.

LJ!..J

Seleccione la unidad en donde deselllibe~ espacio. Unidades:

Sól~ mis archivos- -

,~ "

,:

~ Archivos de todos los usuarios en este equipo

Fig. 3.40. Opciones del Liberador de espacio en disco.

2. En el cuadro de diálogo Opciones del Liberador de espacio en disco, nos pregunta si al liberar espacio en disco queremos liberarlo solo de nuestras archivos o de todos los usuarios del equipo. Hacemos dic sobre Archivos de todos los usuarios en este equipo (Fig. 3.40). .-::. libf:rtdllf lit t11',cill en dl"o ~ ,. ViiI. ("1

I

Aceplor

Fig, 3.41. Selección de la unidad.

3. Seleccionamos la unidad donde queremos liberar espacio, en nuestro caso C: (Fig. 3.41). 4. En el nuevo cuadro de diálogo aparecen dos pestañas. Hacemos dic sobre la pestaña Más opciones (Fig. 3.42).

""'" I

~'yQl1l;ltfÍI!i:U

~

~Lb:'''''''tl¡)aooenda::ollq..d. b'~

I

lbera"_

I !,jDer~ a~ ~$pacio en d¡j§" --,

PcóiltttltmUes¡lIlác..,~liqAI1~11os pu'IIOI ~. "'lIa.n.c!o1. e:c:ef:I~ el /JIU ",cieo1e. En~¡;u'II1

Wcicr\t.de Wn:1lWl 'mI.o,eld:s<:e poóo¡,

in;loir l"ISIardnell ~ I!It:tIvcI e ~gonel ~I do

Ú'ipil1 de ~d de WI'ld:lYl1 Ccn1*Ie PC= plrtl! ele los lUltos de mlautloM . Esta rlcmuta:!n ~ te

¿Confirma que desea eliminar todo menos el punto de restauración más reciente?

t!tMInI .

I

lbmr_.

I

Si tiene varios puntos de r~auraci6n guardados, podría ya no nec!Sitar los mas antiguos. Si 105 eliminll, ahorrara espacio en disco.

I Fig. 3.42. Eliminar punto de restauración.

5. En Restaurar sistema e instantáneas, hacemos dic en el botón Liberar. A continuación se muestra un mensaje de aviso en el que nos informa que si tenemos varios puntos de restauración antiguos, podríamos no necesitarlos, de tal manera que si los eliminamos ganaríamos espacio en el disco. Hacemos dic en Eliminar (Fig. 3.43).

56

Eliminar

1I

(ancflar

I

Fig. 3.43. Mensaje de aviso.

6. Volvemos a la ventana anterior. Pulsamos en Aceptar y se nos abre un nuevo aviso informándonos de que dichos archivos se borrarán permanentemente. Hacemos dic en Eliminar archivos. Si comparamos el espacio ocupado en el disco antes y después de ejecutar los pasas anteriores, se puede apreciar que aumenta el espacio disponible después de eliminar los puntos de restauración antiguos.


Seguridad pasiva . Recuperación de datos

En el casa práctico ocho se pudo recuperar el sistema, pero hay ocasiones en la que la restauración del sistema no puede realizarse, bien porque no se hayan creado puntos de restauración o bien porque el sistema se encuentre demasiado degradado. En el caso de que no podamos iniciar Windows, pero sí se haya iniciado correctamente la última vez que se encendió el equipo, podremos utilizar como inicio la última configuración válida conocida. Cada vez que apagamos el arde nadar y el sistema operativo, Windows, se cierra correctamente, la configuración del sistema se guarda en el registro. Veamos en el siguiente caso práctico cómo podemos arrancar el sistema operativo con dicha opción.

Casa p'ráctico 10

9

Arrancar el equipo con la última configuración válida conocida

1. Hacemos clic en el botón de Inicio

, en la flecha situada junto al botón

Bloquear ya continuación en Reiniciar.

2. En el caso de que el equipo solo tenga un sistema operativo, al arrancar presionaremos la tecla de función F8. En caso de que el ordenador tenga más d e un sistema operativo instalado deberemos elegir el sistema operativo a arrancar y posteriormente la tecla F8.

3. En la nueva pantalla se muestran las opciones de arranque avanzadas. Debe-

I

4

mos seleccionar la opción La última configuración válida conocida, ya continuacián presionamos la tecla Entrar. Posteriormente el sistema operativo arrancará con normalidad.

En el caso en el que la última configuración válida no hubiese corregido el mal funcionamiento del sistema operativo intentaríamos restaurar el sistema desde el símbolo del sistema. Reiniciamos el equipo en modo segura con símbolo de sistema (es decir, el sistema operativo se arranca con un conjunto limitado de archivos y controladores, y se inicia Windows con una ventana de símbolo de sistema en lugar de la clásica interfaz del sistema). En la ventana de símbolo de sistema escribimos rstrui.exe; presionamos Entrar. En caso de que no pudiésemos iniciar el equipo con las opciones anteriores podemos probar con la Reparación de inicio de Windows. La Reparación de inicio es una herramienta de recuperación de Windows que permite solucionar algunos problemas, como la falta de archivos del sistema o bien archivos corruptos del mismo. Cuando ejecutamos dicha opción el sistema examina el equipo en busca del problema e intenta corregirlo. Para poner en práctica dicha opción debemos seguir los siguientes pasos:

1. Reiniciar el equipo. 2. Presionar la tecla F8 al arrancar el sistema operativo para acceder al menú de Opciones de inicio avanzadas.

3. Seleccionar la primera opción Reparar equipo y a continuación presionar la tecla Entrar. 4. Seleccionar la distribución del teclado y presionar Entrar.

5. Seleccionar el nombre de usuario y contraseña. 6. En el menÚ de opciones de recuperación del sistema hacer clic en Reparación de Inicio.

3


~3

Seguridad pasiva. Recuperación de datos

~ Caso práctico 11 Recuperación automótica del sistema en Windows XP Hay ocasiones en la que la restauración del sistema na se puede realizar pues este está tan degradado que no podemos arrancarlo ni siquiera en modo a prueba de errares; si nos hemos aplicado el refrán de hombre prevenido vale por dos, habremos realizado una copia de seguridad del mismo, ya sea mediante el uso de imágenes que más tarde describiremos, o mediante el método que aquí tratamos, conocido como ASR (Automated System Recovery). Para realizar una copia de seguridad del sistema utilizando ASR vamos a necesitar un medio en el cual guardar la copia, y un disquete que contendrá la información sobre el sistema.

1. Ejecutamos la herramienta de algunos sistemas de Microsoft conocida como utilidad de copia de seguridad, bien ejecutando la orden ntbackup en la consola de Ms Dos, bien a través del menú Inicio> Programas > Accesorios> Herramientas del sistema y por último Copia de seguridad (Fig. 3.44). Si no obtenemos una ventana como la que muestra la Figura 3.44 es porque se nos habrá iniciado la aplicación en modo asistente, y tendremos que hacer click en el enlace de modo avanzado para que aparezca la ventana mencionada. 2. Pulsamos el botón Asistente para recuperaclon automática del sistema. La aplicación muestra una nueva ventana que nos avisa de algo muy importante: si queremos hacer una copia de seguridad de nuestros datos debemos usar algún otro método, pues ASR no

I

BienwridD Copiadt~l ResIu'.y.tnirWtJ.1IIIIÓOI1 F'IqJ_lrabaPs

nos guardará los datos que estén en una partición distinta a la que contiene el sistema operativo. Pulsamos

Siguiente. 3. En la nueva ventana que nos muestra elegimos el medio en el que queremos guardar la copia y el nombre seleccionado para la misma. Pulsamos Siguiente y después Finalizar, tras lo que esta utilidad empezará a realizar la copia de respaldo de nuestro sistema. Al final del praceso nos pedirá que introduzcamos un disquete en blanco y formateado, que como se mencionó anteriormente utiliza para guardar ciertos datos. Por último guardaremos a buen recaudo el archivo que contiene la copia de respaldo de nuestra sistema y el disquete, para cuando los necesitemos. En caso de necesitar restaurar el sistema operativo a partir del archivo creado anteriormente, deberemos seguir los siguientes pasos:

1. Arrancamos el ordenador utilizando el CD original que contiene el sistema operativo, estando atentos a los primeros momentos de la instalación, en los que se nos avisará en la parte inferior de la pantalla de pulsar F2 (Fig. 3.45). Seguiremos los pasos que este proceso nos solicite, como introducir el disquete que creamos o comunicarle cuál es el fichera que contiene la copia del sistema. Cuando finalicemos el proceso tendremos el PC con la misma configuración y el mismo estado que cuando realizamos la copia de seguridad.

I

Utilidad de copia de seguridad en modo avanzado

......

Sibpre/ieo. ~C*JtiIr "~pa.us.-ccrfv,.-aciooes ~PIIJ.Ia~de ~ el

Fig. 3.44. Utilidad ntbackup.

Fig. 3.45. Pantalla inicio.


Seguridad pasiva . Recuperación de datos

3

5. Creación de imágenes del sistema

Hacer una copia de seguridad de los datos que tengamos en los equipos informóticos de la empresa de forma mós o menos regular es tarea obligatoria, si no queremos sufrir los quebraderos de cabeza que nos puede ocasionar la pérdida de los mismos. Aunque hacer una copia de seguridad del propio sistema no es tan importante o imprescindible como la copia de los datos, no es menos cierto que nos ahorrará mucho tiempo en caso de tener que reinstalarlo. Con el propásito de hacer copias de seguridad del sistema -y hacer así su reinstalación más cómoda, sencilla y en menos tiempo- existen aplicaciones como Symantec Ghost y Acronis True Image, entre otras. En el siguiente caso práctico aprenderemos a crear una copia de seguridad o imagen, como estas aplicaciones las llaman. La guardaremos en una partición oculta del mismo disco donde tengamos instalado el sistema, de modo que si más tarde necesitamos su restauracián, la haremos utilizando una utilidad que Acronis True Image instalará en nuestro disco.

Casa (lráctico 12

9

Creación de una imagen del disco en una partición oculto sobre el mismo para poder restaurar el sistema en caso de que en algún momento se quede en un estado inestable 1. Necesitamos el CD de inicio: para nuestro caso utilizamos un CD de inicio con la versión 10.0 de Acronis True Image Home.

2. Configuramos la BIOS del sistema con la opción de iniciar desde CD/DVD y después iniciamos el PC con el CD en su bandeja. Obtenemos una imagen como la siguiente: ,'!

Acpnlo Tru!llmu!lP Humll

_

TIIIII~

4

Weneg uAoonl1 Secu ' o Zon a

"Z

6C'_v o:oA:ton' l SI~!lUp RecoYl!ry Meneg ~ 1

~ Vahdele8~o,upAJth,.. iJ Show Lo!l

(!) Holp

Turn 0 " COn! ulel

¡nelude s drlVelS10/ USBjPC CeJd/SCSI hOId dll lts

I !~

lot:!!l Com utlr

Fig. 3.46. Pantalla inicial Acronis True Image.

Fig. 3.47. Pantalla principal Acronis True Image.

En caso de' querer iniciar desde el disco duro, seleccionamos la opción Windows. No es nuestro caso, en esta práctica elegiremos la primero opción, Acronis True Image Home (Fu" version), pues lo que queremos es iniciar esta aplicación para realizar la imagen de nuestro sistema. Tras esperar un par de minutos se nos muestra la pantalla principal de la aplicación (Fig. 3.47).

3. Creamos lo que esta herramienta llama una zona de seguridad de Acronis, que no es más que una partición oculta en nuestro disco duro que contiene el fichero de respaldo. Si quisiéramos podríamos guardar la copia en algún otro lugar como una carpeta compartida en red, un servidor de FTP u otro disco duro, incluyendo discos duros externos, pero para nuestra próctica hemos escogido guardarla en el propio disco duro del Pe. (Continúa)


~/3

Seguridad pasiva. Recuperación de datas

------~--~----~~-----------------------------

Q

Caso práctico 12

(Continuación)

La elección de esta opción, realizar la imagen en una partición creada en el propia disco, tiene la desventaja de ser una mala elección en casa de que se rompiese el disco; pero tiene lo ventaja de ser la elección mós útil en caso de que el disco duro no falle y sea el sistema el que lo haga. Para crear esta zona de seguridad elegimos la opción Manage Acronis Secure Zone de la pógina principal de la aplicación, obteniendo una ventana informativa. Le damos a Siguiente y mostraró una pantalla como esta (Fig. 3.49).

ahora la aplicación nos pide una contraseña para proteger la zona de seguridad de accesos indeseados (Fig. 3.50).

5. Rellenamos el farmulario y pulsamos Siguiente. 6. La herramienta nos da la oportunidad de activar Acronis Startup Recovery Manager en nuestro disco, una utilidad (en realidad es un gestor de orranque y la propia aplicación) que más tarde nos permitirá restaurar nuestro sistema sin necesitar de hacer uso del CD de inicio de Acronis. Nos avisa que va a sobrescribir el MBR (Master Boot Record) y que si tenemos algún gestor de arranque instalado, como pueden ser el LlLO o el GRUB de GNU/Linux, tengamos cuidado pues lo dejará inutilizado. En este caso elegimos instalar esta utilidad y pulsamos nuevamente Siguiente, llegando al último paso de esta parte. Aparece una nueva ventana informativa con las operaciones que la aplicación va a realizar. Leeremos atentamente por si nos hemos confundido y si estamos de acuerdo pulsamos el botón de Proceder (Proceed). Esperamos unos minutos, hasta que la operación de creación de la zona de seguridad concluya.

4. Elegimos la unidad de la cual Acronis va a robar un trozo para crear esta partición oculta o zona de seguridad. Seleccionamos en nuestro coso la partición C del primer disco, pues no tenemos más particiones ni discos. Pulsamos Siguiente. Obtenemos una pantalla que nos permite elegir el tamaño que tendrá esta zona de seguridad. Tras elegir el tamaño adecuado (en la partición tendrá que caber la imagen de nuestro sistema, que ocupará una determinada cantidad de giga bytes en función de las aplicaciones instaladas y datos que contenga), volvemos a pulsar Siguiente; ,,"n'l" ......

"0'. Su"",!,, 1n"n Wi,n¡~

CUI.'u AcIaN O!,.,ctI,,, ¡""u

~I

.

'"",t;nnO""'~""""""s.c.uZ_ u"'.J _""''""'~'''¡' r''''''''''' '''''

~I

~O" P~"b! 'O O"' '''''l ~'

Plu .. . , IIClIhI pricn. ID lIlb hllPIlC8 Jrcm. Th, <ha .." pOll.1'on. wilI b' 18';'l d ~ nl "'U"'Y1Il '11"'" Iha ' pIlC8ID Acmni. Slan 2cnl .

I 'o

Provida po.s5word and confirm it in the boxes below. Note that the password is ce.se-sensitive.

O Qo not use pe.ssward protection

PaItáon I 0111. 1

':;' NTFS(C¡

799GB

6.m GBNTFS

@ !.!se pe.ssword protection ,Enlerlhe po.ssword:

~I.~.~••~.~.~======~

Confirm !he pe.ssword: ~I.~.~~.~.~======o=! ,Secret question: IWho was your childhood hero?

••

8nswer. '.11"'*

1:>1 )

______=

~lpCJip~i=:ca~l~ zas ~la~rg~aOl'¡L__________________...J

(;oncI1

Fig. 3.48. Creación de la zona de seguridad de Acronis.

Fig. 3.49. Definición de contraseñas.

Monage Acronis SeCUra Zone Wizard Activoting Acronis Startup Recovery Manager

You cen odrvote Actonls Slor1up Recollery Mflnflger Thls monoger ollows you 10 restare your computer 01 boot Irme berare operotmg system stor1s

A

~i

Please choose whetheryou wantlo adillale Acronis Startup Recovery Manager. @ 8cWaleAcronisStartupRecolleryManager

o Do not adillate Acronis Startup Recovery Manager DeScriPtiOn

I

Whan activatad Acronis Startup Recovery Manager oJlowsyou lo run Acronis Trua Imaga Home befare slarting operating system by pressing Fl 1 al boottime.

Fig. 3.50. Activación de la zona de seguridad.

(Continúa)


Seguridad pasiva. Recuperación de datos

3

Caso práctico 12

9

(Continuación)

7. Ahora que yo hemos creado un hueca en nuestra disco duro paro guardar lo copio de nuestro sistema, vamos o crear la imagen. Para ello volvemos a lo ventana principal de lo aplicación (Fig. 3.47), pera en este caso elegimos la opción Backup (copia de seguridad), pasando o una ventano informativo en lo que pulsaremos Siguiente. Llegados o este punto veremos un cuadro de diálaga coma el que se muestra o continuación (Fig. 3.51):

copio completo, por ser lo primera que lo realizamos de nuestro sistema. Seleccionamos lo primera opción, Creote o new Full bockup archive (crear una nuevo copia de seguridad completo) y pulsamos siguiente.

10. Escribimos lo imagen en lo zona segura. Debida a que lo protegimos onteriarmente por contraseña, nos pedirá que lo introduzcamos. A continuación pulsamos Siguiente, dando paso a uno ventano en la que tendremos que elegir el grada de compresión de la copia de seguridad. Sabemos que cuanta más comprimamos la copia menos acuporá en disco pero más tiempo tardaremos en crearlo, y también en reponerla cuando nas hago falta. Elegiremos la opción de máxima compresión: na tenemos prisa, pero sí poco espacia en el disco. Marcamos la opción Maximun y pulsamos Siguiente. Aparece un cuadro de texto para que introduzcamos un comentario sobre la imagen que vamos a crear; se puede dejar en blanco, pero se recomiendo escribir alga como lo fecho y el contenida, a el PC del cual es lo imagen. Pulsamos Siguiente y cama en el cosa de lo creación de lo zona segura aparece una última ventano informándonos de los operaciones que se van o realizar. Pulsamos Proceder (Proceed) y tras esperar unos minutos nuestra copia de respaldo estará guardado en lo zona de seguridad.

CrBule Hockup Wllord Saled Bockup Typa You can selea type 01 dala your want lo beck up

( I!! 'I

-

r

~

Salad whOlyou wont 10 bock up:

@ !&::~.!!!P:!&l

o MyQolo DeScriPtiOn

L

VVhen you seled lhis oplion you can aeote on imoga oflhe entire disk 01 its partitions. Bocking up lhe anUre system disk (creoting o. disk imoge) tokas significant disk spoca. bul enobles yeu lo reslore lhe systam in minutes in case 01 severe doto domoges al hardware

_:,.

Fig. 3.51. Definición de los datos para la imagen.

Este contiene das opciones: la primera permite hacer uno copio de todo nuestro ordenador y la segunda permite hacer una copia de las carpetas especificados. Como en este coso queremos crear uno imagen del sistema completo elegimos lo primera de los opciones, My Computer (Mi ordenador), y pulsamos Siguiente.

Si en algún momento necesitamos restaurar nuestro sistema o partir de esto imagen tendremos que realizar los siguientes posos: arrancar el PC desde el CD de Acronis, o ejecutar Acronis pulsando FlI mientras se inicio el ordenador, aunque esto opción solo estará disponible si instalamos Acronis Startup Recovery Manager, coma se comentó más arribo. Ahora tendremos que elegir lo opción Recavery (recuperar) de la pantalla principal del programo y seguir el procesa guiado paro reconstruir nuestra imagen.

8. Aparece uno nuevo ventano en la que debemos indicar de qué particián, particiones o disco duro completo queremos realizar lo imagen. Tras elegir en nuestro coso la particián C, pulsamos Siguiente y nos aparece uno ventano informándonos de algo muy interesante: si yo hemos realizado onteriarmente una copia de seguridad del sistema podremos ahora crear uno copio diferencial o incremental con lo ideo de solamente agregar a lo copio ya existente lo que hayamos agregado o modificado desde su creacián. Tras pulsar OK nos aparecerá una nuevo pantalla en la que tendremos que elegir el lugar donde vamos a guardar lo imagen, que

X Delate fri e E:1 Cteete newl)

en nuestro caso, como ya sabemos, va a ser la zona

9

de seguridad, por tonto elegimos Acronis Secure Zone (Fig. 3.53) Y pulsamos Siguiente.

[ti

9. Aparece una ventano con tres opciones: lo primera para crear uno copio completa, lo segundo para realizar uno copia incremental y lo tercera paro realizar uno copio diferencial. Nosotros vamos a crear uno

C ~ I~

Bockup Archiva Locollon

Choose en e,llshng beckup lile lO back up only chonge s Ihol tcok ploce slnce Ihe bockup cleflllon 01enle, lite name lar 6 newlull bockup

My Computar Ac,on' s SecU/e Zone

~ 3.5 Aoppy (A:) [B,~ Local Disk (C)

[ti

ti #,J

Computers Neor Me

~

-w-

~ Acronis Secure lona

Free speca: 3.746 GB TolaJ size: 3.769 GH Acronis SeOJre Zone is e protected portition on yoUI hmd disk drive lhel is ineccessible to ordinOJY opplications.

FTPConnections We recornmend thotyou ereo.ta backup orchives in \he Acrnnis SSOJra Zone; \ha file nome is nol required in lhis

Fig. 3.52. Selección de la zona para guardar la copia de seguridad.


~~

Seguridad pasiva. Recuperación de datas

------~--~------~----------------------------

6. Copia de seguridad del registro Antes de entrar en el proceso de la copia de seguridad del registro, recordemos que el Registra de Windows es una base de datos que contiene información del hardware, de las aplicaciones que tenemos instaladas e información de los cuentas. Habitualmente na es necesaria que toquemos el registra, ya que san las aplicaciones las que suelen introducir los cambios directamente en él. Un cambia erróneo en el registra podría ocasionar que el equipa dejase de funcionar, par la tanta siempre que vayamos a hacer cambias en el misma se recomienda que hagamos copias de seguridad.

1. Iniciamos el equipo como administradores. 2. Abrimos el editor del registro escribiendo en la consola regedit. ---

L'..

F

t,;"

",

'jtUln"""

,1,1

("

IU'II",,¡,ll!.llIlll 7.llIlf, M,. ,'" ,,1\ C""I,,,,-,,t ,,,,,

11,· · ",'U ",,,

I .. ,t" .

1"

,1"1'''' lo"

. , On., ) ," '1' ,1,1

Fig. 3.53. Instrucción para e;ecutar el registro.

3. Buscamos la clave a subclave de la que queremos realizar la copia de seguridad y hacemos clic en ella. Como en nuestro caso queremos realizar la copia de todo el registro seleccionamos el equipo.

;..JJ

Tipo

Datos

HKEY_CLASSES_ROOT

t> .j,¡ HKEY_CURRENT_USER ~ -J.! HKEY_LOCAt_MACHINE ~ . Jj HKEY_USERS ~ .Jj HKEY_CURRENT_CONFIG

Fig. 3.54. Registra de Windaws.

4. Hacemos clic sobre Archivo y seleccionamos Exportar.

5. En el cuadro Guardar en, seleccionamos la ubicación donde deseamos guardar la copia de seguridad en el cuadro Nombre de archivo y por último hacemos clic en Guardar. e;;,¡ ' ' t~cm~

Jf"h. mod.fi,..;~"

Tipn

hm.~.

JI ...,tAUllS JJ l:l:dd JJ BlutloOlh

JI e"". d.In~I"V." ;h."· El M""do' _ JI O.....I•• d. Jl .lcm.n1".~rd"".r

JI FLAiH j¡ hlll''''''

J.. JnUlct ..

Jj In1<M'; ••

'-".••.

l'

Jl r.'.A~D.,,,,y ..

j¡ Mt.OL<Oovrnlo,d,

I't..""",,~ ~ , T<d:>

O Rr... ooIt:=-.ae.

Fig. 3.55. Guardar la copia de registra.

--"


Seguridad pasiva . Recuperaci ón de datos

3

7. Políticas de copias de seguridad

las políticas de copias de seguridad deben definir el tipa de copias y la periodicidad de las mismas, así como los soportes en las que se deben realizar y las ubicaciones de los centros de respaldo. los centros de respaldo son las ubicaciones donde se guardan las copias de seguridad. Estos en la mayoría de las empresas pequeñas se encuentran muy cerca del centro de cálculo o en la misma estancia, tanto por comodidad de los técnicos, que siempre tienen a mano el material, como por espacia, pero las empresas grandes que manejan grandes volúmenes de datos suelen ubicarlas lo suficientemente lejos como para que no se vean afectados par la misma catástrofe que provoque el percance en las instalaciones del centro de procesamiento. Estas ubicaciones deben estar protegidas de la misma manera que los centros de procesamiento de datos, es decir, estarán protegidos los accesos para que solo pueda entrar el personal autorizado. Deberán estar protegidos tanto frente a los distintos accidentes o catástrofes naturales (incendios, inundaciones, etc.) como ante los posibles ataques software que estudiaremos más adelante. Es frecuente encontrar las copias de seguridad almacenadas en armarios ignífugos como el que se muestra en la Figura 3.56. Gracias a este tipo de armarios podríamos proteger la información en caso de que se produzca un incendio.

Data-Safe

Como estudiamos en el primer epígrafe de la unidad, uno de los clásicos errares que se producen en las empresas y en las hogares en los que se realizan las copias de seguridad es el mal etiquetado de las mismas. Es muy habitual en los hogares españoles realizar copias de respaldo en los soportes ópticos (CD y DVD) y almacenarlas de manera desordenada y sin ningún etiquetado. Toda una locura cada vez que tengamos que buscar un archivo para restaurar, par lo que se recomienda diseñar una etiqueta y pegarla al soporte que guarde la copia con la infarmación que detallamos a continuación. Una etiqueta carrecta debería incluir la siguiente información: •

Identifícador de copia, mediante esta cadena alfanumérica identificamos de manera unívoca cada una de las copias de seguridad realizadas. Facilita la búsqueda de las mismas.

Tipo de copia, debemos definir si la copia es incremental, diferencial o completa.

Fecha en la que se realizó la copia, ya que en numerosas ocasiones debemos buscar las copias por fecha de realización de las mismas.

Contenido, siempre se incluirá el contenida en clave que almacena la copia de seguridad. En caso de querer recuperar un determinado archivo lo buscaremos sin necesidad de estar cargando cada una de las copias en el equipo. Hay que recordar que tanto el nombre de la copia como los datos almacenadas en ella deben ir en clave para que en caso de encontrarse al alcance de intrusos, estos no sean capaces de descifrar la información almacenada en los mismos. Por tanto la información escrita en la etiqueta como la almacenada en los soportes informáticos debería ir cifrada.

Responsable, debe figurar el técnico que realizó la copia de seguridad para poder pedide que facilite las consultas o las peticiones de actualización y restauración de la misma.

Fig. 3.56. Armario ignífugo para almacenamienlo de copias

de seguridad.

A continuación hemos diseñado una posible etiqueta para los soportes de las copias de seguridad (Tabla 3.1).


Seguridad pasiva. Recuperación de datos

lO

.,

Iden~licadar de la copia

o Completa Tipo de copia

o

o Datos

Incremental

o Sistema

o Diferencial lAño, mes, dio)

Fecha

Datas

Se deberá utilizar la nomenclatura específica de la empresa, de forma que facilite a localización de archivos concretos YI en caso de que sea confidencial, un posible intruso no seo capaz de conocer la información

grabada. Técnico

Nombre de la persona que realizó la copia de respaldo

Firma

Firmo del responsable que realizó la copia

Tabla 3.1 . Etiqueta para soporte de copia de seguridad.

Al igual que debemos etiquetar correctamente las copias de seguridad, se debe llevar un registro exhaustivo de las mismas y de las restauraciones realizadas. Este es otro de los graves errores que suelen cometer las empresas: realizan las copias de seguridad pero nadie se preocupa de comprobar si la copia se ha realizado correctamente ni de llevar un registro con la información de las mismas. A continuación, vamos a diseñar una posible hoja de registro. Esta, además de la información que se almacenaba en la etiqueta que adjuntamos al soporte (el identificador de la copia, el tipo de copia, la fecha, los datos almacenados en la misma, el nombre, los apellidos y la firma del técnico responsable de la copia) deberá incluir los siguientes campos: o

Identificadar de la etiqueta, un código que se incluye en la etiqueta para poder localizar de manera rápida la copia de seguridad, y que que coincide con ella cadena alfanumérica de la etiqueta.

o

Tipo de soporte, debemos especificar si la copia se ha realizado en una cinta, disco duro, unidad USB ...

o

Ubicación, en función del número de copias de seguridad y de la importancia de las mismas estarán ubicadas en unos u otros lugares, por lo que debemos indicar el sitio donde se encuentran almacenadas.

De la misma manera que se realiza el control de las copias de seguridad, se deberán registrar las restauraciones realizadas y los motivos que han ocasionado dicha recuperación. En las hojas de registra de las restauraciones se deben incluir los siguientes campas: o

Fecha de restauración en la que se realizó la recuperación de la copia.

o

Incidencia que ha motivado la restauración, causa que ocasiona la pérdida de información.

o

Ubicación, equipo en el que se realiza la restauración de la información perdida.

o

Técnico, responsable que lleva a cabo la actuación.


Seguridad pasiva. Recuperación de datos

En la siguiente tabla podemos ver la hoja de registro que utiliza la empresa SiTour para controlar las copias que se han realizado: • • • .

:..!

... ..... -. =

Identificador de etiqueta

D Completa D Datos Tipo de copia

o Incremental D Sistema

o Diferencial DCinta O Disco duro

Tipo de soporte

Fecha

D D D D

CDROM DVDROM Llave USB Otro:

lAño, mes, día)

Ubicación

Datos

Se deberá utilizar la nomenclatura específica de la empresa., de tal manera que los posibles intrusos no sean capaz de conocer la información grabada en caso de ser esta confidencial.

Técnico Firma del técnico

Tabla 3.2. Hoja de registro de copias de seguridad. En la siguiente figura podemos ver una hoja de registro de las restauraciones de la copias de seguridad.

Fecha restauradón

lAño, mes, dio)

Incidencia que ha motivado

la restauración ubicación

Equipo donde se ha realizado la restauración.

Técnico Responsable Tabla 3.3. Ho;a de registro de restauraciones de seguridad.

3


~/3

Seguridad pasiva. Recuperación de datas

----~--~------------------------------

Toda política de copias de seguridad debe contemplar los siguientes puntos: •

Determinar la persona o perso.nas responsables encargadas de realizar y mantener las copias de seguridad. Se aconseia que al menos dos personas estén pendientes de las alertas que puedan ocurrir mientras se realiza la copia de seguridad. Estas alertas serán enviadas mediante correo electrónico a los responsables.

Debemos analizar los datos susceptibles de ser salvaguardados en copias de seguridad. Al realizar el análisis, debemos tener en cuenta la frecuencia con la que se modifica o actualiza la información.

I ,:::::::- - - , _ . _ ,

;.:...

I~

~ ~:~.

bI: ,

~~':$ : ::~ ,..... . ."....... ..... ...,

,~

,

' .... '1

.. .ªª.

. ,' ,

~.,

, , ". '

I I

¡~~~.~

-

,---

,

•. l.

<....... . . " ...... . . NO___

'R _ _....... _ --;

•,

I

. i

- .' .~ ,

""<.'

en . , -,., , ~ ,

' ~ ' -'

1~ 'J

,.. -,

,.,

........ .

"" 0

0"" ..

..."'''''''' ,."... "''''... "'"...... l.", c_ ...... ,." ,,, ...,. ~,,""

. ...,

,n; ..

G ,~,

"",.,

............

e.."",

""" .. .. .

t ...",

''''.' <-....' ....

,_ .. "' ..........

""

<-... .... . " ' "

... .

"",

",. ,.... '.", ¡,...... ,• •

I , .. ,

l~ . -,

" , .. . . . . .

( .. d .

" '.'

r,,, .... ,,

, •• "

l~ . -'

'H J

"',"".,,,UU :~'lI:.lH" "" : O;' ~"'=JI

.•

'·.n' ''' '' ·~

: ~·'l':ln !lM..

:':''''!>'''''' ,... .. "~" ,, n

...

,,",....

",0,"""'-" ":"." " .... ":''"'''''",.,.,. 1 ~"~ _ ~,:>'" :~ , m ,, ;:' JJ

:<:' ;w .. " .,.... :~,YlW,=.

",.,.: " , ;:, u . . :~, ~:;""

u .

"'i'''''H..... ' ~ I \"'''.' ' :n

Fig. 3.57. Afertas de fa copia de seguridad de fa Universidad Antonia de Nebri;a. •

Debemos determinar el tipo de copia a realizar (completa, diferencial e incremental) en función de los datos a salvaguardar y de la periodicidad con la que se modifican. En el supuesto de que se modifiquen con mucha frecuencia, se incluirán en copias diferenciales o incrementales; en caso contrario, podríamos optar por incluirlos en las copias de seguridad completas, que se realizarán en intervalos más amplios de tiempo.

Debemos determinar la frecuencia con la que se realizarán las copias de seguridad . En este punto analizaremos la cantidad de información que estamos dispuestos a perder, es decir, los datos que han sido modificados o creados desde la última copia de seguridad.

Debemos determinar la ventana de backup (frania horaria en la que se deben realizar las copias de seguridad), teniendo en cuenta la duración que cada tipo de copia consumirá. Este punto está fuertemente relacionado con el tiempo que dedicaremos a realizar la copia, siendo especialmente relevante en sistemas 24/7 (por eiemplo, bases de datos de grandes corporaciones o de compañías aéreas), en los que no es posible realizar copias de seguridad completas que exigen la parada de la base de datos. En estos casos, se suelen utilizar alternativas como las snapshot (instantáneas) que permiten almacenar periódicamente el estado de la informacián.

Debemos determinar el tipo de soporte en el que se realizarán las copias de seguridad. Esta decisión estará condicionada tanto por volumen de datos a guardar como por la frecuencia con la que se realizarán.

Debemos determinar la ubicación de las copias de seguridad. Lo más aconseiable es almacenarlas en un centro ale iodo al de origen. De esta manera evitamos que las copias de respaldo y los datos se puedan ver afectados por el mismo percance. Estos centros deben estar protegidos de la misma forma que los centros de cálculo.


Seguridad pasi va . Recuperación de dolos

3

Comprueba tu aprendizaie ~ Gestionor dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información

1. Los ficheros que se almacenan en el equipo tienen asociados unos atributos: o Lectura: r o Oculto: h o Sistema: s o Archivo de almacenamiento: o o) Creo un archivo.

b) Compruebo los atributos que tiene establecidos bien haciendo uso del comando attrib en el intérprete de comandos o bien mediante los propiedades del archivo; en este último coso, recuerdo que paro ver el atributo de archivo de almacenamiento tendrás que acceder o los Opciones Avanzados. c) Realizo uno copio de seguridad del mismo.

d) ¿Tiene los mismos atributos establecidos o se ha desactivado alguno de ellos? 2. Debate con tus compañeros el tipo de copias de seguridad que recomendarías para uno pequeño empresa familiar dedicado o lo vento de delicatessen. Esto empresa tiene un sistema de información que gestiono los productos almacenados en lo tiendo, los ventas y los compras realizados o los proveedores . Como cabe suponer, el sistema de información contiene uno pequeño base de datos. En función de los tipos de copias elegidos, ¿qué soparte utilizarias poro los copias de seguridad? 3. Indico los ventajas y desventajas de los distintos tipos de copias de seguridad que se pueden realizar. 4. Descargo lo aplicación gratuito y portable Toucan de lo página web http://saurcefarge.net/prajects/ partableapps/files/ y realizo uno copio de seguridad diferencial del directorio Mis documentos de tu Pe. ¿Cómo es lo copio? ¿Qué se ha incluido en lo copio? 5. Creo un archivo en Mis documentos y con lo aplicación Toucan vuelve o crear uno copio de seguridad incremental. ¿De qué se ha realizado lo copio? 6. Creo otro archivo en Mis documentos y con lo aplicación Toucan vuelve o crear uno copio de seguridad incremental y otro diferencial, ¿cuál de los dos ocupo más? 7. Como hemos estudiado en lo unidad los etiquetas de los copias de seguridad deben llevar reflejado lo información de los datos guardados. Diseño unos códigos para etiquetar los datos que se han almacenado en la copia de seguridad.

8. Hay veces que desgraciadamente no hemos realizado copias de seguridad, o bien hemos borrado accidentalmente un fichero que no tenia mas almacenado en ningún otro lugar; para solventar esas situaciones en el mercado existen numerosas aplicaciones como Recovery Files, Recover My Files, Data Recovery Studio, Easy Recovery... a) Crea un archivo y bórralo.

b) Intenta recuperar el archivo con alguna de dichas aplicaciones. 9. Indica las ventajas y desventajas de los distintos soportes donde se pueden guardar las copias de seguridad. 10. Indica la importancia de utilizar trituradoras de discos duros antes de deshacernos de los equipos par considerarlos obsoletos.

11. Debido al espacio que ocupan las copias de seguridad, nos debemos plantear la necesidad de eliminar de forma periódica las copias de seguridad obsoletas, dejando espacio para las nuevas que realicemos. Debate con tus compañeros los posibles esquemas de rotación para las siguientes empresas: o Pequeño negocio familiar, dedicado a la venta de materiales de construcción. Esta empresa tiene un sistema de información en el que gestiona tanto el material del almacén como las ventas realizados. Realiza las copias de seguridad completas el primer día de cada mes y copias diferenciales todas los sóbados después de la hora de cierre del almacén en discos duros externos. o Una agencio de viajes, que tiene contratado el servicio de copias de seguridad a una empresa externo. Las copias de seguridad se realizan de forma remota. o Otra compañía de viajes, que realiza las copias de seguridad completa el primer domingo de cada mes y copias de seguridad incremental todos los días. 12. Relaciona mediante flechas los siguientes conceptos: o Copio todo

o Diferencial

o Realiza lo copio desde la última completa

o Completo

o Realiza la copia desde la última copia

o Incremental.

o Soporte

o Centro de respaldo

o Almacenamiento copias o Cinta o Puntos de restauración

o Recuperación del sistema


~/3

Segu ridad pasiva. Recu peració n de datas

----

Completa

Diferencial

Tipos

Incrementa l

.. . . -. ~

Soportes para copias

Políticas de copios seguridad

Puntos de restauración

Arranque con la última conFiguración vólida

Recuperación automáticas sistema

Creación y restauración imágenes

'8


I!I1 DdJad

Sistemas de identificación. Criptografía

En esta unidad aprenderemos a:

• Describir e identificar sistemas lógicos de identificación: firma electrónica, certificado digital ... • Utilizar sistemas de identificación lógica como la firma electrónica o el certificado digital.

y

estudiaremos:

• Métodos para asegurar la privacidad de la información transmitido. • Criptografía: - Cifrado de clave secreta (simétrica) - Cifrado de clave pública (asimétrica) - Funciones de mezcla o resumen (hash) • Sistemas de identificoción: - Firmo digitol - Certificado digital - Distribución de claves. PKI


Sistemas de identificación. Criptografía

l. i,Cómo aseguramos la privacidad de la información?

La frontera entre la Prehistoria y la Historia la marca la aparición de los primeros textos escritos.

Desde que el hombre es capaz de comunicarse por escrito, ha tenido la necesidad de preservar la privacidad de la información en la transmisión de mensajes confidenciales entre el emisor y el receptor. Esta necesidad en algunos casos se ha convertido en crucial, por ejemplo en las guerras; la intercepción de un mensaje de las tropas enemigas podría suponer la victoria. Hoy en día, esas guerras se desatan entre las empresas del mismo sector, que luchan por expandir su mercado. Estas suelen ser grondes multinacionales, con distintas sedes, que precisan intercambiar gron cantidad de información confidencial entre sus trabajadores. La intercepción de estos datos por compañías de la competencia les puede hacer perder cantidades ingentes de dinero y de tiempo. Desde el principio de la historia del hombre surge la necesidad de garantizar la confidencialidad de la información, por eso se han desarrollado diversas técnicas de enmascaramiento u ocultación de la información, siendo en la actualidad uno de los principales objetivos que persigue la seguridad informática.

2. Un poco de historia de la criptografía

Si analizamos la etimología del término criptografía, vemos que proviene de dos palabras del griego, cripta, que significa 'escondido', y grafía, que quiere decir 'escritura'. Por tanto podemos definir la criptografía como la ciencia que estudia la escritura oculta, es decir, aquella que enseña a diseñar códigos secretos y la operación inversa, a interpretar los mensajes cifrados. Los primeros mensajes cifrados datan del siglo v a.e.; ya entonces los espartanos usaban la escítala para ocultar las comunicaciones. El método consistía en enrollar una cinta sobre un bastón y posteriormente escribir el mensaje en forma longitudinal. Después la cinta se desenrollaba del bastón yero enviado mediante un mensajero; si éste ero atrapado por los enemigos, sólo obtendrían un conjunto de caracteres sin sentido. El receptor sólo podría interpretar el mensaje siempre y cuando tuviese un bastón similar al que se utilizó para ocultar el mensaje, es decir una vara con el mismo diámetro.

La frase «ostentar el bastón de mandm) se cree que proviene

del uso de la escitala, de la época de la antigua Grecia. Cuando los mandatarios se enviaban mensajes cifrados uti-

lizaban el método descrito. El poseedor del bastón ostentaba el poder.

EMCCSEROET I N L OPOPDTCROAIIDCDMEIOEEORNN

Fig. 4.1 . Escítala. Como podemos ver en la imagen, el mensaje es «es el primer método de encriptación conocido», pero en la cinta lo que se podría leer es «EMCCSEROETINLOPOPDTCROA IIDCDMEIOEEORNN».

~ Actividades 1. Te proponemos que pongas en práctica este primer método de encriptación. Paro ello debes utilizar algún instrumento de clase que te sirva de bastón, puede ser la pata de la silla, la de la mesa, un bolígrofo .... Enrolla un papel alrededor del instrumento utilizado como bastón y escribe el mensaje a tronsmitir según el método explicado anteriormente.

Envíale el texto a otro compañero y comprueba si ha sido capaz de descifrar el mensaje. Comprueba que si un tercer compañero (el intruso) intercepta el mensaje sin conocer el bastón utilizado para cifrar la información, no sería capaz de interpretar el mensaje.

)


Sistemas de identificación. Criptografía

4

A mediados del siglo 11 a.c., los griegos desarrollaron otro método conocido con el nombre de quien se cree que lo desarrolló, el historiador Polybios. El cifrado consistia en sustituir cada letra del mensaje original por el par de letras o números que indicaban la fila y columna en la cual se encontraba. Veamos un ejemplo:

Tabla 4.1. Tabla cifrador de Polybios.

El mensaje que queremos enviar es «el cifrador de Polybios es el primer cifrador por sustitución de caracteres», y el mensaje cifrado que enviaremos es «AECA ACBDBADBAAADCDDB ADAE CECDCAEDAB BDCDDC AEDC AECA CEDBBDCBAEDB ACBDBADBAAADCDDB CECDDB DCDEDCDDBDDDDEACBDCDCC ADAE ACAADBAAACDDAEDBAEDC» .

f-______________________C =a =s :::o:..l~ ráctico 1

9

Cómo cifrar can el cifrador de Polybios Como hemos estudiado anteriormente, el cifrador de Polybios sustituía cada carácter del mensaje original por un par de letras o números. En el ejemplo anterior hemos cifrado la información mediante un par de letras, ahora lo vamos a hacer mediante números (Tabla 4.2).

Tabla 4.2. Tabla cifrador de Polybios.

Recordamos el mensaje original: «el cifrador de Polybios es el primer cifrador por sustitución de caracteres».

El mensaje cifrado sería: 1531 1324214211143442 14153534315412243443 1543 1531 354224321542 1324214211143442 353442 4345434424444513243433 1415 13114211134415421543

Actividades " 2. Envía a un compañero un mensaje cifrado mediante el cifrador de Polybios. El mensaje deberá incluir una pregunta que el compañera deberá contestarte. Así podréis comprobar si el proceso ha funcionado correctamente. 81 '- .....;:.,. I

..

,:flf:..

J"'JT~;J


~

./

4

Sistemas de identificación. Criptografía ------------------~--------------------

En el sigla I a.e. los romanos desarrollan el cifrodor del César, cuyo método consistía en sustituir cada carácter por otro, resultado de desplazar tres posiciones hacia la derecha el carácter original del alfabeto utilizado. Veamos un eiemplo: Mensaie del César a Cleopatro: "sic amate ut sin ete iam viverem non posi!» (de tal manera te amo que sin ti no podría vivir). Para traducir el mensaie necesitamos los dos alfabetos el claro y el cifrado (Tabla 4.3). """"-_ , A

BCD

D

E

F

E

F

G

G

K

KLMNOPQ MNOPQRST

Tabla 4.3. Tabla con los olfobetos latinos del cifrador del Césor.

El alfabeto ariginal es similar al del castellano excepto en las letras: H, J, Ñ Y W. Si nos fijamos en el alfabeto cifrado el mensaie oculto debe corresponderse con el siguiente: VMF DPRXI YX VMQ IXI MDP ZMZIUIP QRQ SRVMX

-~¿Sabía5 que...?

Una de las vulnerabilidades que presenta el cifrador del César es la carrespondencia existente entre el alfabeto original y el del cifrado. No es difícil descifrar los secretos de los mensaies si analizamos la frecuencia de las letras. La letra más utilizada en los mensaies originales es la e, así la letra más utilizada en el mensaie cifrado debe corresponderse con la letra e del alfabeto ariginal.

"

En el cuento "El escarabajo de oro» de Edgar Allan Poe se

relata la resolución de un criptograma utilizando la técnica esto-

En el siglo xv Leán Battista Alberti escribiá un ensayo donde proponía utilizar dos o más alfabetos cifrados, alternando entre ellos durante la codificación. De esta manera solventa la vulnerabilidad ocasionada por el uso de un único alfabeto cifrado para codificar cada mensaie. Sin embargo, Alberti no logró desarrollar ninguna máquina que pusiera en práctica su idea, y será Blaise de Vigenere quien en el siglo XVI desarrolle la idea de Alberti. El cifrador de Vigenere utiliza veintiséis alfabetos cifrados, obteniéndose cada uno de ellos comenzando con la siguiente letra del anterior, es decir, el primer alfabeto cifrado se carresponde con el cifrador del César con un cambio de una posición, de la misma manera para el segundo alfabeto, cifrado con el cifrador del César de dos posiciones (Tabla 4.4).

dística basada en la distribución de los caracteres en el alfabeto inglés.

J

CDEFGH DEFGH EFGH F

G

G

H

H

J

K

M

N

O

W

KLMNOPQRST

X

Y

Z

A

UVWXYZAB

JKLMNOPQRSTUVWXYZABC J

KL

MNOP

QR

S

T

UV

WX

y

Z

A

BCD

KLMNOPQRSTUVWXYZABCDE

J

ZABCDEFGH ABCDEFGH BCDEFGH

K

MNOPQRSTUVWX

JKLMNOPQRSTUVWXY JKLMNOPQRSTUVWXYZ

Tabla 4.4. Cuadro de Vigen.re.

~ Actividades

3. Cifra

mediante el cifrador del César el siguiente mensaie: «el cifrador del César tiene muchas vulnerabilidades». El mensaie está escrito en castellano.

-


Sistemas de identificación. Criptografía

------- -- -- - - - - -- --

4

.,._ ¿SCL ""b'1c;!5,.. I q!,e._ ..?

De esta manera el emisor podría cifrar la primera letra can el quinto alfabeto, la segunda con el decimo alfabeto, la tercera con el decimoquinto alfabeto, y así sucesivamente. Para descifrar el mensaje, el receptor debe saber qué línea de la tabla de Vigenere ha sido utilizada para codificar cada letra, por lo que previamente se han tenida que poner de acuerdo. Esto se logra utilizando una palabra clave. Vamos a ver un ejemplo.

de objetos. Por ejemplo según

Queremos enviar el mensaje "LA IDEA ES DE ALBERTI» utilizando la palabra clave "CIFRADO».

se cree los griegos tatuaban los mensajes en [a cabeza del esclavo de mayor confianza y una

9

Desde tiempos inmemoriales se han ocultado mensajes dentro

vez que el pelo le había crecido

e l N

F

A N

R

A

D

O

e

D

E

A

E

SDEAlBE

R

T

U

E

D

S

UlJRlES

T

B

F

FRADOC

Este sistema se conoce como esteganografía.

N

Tabla 4.5. Resultado de cifrado. Para ocultar el mensaje utilizamos la palabra CIFRADO; el praceso consiste en hacer corresponder la primera letra en claro, "L», con la letra que le corresponde en el alfabeto cifrado que empieza por la letra "C», la segunda letra del mensaje en claro "A» se hace corresponder con su correspondiente en el alfabeto cifrado que empieza por la letra «1», y así sucesivamente.

La ventaja de este sistema es que no se puede descifrar el mensaje oculto analizando las frecuencias de las letras ya que una misma letra se corresponde con varias combinaciones distintas. Otra de las ventajas de este método es que se pueden utilizar innumerables claves. Todos estos métodos criptográficos se fueran perfeccionando y mejorando según avanzaba el tiempo. Es en la Segunda Guerra Mundial cuando se hace imprescindible el uso de máquinas que cifren los mensajes para así evitar que el enemigo interceptase información sensible para el desarrollo de las operaciones. Según los ejemplos vistos anteriormente podemos hacer una clasificación de los métodos de criptografía: •

Sistemas de transposición: como indica su nombre consiste en descolocar el orden de las letras, sílabas o conjunto de letras. En función del número de transposiciones podemos clasificar los sistemas de transposición en: Sistemas de transposición simples: cuando el texto en claro solo es sometido a una transposición. Sistemas de transposición doble o múltiple, cuando se realiza una segunda transposición sobre texto que ya había sido cifrado mediante transposición simple. Con este método se consigue una mayor seguridad.

Sistemas de sustitución: como su nombre indica se reemplazan algunas letras del alfabeto por otras o por un conjunto de ellas según el método. Según el tipo de sustitución se clasifica en: Literal, se sustituyen letras por letras. Numéricas, se sustituyen por números.

Esteganográfica, se sustituyen por signos o se oculta el mensaje tras una imagen, sonido, etc.

Actividades

lo enviaban con [a instrucción

de que le raparan la cabeza.

9)

4_ Clasifica todos los métodos de cifrada estudiados en el Apartado 2, "Un poco de historia de la criptagrafím), según las categorías especificadas anteriormente.


~/4

Sistemas de identificación . Criptografía --~------------~~--------------------

3. Criptografía simétrica y asimétrica

~

Las claves nunca deben estar

apuntadas en papel ni en ningún documenta que pueda estar al alcance de intrusos.

Hoy en día se utilizan fundamentalmente dos métodos de cifrados, el primero de ellos conocido como cifrado simétrico o de clave privada, el cual utiliza la misma clave para el cifrado y el descifrado. El segundo, conocido como cifrado asimétrico o de clave público, utiliza una pareja de claves para el proceso de cifrado y descifrado.

3.1. Criptografía simétrica

Este método se basa en un secreto compartido entre la entidad que cifra el mensaje y la que lo quiere descifrar, es decir, utiliza la misma clave en el proceso de cifrado que en el de descifrado. Si analizamos los métodos utilizados para salvaguardar la confidencialidad de los mensajes desde los primeros tiempos de la criptografía hasta mediados de los setenta (prácticamente hasta nuestros días), veremos que sálo se hacía uso de métodos simétricos, que exigían necesariamente que el emisor y el receptor se pusieran previamente de acuerdo en la clave que iban a utilizar. El método de Vigenere es un claro ejemplo de lo dicho.

En la documentación de criptografía es muy usual utilizar la figura de una llave para representar la clave. El término key significa 'llave o clave'.

Supongamos que Virginia y Macarena quieren intercambiar informacián confidencial. Antes de hacerlo, han de ponerse de acuerdo sobre la clave a utilizar, pues si la receptora no la conociera, le sería imposible leer el mensaje. Texto claro

Texto claro

Encriptación

Texto cifrado

Desencriptación

Fig. 4.2. Cifrado con clave privada.

Este método tiene dos desventajas: la primera, como podemos deducir de lo explicado, es la que conlleva el intercambio de claves, ya que si las personas se conocen y están físicamente en contacto es más o menos fácil comunicarse la clave a utilizar (Virginia y Macarena pueden quedar e.. intercambiarse las claves que utilizarán), pero si Virginia y Macarena se encuentran separadas por miles de kilámetros, o incluso no se conocen, ¿cámo se intercambiarían la clave? Mediante un correo electrónico, correo ordinario, una llamada telefánica, pero todos ellos son medios de comunicacián inseguros; cualquier intruso podría capturar la clave elegida, e incluso podría suceder que Virginia comunicase por error la clave a otra persona que no fuese Macarena, sino que se hiciera pasar por ella.

~ Actividades 5. Calcula cuántas claves necesitan intercambiar un grupo de cinco personas que se quieran mandar entre ellas correos electránicos cifrados.

l

a} ¿Cuántas claves son necesarias si el grupo lo conforman diez personas? b} ¿Qué sucedería si en vez de diez fuesen cien?

)


4

Sistemas de identificación. Criptografía

La segunda desventaja es la cantidad de claves que una persona debe memorizor; supongamos que Macarena intercambia información confidencial con cincuenta personas diferentes, con cada una de ellas utiliza una clave distinta y cada cierto tiempo modifica dichas claves por seguridad. ¿Cuántas claves debería memorizar Macarena? Innumerables.

mentación

para

el

estándar

OpenPGP Me55age, con el obje-

Vamos a ver cuántas claves son necesarias cuando cuatro personas intercambian información confidencial entre ellas utilizando cifrado simétrico. Como vemos en la Figura 4.3, son necesarias 6 claves diferentes. Cada una de las líneas representa la clave intercambiada entre las parejas. Gustavo

"

GPG viene de GNU Privacy Guard, proporciona una imple-

tivo de preservar la confiden-

cialidad de los datos del usuario tanto en el almacenamiento como en la comunicación de la información. Además supone una alternativa

Macarena

de libre distribución frente a PGP (Pretly Good Privacy) de P. limmerman perteneciente a una empresa que proporciona servicios de soporte para encriptación de datos y comunicaciones.

Virginia

Fernando

Fig. 4.3. Gráfico para calcular cuántas claves son necesarios.

9

Caso práctico 2 Cifrado simétrico con GnuPG sobre lo distribución GNU/Linux En esta práctica vamos o aprender a cifrar documentos con la herramienta GnuPG, utilizando clave privada para intentar asegurar la confidencial del documento cifrado.

1. Para familiarizarnos con las opciones de gpg, en primer lugar solicitamos la ayuda mediante el comando man gpg en la consola.

La ayuda nos informa de todas las opciones que podremos utilizar. Estas son numerosas, pero no os asustéis, para esta práctica debemos fijarnos solo en las siguientes opciones: - e: cifra utilizado clave privada; para ello nos solicitará una "frase de paso», passphrase, que se suele traducir como 'clave o contraseña'.

-a: guarda el documento cifrado con caracteres ASCII.

4. Al abrir el archivo cifrodo mediante el editor de texto, observamos que la herramienta nos ha convertida nuestro documento en un texto totalmente ilegible, con caracteres que no se corresponden con los de ASCII.

5. Para que la salida sea en ASCII, debemos añadir a la orden el parámetro -a. Ahora, tenemos un nuevo documento cifrado con el mismo nombre y en el mismo directorio en el que se encuentro el archivo a cifrar, al que le añade la extensión . ase (Fig. 4.6).

.

o.

!;)r,¡¡, ("'¡-"Elm!»

,

.

{,

Archivo Editar ~ .ll.Ulcar tielTillmlental QocumentOI Aluda

lb El

Nuevo Abrlr

.

Ji¡

El

Imprimir...

Gu~rda1

!tl Documento_5ec~to.gP9

[J

Desh~cC!l

r~tlMtr

@I

n

Co!l ol! cOp'al Pe-¡¡a1

I

1!Hl1!ll[[Il!IIlcelI!l".il' i!' ÉJ!]3.<nl!!l~IllI·OcA¡rnHftS.llll1\l!!lql!!lk

.

E YfiSSII!l!i2IIIJlAHU' hUift?i}hP11ID1ID' SIITIl~ . I09I1l1.U I OQMIID- nm"llITlt<p

u [!]![!]IIIlIIIl[!]I!!lIT!lIIIl. ,Mi ·(0

úg¿\[[!J[!]2.II!lA7TA(!l!l]lII!l~/yl!DllIIl!!]

\· t: ula~)

yO $[[!J(

2. Para cifrar el documento "Documento_Secreto» mediante un algoritmo simétrico, debemos utilizar la opción -e, por lo que ejecutamos la instrucción que se muestra en la Figura 4.4:

Flg. 4.5. Documento CIFrado.

lb El .

Nuevo Abrl1

El

Guarda!

Ji¡

Imprimir...

D~I.}(:~

Ilehace1

D Dccumento.5ecn:to.asc o 1 -

-

(1)11.! Copm !'eg.J<

• .. ·BEGIU PGP HESSAtiE .. ·•·

Fig. 4.4. Cifrando Documento_Secreto.

30 Una vez ejecutada la instrucción, la utilidad genera un documento en el mismo directorio donde se encuentra el archivo a cifrar, añadiendo la extensión .gpg al nombre de dicho documento (Fig. 4.5).

.

Version: GnuPG vl.4.9 (GllO/Linux) jAOEAIoflCV\Olr7JZhBVgyYjCEljSjdVcdztgtlOCPBOUc90H9pdtntWehllSKIISU q4d..w4A4KWz8nSAYdtOUR9IJWfn23\uKVrfAkzUIlHC2Fosou50n...urkpBwIl100R cdiPiwvz 1119Vtjo('(S lUkvI)(l F4Diw(kr-Mt2G230 eg\QEEvPs7VFTCOFB~3yj cSe Yd\\'02sqqniE.... • A~n¡

----.EIIO PGP HESSAGE--'"

Fig. 4.6. Documento cifrado en ASCII.

,


Si stema s de identificación. Criptografía

3.2. Criptografía asimétrica

A vez que Whitfield Diffie y Martin Hellman publicaron el nueva método se cree que inves-

tigadores que trabajaban paro agencias de inteligencia militar

también lo habían desarrollado pero por ser investigaciones secretas no salieron a la luz.

En 1976, dos criptógrofos, Whitfield Diffie y Martin Hellmon, publicaron un nuevo método criptográfico que solucionaba las desventajas de la criptografía simétrica (la difícil distribución de claves y el elevado número de claves necesarias). La genial idea de estos investigadores estadounidenses consiste en que cada una de las partes involucradas en una comunicación segura tienen una pareja de claves. Una de ellas, pública, que deberá intercambiar con cada una de las entidades con las que quiera comunicarse mensajes secretos, y otra de ellas privada, y que par tanta, jamás debe comunicar a nadie. Sí, has leído bien, una de las claves, la pública, se la comunicará a todo el mundo sin que cree ninguna vulnerabilidad en las comunicaciones, porque con ella nunca podría un intruso descifrar el mensaje. Para cifrar un mensaje, el emisar utilizaró la clave pública del receptar, y a su vez, el receptar descifrará este mensaje haciendo uso de su clave privada . Veamos el procesa mediante el siguiente ejemplo: supongamos que Fernando y Macarena quieren intercambiarse información confidencial haciendo uso de la criptografía de clave pública. El primer paso es que cada uno de ellos obtenga una pareja de claves, es decir, Fernando tendrá dos claves y Macarena otras dos (uno de ellas pública y otra privada). Cada uno de ellos comunica la clave pública al otro utilizando el método que más sencillo le sea, pues como hemos dicho anteriormente, no pasaría absolutamente nada si algún intruso la obtuviese. Cuando Fernando quiera transmitir un mensaje a Macarena, utilizará la clave pública de esta para cifrarlo y cuando Macarena lo reciba, deberá descifrarlo utilizando su propia clave privada. Como se puede ver, se han solventado las desventajas de la criptografía de clave privada.

La criptografía asimétrica se utilizará para firmar documentos de

manero digital.

Como es lógico pensar, estas claves se generan a la vez y se encuentran relacionadas matemáticamente entre sí mediante funciones de un solo sentido; resulta prácticamente imposible descubrir la clave privada a partir de la pública. Veamos un ejemplo: enviamos un mensaje cifrado con una clave pública basada en el praducto de dos números primos grandes. Cuando el receptor recibe el mensaje debe descifrarlo, y para ello deberá hacer uso de la clave privada, basada en uno de los números primos que forman el producto que recoge la clave pública . En caso de no conocer alguno de los números primos que conforman la clave pública sería extremadamente difícil descifrar el mensaje. Clave privada

Clave pública

y

y

'A\lA\JA' 'A\I~\JA' Texto claro

Encriptación

Texto claro

Texto cifrado

Desencriptación

Fig. 4.7. Cifrado con clave pública.

Como observamos en la imagen anterior, la clave pública es conocida por numerosas personas, mientras que la clave privada debe ser guardada por el receptor con celo para no comprometer la confidencialidad de los mensajes.

86


Sistemas de identificación. Criptografía

4

Caso práctico 3

9

Generación de un par de claves para usa de cifrado asimétrico

3. Una vez seleccionado el tipo de clave a generar, debe-

Esta práctica la desarrollaremos mediante la herramienta gpg en la distribucián GNU/Linux Ubuntu.

mos seleccionar el tamaño de la misma. Cuanto mayor sea la clave, más segura será contra ataques de fuerza bruta, pero más lento será el proceso de cifrado y descifrado, además de incrementar la longitud de la firma digital. La herramienta nos permite seleccionar entre 1024 y 4096 bits. Elegimos el tamaño que nos indica por defecto escribiendo 2048.

1. Ejecutamos la instruccián gpg can el parámetro -genkey.

2. Al ejecutar la instruccián la herramienta nas pide que seleccionemos el tipo de clave deseada. Nos ofrece tres opciones; la primera DSA y EIGamal que generará las claves tanto para encriptar como para firmar; la segunda opcián DSA y la tercera, RSA, generarán un par de claves para firmar. Seleccionamos la opción 1, que es la opción por defecto que nos propone la herramienta.

4. Por último, debemos especificar el tiempo de validez de la clave. En nuestra práctica vamos a generar una clave con un periodo de duración de un mes (escribimos 1mi. En caso de necesitar más tiempo podríamos aplazar la fecha de caducidad.

!rthlvo EdItar Mer ~rmrnal AY.uda adrnin1strador@Jupiter:-$ gpg .. gen:k~ 1 'r- - - - - - - - -,ol gpg (GnuPG) 1.4.9. Copyright (e) 200B Free !:l. ,¡are Foundation, Inc, This is free software: you are f ree to change and redistribute it. There is tlD WARRANTY. to the extent permitted by law, Por favor seleccione tipo de clave deseado: (1) OSA Y ElGaoal (por defecto) (2) OSA (sólo firmar) (5) RSA (sólo '- "rJ ¿SU elección?: 1 2 El par de claves D~" tendrá 1024 bits. las claves ElG-E pueden tener entre 1024 y 40 0" hits de longitud. ¿De que tamaño quiere la clave? (2048) 20<l0 3 El tamaño requerido es de 2048 bits Por favor, especifique el periodo de validez de la clave. o ., la clave nunca caduca en> la clave caduca en n dias <nloW .. la clave caduca en n semanas <nlora '11 la clave caduca en n /teses <nloy .. la clave caduca (' años ¿Validez de la clave (O)? 1m 4 la clave caduca mar 20 oct 200~ ~..: d:16:41 CEST ¿Es correcto (s/n)? s lO

Fig. 4.8. Generación de la pareja de claves, cia de la elección de una buena clave. Debemos tener especial cuidado a la hora de seleccionar la contraseña, ya que si algún intruso consigue la clave privada, podría mediante algún método descubrir la contraseña y tener acceso a todos nuestras documentos y mensajes cifrados. En las contraseñas no debemos utilizar palabras ni en castellano ni en ningún otro idioma, debemos mezclar tanto números como letras mayúsculas y minúsculas, debemos intercalar símbolos, como paréntesis, dólar, etc. Una buena contraseña es crucial para el uso de gpg.

5. Además de los parámetros de la clave, la herramienta nos solicita información sobre nosotros. Debemos indicarle nuestro nombre, correo electrónico y algún comentario.

6. Una vez que se introduzca la información del usuario, se crean las claves. En ese momento la aplicación nos informa que es necesario generar muchos bytes aleatorios por lo que es conveniente que mientras se crea la clave movamos el ratón o trabajemos en otra ventana, etc.

7. gpg necesita una contraseña para proteger las claves, por lo que nos solicita que introduzcamos una frase. Sí, nos solicita una frase para hacer hincapié en la impartan-

B.

Para finalizar listamos las claves mediante la instrucción gpg con el parámetro -k.

pub 1024D/15D922Be 2009·89-22 uid Fernando Delgago (Tecnico de 5eguridad informatica de la presa SiTour) <f.delgad~mai1.com> sub 204Bg/C1555A7B 2009-09-Z2

Fig. 4.9. lisIado de claves de Fernando.


----; / 4 Sistemas de identificación. Criptografía ------------------~--------------------

Q

Casa práctico 4

Generar un certificado de revocación con lo herramienta gpg poro informar a 105 usuarios que lo clave pública no debe ser usada nunca más Se recomiendo que inmediatamente después de generar los claves, el usuario cree un certificado de revocación para lo clave público. De esto manero si el usuario olvidara lo contraseño o perdiese o viese vulnerado su clave privado por algún intruso podría publicar en algún servidor de Internet como el HTTP://PGPkeys.mit. edu: 11371 el certificado de revocación poro informar 01 resto de usuarios que no debe ser usado nunca más. Uno clave público revocado puede ser usado para verificar firmas hechos por el usuario en un posado, pero nunca podrá ser usado paro cifrar datos. Paro esto práctico utilizaremos lo herramienta gpg con los siguientes parámetros: - k: listo todos los claves. -gen-rev oke : genera el certificado de revocacián poro la clave especificado. Debemos utilizar el siguiente formato: gpg -gen-revoke identificador _ clave, siendo el identificador_clave el númera que identifico lo clave o el nombre o el apellido del usuario o el correo o cualquiera de los palabras del comentario.

1. Antes de revocar lo clave, debemos conocer su identificación; poro ello listamos los claves mediante lo instrucción gpg con el parámetro -k. 2. Generamos el certificado de revocación mediante lo instrucción gpg con el parámetro -gen-revoke. En nuestro coso utilizamos el número que identifico lo clave poro crear un certificado de revocación poro lo mismo. 3. Respondemos afirmativamente o lo pregunto. 4. Posteriormente debemos indicar lo rozón por lo que se creo el certificado de revocación . Debido o que lo estamos generando inmediatamente después de creor lo clave, lo razón de lo revocación no es ninguno de los que nos propone, por lo que seleccionamos la primera opción ¡introducimos un cero). Después escribimos nuestra decisión: " Este certificado se creó inmediatamente después de crear la clave. Hoy puede ser que esté comprometido o bien no vuelva a ser usado». 5. Por último, introducimos lo contraseña de lo clave. 6. El certificado de revocación ha sido creado y nos lo muestro en pantalla, advirtiéndonos que lo podemos imprimir y después debemos guordarlo en algún lugar seguro, ya que si alguien se apodera del mismo, podría utilizarlo para inutilizar la clave. Todo este proceso lo podemos ver en lo Figura 4.10:

B

1 p~b

lPZ(P¡ U'E8Z11 l009· M·20 IIcaduca: 2009-111-26 11

llac."n, Sub lil

\lId lub

i P (1) '~I II'"

.cblnhlt.dorOJuplter:- , gpg ··gen . ruoLe I fl;

lit ¡"11th ) Clurfn~ll.{o~

2G.1'g/J.O!06DHf 2009-09-:10 " '.¿Uf. : 1009·10·2011 lM~UF

2

IOZ'Pf'JHnn 11)(19·01·]1 Mitarfn. 5cl>til (p",'et or. ¿ e Ingt h l a.ou'en'J9

.... n.u....

¡(ru . un ee rUfütl!D de ' IVOC.tU" ~Irl u ta Clav.l'

'D' f nor .UJ. un. ru6n plrl h .tvo¡¡cHn: D • No Ir 1110 nl"llUl'I rl16n

I

3

,

I ~ ~ ,hv. h. I I ~o co::prO!'etid. 1 • I I chv. 11. sido ...... phud •. 1 • II ch_. y. no nI' en UIO

IP~O;'~~~~~:; Q~.rll

Illmionlr 1 aqui) 4 duht6 M O ' ntroduZCI un. dttcrlpcl6n opcional; lC'bt\a con una

5~

~ \i~·· · "ac1a,

:/~~: ~:;!1~!~:~~~I~~e: !~:~d~~t~~:~~: ~e:~~t~I~~'~r." 5

clm.

I

Hoy puede 1 ;

Fig. 4 .10. Proceso de creación de certiFicado de revocación.

l8


Sistemas de identificación. Criptografía

Casa p'ráctico 5

4

9

Intercambiar claves mediante la herramienta gpg Para poder comunicarnos de manera segura, debemos intercambiar las claves públicas con todos aquellos usuarios con los que queramos establecer una comu-

nicación. Antes de poder enviar la clave pública a otro usuario debemos exportarla. Para ello debemos utilizar la herramienta gpg con el parámetro -export seguido del identificador de la clave (como vimos en el caso práctico anterior como identificador, podemos utilizar el nombre, cualquier palabra del comentario, el correo ... ). En nuestro caso, Fernando quiere comunicarse con Macarena, por lo que debe exportar su certificado (guardar la clave pública en el archivo fernando.gpg).

lB Archivo fditar :ier rermlnal fernandO@Jupiter:-s gpg ·k

Ayuda

G

~~~~~~~~~~~~~~:: ~~~~~:~~~~:~~: ~~~

I

pUb 1924D/1SD9228E 2999-09-22 u1d Fernando Delgago (Tecnico de seguridad informatica de la ero presa SiTour) <f.delgadO@grna i l.com> sub 2848g/ClS55A78 2899-89-22 fernandO@Jup l ter:-s 2pg -·output fernando . gpg --export Fernando fernandO@Juplter:-s I

Fig. 4 .11. Exportación de las claves de Fernando.

Una vez que ha exportado la clave, Fernando debe hacérsela llegar a Macarena para que esta la guarde en su anillo de claves, lugar donde se almacenan todas las claves públicas que se poseen. Suponemos que Macarena ha recibido la clave pública de Fernando. El archivo fernando.gpg lo ha almacenado en su carpeta personal como podemos ver en la Figura 4.12. A continuacián Macarena debe importar la clave de Fernando a su anillo de claves mediante la herramienta gpg con el parámetro -import y el nombre del archivo a importar, como se muestra en la Figura 4.12 . . <:.~ •

Archivo fditar :ier Ji!nnlnal Ayuda macarena@Jupiter:-s 15 G Docur.:entos examples.desktop II:1lÍgcncs Plant illa s Videos Escritorio fcrnando . gpg ¡'¡ lisica Público macarena@Jupiter:-S gpg - -import fernando. gpg ¡ gpg : clave lSD9228E: clave pública "Fernando oetgago (Tecnico de seguridad i ntor matica de la empresa 5iTour) <f . delgadO@gmail.com>" importada gpg: Cantidad total procesada : 1 i!!!portadas : 1 gpg:

I I

Fig. 4.12. Importación de la clave de Fernando al anillo de Macarena.

Actividades

En la Figura 4.13 vemos que ahora Macarena posee la clave pública de Fernando.

6_ La ArchIvo fdltar yer rermlnal

Ayuda

r:1acarena@Jupiter:-s gpg ·k Ihome/rnacarena/ . gnupg/pubring. gpg

~

............. . .............. _----

pub 1024D/61C2F898 2099·99- 22 (( caduca: 2099 ·10- 22]] uid Macarena Subtil (Seguridad Informatica SiTour) ail.com> sub 29489/941888CO 2909 -99· 22 (( caduca: 2999 -19- 2211

<IIlacare n a~gm,

1

pub 19240/1SD9228E 2999·99·22 1 uid Fernando Oelgago (Tecn i co de seguridad informatica de la ern presa 51Tourl <f . delgadO@gmail.com> sub 2948g/Cl555A78 2999·09-22

I

Fig. 4. 13. Listado de claves de Macareno .

9'

herramienta gpg, mediante el parámetro -output, permite grabar el certificado de revocacián en un archivo. Vuelve a generar un certificado de revocación para la subclave que se guarde en el escritorio con el nombre de cert_

revocado.asc.


Sistemas de identificación . Criptografía

3.3. Criptografía híbrida La desventaja de la criptografía de clave pública es la lentitud del proceso de cifrado y descifrado, que obedece tanto a la comple¡idad de los métodos utilizados como a la longitud de las claves. Pensemos que una longitud típica de una clave utilizada en criptografía simétrica es de 128 bits frente a los clásicos 2048 bits que se suelen utilizar para el tamaño de las claves en criptografía de claves asimétricas. Otra de las desventajas es el mayor tamaño de la información cifrada con clave pública frente al tamaño de la misma cuando se cifra con clave privada. Todo esto nos hace pensar que lo ideal sería utilizar criptografía de clave privada para intercambiar mensajes, pues estos son más pequeños y además el proceso es rápido, y utilizar criptografía de clave pública para el intercambio de las claves privadas. Veamos el siguiente ejemplo: Gustavo quiere intercambiar información con Virginia utilizando como clave privada "CIFRADO". Para ello, antes de nada, Gustavo mandará un mensaje cifrado con la clave pública de Virginia, en el que informa de la clave que utilizarán ("CIFRADO,,), así solo Virginia podrá descifrar el mensaje y conocer la clave que utilizarán para la posterior comunicación.

4. Algoritmos Los algoritmos son los métodos que se utilizan para transformar el texto claro en el texto cifrado. Para aclarar esta definición, vamos a analizar el cifrado por sustitución del César. El algoritmo consiste en sustituir cada letra del texto sin cifrar por otra letra del mismo alfabeto que se encuentra situada en el orden del diccionario N puestos por delante. N es el valor de la clave, que como podemos ver, junto con el algoritmo, determinará exactamente la letra que sustituirá a la original.

I principio Kerckhoff es la base de la mayor parte de los sistemas actuales de seguridad, en los que la seguridad recae en algo que el usuario sabe

(una clave), algo que el usuario posee (una tarjeta de identificación) o algo que pertenezca a

la naturaleza del usuario luna huella digital).

El principio de Kerckhoff establece que la fortaleza de un sistema de cifrado debe recaer en la clave y no en el algoritmo, lo cual quiere decir que aunque el algoritmo sea de dominio público (y este es el caso de la mayoría de ellos en la actualidad), si no conocemos la clave, no seremos capaces de descifrar los mensajes. Como podemos imaginar, hoy en día se utilizan diferentes algoritmos, algunos válidos para criptografía de clave privada y otras para criptografía de clave pública. DES, 3DES, RC4, IDEA Y AES son nombres de algoritmos de clave privada y DH, EIGamal, RSA de clave pública, entre otros. Los algoritmos de cifrado se clasifican en dos tipos: •

De bloque: llamados así porque dividen el documento en bloques de bits, que por lo general son del mismo tamaño, y cifran cada uno de estos de manera independiente, para posteriormente construir el documento cifrado. Cuando se envía un documento cifrado utilizando un algoritmo de bloque, primero se cifra completamente el archivo a enviar y luego se realiza su transmisión.

De flujo: se diferencian de los anteriores en que se cifra bit a bit, byte a byte o carácter a carácter, en vez de grupos completos de bits; son muy útiles cuando tenemos que transmitir información cifrada según se va creando, es decir, se cifra sobre la marcha. El algoritmo de nombre AS que se utiliza en la telefonía móvil es de este tipo, pues según se van generando los bits que hay que transmitir, se van cifrando uno a uno y poniendo inmediatamente en el aire.

~ Actividades 7.

90

Indica cuál es el algoritmo en el cifrado de la escítala y cuál es la clave.


Sistemas de identificación. Criptografía

4

5. Función Resumen También se conocen por su nombre inglés hash; son funciones que asocian a cada documento un número y que tienen la propiedad de que conocido el valor numérico, no se puede obtener el documento. Estas son conocidas por el nombre de funciones de un solo sentido. El tamaño de un documento en bits podría ser una función resumen; también podría serlo, por ejemplo, la función que a cada documento le asocia su fecha de creación. Y aunque es verdad que estas dos funciones son funciones resúmenes, serían muy pocos útiles en el mundo de la criptografía, porque no cumplen los dos requisitos fundamentales: el primero de ellos, debe ser muy difícil que dos documentos distintos tengan el mismo resumen, y el segundo, que debe ser muy difícil, por no decir imposible, crear un documento a partir del valor de su resumen. Como vemos, si nos fijamos en el primer ejemplo de la función tamaño en bits de un documento, no cumple ninguno de estos requisitos, pues es fácil que dos documentos tengan el mismo tamaño, y aún mas fócil es crear un documento que tenga un tamaño dado. Esto nos hace pensar que la manero de obtener el valor resumen de un documento empleará algoritmos complejos matemáticamente, para que así pueda cumplir las dos especificaciones de la función resumen. Algunos de estos algoritmos son el MD5 y el SHA. El aspecto que tiene el valor hash o función resumen de un documento utilizando el algoritmo MD5 es lDE928978E2BF219F76ElC5C2A9CCB1A; como podemos ver, un número escrito en hexadecimal de 32 dígitos, o lo que es lo mismo de 128 bits. El resultado de aplicar este algoritmo a un documento siempre genera un número de 128 bits. Sabemos que en Linux las contraseñas de los usuarios se encuentro n en el fichero /etc/ passwd o en versiones más actuales en el fichero /etc/shadow. Como imaginamos, estas contraseñas no se encuentran en texto claro, sino que se almacenan en estos ficheros utilizando funciones resumen; los algoritmos que más se utilizan son el MD5 y el SHA512. Se recomienda utilizar este último pues se considera el MD5 mucho más inseguro. En el siguiente texto se muestran las contraseñas de dos usuarios, el primero de nombre Macarena, con contraseña SHA-512, y el segundo Fernando, con contraseña MD5. A continuación se muestra un extracto del fichero shadow donde se guardan las contraseñas cifradas de los usuarios de las últimas distribuciones de Ubuntu. macarena:$6$R977XEKW$TPt4CYwdX3 85zM4BkaOXBS51V4GES 1n R04PxBOoHys/ qx/BXeEOH6wGW2vID.GRaeUfKhlvIUpg uD/7imHeNu 1: 14595:0:99999:7::: fernando:$l $U9Cre44W$V2mwkCU1 uH117zqWaqc7L/: 14595:0:99999:7::: Como se puede observar en las líneas anteriores, la contraseña de Macarena, que utiliza el algoritmo SHA-512, es mucho más larga y por tanto será menos vulnerable que la de Fernando, que ha utilizado el algoritmo MD5 para ocultarla.

Actividades

9t

8. Bájate de la página http://www.blisstonia.com/softwore/WinMD5/#download la aplicación WinMD5, que calcula el valor resumen de un documento utilizando el algoritmo MD5. a) Crea varios documentos de texto.

b) Calcula mediante la aplicación sus valores hash. c) ¿Son muy parecidos los valores resumen de los documentos?

d) ¿Cómo son los valores hash obtenidos de dos documentos iguales que difieren exclusivamente en una letra?

En muchas páginas web te pue· des descargar además de un archivo su valor resumen para así comprobar si alguien ha

modificado el archivo original

y

por tanto su valor no coincide con el que debería tener.


Sistemas de identificación. Criptografía

6. Firma digital Cuando estampamos nuestra firma manuscrita en un documento, [e estamos dando a[ mismo veracidad y aceptando nuestra respansabi[idad sobre [a que en é[ se diga. Por eiemp[o, cuando firmamos un contrata de trabaia estamos aceptando [as condiciones que en este se establecen y por tanta responsabi[izándanas de [as mismas. Cuando firmamos una declaracián de [a renta, estamos admitiendo que ese es e[ dinero que nos deben deva[ver a e[ que (esperemos que na) tenemos que entregar nosotras a [a Agencia Tributaria. La firma digital viene a sustituir a [a manuscrita en e[ mundo de [a informática. Es decir, si firmamos de forma digital un documenta, [e estaremos dando veracidad y como sucede con [a firma manuscrita, no podremos decir que no [o hemos firmado nosotras; por [o tanto, seremos responsables de [o que en é[ se diga. La descripción del mecanismo de firma electrónica es e[ siguiente: •

Se calcula un valor resumen del documento, utilizando algún algoritmo como e[ SHA.

Este valor resumen se cifra uti[izanda [a clave privada de nuestra pareja de claves púb[ica-privoda (sí, has leído bien, resulta que no sólo se puede cifrar con [a clave pública, también algunos algoritmos de cifrado asimétrica permiten cifrar con [a clave privada, en especial [os que se utilizan para firmo digital. Esto permite asegurar que [a única persona que ha podido firmar e[ documenta soy yo, e[ único que conoce [a clave privada).

E[ resultado de este valor es e[ que se conoce como firma digital del documento.

Texto claro

~

Clave pnvada utilizada para firmar

1 =,.,.&:;=".,,'P~.:.;¡ ~ =' ' ~'P~.:. Función hash

I

Resumen del mensaje

I

j

Resumen firmado con clave privada

Texto claro + firma

Fig. 4. 14. Esquema del proceso de firmar digitalmente.

Como se deriva del pracesa recién exp[icado, [a firma digital nada tiene que ver con e[ cifrado del documento en sí. En ningún momento hemos cifrado e[ archivo, y es que si pensamos en e[ praceso de [a firma manuscrita sucede que nunca cuando firmamos un papel [o estamos cifrando. Esto no quiere decir que no se pueda, también, cifrar y además firmar e[ documento. También podemos deducir que dos documentas distintos firmados digitalmente por una misma persona tendrán firmas digitales distintas, pues [os va[ores resumen del documento nunca serán iguales, y por tanto esto diferencia a este tipo de firma electrónica de [a firma clásica, pues esta última siempre es [a misma para [a misma persona firmante.

~ Caso ,,-rédico 6 Firma digital de un documento para asegurar la autenticidad del autor y la integridad del dacumento enviado Vamos o utilizar [o herramienta gpg con [os parámetros:

• •

-clearsign: e[ contenido del documento o firmar no es cifrado, por [o que es legible para cuo[quier usuario sin ningún software especial. Solo será necesaria [a op[icación gpg para verificar [o autenticidad de [o firma. -s: firma con [a clave privada del usuario. E[ resultado es un fichero comprimido (binario) ilegible. - b: se utiliza cuando se desea que [a firma aparezca en un fichero separado; cuando se quiere firmar un

archivo binario, como ficheros comprimidos, ejecutob[es ... En esto práctica vamos o ver [os distintas opciones que podemos utilizar para [a firma de un documento.

1. Ejecutamos [a instrucción gpg - -clearsign Documento

secreto.

2. Introducimos [a contraseña de [a clave privada con [a que vamos a cifrar e[ documento. (Continúa)


Sistemas de identificación. Criptografía

4

Casa práctico 6

9

(Continuación)

3. Al finalizar el proceso, obtenemos un fichero con el

Vamos a cifrar el mismo documento utilizando el parómetro -s; para ello debemos ejecutar la instrucción gpg -s Documento sec reto.

mismo nombre que el archivo a firmar con extensión asc (en nuestro caso Documento_secreto.asc). Como podemos ver en la Figura 4.15, en primer lugar aparece el texto en claro del documento firmado y posteriormente la firma.

El resultado es un fichero binario ilegible. Para poder abrirlo con el editor de textos le añadimos a la orden anteriar el parámetro -a, obteniendo el siguiente resultado.

Archivo fditar yer Buscar Herramientas D.ocumentos Ayuda

[b EJ v

Nuevo Abrir

@ Documento)iecreto.ase

····BEGIII PGP SIGtIED HESSAGE··· · · Ha5h: SHAl Docur:ento secreto Que se enviará a lIacarena fincado. De esta r:anera nos as egura:os la aut enticidad y la integri dad del

El i

Guardar

IJ

~

1

Imprimir...

Desh;:¡Cel Hch<lccr

I c~¡¡r

copiur Pegar

I

I-----BEGIN PGP HESSAGE----Version: GnuPG v1.4.9 (mlU/Linux) n51:O.

·· ···BEGIU PGP SIGIIATURf····· ve rsion: GnuPG v1.4. 9 (GUu/Unux] iEYEA/lECAAYFAkq+jGYA(gkOhB sEcxXZloSuMA(gqzKJRl~6o(lJGTnDdq)(rl/ rz

/ UwAnj uyYYULD8oH3f upxKhP7Kb9a3GK "SIo'Il E ·-·- · ElIO PGP SIGIIAT\JRE-----

Fig . 4 .15. Documento firmado con opción - -clearsign.

Por último vamos a analizar la salida que produce la ejecución de la instrucción gpg -b -a Documen to_ secreto. Como hemos comentado anteriormente se suele utilizar cuando se firman documentos en binario, como los ejecutables, ficheros comprimidos ... La salida es la firma del documento separada del mismo, como se puede ver en la Figura 4.17

j A9EAwtlCVW3L r7 JZhBVgyY j CEl j Sj dVCdZfgtl eCPBoUc9BM9pdtnt ltjohhSKWSrl q4dwW4MHWZBnBAYdtDUR9UWfn231uKVrfAkztiBHCZFosousDnwOrkpaVW8IOBR cdipiI'Nz lZI9VtJwYslUkvIXI F4DiWC kmHt2G230eg 1OEEv Ps7VFTCO FBS3y j cSe YdW02sqqniEw =AgTN -----END PGP HE5SAGE-----

Fig. 4.16. Documento firmado con opción -s.

I~

Archivo fditar yer Buscar !:Ierramientas Qocumentos

N~O ~r .., Gu~<!r I (mp~ir... luDocumento secreto.ase I

I

Deshacer fle!lacer

..

Aluda

1lID !

Cort ar Copiar Pegar

IJ

-----BEGIfj PGP SIGtjATURE· .. •• Version: GnuPG v1.4 . 9 (GtjU/Unux) iEYEABECAAYFAkq+1WEAcgkQhaSEc)(XZI06gggcgzNqPrsrEH'r14RYpHbWLEjAAEY pygAOIg6SROBJVmUWJextaBficGyD5Nl =tlH3j -----EtlD PGP SIGNATURE· ....

Fig. 4 .17. Firma del documento con opción -b.

Describamos ahora el proceso de comprobación de una firma digital, que a diferencia de la comprobacián visual de la firma manuscrita, se tendrá que realizar mediante algún método informático. El que se utiliza es el siguiente: •

La firma se descifra utilizando la clave pública del firmante (has vuelto a leer bien, pues algunos algoritmos de cifrado asimétrico y en particular los que se emplean para la firma digital descifran con la clave pública lo que se ha cifrado con la clave privada), y con ello, como se deduce del método de firmado, se obtiene el valor resumen del documento.

Se obtiene el valor resumen del documento utilizando el mismo algoritmo que en el proceso de cifrado, por ejemplo el SHA.

Por último se comparan los dos valores resúmenes obtenidos en los dos procesos anteriores y si estos coinciden entonces la firma es válida; si estos son distintos la firma será nula.

Actividades ~ 9. Comprueba la validez de las firmas digitales creadas anteriormente. Paro ello deberás utilizar el parámetro -ve r ify de la herramienta gpg.

Como puedes observar, dado el proceso de comprobacián de la firma, cualquier persona que quisiera comprobar tu firma de un documento necesitaró tener nuestra clave pública.

93 - -

,

,

-

..

, '(

.}W

tb:'


Sistemas de identificación. Criptografía

7. Certificados digitales El certificada digital es un documento que contiene fundamentalmente información sobre una persona o entidad, guarda su nombre, su dirección, email. .. , y una clave pública y una firma digital de un arganismo de confianza (autoridad certificadora) que rubrica que la clave pública que contiene el certificado pertenece al propietario del mismo. Esta última firma podriamos decir que es la más impartante del certificado, así como la firma del director de un colegio es lo más importante del certificado académico, pues sin ella este no tendría validez. Como podemos ver en el ejemplo, no sirve la firma de cualquier persona, sino que debe ser la del director del centro, por ser la persona en la que se confía paro dar validez a dicho certificado. Lo mismo ocurre con la firma digital, que lleva un certificado creado por algún arganismo de confianza; en España es La Casa de la Moneda y Timbre la que firma los certificados digitales de los usuarios. Estos certificados nos facilitan muchos de los trámites que debemos realizar con las administraciones públicas, podemos entregar la declaración de la renta, consultar nuestra vida laboral y otras muchas gestiones. Todo ello gracias a que el certificado digital establece la identidad del usuario en la red. Nombre: Inés Fernández Subtil. D~a:

4496430-H

Dirección: La estrella 10 Clave publica: AB56FE77 E9898FE ......... A8899808FAD55 EC8A45FBB45 ..

Fig. 4.18. Firma manuscrita. Certificado

?~

:•

I

General DetaUes Ruta C'e certificación

Mostrar:

I

I<To_dos>

El

Como podemos ver en la siguiente figura el certificado almaceno los siguientes campos:

V3

jueves, 23 de septiembre de 2 .. . Macarena Subtil Marugan, Divi .. . RSA (512 B~s) CN = SiTourCA

OU c::: Division de certificados 0= SITOUR.5A. L = Fuentemilanos 5= Segovia C=ES E = macarena@sitour.com

Motfificar propiedades...

Al igual que existen multitud de formatos para guardar una imagen (jpg, bmp, png ... ) también existen multitud de formatos para los archivos que alrnacenan los certificados digitales. El más extendido y usado en Internet es el estándar conocido como X.509

I

Copiar en archivo...

I

Versión, número de serie.

o

Algoritmo de firma (identifica el algoritmo utilizado para firmar el paquete X.509).

o

La autoridad certificadora (en la figura emisor).

o

El periodo de validez (válido desde y válido hasta).

o

El propietario de la clave (asunto.

o

La clave pública.

o

La firma digital de la autoridad certificadora.

o

Huella digital.

o

Uso de la clave.

o

Dirección web donde se pueden consultar las prácticas de certificación.

Aceptar

Fig. 4.19. Campos de un certificado.


Sistemas de identificación. Criptografía

8. PKI PKI son los siglas de Public Key {nfrastructure (infraestructura de clave pública), o lo que es lo misma, todo lo necesario, tanta de hardware como de software, para las comunicaciones seguras mediante el uso de certificadas digitales y firmas digitales. De esta manera se alcanzan los cuatro objetivos de la seguridad informática que estudiamos en la primera unidad: autenticidad, confidencialidad, integridad y no repudio. Las PKI están compuestas de: •

La autoridad de certificación, también conocida por sus siglas CA (Certifica te Authority), es la entidad de confianza encargada de emitir y revocar los certificados digitales.

La autoridad de registro, también conocida por sus siglas RA (Registration Authority), es la encargada de controlar la generación de certificados. Primera procesa las peticiones que hacen los usuarios, posteriormente comprueba la identidad de los usuarios exigiéndoles que les presenten la documentación oportuna que permita verificar la identidad de los mismos y por último solicita a la autoridad de certificación la expedición del certificado digital.

Las autoridades de los repositorios donde se almacenan los certificados emitidos y aquellos que han sido revocados por cualquier motivo (haber sido comprometidas las firmas) y han dejado de ser válidos.

Todo el software necesario para poder utilizar los certificados digitales.

Política de seguridad definida para las comunicaciones.

En España para realizar numerosos trámites con las administraciones públicas por Internet nos exigen el uso de un certificado digital que asegure nuestra identidad. Dicho certificado es emitido por la Fábrica de la Moneda y Timbre, autoridad de certificación, que haciendo uso de numerosas oficinas de la administración pública (tesorerías de la Seguridad Social, oficinas de la Agencia Tributaria) como autoridades de registro verifican que la persona que solicita el certificado es quien dice ser al presentar el documento nacional de identidad en dichas oficinas.

Caso práctico 7

9

Instalación de una entidad emisora de certificados En esta práctica vamos a instalar un servidor de certificados en un host, que tiene como sistema anfitrión un Windows 2000 Server. Con esto conseguiremos que los empleados de nuestra compañía obtengan certificados digitales, tras solicitárselos a este host. Más tarde los podrán usar para el envío de correo electrónico seguro y/o para la firma digital de documentos.

-

o !JI S..ooo do CootlaIo s.......

'i'l 'J'SOl'YiciodoIrOooS.....

~~: ~

D::IS..ooodo~_.

1.7101S

.J

'~"'R .:J

1. Instalamos en nuestro servidor, Jupiter, el liS, para ello accedemos al panel de cantrol. Hacemos doble c1ic en el icono Agregar o quitar programas y dentro de éste, hacemos c1ic sobre Agregar a quitar componentes de Windows. En la lista de componentes marcamos las opciones que se ven en la Figura 4.20.

E_loIII ondo<o-,,>: E...-z,<k¡xrijooncb:a

rulUl 705JJIIoIB

Fig. 4.20. Agregamos componentes de Window5.

(Continúa)

4


Sistemas de identificación. Criptografía

~ Casa práctica 7 (Continuación)

2. Instalamos el servidor de certificados. Volvemos a Agregar o quitor componentes de Windows de la misma manera que en el paso anterior y morcamos la opción que aparece en la siguiente figura.

_

......... _---"

".. _ ..-...,_ ......... .-,,--.u.o... _............. ;::...:.. ........... ..,P..-

,,~

:m.tll P-*'

.:J

:::"...'!:.:W':=:0I0a::::~.c=--

( _ _ ..,_~

E..................

.

lJ~

r.ttU1II

_ .._ -- - -- --- --_ .Fjg. 4.21. Instalación servidor de certiFicados.

3. Después de pulsar en Siguiente, le indicamos a la aplicación que queremos instalar una entidad emisora de certificados del tipo Entidad emisora raíz independiente (Fig. 4.22).

'...(,,,,_Il>00'' "' ................ "'-__ ''''_ r r"'4>.1,....,..~

~ ~

... .. _

po Eróidod ......... ...........

....:.J

rln1illod ....... ..-.............

,.~r- ... __.,,--f:--p-.,-_-=. =='::::':'~O::-~l:_-:-"'-'Io""'"

ro.m-_

Fig. 4.22. Instalación entidad emisora de certificados.

4. Al hacer clic en Siguiente, se abre un nuevo cuadro de diálogo, en el que debemos especificar el nombre de la entidad emisora, la organización, la ubicación de la misma, etc. (Fig. 4.23).

_.

~-

IJo1""'"

...-

15I'tuUA.

u.idoiI ...........

¡O;;;;;;;;oIo'-:-'

-1_.--- ,11"';'

~-

~"Io_ ,~-

.

"01........

¡u---

f -•••• -

1.... __ ""· ..... -.010 ... _ l' 1- 0!l~[Zi1111;m11131

Fig. 4.23. Datos de la entidad emisora.

••I

,.

(Continúa)

J


Sistemas de identificación. Criptografía

Caso p'ráctico 7

4

9

(Continuación)

5. En la siguiente pantalla, se nos permite modificar los directorios que se van a utilizar para guardar los datos referentes a este servidor de certificados. En nuestro caso, dejaremos los que propone, por lo que hocemos elic en Siguiente.

Fi'

6. Por último nos muestro un mensaje en el que nos informa que es necesario detener el servidor de páginas web liS. Hemos creado una entidad emisora de certificados. A partir de este momento, si entramos en herramientas administrativas vemos una nueva consola llamado Entidad emisora de certificados. cno¡dps

d~

Cerllfic<lte Servu de Mlcrolofl

---=Ó>"'_"" ... _l>,,~

""cr.>oU"'._'

I Fíg. 4.24. Directorios donde se guardan 105 datos del servidor de certiFicados.

=============---~. x

Fig. 4.25. Menso;e de aviso sobre fa creación del servidor de certificados.

Caso práctico 8

9

Petición y retirada de certificados de una entidad emisora En esta práctica vamos a aprender cámo debemos solicitar un certificado digital desde un ordenador de la empresa a la entidad emisora de certificados, que configuramos en el caso práctico anterior.

1. Abrimos el navegador, en nuestra caso Internet Explorer. Escribimos la URL http://jupiter/certsrv; Jupiter es el nombre del servidor de certificados. También podríamos haber utilizado la direccián IP del servidor en lugar de su nombre. Seleccionamos la segunda opcián, Solicitar un certificado, ya que es lo que nos hemos propuesto inicialmente. 1~ . I,jIO'''""i '" f ..... too

iN

J.... f'::,'l """" ......

"' 1Ifi~ ru- fbo~_ ífJ ~

.. ¡) .._

\\'9 DSA~do_"",,_

a Senlaosdo""'-'tc.tha_

BIenvenIdo Use eSle sitio web para solicitar un celtJ~cado para su explorador web, su chellle de coneo eledrónico u 0\10 programa seguro Una vez. que tUlya adqutrido un certificado, pedr;! Identificarse de una forma segura hada otras personas en elweb, firmar SuS mensajes de torTeO eleCllóllico. cifrar sus mensajes de correo electrónico, y m~s dependiendo del Ilpo de certificado que haya solialado.

Selllcclonar un. tarea: r Recupere el certlflcado CA o la lista de revocación de ceruficados 10 Soocitar un certificado (" Comprobar un certificado pendiente

~, ~ I

rrOOD Ci'!1 Hr..t1oul

~ 1 'I¡. 11D'to

.=.J ~

Fig. 4.26. Solicitud del certificado. (Continúo)

97


Sistemas de identificación. Criptografía

-1

~casop~ ra~ ·c~t~ iC= O~8~______________~__________________________

l'• -

' .••., ¿Sb· O losque

(Continuación)

Cuando creamos un certificado

2. En la nueva pantalla debemos seleccionar el tipo de solicitud; seleccionamos Certificado de protección de correo electrónico, ya que lo vamos a utilizar para

que está comprometido debe-

enviar correo electrónico.

mos revocarlo.

-_

lo podemos hacer mediante la línea de comandos_ Debemos escribir en el símbolo del siste-

~ .. I Itl ¡''''Ii).do<:"" " ,!,-"~,,-~ .•,,,

.... --,_ lto. ~ c.o",.. -

ma:

certutil -revoke serie Código_motivo.

CJoI.. ~

~ _niwrooI_ íD ~- ... ~.,.~ ~ os..~"_digl:. "

NQ EIIglrtlpo de leUtltud

los códigos de motivos válidos

Eija el Vpo de sc~ otud que le gl5tarla hat~

son los que se especifican en la

lO

siguiente tabla:

So~ atlld

1

de (eruf¡cadO de usuarin

~I!\"e .. o~ . "rJ".~,,\\·.~

.- iJ2 . 14 1. 1 Jj .

Sin especificar

.....

,--~

...~

:.:J B0 F:t ~

,..

O

So~ cilUd

J

.

;;.

avanzada

:So;-M. ~ r

Compromiso de clave

.:J

¡;;-;'~

Compromiso de CA

2

Afiliación modificada

3

Reemplazo

4

Cese de operación

5

Certificado retenido

6

Fig. 4.27. Selección del tipo de solicitud.

3.

Nos pide la información de la persona que solicita el certificado digital, su nombre, e-mail. ..

Relene la slguenle mloonaaón de ¡delllJfl(aoón que ud en su certJ~cadc 110mb. jF,man;,

Fig. 4 .28. Identificación de la persona que solicita el certificado.

4. Nos muestra un mensaje de alerta similar al que vemos en la Figura 4.29. Respondemos afirmativamente a la pregunta que contiene el mensaje de alerta, ya que en otra caso no solicitaríamos el certificado. Peligro potencial para la secuencia de comandos

- _

Este silo web est.S soklando Ln ooevo certflc.wo en su nombre. Sólo los si:Ios web de coriIanta deberÍ5l soIct.et certft:ados en SlJ nombre. lDesea soiI:iM tri cerficado?

~

11

No

Fig. 4.29. Mensaie de alerta sobre la solicitud del certificado. (Continúal


Sistemas de identificación. Criptografía

Caso práctico 8

4

9

(Continuación) En la última pantalla se nas indica que nuestra certificada se encuentro pendiente, deberemos esperor unas días hasta que un administradar acepte la solicitud después de comprobar que las datas enviadas san correctos . Una vez que sea admitido el certificado, el usuario que lo solicitó deberá recogerlo en el mismo PC en el que se solicitó el certificado. , .r

C.rtIfI=..do p.ndl.nt.

Se h.l reobido SU '" ¡ji t1l, "'4!ndMtt

S ' ~elrbar¡¡o cebe esper¡¡r mQIH U'1 O Clrnnoll¡a~or err~e ~ cerllfJ<:adO(¡,.te

' 01010

Vue fa a éste S1bO ... eb lientro ele l>'I!l o CW e:J l lIJra rea.;¡eral Su cel'\Jfi(,dQ

11." ,\:", \<1. "

'011 ' ''''''' ._:/,,. ,.,~. _.0 ~ ,"'ro " le ~. ,,00.'0"" '" "

r!l.:u:.

Fig. 4.30. Certificada pendiente.

5. En el mismo equipo, en el solicitamos el certificado, debemos retirorlo. Escribimos la dirección http://jupiter.certsrvyseleccionamos la tercera opción, Com-

probar un certificado pendiente.

, ..

~.

i ;.tl..

e.

i

¡; ;; l E .

I I .h,I..\1

E'#J

e"nv. nldo

wt'

UlI 'st' 5100 p,va I~ClIoIi U'1 etrt&CIOco Oira su ~pIoraaor IOfb. l u ~er:I' CIt ( oneo &cuónoco 11 0:;0 orl9"ama s~ UIIoI m q.>! 1U)·a ac:ranCl:l1nCM;~Ca&.l . poor&ldefllftaorst Of 161a 10'lIIa UQ".J"i hao. Clill pe<'lOllolS en d .. elI. ftmur IIIS mensa¡es oe CCOleo IIKDÓlICO. a lfar ~ n'II'I'IU¡f:1 oe coneo eIeaIónco ,m.li Cepencllen:lO celtrpo ere Clm!ftc.ao Q'Je 1\01}'3 S~Cl.ldo 50I.cclon., UIII tano : ,. R~e ~ CelIJbCi(ID CA o la Ista de r!"iOClOeoo ce cerofiClOol:l$ ,. Sai e lar .... ceftJfi caao ro Ccvn;:lobar U1 ceftJI,cadoptnd<'nle

· ¿Sb'''· -~ a las que •••• Fig. 4.31 . Solicitud para retirar certificado pendiente.

fI

Paro leer lo información que

6.

Elegimos el certificado, que queremos comprobar si ya ha sido admitido.

_---

DNI electrónico necesitas un lec-

~~~~~~~~~~~~~~--------------------~~~

v.t

-~

i'9 _ il

.. .

I f,oo ~ c-o .... _ "" ... .. _~_

O§5e

! i IAI

'00

tll-a;--1 I

tor de DN I; algunos teclados lo

p .

!!..! ~...--"' el---- ~ """""'cIo""'''''.R

contienen los certificadas del

ID---.. . .·

incorporan.

81 43

..1I!!!i!f1l ":'

Comp robar tln' s ollcltud d. cettln ca do pondlente

· 1' ·· 11"'''.

. Fig. 4.32. Solicitud para retirar certificado pendiente.

~. '''''

. (Continúa)

Fig. 4.33. Leclar de DNJ electrónico.


Sistemas de identificación. Criptografía

Q

Caso práctico 8

(Continuación)

7. Nos dará algunos avisos sobre la instalacián y nos mostrará la opción de instalar el certificado.

Clrtm""do ImlUdo

Fig. 4 .34. Emisión del certilicado.

8. Instalamos el certificado haciendo elic sobre Instalar este certificado. 9. Respondemos afirmativamente al permiso que nos solicita para agregar los certificados.

Este stIQ 'MIlI eot6 ~ I n ) o n>6s ~ I aste 1IqJpa. PerJrD- qua un 1Ilo 'MIlI <JIII no es d.. con'w.z8 fICtwIce RI5 catfbdcs ~ un lIo$gO por. '-~. El dIQ l'I'eb portIi lnItaIar ClI!tflc.-!os en los qJII no caiIa, lo <JIII poa,' ,1:SlI:1Ir en <JIII P1I'7...a5 qJe no sm d.. arIIan:a se ~ en este lICJ.IIIlo v lCaIdesen a RI5 detos. lDMM pennb> QW aste P"OQI'IIfIII ~ los a.tfIca:Ios1 Haoa de en S JI arilo en ...te 1Ilo...b. Haoa de en No si no a:t& en ,y.

Fig. 4.35. Aceptamos añadir el certiFicado.

10. Nos muestra una pantalla en la que nos informa de que el certificado ha sido instalado. I empleadas se conectan desde su casa a la red corporativa haciendo uso de tarjetas inteligentes que contienen la información necesaria para el acceso.

Por último, comprobamos que el certificado ha sido bien instalado. Abrimos Internet Explorer y hacemos elic en Herramientas, opciones de Internet. Hacemos elic en la pestaña Contenido y hacemos elic en Certificados.

~I""""I .... " ' - I

=

~

lnfonnadón del certlficado

Este [~rtlflcado está destinado a 105 siguientes propósitos: oProtegll

m rnensajel; di! r;orraa dectr6nico

EmItido por!iTcuCA

Válido desde 22/09/2009 hasta 22/09/2010

7> TIene trlad.sve privada witspOilkiLe a estll =tr~.

...., ""'_=. d;d:"'_""':O¡' Fig. 4 .36. Certilicada de Fernando.

100


Sistemas de identificación. Criptografía

Caso flráctico 9

9

Mandar correo electrónico haciendo uso de un certificado digital utilizando como gestor de correo Outlook Express

Se supone que el usuario tiene configurada una cuenta de correo en Outlook Express.

1. Debemos asociar nuestro certificado de usuario a nuestra cuenta de correo. Para ello en el menú de herramientas del Outlook Express seleccionamos opción cuentas y hacemos ciic sobre Propiedades. Internet

. ,....."

Cualquiera di,p...

Cerrar Fig. 4.37. Menú herramientas de Out/ook Express.

2. Hacemos ciic sobre la pestaña de seguridad.

Propiedades de Sitour

. '

?

IX

G.".,O/ I~ I~I Segy¡idad O~ 0.",,0<1..

Cuenta de ceneo Escriba el nombre que prefiera para referirse a 10$ @¡ ...." servidOfe$. Por ejemplo, "Trabajo" o ''Servidor de correo de Microsoft",

¡siloUl Infonnoci6n do tnIJlIrio

IMaca~ena Subtil Marugan

Nombre: Drgarización:

Dirección de correo e\eclrórice: Ditec:dón de re$puesla:

Imacarena@~jtour.e$

M IncIui le cuenta al recibir correo e1eclrónico o sincronizar

Aceptar

Fig. 4.38. Selección pestaña de seguridad.

(Continúa)

4


Sistemas de identificación. Criptografía

Q

Caso p'ráctico 9

(Continuación)

3. En la ventana de Seguridad, hacemos clic sobre el botón Seleccionar del Certificado de firma sobre el certificado expedido a nuestro nombre. Si no apareciese nuestro certificado en esta ventana debe ser porque cuando rellenamos la instancia al solicitar el certificado pusimos uno correo electrónico diferente al que estamos utilizando.

Fig . 4.39. Selección del certificado.

4. Cuando queramos enviar correo firmado debemos marcar la opción firmar digitalmente que se encuentra dentro del menú Herramientas a bien hacienda clie sobre el icono adecuado. ÜlI (ompra de billetes -

Archivo

..

--------

- --

Edldón

Ver

Insertar

111 Para: II! CC:

JFernando<ventas)

Asunto:

lcompra de billetes

Formato

I R.

»

Arlal

La compra de los 10000 billetes de avión encargados por el director.. .

.. Fig. 4.40. Envío de correo firmado digitalmente.

La única farma que tiene el destinataria de comprobar la autenticidad de la firma es mediante el certificado digital del remitente, pues este se ha mandado con el correo electrónico, por lo que puede comprobar la veracidad de la firma. Además al tener el certificado del remitente podrá hacer usa de su clave pública para mandarle correo cifrado can lo que nos aseguramos el na repudio, la confidencialidad e integridad de la información.


Sistemas de identificación. Criptografía

4

Comprueba tu a~rendizaie ~ Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático 1. Inventa un método de cifrado simétrico para comunicarte de manera segura con un compañera. Describe sus características. 2. Describe las características del morse como método de cifrado. 3. Durante la Segunda Guerra Mundial se desarrollaron numerosas métodos de cifrado para ocultar la información al ejército enemigo. Realiza una investigación que recoja los métodos de cifrado utilizados durante dicha época. 4. Descubre el resultado de cifrar mediante Vigenere la siguiente frase: La máquina Enigma fue utilizada por los alemanes utilizando como palabra clave «secreta». 5. Cifra mediante el algoritmo del César la frase: "El gran avance de la criptografía tuvo lugar durante el siglo xx» utilizando el alfabeto castellano. Realiza el cifrado de la frase anterior utilizando el mismo algoritmo con el alfabeto inglés. ¿Has observado alguna diferencia o por el contrario el alfabeto no influye? 6. Relaciona mediante flechas: MD5 Escítala César Esteganografía Vigenére IDEA A5 EIGamal 7.

Sistema de sustitución Algoritmo clave privada Función resumen Polialfabético Sistemas de sustitución Sistema de transposición Algoritmo clave pública Algoritmo de flujo

Indica el método que se utiliza en el cifrada de la palabra computación:

nóicatupmoc ocpmtucaóin

0315131621200103091514 8. Descubre la rima de Gustavo Adolfo Bécquer que se encuentra oculta en el siguiente párrafo: ehvd ha dxud txh jlph eodqgdphqwh odv ohyhv rqgdv txh mxjdqgr ulcd; ha vro ehvd d od qxeh hq rfflghqwh b gh sausxud b rur od pdwlcd; od oodpd hq ghuuhgru gho wurqfr duglhqwh sru ehvdu d rwud oodpd vh ghvolcd;

b kdv.wd ha vdxfh, Iqfolq<;:qgrvh d vx shvr, do uOr txh oh ehvd, yxhoyh xq ehvr. Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico 9. Instala la aplicación gratuita pgp que podrás descargar de la página hllp://www.inicioo.com/descarga/win/ seguridad/pgp.htm. 10. Crea las parejas de claves que te permitan realizar cifrado asimétrico mediante la aplicación gratuita pgp. 11. Cifra un documento utilizando la aplicación del ejercicio anterior.

12. Mediante la aplicación anterior envía mensajes cifrados a tu compañero y descifra los recibidos. 13. Como hemos comentado en el apartado de certificados, estos nos facilitan muchos trámites por Internet. Solicita un certificado a la Casa de la Moneda y Timbre accediendo a la página de www.cert.fnmt.es. Posteriormente deberás pasar por la oficina de registro para identificarte y retirarlo según las instrucciones que aparecen en la propia página. 14. Consulta los puntos del carnet de conducir con el certificado digital solicitado en el ejercicio anterior. Solicita el certificado de empadronamiento. 15. Indica qué otros trámites puedes realizar con el certificado digital. 16. Consigue un certificado digital de un compañero y mándale un mensaje cifrado a través de Outlook Express a su cuenta de correo personal; tu compañero deberá descifrarlo utilizando también Outlook Express. 17. Investiga lo que contiene en su chip el DNI electrónico, para ello entra en la página web del Portal Oficial sobre el DNI electrónico: hllp://www.dnielectronico. es/Guia_Basica/descrip_fisica.html. 18. Haz uso de la esteganografía para ocultar un mensaje tras una fotografía. 19. Enumera los componentes de una infraestructura de clave pública y explica sus funciones. 20. En las últimas versiones de la distribución de Ubuntu las contraseñas de los usuarios se guardan cifradas utilizando el algoritmo SHA512 en el fichero /etc/shadow. Contesta a las siguientes preguntas: a) ¿Qué pasos hay que seguir para almacenar las contraseñas cifradas utilizando el algoritmo MD5?

b) ¿Qué comando hay que utilizar para que las contraseñas de los usuarios se guarden en el fichero que utilizaban las distribuciones antiguas?

J


1 /4

Sistemas de identificación. Criptografía

~~==~====~~~-------------

Esdtala Palybias Historia

César Vigenere

Clasificación métodos criptográficos

--C

"--~_.:.......::._--

Sustitución

Criptografía simétrica

Criptografía asimétrica

Criptografía híbrida

-C

Algoritmos

Función resumen

Firma

Certifícadas digitales

PKI

Transposición

Bloque Flujo


l\J~ udlOJcdl

Seguridad activa en el sistema

En esta unidad aprenderemos o:

• Instalar, probar y actualizar aplicaciones específicas para la detección y eliminación de software malicioso. • Clasificar y detectar las principales incidencias y amenazas lógicas de un subsistema lógico. • Aplicar técnicas de monitorización de accesos y actividad identificando situaciones anómalas. • Valorar las ventajas que supone la utilización de sistemas biométricos.

y estudiaremos: • La seguridad en el arranque y en particiones. • Las actualizaciones y parches de seguridad en el sistema y en las aplicaciones. • La autenticación de usuarios. • listas de control de occeso. • Lo monitorizoción del sistema.

• El software que vulnera la seguridad del sistema.


1 /5

Seguridad activa en el sistema

----~----------------------------------

l. Introducción a la seguridad del sistema El título del tema hace referencia a un concepto que vimos en la primero unidad, la seguridad activa, definido como el conjunto de medidas que previenen o intentan evitar los daños en el sistema infarmático. Se trata de estudiar qué mecanismos de protección podemos utilizar en nuestro equipo infarmática para evitar accesos indeseados de intrusos (personas a programas informáticos). Aprenderemos a mejorar la seguridad en el acceso al ordenador mediante el uso de contraseñas en la BiaS y en el gestor de arranque. También aprenderemos a impedir la carga de un sistema operativo desde dispositivos extraíbles, memoria externa USB, CD/DVD ... , a configurar las contraseñas en las cuentas, a mejarar la seguridad ante los ataques definiendo políticas de contraseñas y mecanismos de autenticación, y par último, auditaremos todas las acciones anteriores.

2. Seguridad en el acceso al ordenador Para evitar cualquier acceso indeseado a nuestra equipo debemos asegurar el arranque del mismo mediante el uso de contraseñas. Si analizamos el procesa de encendida del ordenador, recordaremos la importancia que tiene la BiaS en el mismo; es la encargada de localizar y cargar el sistema operativa o gestor de arranque.

2.1. ¿Cómo evitamos que personas ajenas modifiquen la BIOS? El uso de contraseñas para acceder a la BIOS evitará que personal na autorizado realice modificaciones indeseadas en la configuración de la misma, así como cambios en la secuencia de arranque, lo que permitiría la puesta en marcha del equipa desde medias extraíbles y el acceso a los datos almacenados en el mismo, vulnerando la confidencialidad de estos.

Q Debida a los numerosos fabricantes de BiaS que hay en el mercado, recomendamos consul-

tar el manual de la placa base

Caso pr::r.;: á:.;: c!::;ic"'o:...:. l _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _'"--! Definimos lo clave de supervisor para proteger el acceso a la BI05

Can esta práctica vamos a proteger el acceso a la BIOS contra personas na autorizadas y así dificultar el acceso al equipa a dicha personal.

para ver las instrucciones específicas.

1. Al entrar a la BIOS

l¿oglCU DI!lbltte A: J.evICY Dlistlllle B: • Pr IJ\olry lI.l!lter

• Pr INry SluC! • SCCllIlcary nu ter1

• Secundlry Slaue • kybo.trd

Para entrar en la BiaS debemos pulsar la tecla Sup o F2 al iniciar

(I ,Wl .25 111 [lIMbl . .

,,."",

!lAIY¡re Ulrtua l [ ~rt1

11.,,.,,

Ulrtul l

Fea t ll~

Stp tetl IbIory : ütlendl!d IItRorlF

<1Ab> . Clhlfl-fab>. or <Eatm-> selet1.l rie l• .

accedemos a la pantalla principal (Fig. 5.1). Nos desplazamos por el menú hasta la opción Security que se muestra en la parte superior de la imagen (Fig.S.2).

640 IIB

2!i1l20 Ka Bool - lI lIIl OlillllllJ:lUC Scn:cn : lD l .... 11IiJ

el ordenador, aunque esto real-

mente depende de la BiaS del equipo. En el libro se ha hecho uso de la BiaS de VMWare.

Fig. 5.1. Menú principal BiaS.

(Continúa)


Seguridad activa en el sistema

5

________ Caso práctico 1

9

(Continuación) Ita Speclftc Help Superu lsor PasS&IOrd Is : Cleal' User PasS&IOrd ls : Cleal'

A Supen¡ lsor PUSIIIJl'1I

Se l User PaSS&lOrd "

LEll lerJ

GIl!

"

Passuord on Il001 :

B

controls atce5!S to the setup utlllq,.

La Figura 5.2 muestra las opciones de seguridad que po· demos configurar y el estado de las mismas. A

tD1 Stlbled J

Como podemos ver en dicha figura, la contraseña de Supervisor está vacía (e/ear); con esta opcián permiti· mas la modificación de la BIOS a cualquier persona. Así, un intruso podría acceder a la BIOS y modificar la secuencia de arranque del equipo (Primero desde CD, segundo desde LAN, tercera desde HD).

El intruso podría reiniciar el ordenador con un CD pra· visto de software malintencionado que le permitiría descubrir a los usuarios y las contraseñas del equipo. Con la informacián conseguida, tendría acceso a los datos confidenciales de todos los usuarios del sistema. • Fig. 5.2. Menú Seguridad. tt,lin

IldUdlUt:¡J

I'IIIIImIIlllUU,t:p Secur ltg _PUUJ'f _ utllltot !!!!! Ituut

lJ.lt

StJperu lsor PaSS&.lOrd fs : Clear User Passuord fs : Clear

Con el fin de evitar los posibles intentos de modificacián de la BIOS, definimos una nueva contraseña para el Supervisor.

2. Pulsamos Enter en la opción Sel Supervisor Password (Definir clave del Supervisor).

3. Se abre un nuevo cuadra de diálogo (Fig. 5.3) en el que escribimos la contraseña para el Supervisor y posteriormente la verificamos escribiéndola nuevamente en el campo de confirmación. A continuación nos avisará de que los cambios se han realizado· con éxito. Como vemos en la Figura 5.4 la contraseña de Supervisor figura como asignada (Sel). A partir de este momento siempre que queramos acceder a la BIOS nos exigirá que escribamos la contraseña de Supervisor, en caso contrario denegará el acceso.

Fig. 5.3. Introducción de contraseña. n ,llll

4. Otra medida de seguridad adicional que podemos

Ildu,IIlCl'd

Ita Speclflc Help Superulsor I'assuord fs : Seh User Password ls : Clcar

Set lJser Passuord Se1 Superulsor Passuord

[[nterJ

Enables pesuord entry on boot

[[nter]

configurar en la BIOS: evitar que personal no autorizado acceda al sistema introduciendo la clave de Supervisor en el momento de arrancar el equipo. Para ello activaremos la opción de Password on bool (contraseña en el arranque). Es decir, la contraseña que definimos en la BIOS será solicitada al usuario tanto en el acceso a la BIOS como en el acceso al sistema operativo o gestor de arranque. En resumen, con estas medidas hemos evitado que personas no autorizadas puedan modificar la configuración de la BIOS permitiendo, por ejemplo, el arranque del sistema mediante dispositivos extraíbles, y acceder así a los datos almacenados en el equipo vulnerando la confidencialidad de estos.

Fig . 5.4. Contraseña Supervisor en arranque de la BIOS.


~/5

Seguridad activa en el sistema

----~----------------------------------

2.2. ¿Cómo proteger el GRUB con contraseña? Si se te olvida la contraseña de

la BIOS, tendrás que abrir el pe y quitar durante un rata la pila de la placa base. Después volvemos a instalarla

y ya

tenemos

reseteada la BIOS can la configuración del fabricante.

Para evitar que personas no autarizadas tengan acceso a la edición de las opciones de arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una contraseña.

q

Caso "rédico 2:..-_ _ _ _ _ __

Definición de contraseñas en el GRUB en modo texto Durante este proceso, vamos a modificar el fichero que almacena la configuración del gestor de arranque (GRUB), por lo que es recomendable realizar una copia de seguridad del mismo, para poder restaurarla en caso de que se produjese algún error en el arranque como consecuencia de las modificaciones realizadas.

~ ACtiVidades.

1. Para ello, abrimos un nuevo terminal y tecleamos las instrucciones que aparecen en la Figura 5.5. Estas instrucciones realizan una copia de seguridad del fichero

1. Un técnico de seguridad

menu.lst y la edición del mismo.

informática inexperto tiene protegido el acceso a la BIOS mediante la contraseña de Supervisor. Cuando otras usuarios pretenden entrar en la BIOS de los ordenadares les solicita la clave del Supervisor. Este no quiere

comunicar

root@Jupiter:/home/administrador# sudo cp /boot/grub/menu,lst Iboottgrub/copiamenu.lst root@Jupi t er:/home~ministrador# sudo gedit Iboot/g rub/menu.lst

Fig. 5.5.

esta

Instrucción para edifor menu .1st.

2. Buscamos la línea #password topsecret.

contraseña a los usuarios de los equipos e idea una solución para solventar el prablema: definir la

3. Borramos la almohadilla, es decir le quitamos el comentario y cambiamos la contraseña topsecret por la que nosotros queramos; en nuestro ejemplo hemos elegido «patato» (Fig. 5.6). Se guardan los cambios en el fichera menu.lst y se reinicia la máquina para prabar la modificación realizada.

contraseña de usuario en

la BIOS. Indica los pasos que debe realizar.

2. Desactiva la opción de la

l

~

BIOS, en caso de tenerla activada, que sirve para encender el equipo de forma remota a través de la red.

~

Imprimir... I Deshacer Rehacer

!

~

~

r

Cortar Copiar Pegar

swo rd [ ' -- md5 ' 1 passwd

in the first section of a menu file, disab1e a11 interactive and entries protected by the

Windows 95/98/NT/2GGG (hd8,8¡

El gestor de arranque GRUB (Grand Unirier Boatloader) per-

Fig. 5.6 . Modificación del parámetro password en el archivo menu . 1st.

mite seleccionar entre los distintos sistemas operativos que ten-

gamos instalados en el equipo. Este gestor es el que habitualmente instalan por defecto las nuevas distribuciones de siste-

mas GNU/Linux.

l

Para finalizar reiniciamos el equipo y comprobamos, simulando ser un usuario que no conoce la contraseña, que no podremos modificar las opciones de arranque que nos muestra el gestor de arranque.

)


Seguridad activa en el sistema

5

_ _ _.:: C!:! as~o~IRráctico 3 Definición de contraseñas cifradas en el GRUB en modo texto

Las contraseñas para acceder a los sistemas operativos gestiona-

1. Debemos abrir un nuevo terminal y escribir grub.

dos por el gestor de arranque

deben cifrarse. Si nos descubren la clave que permite acceder a

2. A continuoción, como podemos ver en la Figura 5.7, escribimos el subcomando rndScrypt que nos permitirá encriptar la contraseña que queramos poner.

lo edición del GRUB verían lo

contraseña y por tanto accede-

3. Escribimos la clave a codificar y el programa nos muestra el password codificado.

rían al sistema. Si por el contra-

rio la clave se encuentra cifrada verían una cadena de caracteres sin sentido.

4. Par último, para salir del grub debemos escribir quit (salir).

suppo rted. wo rd .

TAB

poss i ble

For

command

completions . Anywhere else TAB l i sts t he possi ble completions of a devi ce/fi lename. ]

grub> md5c rypt Password : ***********

Encrypted: SlSgR24C/S rgwwCuiYnkfl4osBpe4mO. grub> quit

Fig. 5.7. Encriptación de la contraseña.

5. Una vez encriptada la contraseña, deberemos copiarla en el fichero rnenu.lst, como podemos ver en la Figura 5.8. Fíjate que la línea no es similar a la de la práctica anteriar, ya que se ha añadido la opción --rndS, que indica que la contraseña está encriptada. .' iñf Archivo !;ditar Ver .Il.uscar Herram ientas .Qocumentos Aluda

rE¡

lb

Nuevo Abrir

v

la l

Guardar

~

Imprim ir...

l

~

Deshacer Rehacer

Podemos abrir un nuevo terminal de diversas maneras: pulsando ALT + F2, que nos abrirá uno ventano en lo que debe-

~

I Cortar ~

mos escribir gnorne-terrninal

~

~

Copiar Pegar

IFig. 5.91 o bien haciendo elic

I

sobre Aplicaciones, Accesorios y Terminal.

v

~ ¡;¡l

.,

1## passwo rd [ ' - -md5 ' 1 passwd I~_;!,used in t he fi rst secti on of a menu file, di sable all i nteracti ve

I:U~~~~~Ol (menu entry edi to r command ' lock ' lit e.g. passvlO rd topsec r et

and command -linel

and entries protected by t he

( #, .,".~asswo rd - -md5 SlSgLhUO/Sal'178kHK1QfV3P2b2znUoe/ -- md5 Sl$gR24C/$rgwwcuiYnkfl4osBpe4mO.

In'....

fo 1; examples 1# title 1# root

1#

Windows 95/98/NT/ 20ee

11

(hde,el

l onome- ttrml ~ 1

makeactive 1>

Fig. 5.8. Contraseña de acceso a GRUB cifrada.

1::]

o Ejuuta r en!Jna wmlMI IEjecutarton el arthi vo..·1 r.1 ostrllr la ll sUl de ¡¡plltadones co nodd15

( Iiil''','' I

b:

I Q ,¡;ancelar 1 le

~C:.:" _ rI

Fig. 5.9. Arranque Terminal.

109


Seguridad activa en e! sistema

Q

Caso R :.:r"'á""ct"ic'"'0'-4..:.._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--t

Establecer contraseñas al arranque de 105 sistemas operativos controlados por el GRUB Con esta práctica evitaremos el acceso a los sistemas operativos gestionados por el GRUB a personal no autorizado.

1. Editamos el fichero de configuracián del GRUB, menu.lst y al final del mismo buscamos las líneas donde se define el título del sistema operativo (title) ya con· tinuación escribiremos password --mdS y la contraseña .

.

:"

,

Q, ' "

Archivo .Editar ~ .a.uscar__ ..!!:.~!Tllenta~ocumentos Aluda _ _ _ _ __ _ _ 1

N~O ~r v Guardar I Imp~ir... I Deshacer

r ehacer

I c!

r c! ar 1': ;;1

v I;

01

~ menu.lst

## ## End Default Optians ##

title Ubuntu 9.94, kernel 2.6.28·11·generic password patata uuid 66d4a68S·9Bde·4B7c·b4d4· 7237cb47799b kernel /boat/vmUnuz· 2. 6. 2s-11-generic roat::UUID::66d4aSBS -BBde-4B7c' b4d4-7237cb47799b ro quiet splash initrd /boat/ ini t rd. irng- 2.6. 28-11-generic quiet title Ubuntu 9.84, kernel 2.6.28·11·generic (recovery made) password ··rnd5 SlSAgZW7/SSl35rvzlRkP!ChgW9pUU9/ uuid 66d4aSB5 ·Bsde·4S7c· b4d4· 7237cb47799b kernel /boattvmlinuz· 2.6.28 -ll-generic raot=UUID=66d4a885 -8ade-487cb4d4-7237cb47799b ro single ini trd !boot!ini trd. img -2.6. 28-11-generic .,·, it; tl",' -_ _- 'lIhIUltJ..L...9.-B4

m e n te~tR "'. '_

_ _ _ _ _ _ _ _ _ _ _ _ _...Jl..J

Fig. 5.10. Contraseña de acceso al sistema Ubuntu cifrada.

~caso"~r~á~ct~ic~0~5~--------------------------------_ _--, Establecer contraseña del gestor de arranque mediante lo aplicación startupmanager en LINUX, distribución Ubuntu 9.04, para evitar el acceso a 105 sistemas operativos ges·

tionados por el GRUB o personal no autorizado utilizando uno aplicación visual

1. En primer lugar debemos instalar la aplicación en Ubuntu mediante el gestor de paquetes Synaptic, como podemos ver en las Figuras 5.11 y 5.12.

Archivo .Editar f¡lquete tonfiguraclón AYlIda

Re~rgar

Marcartodas

I~ctuallzaclones El

lbdD

'H

startupmanager

lIp1i GIr

prop~ades I

I Paquete startupmanager

I Versión Instalada I Última

:~

1.9.12-

Instalando software lOs cambios marcados se estan aplicando ahora . Esto puede llevar algo de tiempo. Por favor, espere.

1- 1 Grub and Splash screen conflgurntlon

I~.~I~~~~~~~~[)J IObtener captura de pantalla I .5.ecclones ~tado

Origen filtros per.;onaUzadas Besultados de búsqueda

Ejecutando disparador post·instalación doc-bqse

StartUp-Manager configures sorne settings for grub and splash screens (Currently only Usplash). It provides an easy to use interface. lt Is origlnally a Ubuntu project. adapted for Debi an.

I

....=.., __

l!.E.!.quetes listados, 1179 Instalados, o rotos. Oeara Instalar/actualizar, Opara desInstalar

O Cerrar esta ventana automáticamente tras aplicarse los cambios con éxito 1> Detalles

I

[

~ ~enor I

El

I

Fig. 5.12. Instalación starfupmanager. Fig. 5.11. Gestor 5ynoptic. 110

(Continúa)


Seguridad activa en el sistema

5

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _.....;C ::::a:::s:.::a:..lflráctico 5 (Continuación)

3. Hacemos clic sobre la pestaña de seguridad, activamos la opción de Proteger con contraseño e( cargador de arranque y escribimos la clave elegida como podemos ver en la Figuro 5.14. Para finalizar reiniciamos la máquina y comprobamos cámo afecta el cambio a la configuración del arranque.

2. Una vez instalado, ejecutamos el programa accediendo a Sistema> Administración> Administrador de Arranque (Fig. 5.13).

'fE

9

ªfIl

Acerca de GNOM E

01' Acerca de Ubuntu

COntroladores de hardware

-1t. creador de discos de arranque USB

Fig. 5.13. Administrador de Arranque.

.,

-

Administrador de Arranque

¡opciones de arranque

e x

IAspecto Iseguridad IAvanzadol

Opciones de protección ~

Proteger con contraseña el cargador de arranque

O Proteger con contraseña el modo de rescate O Proteger con contraseña las opciones antiguas de arranque Cambiar Contraseña COntraseña:

1:·

l······ l······ I

COnfirmar contraseña:

I I

IActualizar contraseña lA

l'

liij;

Q

COntraseña modificada

~

1

I ~ Aceptar I I ~ AYlld· 1

I ~ Qlrrar I

Fig. 5.1 4. Configurando contraseña en sfarfupmanoger.

Actividades ~ 3. Haz el Caso práctico 5 ejecutando el programa directamente en el terminal. Recuerda que deberás tener privilegios de administrodar para poder realizarlo.

4. Comprueba si el programa startupmanager escribe las contraseñas en el archivo menu.lst del GRUB cifradas o en texto clara.


Seguridad activa en el sistema

2.3. Cifrado de particiones

En este apartado vamos a estudiar cómo proteger la confidencialidad de los datos almacenados en los distintos volúmenes del equipo mediante el cifrado de particiones. Cualquier software de encriptación de disco proteg", la información contra el acceso de personas no autorizadas.

~ Casa práctica 6 Ci rar una partición en Windows

Para instalar esta aplicación sólo necesita mos 10 MB de espacio en disco duro y Microsoft Windows

Con esta práctica conseguiremos proteger una partición de Windows, la información no será accesible para aqueIlas personas que no conozcan la clave.

l. Nos descargamos DiskCryptor 0.7, lo de scomprimimos y hacemos doble clic sobre el archivo dcrypt que se encuentra en la carpeta i386 (Fig. 5.15); a continuación respondemos afirmativamente a la pre gunta sobre la instalación del controlador DiskCryptor.

Para realizar esta actividad vamos a utilizar un programa de código abierto, gratuito, DiskCryptor (hHp://www.diskcryptor.de/en/downloads/). ~

I Nombre

Tipo

I Fecha modificación

~ de_lsf.sys ~ de.pi.dll ~ deeon

-

I§ii: derypt

Archivo de sistema Extensión de la apl ... Aplicación Aplicación Archivo de sistema Aplicación

31/05/200914:50 31/05/200914:51 31/05/200914:50 31/05/200914:50 31/05/200914:50 31/05/200914:50

~ derypt.sys ~ diskspeed

Etiquetas

Tamaño 17 KB 140 KB 47 KB 123 KB 136 KB 12 KB

~

L~-""'J

Confirm

rO I

Insl.1I DiskCryptor driver?

I¡I¡:!

I

sr

I

No

Fig. 5.15. Inslalación del conlrolador DiskCryplor.

2.

Una vez instalado ejecutamos la aplicación dcrypt.

,

I!ii: DiskCryptor 0.7.435.90 Fil e Vo lume!;

Tool5

.

.

H ome~

He1e

I Disk Orives

I

f>lount

I (3

r

l o l@)1 13

Size I

TOSHIBA MKl637GSX 13 yolumel

1.46 gb E) ¡;,: 143gb E) Q,: 1.63 gb "" HI.-DT-ST D\'IlAAM GSA-T2llN Obytes oiJ .: IL"" HI.-DT-ST DVORAM GSA·T2llN G!J E: Obytes

I

L.b~l~ WinRE Vistzl Nuevo vol

NlFS NlFS NlFS

Status

I

I boot

oyo

~ncr ypt

QeClypt

MountAD

!::!nrnount AH

I

Ij I I! I

I

Fig. 5.16. Programa DiskCryplor. (Conlinúa)

112


Seguridad activa en el sistema

5

Caso práctico 6

~I 9

(Continuación)

3. La seleccionamos y hacemos clic sobre el botón Encrypt (cifrar). Posteriormente deberemos seleccionar entre los distintos algoritmos de encriptación (A ES, Twofish, Serpent, AES-Twofish, Serpent-AES, AES-Twofish-Serpent ... ) y hacer clic en el botón Next (siguiente).

Como hemos visto en la Figura 5.16 la aplicación visualiza las unidades de disco que puedes encriptar. En nuestro caso, lo que queremos encriptar es la D:, unidad dedicada a datos.

Illi: OiskC'}'Ptor 0.7.435.90

,

File

Volumes

To o l ~

Ji~

~

1= I@] I

-

..

Hel ~

H o mep a~e

!Disk Orivos g

Size

TOSHIBA MK1637GSX 13 yo/umel ~:

g

I I I I I

rllount

I ' " Q.: I = ",.nT~

-

!

1.<6 gb 143101b 1. 63 101b

labell...:r=l 'f1nRE Vista Nuevo vol

statu, 1

1

boot

NTFS NTFS NTFS

oY'

",crypt º-ecrypt

Mount AlI

U;U

\Device\HarddiskVolume3

I

13

U,nrnount Al!

¡

Encryption SeWngs

A1lO1oritnm: Vf¡pe Mode:

IAES-Twofish-Serpent INone

3

!

..=J

'.

Fig. 5.17. Selección del algoritmo de encripfación.

4. En la siguiente pantalla, deberemos escribir la contraseña de encriptación. Además, en este paso la aplicación nos infarma de la vulnerabilidad de nuestra contraseña según un gráfico. La contraseña que hemos

escrito es $1 Nab74c$b!@12 y es considerada de dificultad Media. Pulsamos OK y después de unos minutos tendremos cifrada la unidad y fuera del alcance de personas que no conozcan la clave de cifrado.

e

~

\Device\HarddiskVolume3

I

Volume Password

password:lzzzzzzzzzzzzzc confirm:lzcxzzzzzzzzzzz

I I

I

StabJs: Correct

§.how Password

!;.eyfiles

I

1:'

Use Keyñles

l' 1

::::1

Layout: QWERTY

I

-

Digits CapsLatin Medium

I !;.ancel

5mall Latin

I

Fig. 5. 18. Configuración de la contraseña.

5pecial 5ymbols

§.ad<

" l'

Password Rating

I OK

I


Seguridad activa en el sistema

q

Casa rédica 7

Cifrar una partición en Linux Vamos a aprender o encriptar una unidad USB en Linux con el programa TrueCrypt, aplicación gratuita que nos podemos descargar de la página hHp://www.truecrypt.org. Con ello conseguimos que aquellas personas que no conozcan la elave no puedan acceder a la informacián almacenada en la unidad USB.

1. Para instalar TrueCrypt, debemos descargarnos la versián para la distribución de GNU/Linux del programa (en nuestro caso Ubuntu) de dicha página, descomprimirlo y ejecutar el programa de instalación. 2. Tras instalarlo, ejecutamos la aplicación y veremos una ventana similar a la Figura 5.19.

". "'....,

~, ~,

~, ~,

~. ~, ~,

~. ~.

~" ~"

¡ ... u

l' "11" I lo .S!¡ II II ;a [1~;;;;~~===~~~~I I _ _

..

\o1I1um.

1

:1

ilI t::! ....uulV.hlllury

MOUl'll

~Ium. Ibol,,,.

I I!IIIO.Mount O.-.im I 1

0111110II1II-"1

5.1.«&1. ...

s.lnl Ctvie.".

I!

I I¡

,,.

Fig. 5.19. Ventana principal TrueCrypt.

En la Figura 5.19 vemos una lista de todas las unidades de TrueCrypt. Como acabamos de instalarlo, no tiene ninguna de ellas asignada. 3. Para cifrar la unidad de USB, debemos hacer elic en el botón ereate Volume (crear unidad). A continuación, se abriró una ventana, en la que se muestran dos opciones:

• ereate an encrypted file container (crear una carpeta cifrada).

La primera de ellas es la que el programa recomienda para el personal inexperto. En este caso na es necesario formatear la unidad, solo crea una carpeta donde su contenido será cifrado. 4. La segunda opcián será la que seleccionaremos para alcanzar nuestro objetivo. La aplicación nos advierte que al realizar esta elección se formateará la unidad y cifrará la partición. A continuación, deberemos ver una nueva pantalla similar a la Figura 5.20 .

• ereate a volumen within a parlilion/drive (crear una unidad para una partición a dispositivo).

Volurnc Type <J 111andl,d bu lCm>I ::!!.!!ci!!J 111..,,111, 1p1llft ~ Y'~ "0/1111 n ..11 • Mlmll.,.,oc~

1'C1um.,

o HI.IId.n ltU'Cl'l'Il1 .... 1\Jm1 • nuy h.,~.ft Ih.

)'OY "" '~" od by

.,mola""lo r.....' " ...

..

~~~':':~~:::~::=~'::~~::::~7 L!~=~.

duo! " 1>I""tnl.1/m1 1 ..·u! .d h<!:IM...un. tI~)'OY l• • ~t.<o . ,..¡, . lulllOf\I l0lII00 .. 'lIVIaUt9 ti.. pnrr.td 10 r-

w ......

'-____________________________F_ig_._5_._20_._S_e_k_c_c_0_n_d_e_t_~_o_d_e__un_i_d_ad_._________________________________ (Continú~ )


r

5

Seguridad activa en el sistema

...._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--'C~a.5o práctico 7

9

(Continuación)

5. Seleccionamos la primera opción Standard TrueCrypt volumen (crear una unidad TrueCryprt narmal) y hace·

6. En la siguiente pantalla (Fig. 5.21), debemos seleccionar la unidad a formatear. Hacemos clic en el botón Select Device (seleccionar dispositivo).

mos clic sobre el botón Next.

Volume Location

~------------------~I~·I ~~~ !ill Heversilve hlstery

A devlc:e-hcsted 1lueQypt vclume can be created wlthln a hard disk panltlon, sol!d-state drive, USB memory stick, and other stomge device5. WARNING: Note that the panltionJdevice wil! be rorrnatted and al! data currently stered en it wlll be lest.

Fíg. 5.21 . Selección de dispositivo.

Z

Aparece una pantalla (Fig. 5.22) con todos los dispositivos de almacenamiento que tenemos conectados al ordenador. Seleccionamos el dispositivo USB reconocido en nuestro caso como /dev/sdb 1 de 483 MB. Dependiendo de la distribución de Linux y de los distintos dispositivos conectados en el equipo puede ser reconocida con otro nombre .

8. Posteriormente, como podemos ver en la imagen (Fig. 5.23), debemos seleccionar el algoritmo de encriptación. Las opciones son numerosas, AES, Blowfish, Serpent, Twofish, AES-Twofish-Serpent ... En nuestro ejemplo hemos seleccionado el algoritmo AES-TwofishSerpent RIPEMD-160 para generar la clave. A continuación hacemos clic sobre el botón Next.

y

... ., . Oevlce .... {dev/sda: Idev/sda1 {dev/sda5 Idevfsda6

Slze Meunt Olrectcry 10,0 GB

Encryption Options

--

EncryptienAlgerithm - -

3,7 GS { 4,7 GS (heme

~IAE .::':...Two =",:..h.;:;",,~:::'":..'__________--'-':11

1,6 GS

Int

Threa ciphors in iiI cascado operating in XTS meda. Ellch bloc\:: is .... /dev/sdb: {dev/Sdb1

first encrypted with Serpent !2S6-bit kay), thao wilh l'wcfi$h (2S6.bit kayl. and finallywith AES (2S6·bit key). Ellth cipher usos its OWI\ key. AlI key5 are mutually ¡m/apandent.

494 MB

4!B MS /media/disk

Moro jnfpUVªt!90

Hash Algcrithm

~!~¡¡pEEM~D;¡:.16¡¡O===:..JJ:¡ Infpuva!jgo po bp!b BIgQri!bmt

IO &anceJar l

Fig. 5.22 . Selección de partición.

~

IQ

AlIl da

I

I <frev

1I tloxt>

I

IO &oncelarl

Fig. 5.23. Elección del algoritmo de cifrado.

9. Aparece una nueva pantalla (Fig. 5.24) en la que introduciremos la contraseña. En este punto, la aplicación nos advierte de la importancia de elegir una buena contraseña; que no sean palabras que podamos encontrar en diccionarios o combinaciones de varias. La clave no debe tener información personal como nombre o fecha de nacimiento. Una buena contraseña debe ser una

combinación de letras mayúsculas, minúsculas, números y caracteres especiales, $,+,-@, ... Recomienda que el tamaño de la misma sea de más de 20 caracteres. Cuanto mayor sea el número, menos vulnerable será la contraseña.

TrueCrypt admite contraseñas de hasta 64 caracteres. (Continúa)

I


~/5

Seguridad activa en el sistema ~--~----------------------------

~caSOp. ~r~ á~ ct~ ic~ O~7 ~

______________~______________________~________________________--,

(Continuación)

10. Si activamos la opción Disp(ay password (visualizar clave), podemos ver los caracteres de la contraseña. Escribimos la elave y hacemos elic en el botón Next.

:~:"~ ~Pll.'l'iword ':.":~:~~"~'~==~~:E~ f~~::::~:~u~"~'Volumc ~~~~~·~~~~~··~~·5

,."......"i!; ...... .. .. .. .. .. .. e.mm FOI,,,,,r<I: l!:..••••••••••••••••••••••• D~e!!.'3: o u¡.I..,.N..

_¡" .....

•¡,,,..,_... ... lhot,,,"d,. .......... F.. ....,,¡·.,.."' .... ; """,..._<rlt.Wv¡I • ..,.,¡lhot ..,Ib. _u.....,~

,_

'1( .... <_.,,IoI~J . .,.wt~\OOI'd,I ,

~

... , ... .., "'7".,...... , ..... oINt~ .• ..nool:lIlOC.' "'Y

..'''''oI~p"o.nd ...... ",. loto." . ..m......... ,.,,;01 tIIoru'tn. , ..." ••• • , • .,. ... • .. Q. . . F........-d .......... ""'''~n

~

•• + 01"", ,.. o"",,,,'" <h .. ,~. po ..... '" """""'11 01 rmn _10 ' _... (1ho'""1"."'.¡,,~ .. ). n,.m ....... po .. tl. Io~" .... <.,.",,, • .,.

Fig. 5. 24. Definición de contraseña.

11. A continuación, debemos elegir el tipo de sistema de ficheros que utilizaremos en nuestro USB. Debemos tener en cuenta dónde vamos a utilizar el dispositivo; si solo lo fuésemos a utilizar en Linux, lo formatearíamos en EXT3, pero si ademós quisiésemos utilizarlo en Windows, deberíamos formatearlo en FAT. Como nosotros lo vamos a utilizar indistintamente en Linux y en Windows, lo formateamos con el sistema de archivos FAT. Antes de formatear la aplicación nos recomiendan que hagamos movimientos con el ratón. Estos calcularón los valores aleatorios que se utilizarón para crear la elave de cifrado. Si estós seguro de que no tienes ningún dato importante que pudieses perder en el USB puedes

seguir con el proceso dando formato al dispositivo. El proceso ha finalizado, la unidad ya estó preparada poro que todos los datos que introduzcamos en ella sean cifrados automáticamente, es decir que trabaje de forma transparente para el usuario.

12. Antes de utilizar la unidad USB debemos montarla con la aplicación TrueCrypt, para ello debemos volver a la pantalla inicial de dicha aplicación (Fig 5.19) Y hacer elic sobre Se(eet Deviee (seleccionar dispositivo). Se abrirá una ventana similar a la de la Figura 5.22, donde elegiremos la unidad que hemos cifrado. A continuación la aplicación solicitará la contraseña. Una vez que introducimos la contraseña, la unidad se monta como truecryptl (Fig. 5.25).

1 Sistema f!¡@ O

Lugares

([C) Carpeta personal

!,

¡¡;¡ Escritorio

1:

O Documentos O Música ID Imágenes El Vídeos

I!

I

l'

~ Equipo

W Ubuntu 9.04 i386 {;d

Disquete

~ Soporte de 507,5 MiS

IQ t~CryPtl

1' =

¡;m DQd

I

tnuecryPtll

Fig. 5.25. Unidad montada.

-


5

Seguridad activa en el sistema

2.4. Cuotas de disco

La mayoría de las sistemas operativos poseen meconismos pora impedir que ciertos usuarios hagan un uso indebido de la capacidad del disco, y así evitar la ralentización del equipo por saturación del sistema de ficheras y el perjuicio al resto de los usuarios al limitarles el espacio en el disco. Las cuotas de disco se pueden configurar en función de varios criterios, según usuarios, grupos o por volúmenes.

Herramientas CAD. Son aplicaciones de Diseño Asistido por

Ordenador.

Veamos esto último con ejemplos: •

Supongamos una familia de tres miembros, Macarena, Fernando y Gustavo. Podríamos establecer una cuota de disco para Gustavo de 2GB, para Macarena de 2GB y para Fernando que suele manejar planos que ocupan mucho espacio, le permitimos una cuota de 20 GB. Es decir, cada usuario puede tener una cuota distinta en función de sus necesidades; no tienen por qué tener todos la misma.

o

Las cuotas de disco en Windows solo se pueden utilizar sobre volúmenes con sistemas de fiche-

ros NTFS.

Supongamos la empresa de construcción SiCom, en la que los usuarios se encuentran clasificados por grupos, Contabilidad, Arquitectos y Dirección. Repartiremos el sistema de ficheros entre los diversos grupos en función de las necesidades de los mismos. El grupo de Contabilidad suele trabajar con archivos Excel y Word, de pequeño tamaño, al igual que el grupo de dirección. Sin embargo, el grupo de Arquitectos necesitan mucho espacio, ya que suelen trabajar con herramientas CAD. En función de las necesidades anteriores y el número de usuarios adscritos a esos grupos se definen las cuotas, 20 GB para el grupo de contabilidad, 8 GB para el grupo de dirección y 1 TB para el grupo de arquitectos.

... . ~

Supongamos que en un PC hay dos particiones, una de las particiones podría tener cuotas de usuario muy restrictivas y en la otra partición tener otras cuotas menos limitadas o incluso ni siquiera tenerlas.

Cuidado con ser excesivamente restrictivo con la cuota. Podríamos impedir incluso el inicio de sesión de un usuario, por no tener suficiente espacio para crear su carpeta en Documents

and Settings.

Activación y uso de cuotas de disco en Windows

Para activar las cuotas de disco en una partición en Windows debemos seguir los siguientes pasos: Debemos hacer clic en el botón derecho sobre la partición donde queremos establecer las cuotas y elegir la opción Pro-

piedades. Habilitamos la administración de la cuota seleccionando la casilla (Fig. 5.26). Si solo queremos hacer un seguimiento del uso del sistema de ficheros por parte de los usuarios y grupos no seleccionaremos la siguiente opción que muestra la Figura 5.27, Denegar espacio de disco a usuarios que excedan el límite de cuota. """. ,_ 'n'"

¡¡ .."'.

~

'~

...<t.

.."'.

I

Estado: Las cuotas de disco estén deshabilitadas q{labilital laadministrllción de cuota

~ enegar e:pacio de dl:CO a u:uali01: Que e:.:ced"n et límite de cuota Seleccionar el limite de cuota predetermlrllldo p<:ra !1 ue vo~ u ~ u wio;

.v-. '-... \........

'.........

¡¡ .."". Iil.,,,,.

'¡¡.,"'. ~ """.

, il ., ....

.

c...... j ,.;:., ... ." "

..

ll" '"

""", ~" " 1~1" '" .,..,,,, n ,~ HI

u... , ,, ,....

", '" ¡"""" ........,

trl

e:te VG t~lm e rl:

• 1,10 Fmi\aru:o de di:co Llm:tar e:;ncio de di:co a

I s u~ lirrr.te

E~t¡,btecer el nivel di; éidvl!llenc.a en IS1!1 lírnlte

........

~ I_ ." _

General Heuamienlas Hardware I Compartir Cuota ' -_ _ _ _ _ __ - ,

Se li?cci on ii ~ 1 3 ~ OP CiOll !!~

o Regl:tr.;,r

I ~I=~vl I LI_ ' - ' .vJI

de registro de cuola pera e:le volumen

~ UCC:D cUOindo un u:uario e ~ce da ~ u 11m:te de cuola

O Aeg::lrar :U :t::O cU:'lido un u:ualio eMced::. ~ u nivel de adyerlenci¡¡

¡" """

s:.."""

[ Valores da cuota ..

. ¡;

Fig. 5.26. Cuotos.

.

-,,¡

Aceptal

Cancellll

I

I,p!:car


Seguridad activo en el sistema

Si por el contrario queremos limitar el espacio del sistema de fi cheros a los usuarios, debemos definir lo capacidad de disco de lo que van a disponer cada uno de ellas, así como del nivel de advertencia y activar la opción de Denegar espacia de disco a usuarios que excedan el límite de cuota.

Para ejecutar el visor de sucesos podemos escribir evenfvwr. msc en la consola o en el menú

ejecutar de Inicio, o ir a Panel de Control> Herramientas

L1l~

Propiedades de Disco IDeal (e:)

Administrativas > Visor de Sucesos.

Estada: lM ewtas de mctl edán deshabitada:

o Habitar la admristración de cuota o Denegar espacio de lisctl a lmlare: que excedan ellrmie de cuot., SeIecc:ions ellrttie de cuolapedetenmaoo par., lIJeVOS usuarios enWe vobnen:

O No 5rMet UUI de disco 0l.ri<>.,...;ode_. Est"¡¡¡ecet el rive! de

~ Actividades

l' 11 GB vi ~tencia en 1~900;;;==~1 ~tM~B=='~~I

Seleccionar las opciones de r~tro de cuota para este volumen:

O Aegi$trar suceso cuando Ir!lmlaño exceda su I(mite de CI..IOla O Aes;wet suceso cuando Ir! ~ ~ tu rivel de .advertencia

5. Piensa de qué forma un administrador de un servidor de correo electrónico podría asignar 100 MB de espacio en disco o usuorias de paga y 5MB 01 resto de usuarios regi stradas. 6. Creo un usuaria y osígno le uno cuota de ton solo 1 MB. ¿Puedes arrancar una nuevo sesión con este usuario? Justifico lo respuesto.

l

Vm e: de cuala...

Fig. 5.27. Limitación de espacios .

Si se marcan los dos opciones que aparecen al final de la Figura 5.27, el sistema opera tivo registraría los eventos, haber superado el nivel de advertencia o haber superado el límite de cuota, en el visor de sucesos. El usuario puede ver mediante el visor de sucesos dicha información (Figs. 5.28 y 5.29).

11 Visor de sucesos -- -

[)@]l:8}

-- -

------ Propfedades de Suceso Suceso

InfDrmadYI

16/0712009

16/07/2009 '6/07/2009 16/07/2009 '6/07/2009 16/07/2009

17.56:36 17:55:59 17:55:52 17:5:52 17:55:4i 17:55:44

rtfs SeM:e Cottrol Manaoer Setvi::e eooool M.wger

SeM:e (<<tro! Manager _""'01",,-

-""'"""-

Disco

.......

....... ....... ....... .......

-

---r:1l~

I

Fecha: Hora: Tipo: Usuario: Equipo:

n :ti l"'~I I IS

17:56:36 Información

---.!J

Qligen: Nlfs Calegorfe: Disco Id. suceso: 36

~ ~

ANA3\Pedro

ANA3

Desc,~

Un uwario ha alcanzado su umbJaI de cuota en el volumen C:. Para obtener más información. vea el Centso de ayuda}' soporte téMCO en http://oo.microsolt.com/lwlinkJevents.asp. I

~.

Datos:

I~

0

Bytes

O YJord

0000 : 06 00 44 00 az 00 9Z DO 000 8: az 00 00 00 Z4 00 04 40

•••• f; •• [J

0010: 00 00 0 0 00 00 00 00 00

. ... .. ..

~

A~eplaJ

Fig. 5.28. Visor de sucesos.

Fig . 5.29. Propiedodes de suceso. 118

§I

__ D ... O.

i

[ Cancela¡

:Yl

I

[

Ap ~c ar

I


Seguridad activa en el sistema

o

5

Cuotos de usuorio en UBUNTU

Para gestionar las cuotas de discos en Linux vamos a utilizar la herramienta de configuración del sistema conocida como Webmin. Esta herramienta no viene instalada por defecto con el sistema operativo, así que tendremos que instalarla utilizando el gestor de paquetes Synaptic o utilizando el comando apt-get.

~.

'.

" ff

En caso de no tener instalado el paquete quota ¡permite definir las cuotas de disco en Linux) usa· remos la orden apt-get install guota.

En este caso, vamos a realizarlo utilizando la orden apt-get. Debemos seguir los po· sos que se detallan a continuación. Para que el comando apt-get funcione e instale correctamente esta herramienta, debemos añadir el repositorio http://download.webmin.com/download/repository sarge con· trib al final del fichero sources.list mediante la orden gedit, como vemos en la Figura 5.30.

root@ana root@ana-desktop:-# gedit letc/apt/sources.list root@ana-desktop:-# cd Iroot root@ana-desktop:/root# wget http.llwww.webmin.com/jcameron-key .asc ··2999-07-20 13:97:59-- http://http.//www.webmin.com/jcameron-key.asc Resolviendo http .... falló: Nombre ó servicio desconocido. wget: no se puede resolver la dirección del equipo ahttp.n root@ana-desktop:/root# wget http://www.webmin.com/jcameron-key.asc ·-2909-07-20 13:98:39-- http://\~.webmin.com/jcameron-key.asc Resolviendo www.webmin.com ... 216.34.181.97 Conectando a www.webmin . com I216.34.1S1.971:S0 ... conectado. Petición HTTP enviada, esperando respuesta ... 2000K Longitud : 1329 (l,3K) [text/plain] Guardando: ajcameron-key.ascn >] 1.329

la8%[ 2889-a7-28 13,88,43 114,a Ha/51

--.-K/s

en 9s

'jcameron-key.asc' guardado [1329/1329)

root@ana-desktop:/root#

Fig. 5.30. Comondos. A continuación, debemos ejecutar los siguientes tres comandos que aparecen en la Figura 5.30 para añadir la clave pública, pareja de la privada, con la que se ha firmado el repositorio. Por último, actualizamos e instalamos la herramienta webmin, mediante la ejecución de los siguientes comandos (Figs. 5.31 y 5.32). iJlliij ••

1111 Archivo .Editar yer !ermlnal

AY.IIda

root@Jupiter:/hor::e/adr.linistradorl apt-get update Obj http://es.archive.ubuntu.com jaunty Re\ease.gpg Obj http://security.ubuntu.coCl jaunty·security Release.gpg Ign http://securi ty. ubuntu. coc! j aunty· security/m~in Translation·es Ign http://securi ty. ubuntu. COel j aunty· security/restricted Translation-es Ign http://securi ty. ubuntu. coc! j aunty· security/universe Translation·es 19n http://securi ty. ubuntu. COel j aunty· securi ty/llml tiverse Translation-es Des: 1 http://es.archive.ubuntu.co!:! j aunty/main Translation·es [606k61 Obj http://security.ubuntu.coC! jaunty·security Release OOj http://securi ty. ubuntu. cor.! j aunty· security/main Packages Obj http://download ....ebmin.coCl sarge Release.gpg 19n http://down\oad ....eor.lin.col1 s~rge/contrib Translation·es Obj http://security . ubuntu. cor.! j aunty· security/restricted Packages OOj http://security.ubuntu.coCl jaunty·security/mdn Sources OOj http://security . ubuntu. COI1 j aunty· security/restricted Sources Obj http://securi ty. uOuntu. COCl j aunty· security/universe Packages Obj http://security.ubuntu.col':l jaunty·security/universe Sources ~ Obj http://security . ubuntu. COI':I j aunty· security/mul tivef5e packa!f!s Obj http://securi ty. ubuntu. coc! j aunty· security/~ul tivene Sources Obj http://download ....ebr.lin.colll sarge Relea5e 19n http://download.webmin.col':l sarge/contrib Packages Obj http://download ....eblllin.cor.l sarge/contrib Packages r;-1 16\ 11 Translation-es 114035/60SkB 16\1 12.3kB/s 405 ~

6J'Chlvo .l;ditar yer ~rmlnal AyJ,ida , -_ _ _~_ _ _ _ _ _ ; adl':linistrado~Jupiter:·S apt-get instan weomin El

.

Fig. 5.31. Orden apt-get update.

Fig . 5.32. Instalación webmin.


Seguridad activa en el sistema

Para ejecutar la aplicación tendremos que abrir un navegador web, en nuestro caso Firefox, e ir a la siguiente dirección https://localhost:10000. Es muy probable que al acceder a dicha dirección el sistema nos devuelva un error como el que se muestra en la Figura 5.33.

localhost:l0000 usa un certificado de seguridad no válido. No se confía en el certificado porque está firmado por sí mismo. (Código de error: sec_error_untrustedjssuer)

Fig. 5.33. Error del certificado.

Para solucionar dicho error debemos crear una excepción. A continuación aparecerá una página como la que se muestra en la Figura 5.34.

archivo f-ditar

~

" re

~er

O

Hiz.torial

ti§

Marcadores

Herramien¡as AY.I.I.da

1" I

I!§] https:fl10calhost:lOOOO/

f;jj Más visitadosv . Getting Started Login

ti)

~ l.atest

WehOiIn

{

~v lGoogl e "'l.

Headlinesv

-

I

You must enter a usemame and pas5word to login to the Webmin server on localhost. Username lroot Password

I~.~.~.=:.=:.=:.:¡:I===~

O Remember login permanently7

~ I clearl

localhost:l0000

Terminado

~

Fig. 5.34. Formulario de conexión a lo aplicación Webmin.

Introducimos como usuario al administrador root y la contraseña del mismo. A continuación veremos una nueva ventana como la que se muestra en la Figura 5.35. Si no tienes una partición inde-

,

. lo •."'"

pendiente para /home, puedes crear una nueva partición y realizar el caso práctico sobre esa partición.

".1

,.""..""

~webmin

" .... !<ro>

".,..."" "o....... u",....

u,..,_ ...

•.."m ....'"..".

",~

" " " .... g ...

u " ",..

'_.n... '...

...."",..""',........ .....,. ,.

CPU ," O<l_,.., • •

tJ. " .... ,.~ .-. L. "

(' <,' ''"' ... ~"''.... :: ' . ~.,h ... ~' ., o "" ...

_.

l'

'.m

"').J" ""~ ,,,.='"

1,'

...... ,··"·"'I"""' ... ~..

l'

'n'U """'.""""'.".",,"'"',,

"',"""' ..... 1" ~' ... "'.j " •. ,. . .. " ..1. " ..... "'.,

'-",...."'.p...

I

1,'

li

A , ••• ....,. . . . ..",.., ... ''''' .... .. ' ' ...... 001. ...... ' _ UW. "'" <" ~ ""...".,.,. ...... 01

""' " . p.e> ~ ' ....... j ro

1-01,-""",- 1

_.- --

... ...,.",""""u

Fig. 5.35. Pantalla inicial webmin.

Como podemos ver, este programa es una aplicación web que se puede utilizar para configurar multitud de opciones del sistema. 120


Seguridad activa en el sistema

5

Como vemos en la Figuro 5.35, la página de entroda tiene un marco a la izquierda con un menú. Escogemos la opción Sys/em (sistema) y dentro de esta la opción Disk and Ne/work Filesys/ems (Disco y Sistemas de archivos en red). Una vez realizada la selección, el marco de la derecha se actualiza visualizando todos los sistemas de archivos de nuestro equipo (Fig. 5.36).

-e o Ii! MIiI ... . iu do. -

o ~

[§l hllp. ~floco~oll,¡O OOOI

:' "C'='_-____

Oo G.ttin~ 5tart.d Q u tl'! H..

lO')"" rool D llllbmin e S)"ll m E100IU~ .nd Shutclo·" " Ch.ng o p."wo,d. O"'OuOI~'

M,dul. Co"¡ig

=====:: :,¡!j:I

MaUllllld.-.

typa

I (Roc! ,*,,~t.ml

K omo¡ f~ .. ystom

FoI .. y".m Boc'u~

,horno

logf"" Rot.t,on r·!:ME T)'p l P"'g,am,

\Ilrtu~M . 'T>0'Y

VlrtullMomol)'l , WlIp)

¡m. d.a¡,d,cmO ¡ml d.:o¡fIoFPYO

IluM",gP,.,. " .. Sch.dulod Comm.nd.

sch"dul , d (,on lob.

sch ....,. P"'~.g .. 5)":om OoCum Onl"li," sysl om leg' U•• " .nd Group. [) Slrw ..

o oth. .. O

Iprod

Unu.<N.tive f ....Y'I.m l..tl ) Unu. l i " ;"'" f'",y" . m I b 'JI

PAAt"uth .nt"~llon

Nl tworlring ~ _

5" ,,01, Does ..

Disk and Network Fllesystems

I Add moun!. IT)"pl' 1~"."~"~'~""~,,'~.m;;;Ji,"~.~1

.m,

'o".andr~ "wo'" fJ.'Y.!t.m~

o

4\1

1- ) IICH "

Idov¡,hm

/d"'/pt. ... . 2l.g on.",/VOI.I<I . ",)'IJi<.m.~ •• ,unty !homl/omilio/.q.fo

UD f.1 50~660

UnmownT)"p . S"l5fS RAM Di. \: II m p l.1 fW.l Oi, k II mpl. , RAM o;,\: IImplol fW.l o.. k II mpl.)

."

lD~.tlall

Und

Pl n nian w:th 10 ~g~ ctsb l· ¡ dgf•• 5<7·98 17· 16 . 99c ¡ . ¡¡51 p~ n~io n wrth ID 5:¡dl l c47· caa7·477 2·b l ¡¡·¡coce d.. lI. o Pa n nion -...th 10 50 lc 7 C2 0·71b~ ·4B7r. 6 ¡4 1 ·od l47b 90 dc 7f / doWICdO floppy d-.\: o

.~

"~

., .,., ~

v.rio ck

"'~ ' ~>m

PT5 fd"Y'I. m 1<I~I1¡ fW.l Di,\: IImpl.1

SECUMYf5 FU5 E.GVFS·fU5E ·OA.EM OtJ

,~

devpl s

""

,~

ncutll)"h '1.f•• fuII.d • • m on

I ,o.dd mollnt IT)"p .: I""pi. fd..yollm (ti.)

..

"'

In Ulft' S..... d' ,,, ,,, ,

'" ,,'

,., '" ,,, '" ,,, '"

., .'", .,

,

'" ,,, '" ,., " ,"

,,,

'"

,,,

'" ,., ,,, ';'

:l

e u " ·v, od .h d ,!" hllp. ~~aC a~o":¡ DOOO/IYIQuntJ . r!.1_mQ "n\.< !ti'ind._2

Ioc llha.! :ICOCO

U

Fig. 5.36. Disk and Nelwork Fi/esys/ems.

De todos ellos nos vamos a centrar en el directorio /home, que está montado en una partición independiente y es la idónea paro activar las cuotas de usuario, por ser en ella donde se guardarán todos los archivos de los mismos. En el marco de la derecha de la página, seleccionamos con el rotón la opcián /home, que nos llevará a una nueva pantalla (Fig. 5.37).

~I ~ t-IlO •

..,;.hdo.- . G, Ung SI.,"d

DI..al ••I HU.r.no .-

~

lO;"""", [J w.bm"

Edlt Mount

O Sy>lom B"I"" ."dSh~1d""",,

Ch. n"P,,,.r.;d. c,,~ Quo'~'

¡¡¡ ~ ...... rul mounl at boct

5 .... Mounl l

F' ''Y'um,

Mounl no .. ' ID e h lCl< nt .. ylI, m a l bool1 O Un"" II.U... fU ...,...I, m

F.r"y>"ma"h~

'og • .r, Rou "on

"""m.

'""ME Ty.>, ..

IQ

l!homo

D"'.n~II.I,,",¡k

P~ " ~ e>1h".I,:>'''"

""""n, P'o <o" .. S,h,dul, d Ccmm . n~. Sd"dul,dC"n),b.

,",01Oll

51nU3GlI/ fr uU31lB

O s ...... 0 00(\' ......

O Unmount

r~ ,

O oth •• drlli,.

soh" o Pa< ";"

S,.""" D.,"m,"'."'" ~Y"'""·9·

Un "

. nd~,..,"",

A110 .... &,u\lon 01 ~tn~rl c.,

0 5 ...... " 0 01" . ..

O U.,,,,, run 9 U H. nI"oro O C.... I..

UV"""" "" ü .

Somh: 1

A •• _ . ...... , _ , __ TOrmino do

Mo .. " .. r. 'o \\lounl 11<1.

o y" O

®

I~o

n. (i "o

~Q

Aut on Dn 8fTO'

11IIIIIIII R, .. rvo 'P O< . lo. Uro up

O h. (!I I "

Fig. 5.37. Edil Mounl.

En esta nueva página, tendremos que poner la opción Use Qua/as? (¿usar cuotas?) con el valor User only (sólo usuario), pues vamos a aplicar las cuotas de disco por usuario y no por grupos. El siguiente paso consistirá en establecer las cuotas que queramos a cada uno de los usuarios del sistema. Para ello elegiremos en el marco de la derecha la opción Sys/em (Sistema) y en ella la opción disk qua/as (cuotas de disco), como podemos ver en la Figura 5.38.

121


Seguridad activa en el sistema

----------- ----------------------

.eo ~ M"

Tii'i\'

"<.1

& ] http'J¡localho.t :IOOOO/

lIÍ.ilado.- Oo Gltting slanld Sll Llt .. t H.. d~nn"

tos,n,r".t el Wl bmin

Help .• r.lodul o Co,.(,g

Disk Quotas

o Sysum eootup

~nd

Fl!lIlvslem

S¡'utdo",n

(h~ng ~ I'ao<w""" D"~Ouotaª e i.k and ttot"'",.

MOUl1ll1d Fram Panition with ID 52 d( lc4 7·0aa7 ·4772·b.l l·lc ec6daa lfu

I Edil Uu rQu.lu : 1[1====JIQ

F~"Y'tem , ',I~ .y.tem

l\IPII

statu.

AclJan

u n r ouotas Active

e¡. ~bl .

Quet..

!

Ent., or 011"1 I unr. Ind c~(k Ihi, bUlton lo lIÍ"whi. quol .. on aH fd.'Y'tom • .

83Ckup

filt IIct~ti.n r·I!ME Type Program. PAMAuthonll<at<cn Running Prcc . ..u htlp'1¡1ocl!hc.t:IOOOO/quctoJ L<lg

Fig. 5.38 . Cuotas de disco. En esta nueva pantalla aparecen los sistemas de ficheros poro los que se hayan estable· cido cuotas de disco, que como se ve, solo se ha realizado en la partición /home. Si morcamos con el ratón la opción /home, iremos a una nueva pantalla que contiene una línea por cada usuario del sistema (Fig. 5.39).

e.rchivo

¡¡d~ .r

~.

~ M"lIÍlhdo . ·

Hiltorill /:I1" l do,", Hlmomiontls

~da

(JIo GltI1ngSlanod IDLIIluIHud!in .. -

'"

LC\j1n:rc ct

Cl Wlbmin

/·\o¿ul. l"de< Help ..

Fllesystem Quotas

El Syst l m

Al User Quotas on I hol:le

OoclUp ~nd Shutde,.", change Pauwo,d,

C 113u~t

Un, 11.1

Em~ 1n~ti (OC.llon,

quelo,

I

C". Ou~l3<

C". "nO tt.tv.'crx

Fd lSjf>tem. Fd uy .tem 8.'.up Log F~. Retotr~n ~I;I~E Typ . P,o~ .. m. PAM Al.<\h.r.t,calron n"nmn~

p'Oto .... Sch.d"l.d Ccmma~d,

34.65 MB

O pope

~;lr-1!3

O ~n a

1 6 ~a

Un~m~ l d

,un!:miUd "'

."'

Unlimit.d

,no

Un f.m~.d

so lee' ~ l . l lnvo 't •• loct ron. 1ed;t gfa, . trmo. I eh". I updat, S, I"I.d UII ... I

Schod"lod C,onJob. SO~WOfe

o rocl

Unt:m~.d

unJ;mt.d

ur.!mdt d

unlan:tld ul'!!:mit.d

u<>lm:t. d

qu~la.

Pa:kao.,

Ttrmin l do

locllho.I,IOOOO

Ü

Fig. 5.39. Cuotas de los usuarios.

Por último, sólo nos quedo seleccionar los usuarios o los que queremos asignarles cuotas de disco y establecer las mismas. Para ello se seleccionará el usuario elegido, apare· ciendo uno nueva pantalla como la que se muestra en la Figura 5.40.

e.rchivo ¡¡dilo,

~r

-e

H!.1lorial t:!1" adc,.. HI""miln¡81 "rIIoa

(3 S' (§l ht¡p.~~ocathost:IOOOOI

!l:J Má.lIÍ.nado.· CJo o IUi1l; Stand Eil Lltnl H..dl:n .. •

"'

Login, .oel !I w.bmin [l Sysl lm Boclup ond Shutd,,,,,

ehan;. Pa"wor~. Ci'\:Ouetn. Di . \: ,"drlotw",\:

~Iodulllnd ••

QUDln fa n r"p. on J h ... 50ft kltobyt .. llmll Kllobytos used

F.I "y,r. m. Filo'y,r em nat!:up lag Fd . llotaloon t.I:M~ Type Pro~"m' PAM ;"l.<\he"toc.toon Runn : n~

5011 m . llmll FU.. u ll d

O Ur.!,rTÚt.d \i)

~~

5.7] M8

@ Ur.!'m~.d

O

171

r==::J

~

Ha,d Idlobyto IImlt

O Un!,m,'u d lIiI

Av.. lI .. ble spa, . O" dllk

1.85 GB 1011111 .65 G8 Jr..

O

r==::J

Ha,d 111 . Ilmll

@I untm;l l d

A\l3113blo ni .. on dis k

122400Iolll/ 121947fr ..

I Updlto I

P'm .....

s,h. du rod eemm.nd. s , h.dul . d (renJ ob, Scftw3r.

Edlt User Quota

Hl lp..

P"b~ • •

Sl"'tom Cecume nr.t.:n

I U,t All o".t .. 1

(1".lhi. b"lI en lo d"pl.y a ti.1 cI.nJ,lu)'1t.m. on...t.thlhi. " .. r hll d.. k quet ... ..,th ~.nk. \0 .d~ Ih om .

.. Ro¡urnteu,.rL<t

llInrin~do

lo,"tho.I:IOOOO

U

Fig. 5.40. Asignación de cuota a usuario.

Uno vez definidas las cuotas, hacemos dic sobre el botón Update (actualizar). Si quisié· sernas poner cuotas a otro usuario, repetiríamos el proceso anterior. 122


Seguridad activa en el sistema

5

3. Autenticación de los usuarios Según la Real Academia Española, autenticar se define cama "dar seguridad de que alguien a alga es la que representa a parece». Los métodos de autenticación, en nuestro caso, son los mecanismos que una máquina tiene para comprobar que el usuario que intenta acceder es quien dice ser.

Actividades

9J

7. Define una política de

Estos métodos se pueden clasificar en tres grupos, en función de los medios que se vayan a utilizar para identificarse:

contraseñas para la red del aula. Dicha política deberá incluir los siguientes apartados:

Algo que el usuario sobe y que el resto de las personas desconocen: es lo más

• Objetivo del documento.

utilizado. Lo usamos poro acceder a nuestra cuenta de correo electrónico, para conectarnos a Tuenti. .. (utilizamos un nombre de usuario y una contraseña que solo

• Ámbito de la aplicación (a qué usuarios influye).

conocemos nosotros).

• Formato de las contrase-

• •

Algo que el usuario posee, por ejemplo, una tarjeta de identidad. Alguna característica propia del usuario, rasgos físicos o comportamientos. Ejemplos: la huella dactilar, característica utilizada en el DNI para identificarnos; la retina, la manera de teclear... A este tipo de medidas se le conoce como mecanismos biométricos.

Hay sistemas de autenticación que combinan distintos métodos para alcanzar un mayar grado de seguridad; pensemos cuando vamos a sacar dinero de un cajero automático, que primero debemos insertar nuestra tarjeta de crédito (algo que poseo) y luego solicita el número de identificación, PIN (algo que conozco).

ñas.

• Longitud de las contraseñas.

• Tiempo de vida de la contraseña. • Forzar el historial de contraseñas.

• Indica tras cuántos intentos se bloqueará la cuenta.

,.

3.1. Políticas de contraseñas En la mayaría de los equipos infarmáticos, la autenticación de los usuarios se realiza introduciendo un nombre y una contraseña. Cada usuario tiene asignado un' identificador y una clave, que permitirán comprobar la identidad del mismo en el momento de la autenticación.

Como es lógico pensar, la seguridad del sistema va a estar fuertemente relacionada con la buena elección de la contraseña y la confidencialidad de la misma. Par este motivo, las empresas suelen tener definidas políticas de contraseñas donde se establece la longitud mínima de la misma, su formato, el tiempo que será válida, etc. A continuación, vamos a estudiar las características que debe cumplir una buena contraseña:

No deben estar formadas por palabras que encontremos en diccionarios, ni en español ni en ningún otro idioma, ya que cualquier programa de fuerza bruta lo descubriría con facilidad.

No deben usarse sólo letras mayúsculas o minúsculas, porque se reducirían las combinaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef.

No deben estar formadas exclusivamente por números, por el mismo motivo que en el caso anterior. Ejemplos: 273456, 373009.

No debemos utilizar información personal: nombre de nuestros familiares, fecha de nacimiento, número de teléfono ... ya que cualquier persona cercana a nosotros podría descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en las preguntas que te realizan determinadas páginas (correos electrónicos) cuando no recuerdas la contraseña.

No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier programa creado para este fin lo descubriria en un corto espacio de tiempo.

No debemos repetir los mismos caracteres en la misma contraseña.


~/

5

Seguridad activa en el sistema

o

No debemos escribir lo contraseño en ningún sitio, ni en papel ni en documentos electrónicos que no hayan sido encriptodos.

o

No debemos enviarlo en ningún correo electrónico que nos la solicite.

o

No debemos comunicarla a nadie por teléfono.

o

Debemos limitar el número de intentos fallidos. Si excede el número máximo de intentos permitidos, el usuario debe quedar bloqueado, par lo que tendrá que ponerse en contacto con el técnico de seguridad. Es lo que ocurre en los cajeros automáticos, si te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se descubra el número secreto.

o

Debemos cambiar las contraseñas de acceso, dadas por defecto por los fabricantes de routers y otros periféricos, que nos permiten el acceso a la red.

o

No debemos utilizar la misma contraseña en las distintas máquinas o sistemas, ya que si nos la descubren, haríamos vulnerables el resto de equipos a los que tenemos acceso.

o

Las contraseñas deben caducar y exigir que se cambien cada cierto tiempo, al menos una vez al año.

o

No debemos permitir que las aplicaciones recuerden las contraseñas.

Por lo tanto, las contraseñas deben ser cadenas de caracteres que incluyan tanto letras mayúsculas, minúsculas, números y caracteres especiales sin ningún tipo de lógica aparente. La longitud de la misma debe ser superior a ocho caracteres, aunque lo más recomendable es que supere los quince. Algunos consejos para poder recordar la contraseña, ya que como hemos comentado anteriormente no podremos escribirla en ningún sitio, sería elegir palabras sin sentido pero que sean pronunciables, o bien elegir la primera letra de una frose que recordemos por ser parte de una canción que nos gusta, o de algún recuerdo, por ejemplo: «Nací el 6 de junio del 65 en Madrid cerca de las 6 de la madrugada», Ne6dJd6eMcdl6dlm; para complicarla, se puede poner algún símbolo especial en una posición que podamos recordar. Si cumplimos con todas las recomendaciones expuestas anteriormente, haremos que cualquier intruso que intente descubrir la clave de acceso mediante programas de fuerza bruta, como John the Ripper o similares, tenga que perder mucho tiempo y desista del proceso. Recordad, una controseña mal elegida o mal protegida puede suponer un importante agujero en la seguridad del sistema. Para aquellos de vosotros que no tengáis mucha imaginación para crear claves, hay multitud de programas que os permiten generar contraseñas con las características que vosotros queráis. Ejemplos de esos programas son Max Password y Password Generator.

~ Actividades 8. Descargaos la aplicación John the Ripper (www.openwall.com) y comprobad los tiempos que tarda en descubrir contraseñas: o Formadas por una palabra que podéis encontrar en el diccionario, por ejemplo patata. o Formadas solo por números 373009. o Formadas por palabras invertidas, por ejemplo patata al revés, atatap. o Formadas por palabras en otros idiomas, computer. o Formada por un conjunto de caracteres sin sentido: $lAh%4Unb89{3.

24


Seguridad activa en el sistema

5

3.2. Sistemas biométricos Los sistemas biométricos, se utilizan para autenticar a los usuarios a través de sus rasgos físicos o conductas. Estos sistemas se están popularizando en la actualidad; podemos encontrar portátiles que nos obligan a autenticarnos para acceder a su sistema operativo a través de la detección de la huella digital. Otro caso similar nos lo encontramos en Disney World, la identificación de los usuarios que paseen entrada válida para varios días, se realiza mediante sistemas biométricos; de esta manera, se evita que un grupo de amigos saquen entradas para varios días aprovechando el descuento y que posteriormente accedan al parque en distintas días repartidos en pequeños grupos.

o

¿Cómo funciona un sistema biométrico?

El funcionamiento del sistema biométrico se compone de dos módulos, el de inscripción y el de identificación (Fig. 5.41 l. El primero de ellos, mediante sensores, lee y extrae la característica que identifica al usuario, almacenando el patrón en una base de datos. El módulo de identificación lee y extrae la característica que reconoce al usuario. Ese patrón es comparado con los que se tienen almacenados en la base de datos y se devuelve la decisión sobre la identidad del usuario.

., - -

I

Rasgos

- - - - - - - - - -- - -. - - - - - - - - - - - - - - - - - - - -- - -- - - - - - - -- - - - - - - _. - - - - - - - - - - -

Extracción patrón

Lectura sensores

I -H.~

'-- ----- ---- ---- -----1

Módulo de inscripción

--n

, _. - -- - --- -- -- -- -- -~~

j - - - - - - --- - - - -- - - - - - - - . - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -[

Rasgos

I

~ :

: .

u

-

u

~

Lectura sensores

-

.

.. --

-

--

-

u

u

I

Extrac~lón patron

~

Módulo de identificación

.

-.

Comparación patron

I~I~

-U : :

1-- ----- --- --- .--- .-~

Fig. 5.41. Funcionamiento de un sis/ema biométrico . Fig. 5.42. Sistemas biométricos.

Los tipos de sistemas biométricos más populares son: o

Verificaciones anatómicas: - Mano: huellas dactilares, geometría, venas. - Rostro: geometría. - Patrones oculares: retina, iris.

o

Verificación del comportamiento: - Timbre de la voz. - Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario. - Longitud y cadencia del paso.


y

5

Seguridad activa en el sistema

----~----------------------------------

3.3. listas de control de acceso Las listas de control de acceso, también conocidas por su sigla en inglés ACL, mejoran la seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios que tiene un usuorio de forma individual sobre un determinado fichero, es decir, permiten o limitan el acceso a los archivos de manera individual sin tener en cuento el grupo al que pertenece el usuario.

Q

Caso práctico 8

Definir listas de control de acceso en Ubuntu 9.04 para res' tringir el acceso a los archivos

la palabro elave «ael» en las opciones de montaje de dicho fichero.

1. Para poder hacer uso de las listas de control de acceso

2. En nuestro caso, además de las particiones de root y swap, tenemos una tercera dedicada al almacenamiento de datos; en esta última, vamos a configurar la lista de control de acceso; para ello modificamos el fichero fstab (Fig. 5.43), añadiendo la línea correspondiente a dicha partición (Fig. 5.44.)

debemos comunicarle al sistema en qué particiones vamos a querer usarlas. Para ello, necesitamos configurar el fichera /etc/fstab. Los sistemas de ficheros montados con ACL, tendrán

r:11

,archivo ¡;:ditar Yer Jl!rm ....I"C"';:.I..:A "' ,, üd""_ _ _ _ _ _ _ _ _ _ _ _ _ _

aiiiiliifst rador@Jupiter:: 5

Contraseña: root@Jupiter:/hor.:etadr.linistradorll gedi t /etc/fstab

Para comprobar que la distribución de LINUX sobre la que vas a trabajar soporta ACL, debes

Fig. 5.43. Edición de fichero fstab.

utilizar el comando grep, como se muestra en la imagen.

_...

r.~ ~

..

,",,, .,, '''''''"''''-~- .,

El

[()

"g::::;':.;:,,,::-;:,"".' ",,,,,,,,,,,., "",,, .m,,,, " ."". ""_,

Nuevo Abrir

"",,,,,,,,,,,,,,,,,,,,'1

Gl fstab

¡::::-!,;,:,_!e.¡:,~~.,

. " .i\i)j!3)o¡¡¡3IT1l

0 0 ...• -

Archivo ,Editar

",,--

1E¡r~rm'~l:'~t·

su

v

= @i

yo< fluscar Qocumentos Aluda

~ . ... I Deshacer Gua~ar I Imprimir

M

Re t:acer

I Cortar ""

~

I@ I

v

[1,

Copiar Pegar

01

11 letc/fstab: static file systern information.

•11 Use

' vol id --uuid' to print the universally unique identifier tor a

11 device; this rnay be used with UUID= as a more robust way to name devices 11 that works even if disks are added and removed . See fstab(5).

Fig. 5.46. Comprobación ACL.

•11 <file system;:. <tnount poinb

<type;:. <options;:. proc defaults Iproc 11 / was on ¡dev/s dal during installation UUID=3d399d92 -e635 -43eb -9f4d -a1787971 ffle / relatime,errors=remount-ro 9 1 # /home was on Idev/sda5 during installation UUID=97f379ae-93aS-4668 -b949 -ded3a139cce7 /home relatime 2 11 swap was on ¡dev/sda6 during installation UUID=2e99a71 f -5dfa -491 f -897b-d74d9161a35d none proc

,<dur.lp;:, ,<pass;:. ext3

,

Para configurar las listas de con-

'"

trol de acceso (ACl) debemos realizarlo bajo el perfil de admi-

¡dev/scd9 Idev/fd9

/dev/sda5

,

exO

,

/media/cdrom9 Ir.ledia/floppye Ir.:edia/datos

swap

udf,iso9669 user,noauto,exec , utf8 9 rw,user,noauto,exec,utf86 auto auto rw,user,auto,exec,ac19

, ,,

nistrador.

I Texto plano" 11 Ancho de la tabulación:

B" 1 I..n 17, eol1

INS

Fig. 5.44. Fichero fstab.

3. A continuación, procederemos a montar la partición nuevamente (Fig. 5.45).

~ Actividades 9. ¿Qué

diferencias hay entre el uso de las ACL y el de la orden chmod?

• • 1,

.Brehivo

.Editar yer Terminal

~j

• J • _•

• - • •t

Ayyda

root@Uupiter:/ home/administrador# mount -o remount,acl /dev/sdaS root@Jupiter:/home/administrador#

Fig. 5.45 . Remon/or unidad. (Continúa)


Seguridad activa en el sistema

5

Casa práctico 8

=. archivo Editar yer Iermlnal Ayuda root@Jupiter:¡hot.le¡adminlstrador# ls -1 total 348 drwxr-xr·x 2 administrador administrador drwxr·xr·x 2 administrador administrador ·rw-r··r·· 1 administrador administrador ·rwx····-· 1 administrador administrador -I"W)("'--- 1 administrador administrador drwxr-xr-x 2 administrador administrador -rwx"'--- 1 administrador administrador ros . png -rwx- - - - - - 1 adr.'linistrador administ rador drwxr-xr-x 2 administrador administrador ·rwx----·· 1 administrador administrador .rwJ(-- •••• 1 administrador administrador drwxr·xr·x 2 administrador administrador -!"\J·r··r·· 1 root root dl"l/xr·xr·x 2 administrador administrador -rwx······ 1 administrador administrador drwxr-xr-x 2 administrador administrador root@Jupiter:¡heme/administrador#

9

(Continuación) G

4896 2099-87-31 22 35 4096 2009-09-82 23 41 3572089-07-312233 94677 2089-87-22 18 41 3B868 2889-87-22 18 52 4896 2089-87-31 22 35 72664 2089-87-22 10 50

DocUr.Jcnto 5 Escritorio examples.desktop gedit . png getfacl.pn[l Ir.Ja[lenes listado de fiche

lB157 2889· 87 - 22 Hl: 47 4896 2889·87-31 22:35 19165 2889·67·22 18:32 18383 2069·67·22 18:38 4096 2809-07·31 22:35 332809-09·02 23:53 4896 2089-87·31 22:35 33834 2889-07-22 10:56 48962889-87-3122:35

r.Jontaj c _png r-hisica pantallazol.png pilntaltazo . png Plantillas prueba Público sctfacl.png Videos

Para realizar el ejemplo, root ha creado un fichero llamado prueba.

1 1

I ~

Fig. 5.47. Ficheros de un directorio.

11:1 An:hivo "ditar yer TermInal Ayuda r oot@Jupiter:/hor.le¡adr:1inistrador# getfacl # file: prueba # owner: root # group: roet user:: rugroup:: ro. other:: r--

4. A continuación, mediante el comando getfacl, vamos a ver la información que almacena la lista de control de acceso del fichero prueba y del directorio actual.

p·~,"",;¡;b,;;--------------r.l l

Nos informa del nombre del fichero, del propieta· rio, del grupo y lo que más nos interesa, los permi· sos del propietario (user::rw·), del grupo (group::r..) y del mundo (other::r..). Lo mismo para el directorio actual (Fig. 5.48).

reot@Jupiter:/heme/administrador# getfacl # file: . # owner: administrador # group: administrador user:: rwx group:: r-x other: : r-x roo t@Jupiter:/home¡administrador#

Fig. 5.48. Resullada comando getfacl.

5. A continuación, vamos a darle permisos a Fernando, para que pueda leer y modificar el fichero prueba. Paro ello, debemos utilizar el comando setfacl con la opción «·m», que nos permite modificar la ACL, y por último, comprobamos que . se ha realizado la modificación solicitada (Fig. 5.

an:hivo Editar yer Terminal AYlJ.da root@Jupiter:/home/administrador# setfacl -m user: fernando: rw- prueba root@Jupiter:/home/administrador# getfacl prueba # file: prueba # owner: root # 9 roup: root user:: Nuser: fernando: n.ogroup::r-· r:msk:: 1"1/' other:: r-'

root@Jupiter: ¡heme/administrador#

L

49). ~'~

'------------------~~~~~~~II Fig. 5.49. Resullado comando setfacl.


Seguridad activa en el sislema

q

Casa ~ráctico 9 Definir listas de control de acceso en Windows utilizando el comando cacls para evitar el acceso a los ficheros a usuarios no autorizados

l . . Para la realización de esta actividad debemos tener creados al menos dos usuarios: Usuario 1 y Usuari02. 2. En la carpeta Mis Documentos del Usuariol, crearemos otros dos directorios: Confidencial y Datos compartidos. 3. El Usuario 1 quiere permitir que Usuari02 pueda leer documentos que hay almacenados en Datos compartidos. En estos momentos eso es imposible, el Usuari02 no tiene permisos para acceder a Datos compartidos. ¿Qué podemos hacer? Modificar la lista de control de acceso para permitirle entror a la carpeta Datos compartidos. Además, debemos permitir el acceso a la carpeta Usuario 1 de Documents and Settings y al directorio Mis Documentos. Paro ello debemos ejecutar la instrucción cacls, cuya sintaxis es: Cacls fichero /parámetros Los parámetros son:

11.- Cambia

las ACLS de los archivos especificados en el directorio actual yen todos sus subdirectorios. le.- Modifica la ACL en vez de reemplazarla. Este parámetro es muy importante, supongamos que queremos darle permisos al Usuari02 y no utilizamos este modificador; entonces se reemplaza la ACL antigua por la nueva, no permitiendo al Usuario 1 acceder a su información. Ic.- Fuerza la modificación aunque encuentre errores. Ig usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total).Concede derechos de acceso al usuario. IR usuario.- Suspende los derechos al usuario. Ip usuario:perm.- Sustituye los derechos del usuario especificado. Id usuario.- Deniega el acceso al usuario especificado. La instrucción cacls permite modificar las listas de control de acceso a los ficheros. Según la sintaxis anterior, debemos ejecutar el comando que aparece en la Figura 5.50.

Fig. 5.50. Modificación ACL del directorio actual y subdirectorios.

El resultado es que el Usuari02 puede entror a todos los directorios y ficheros que cuelguen del directorio Usuariol, o lo que es lo mismo, puede visualizar cualquier documento de dicho usuario. Como toda la información del Usuario 1 está almacenada en dos carpetas, Confidencial y Datos Compartidos, para que no tenga acceso el Usuari02 al directorio Confidencial del Usuariol, debemos ejecutar la orden de la Figura 5.51.

" C: ' D'U. llm·nl . "mi , 1\' In í! : N

_ [J

~;,'lllll'l

' " :: ll,'¡'!ul )" " l . "Mi :.. ,lu¡;"rU'nlw.'( oIlJ ¡!Iclle!.,I" / c / 11

Fig. 5.51. Denegación de acceso a carpeta confidencial.

x

11:"1111:1


Seguridad acliva en el sislema

5'-...CI

-----------------------------------

4. Vulnerabilidades del sistema

Los sistemas operalivos son pragramados y sometidos a numerosas pruebas anles de ser lanzados al mercado, pero no se descubren sus verdaderas vulnerabilidades hasta que los «expertas en seguridad" (hackers, crackers, virus.. .), lo someten a sus duras pruebas. Entonces, esos agujeros son corregidos con la mayor celeridad posible por los programadores del sistema . Por el lo, siempre debemos mantener el sistema aclual izado.

Windows publica las actua li zaciones los segundos martes de coda mes, conocido como Patch Tuesday (martes de correccio·

nes), a no ser que sea una adua· ]¡zación crítica , en ese caso se publica seg ún se termine.

4.1. Evitar vulnerabilidades en Windows Poro evitar los vulnerabilidades en Wi ndow s, debemos mantener el sistema aclualizado con los últimos parches. Esto lo podemos realizar de distintas maneras: Windows praporciona un servicio de aclualizaciones automáticas a lravés de la Web, denominado Windows Update, ubicado en windowsupdate.microsolt.com. Si nos coneclamos a esta página, el servicio analiza el sistema operativo y determina las aclualizaciones que es necesario descargar. Olra manera es configurar el sistema operalivo paro que realice las descargas de las aclualizaciones automáticamente. Para ello debemos pulsar el balón Inicio de Wir,dows Vista, hacer clic sobre el Panel de Control y seleccionar la opcián de Windows Update (Fig . 5.52).

---

........-

'i>

[i) ~.

...,...

o,ac.... ... ~

.~

~

...

~,~

l!!f:J ... i]J

"'-_ SoL

~

1_ . -=t

~ ~

~

...

_.- -

,_,:Mf ...... ,~

-- -

,q

w_ -."

I~

...... ........... ,

""'~

~

l-~

..,~

0 , - . ..

p~

_.~

v.-........

~

<&

~

,-

~

~ ".,,-

w_ ~

Fig. 5.52. Panel de control.

A continuación, se abre una nueva ventana similar a la que se mueslra en la Figura 5 .53 .

\'linrlaw> Upd.te

[@0esa '9M~ ¡l\st.lI.lI.1OU.)l ju¿o""'p.lJ'3dequipo

. ,,"""'.....-.... .......

:.::!.=::::u:.::.!!·~:~n: " l[i~!!> ,~~ ";¡;;;;;JI

-_ ... - -..... ....¡..... _ _ ,.-..w_

~

_ ~

I

~

_ _ ... _

s .~w _

_

~;

_ .... ...,,-.,....oie"

~

Joto, . InlG! 1ioy . I<> Ul . ~

_ _.. ....:ten.ld.",... oa-_

Fig. 5.53. Windows Updote en Windows Visto.

", ,, ,, ~,,

~ .

...... , .... UO! .. ~ )

_

,


~/5

Seguridad activa en el sistema

----~----------------------------------

En esa ventana podemos buscar actualizaciones, cambiar la configuración, consultar el historial de actualizaciones, restaurar actualizaciones ocultas y ver las preguntas frecuentes sobre el proceso de actualizar el sistema. Como estamos intentando configurar las actualizaciones automóticamente, debemos hacer dic en la opción Cambiar configuración, que se muestra en el marco izquierdo de la Figura 5.53.

00 ~ ..

Wi!ldaws Upd.!!! • úmbiar configuf.ciOn

Elija la forma en que Windows puede instalar las actualizaciones (ulndo ti equipo HU cantct.do, Windaws puede comprobar lutom'tic.mente In adu.liucicnH e imt.llIlu I/undo uu ccnfigu,',ión. Cuando utén dilponiblu nuevll .dll. liucienes, plltde instabtlu .ntH de ap'g,r ti equipo. Informa cién soln!! ActuJIi::Jdont5 lutom alicJs de Window! ri:ll, @ InsUlar.ICt!WIDdonesluwm!t1umente(recomendado)

V

[mUlu nuevu .ctulli:.tciones.:

1101l051011llU

.I,ln ~

CI Busca! . du.liuciones, pero ptrmítirme elegir si desto descargarlu t instllllln rL'JII

W

e No bUSC4r 'du,linciona (1\0 recomendadD) El equipo str' misvulntllblt •• menua¡ dt seguridad y problunas de rendimiento sin Ju IctualÍIadcnes más redmtes.

Actuali",cicnes recomendadas O lnduir lu actuaJi::adonu recomendadu cad. ve..: que se descar!luen o instalen actualizadones, g clda vu que recib. un. nclifi"ción ,obre tJln. Nota; u posible que Windcws Update se actulli,e lulom'liclmenle antu de que busque ctras actualÍIldones. Lea la d~c!",.ci6n de nnv3cid . d ~n I'nu .

0 Aceptu

II

C.ncetn

I

Fig. 5.54 . Configuración Actualizaciones.

En la nueva ventana (Fig. 5.54), seleccionamos la primera opción, Instalar actualizaciones automáticamente (recomendado), definiendo cuándo queremos que se instalen las nuevas actualizaciones. Como sabemos que Windows suele publicar las actualizaciones los martes, lo podemos configurar para que se instalen los viernes a las 20:00 horas, de esta manera, nos aseguramos que no han dado problemas los parches publicados. Otra opción que podemos seleccionar en la misma ventana es Descargar actualizaciones, pero permitirme elegir si deseo instalarlas; como su nombre indica se descargan las actualizaciones, pero no son instaladas hasta que no demos la oportuna orden. Otra selección posible es Buscar las actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas; de esta manera, no se descargan las actualizaciones, ocupando espacio en el disco duro hasta el momento en que las instalamos. Por último, podemos optar por no buscar las actualizaciones; en ese caso somos los responsables de acceder a la página de Windows Update y determinar las actualizaciones que necesitamos para mantener nuestro equipo sin vulnerabilidades. De la misma manera que mantenemos actualizado el sistema operativo, debemos mantener actualizado los programas que tenemos instalados y, por supuesto, el firmware de los distintos periféricos que conectamos al equipo: router, switch, etc. Como perderíamos mucho tiempo consultando la página de cada fabricante para ver si han publicado nuevas actualizaciones de las aplicaciones instaladas, podemos utilizar algunos de los numerosos programas gratuitos que existen. Estos se conectan a Internet y nos informan de si hay nuevas actualizaciones publicadas que aún no tengamos instaladas. Algunos ejemplos de dichos programas son APPGET, SUMO, LOGICIEIMAC.COM, APPFRESH, UPDATE NOTIFIER (http://cleansofts_org), etc.


Seguridad activa en el sistema

5. Monitorización del sistema

Con lo monitorización del sistema vamos a poder auditar los eventos que se han producido en nuestro equipo.

5.1. Monitorización en Windows Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr. msc. En la Figura 5.55, podemos ver que guarda información de los sucesos de aplicación, seguridad y sistema. -

-----IJ Visor de sucesos

.""""". [il111!@ I r,1""""'60 AaJ6n

fl¡JI L

"

.

Vo<

~

~

-

-

-

-

-

--

Irl~~

I I

Ayud.

@

IV= de """'" (loc"l

<0. .

Nombre

\1 Seguridad !¡ S"tstemo!l

Iill Apl<odón Iill Seguridod Iill"''''''''

I 1100 Regl ... Regi ... Regl ...

I

I TarMio Registros de error de aplicac ... Registro de audiroria de seg ... Registros de error del sistema

~

~

~

~

"

Fig. 5.55. Visor de sucesos Windows.

Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config. Es muy impartante configurar correctamente el tamaño y el acceso a los mismos. El tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,?ncargados de la seguridad del sistema.

5.2. Monitorización en Linux Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Sistema > Administración> Visor de archivos de sucesos. - .... ~ .Archivo fditar ~jsta ~

Xorg.O.log Xorg.20.log V"

~

auth.log miércoles, 2 sep jueves. 3sep auth.log.O boot

bootstrap.log ~ ~ ~ ~

daemon.log daemon.log.O

' ~ Q~I '

."

-

(-j · 15~·N-.,t!Ml~

Ayyda

~'ª

. Se- -p 3 oo;;;;¡i Jupiter SU[18114]: +·;~;/i';dmi~i~~~ad~;; r~lll Sep 300:22 :11 Jupiter su[18114]: pam unix( su:s ession): se Sep Sep - Sep Sep Sep Se p Sep =Se p - Sep Sep

300,22 ,11 Jupiter dbus -da emon, Rejected send message' l

v

'"

300: 27:11 Jupi ter 300:27:17 Jupi ter 300: 27: 28 Jupiter 300:27: 28 Jupiter 3 00 :27: 2B Jupiter 3 00 :27 :35 Jupiter 3 00 :27 :35 Jupiter 3 00: 27 :35 Jupiter 3 00: 27: 35 Jupiter Sep 3 00 :27 :36 Jupi ter Sep 3 00:27 :36 Jupite r Sep 3 00:27:36 Jupiter Sep 3 00:27:36 Jupi ter Sep 3 00:27:36 Jupiter Se p 3 00 :27:36 Jupi te r Sep 3 00 :27:36 Jupi te r

debug debug.O dmesg dmesg.O

dpkg.log

(

303 lineas (78,4 KiB) - última actualización: lllu Sep 301:

Fig. 5.56_ Visor de sucesos Linux.

su[18114]: pam_unix(su :session) : se ~ gdm[27 59]: pam unix(gdm :session): s gdm[2759]: pam-unix(gdm:session): s gdm{2759]: pam-ck connecto r(gdm:ses gnome -keyring -daemon[ 18441 ] : adding dbus -daemon: Rejected send message, dbus -daemon: Rejected send message, dbu s-daemon: Rejected send message, dbus -daemon: Rejected send message , dbus-daemon : Rejected send message , dbus -daemon: Rejected send message, dbus-d aemon: Rejected send message, I dbu s-daemon: Rejected send message, dbus -daemon: Rejected send message, dbus -daemon : Rejected send message, dbus -da emon: Rejected send message.

El

~

:022009

IIL

5


~/5

Seguridad activa en el sistema ------~---------------------------------------Para simplificar lo auditoría, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Poro auditor los entrados 01 sistema utilizaremos el comando last (Fig. 5.581, poro auditor los accesos fallidos usaremos el comando lastb (Fig. 5.591 Y poro los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601. Los ficheras donde se guarda la información se encuentran ubicados en el directorio

/var/log (Fig. 5.571.

~

Vocabulario

Lag. Es el registro de un evento que se produce en el sistema.

administradon@Uupiter:/var/log$ 15 di5t~upgrade

apparmo r i1pt

dmesg

auth.log

dmesg.e

auth . log.e auth . log . l.gz

dmesg.1.gz dmesg.2.gz

auth .tog .2.gz

dmesg.3 .gz

boot bootstrap.log btmp

dmesg. 4 . gz dpkg.log dpkg .10g.1 exi m4 fa11109 fontconfig.log

syslog . 5. gz udev lpr.log unattcndcd-upgrade s mail.err user .log ma11.1nfo user.log.o mai1.109 user .10g.1. gz llIail.warn user.log . 2. gz messages wpa supp11cant . log messages.9 \</pa: s upplictlnt . lag . l . gz messages.l . gz wpa_s upplicant.log.2.gz messages . 2 .gz wpa_s upplicant.log. 3.gz ne liS wpa_s upplicant.log . 4 . gz

daemon.log

fsck

pycent ralo log wtmp

daeman. tog . a daemon . log . l . gz daeman. lag. 2 .gz

gdm insttltter jockey.log

samba syslog syslog . e syslog . l .gz systog . 2 .gz syslog.3.gz syslog.4 . gz

btmp.l Con soleKit cup s

debug jockey.log.l debug . e kern.tog debug . l . gz kern.tog . a debug.2.gz kern.tog.l . gz administ rado r@Jupiter:/var/10g$

kern .log . 2. gz lastlog

wtmp.l Xorg.9.1og Xorg.9 .1og.o1d Xorg.29.1og

viene de weB lOG. Fig. 5.57. Ubicación /ogs de Linux. A continuación, vamos a ver unos ejemplos de los comandos vistos anteriormente. ~

Archivo bfitar ')[er Jenninal Ayyda root@Jupiter:-# last fernando pts/2 192.168.1.35 fernando ptS/ 2 192.168.1.35 root ptS!l jupiter administ pt5/9 :9.9 administ ptS/5 jupiter.locat administ pt5/4 jupiter.locat :0.0 administ ptS/3 administ pt5/2 jupiter administ pt5/1 jupiter administ pts/o :0. 0

lhu Thu Thu Thu Thu Thu Thu Thu Thu Thu

Sep Sep Sep Sep Sep Sep Sep Sep sep sep

3 00:52 3 00:46

3 00:45 3 00:43 3 00:38 3 00:37 3 00:31 3 90:30 3 00:30 3 00:29

. . . . .

5titl togged in 00:47 (00 :00) stitt togged in 5t1tt togged in 09:38 (00:00) 09:38 (00:91) eO:38 (00:07) 00:38 (00:97) 00:38 (00:08) 00:38 (00:08)

. El

I

Fig. 5.58. Resu/lado comando lasto .'

Archívo

.;:ditar

Ver

Jermínal

.

...

(;;;,¡

Ayyda

ana@ana-desktop :-$ lastb fernando fernando tty7 :0

Thu Ju\ 23 13:49 . 13 : 49

btmp begins Thu Jul 23 13 :49:28 2989 ana@ana-desktop : -$ lastb

Fig. 5.59. So/ido comando lastb.

Archivo .Editar root@Jupiter:-# Nombre fernando root@Jupiter:-#

')[er Jenninal Ay.uda lastlog · u fernando Puerto De pts/2 192.168.1.35

Fig. 5.60. Resu/lado comando lastlog. 132

Último jue sep 3 09:46:59 +9290 2099

(66:66)


Seguridad activa en el sistema

5

6. Software que vulnera la seguridad del sistema En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... ) como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del sistema.

6.1. Clasificación de los atacantes Los atacantes se pueden clasificar según el tipo de ataque: •

Hackers: son personas con grandes conocimientos informáticos y telemáticos (expertos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulnerabilidades. La principal motivacián de los hackers es seguir aprendiendo y mostrar las vulnerabilidades de los sistemas al mundo. En ningún caso buscan un beneficio econámico o dañar la estructura del sistema. Podríamos hacer un símil con una persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado allí, para informar de la vulnerabilidad de la misma. También son conocidos como hackers de sombrero blanco. Crackers o hackers de sombrero negro: el término hacker fue utilizado por los medios de comunicación de forma genérica, para referirse a cualquier intruso en un sistema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers inventaron una nueva palabra para designar a aquellas personas que rompían las barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban un beneficio económico o bien porque por venganza dañaban las estruc.turas de los sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers criminales, hackers cuyas intenciones son maliciosas.

Phreakers: son expertos en telefonía. Son conocidos como los phone crackers, los crackers de la telefonía, buscan un beneficio económico saboteando las redes telefónicas para realizar llamadas gratuitas.

Ciberterroristas: san expertos en informática y en intrusismo en la red, que ponen sus conocimientos al servicio de países y organizaciones para el espionaje o sabotaje informático.

Programadores de virus: son expertos en programación, en sistemas y en redes, que crean pequeños programas dañinos, que por uno u otro motivo llegan a la red y se distribuyen con rapidez ocasionando daños en los sistemas o en la información almacenada en los mismos.

Carders: atacan los sistemas de tarjetas, especialmente los cajeros automáticos.

Sniffers: lo podríamos traducir como colilla, son las personas que se dedican a escuchar el tráfico de la red, para intentar recomponer y descifrar los mensajes que circulan por la misma.

lammers: también conocidos como wannabes o script-kiddies o c1ick-kiddies, son chicos jóvenes que sin grandes conocimientos informáticos, se creen verdaderos hackers y se lo hacen creer a los miembros de sus pandillas. Estos sólo se han descargado herramientas o programas de Internet para realizar ataques informáticos y los han puesto en marcha sin saber cómo funcionan. Los verdaderos hackers muestran una gran repulsa hacia los lammers.

Newbie: son los hackers novatos, empiezan a aprender y van superando los primeros retos para llegar a ser verdaderos hackers.

Luser es el término que utilizan Jos atacantes para referirse al usuario que va a ser atacado. Es la abreviatura de Local USER.

La palabra hacker ha sido

i-

zada erróneamente por la prensa para referirse a aquellas personas involucradas en cualquier

acto que ataque la seguridad informática, sin tener en cuenta

el fin del misma.


Seguridad activa en el sistema

6.2. Tipos de ataques Podemos hacer una primera clasificación de los tipos de ataques según los objetivos de seguridad que vulneran.

Interrupción, este tipo de ataque vulnera la disponibilidad de un recurso del sistema o de la red. El recurso no podrá ser utilizado. Ejemplos, denegación del servicio, el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de un disco duro, cortar una línea de comunicación, deshabilitación de un sistema de ficheras (umount).

r Interrupción

Fig. 5.61. Interrupción.

Intercepción, ataca la confidencialidad. Un intruso accede a información almacenada en nuestro sistema o al que hemos trasmitido por la red, es decir, la información ha caído en manos de personal no autorizado. Ejemplos, captura de información en la red o copia de archivos no autorizada.

Intercepción

Fig. 5 .62. Intercepción.

Modificación, ataca el objetivo de integridad. Los datos han sido manipulados por personal no autorizado en algún momento entre su creación y su llegada al destinatario. La información que se dispone después de un ataque de estas características no es vólida ni consistente. Ejemplos, las modificaciones de programas para que realicen acciones diferentes a las prapuestas originalmente, modificar un mensaje transmitido por la red, DNS spoofing, ...

Modificación

Fig. 5.63 . Modificación .

Fabricación, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones destinadas a conseguir que el praducto final sea similar al atacado de forma que sea difícil distinguirlo del original. Por ejemplo, el phising .

ot:.JI'J-----l

O

=F=abrica=ción=

\ Fig. 5.64. Fabricación.


Seguridad activa en el sistema

5

Otro tipo de clasificación se puede realizar en función de la forma de actuar de los ataques: •

Spoofing o suplantación de la identidad: la técnica de spoofing (engaño o falseamiento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de switch como elemento de interconexión entre los diferentes Pe. Este ataque consiste en falsear algún dato de un PC atacado. Existen distintos tipos de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en engañar a la tabla arp que los equipos guardan en memoria, tabla que simplemente asocia una dirección física o mac de una tarieta de red con su IP (Fig. 5.65).

El comando ARP pe rmite ver o modificar lo s entradas de la tabla de IP-MAC.

Fig. 5.65. Tabla ARP de PC atacado antes de realizar ARP Spoofing. Con esta técnica de engaño podemos hacer creer a un PC atacada que la dirección física de otro PC, también atacado de la red, es la del PC del atacante, consiguiendo con ello que todo el trófico de red entre los dos PC atacados pase por el PC del atacante (Fig. 5.65); es lo que se conoce como man in the middle (hombre en medio): En la Figura 5.66 podemos ver como la MAC de la dirección del PC atacado (192 .168.0.134) ha sido modificada con la dirección física (00-Of-ea-16-8e-59) que es la dirección física del atacante.

Fig. 5.66. Toblo ARP del PC otocodo tros el ARP Spoofing. Otra versión de este tipo de ataques es el DNS spoofing o engaño de DNS, que consiste en falsear la respuesta del servidor DNS sobre una petición y darle una dirección IP diferente a la real. Es decir, que cuando un PC atacado pide por eiemplo la IP de www. mibanco.es a su servidor DNS, el equipo atacante falseará el paquete de datos de los DNS con la respuesta y le puede engañar dándole la IP de otra equipo cualquiera. Así en vez de conectarse a su banco se conectaría a otra PC diferente pudiendo falsear la pagina de entrada de su banca electrónica y capturando sus claves de acceso a la misma. Veamos estas dos técnicas mediante una próctica realizada con el programa CAIN que te puedes descargar de la página http://www_oxld.it/cain_html.


Seguridad activo en el sistema

~ Caso práctico 10

ARP spoofing y DNS spoofing En esta práctica, vamos a hocer que cuando un usuorio desde un PC atacodo resuelvo lo IP asociada al nombre www.google.com. en vez de contestarle con la dirección real, obtendrá como repuesta la IP de un equipo de nuestra red. Antes de hacer el DNS spoofing tendremos que realizar un envenenamiento de la tabla ARP, para osi cambiar las tablas Ip·MAC del PC atacado y del router y redirigir todo el tráfico que va desde el PC atacado hacia el router a través del PC del atacante. Como vemos en la Figura 5.67 antes del ataque, el DNS resuelve la dirección de Google can su direccián IP real (209.85.229.147) .

Fig. 5.67. Ping a la dirección www.google.com. Después del atoque, el atacante modifica la dirección devuelta par el DNS por una dirección que el atacante configura a través de la aplicación CAIN. Para realizar esta práctica debemos seguir dos sencillos pasos:

1. El primero, crear una entrada de envenenamiento ARP (Fig . 5.68). Con esto con· seguiremos que todo el tráfico entre PC atacada y el router sea redireccionado al PC del atacante .

Fig. 5.68. Entrada de envenenamiento.

2. El segundo paso, consiste en introducir una entrada de DNS spoofing (Fig. 5.69) consiguiendo que cuando el atacado se quiera conectar a Google realmente se conectará al equipo con la IP 192.168.0.134. (Continúa)

I


Seguridad activa en el sistema

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _,¡: c:::; o.:;; so::..práctico

5~

109 MAC. Media Access Control,

(Continuación)

es un número de 48 bits que generalmente se expresa como

12 digitas hexadecimales, y que identifica de forma única a cada

tarieta de red ethernet.

,

192.1l1li.0.134

~6

l'J'R-tMAPS(O) APR-ltW'5(O) j\ffi-SIPS(O)

Fig. 5.69. Entrada de DNS spaafing. Como se puede ver en la siguiente imagen, cuando hacemos un ping a Google desde el equipo atacado devuelve la dirección que ha configurada el atacante

(192.268.0.134).

Fig. 5.70. Resultada de la entrada de DNS spooting. Como es lógico pensar, esta técnica se puede utilizar para cometer fraudes en intranets o redes corporativas reenviando al atacado a una pógina muy similar a la original, pero falsa, por lo que el intruso podrá ver sus claves. Contra este tipo de ataques podemos luchar creando las tablas ARP de los equipos expuestos de forma estática mediante el comando ARP.

Sniffing o análisis de tráfico: como hemos comentado en el epígrafe de tipos de atacan· tes, este tipo de ataques consiste en escuchar el tráfico de la red. En las redes de área local que utilizan el HUB como medio de interconexión entre los equipos, esta técnica se convierte en un juego de niños; como sabemos, los hubs o concentradores repiten toda la infarmación recibida por cada uno de sus puertos. Para dificultar el uso de esta técnica, debemos sustituir los concentradores por switchs o conmutadores, ya que estos últimos al tener definidas las tablas de direccionamiento (CA M Control Addressable Memory) sólo mandan la información recibida por el puerto adecuado. Pero es tan fácil como utilizar una técnica de MAC flooding, que consiste en saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento y terminen funcionando como concentradores, es decir, que reenvían la información recibida por todos los puertos por no saber por cuál de ellos debe enviarla.


i /5

Seguridad activa en el sistema

~--~----------------------------------

q

Caso práct.:: ic:::o:.,.l:..l=---_ _ _ _ _ _ _ __

Comprometer uno sesión telnet entre dos equipos atacados Para la realización de esta práctica hemos utilizado tres equipos conectados a la misma red mediante un switch. Volveremos a utilizar la misma aplicación que en el caso próctico anterior, CAIN, con la que envenenaremos mediante la técnica del ARP spoofing el trófico generado entre los dos PC atacados consiguiendo visualizar el contenido de la sesión telnet entre los mismos.

1. Como puedes ver en la siguiente imagen (Fig. 5.71), se está envenenando el trófico entre dos PC; uno con la dirección IP 192.168.0.134, que será el que inicie la sesión telnet, y otro con dirección IP 192.168.0.136 que es quien tiene en ejecución un servidor telnet.

2. En el siguiente paso, vamos a ver como el sniffer escu· cha el tráfico generado entre los dos PC atacados durante una sesión de acceso remoto. En primer lugar Emilio inicia una sesión telnet autenticándo· se mediante su nombre y usando como contraseña patata (Fig. 5.72).

Fig. 5.71. Envenenamiento del tráFico entre dos PC

En la siguiente imagen, vemos como el sniffer mediante la aplicación CAIN ha sido capaz de comprometer nuestra sesión telnet (Fig. 5.73). El intruso ve el nombre de usuario y la contraseña utilizados para la conexión y posteriormente la ejecución del comando dir realizada durante la sesión por el atacado.

Fig. 5.72. Inicio sesión fe/neto

: [7: lota [7: lefa [10: ah (10: af u o[10: 9fama [10: 101'11 D[10:Ufll a[la: 12fl1l1 a [lo: l11'oa [lO: 14 f 0 (3:31'

[7: 3. fdlda [7: ] 5fri a (7; 36fr D[7: ] 7f

Fig. 5.73. Te/ne! comprometido.


5

Seguridad activa en el sistema

Conexión no autorizada a equipos y servidores: este tipo de ataque consiste en descubrir distintos agujeros en la seguridad de un sistema informático y establecer con el mismo una conexión no autorizada. Ya sea porque hemos descubierto las controseñas de algunos usuarios, como en el caso práctico anterior, o bien utilizando aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir el acceso al equipo desde el exterior.

Intraducción en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos o gusanos son conocidos como malware, programas malintencionados, que infectan nuestro equipo dañando de múltiples formas nuestro sistema.

Puedes descargarte una versión

demo de 30 días del antivirus ESET en http://demos.eset.es/. En el sitio podrás elegir entre ESET NOD32 Antivirus o ESET Smart Security. Puedes solicitar más información a tu profesor.

- Los virus son programas que se propagan entre los equipas. Su código se adjunta al de otro programa existente en el sistema para facilitar la propagación del mismo y causar los daños para los que han sido diseñados por el creador. La característica principal es que su código ha sido escrito con la intención de que se vaya replicando para así infectar el mayor número de equipos posibles. Ejemplos famosos de virus son Barrotes, Viernes 13 ... - Las gusanos son diseñadas con el mismo fin que los virus, que se propaguen por la red. Se diferencian en que éstos no necesitan la intervención del usuario, ya que no se adjuntan a ningún otro programa, sino que son distribuidos de manera completa par la red consumiendo en la gran mayoría de los casos un gran ancha de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos ejemplos famosos de este tipo de programas son Sasser y Blaster. - Las troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayoría de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.

.. . 'J' Debes cambiar las contraseñas

que ponen por defecto los fabricantes a los distintos periféricos que nos permiten la conexión a Internet paro evitar conexiones no autorizadas a los mismos.

Estas daños varían desde aquellas que no realizan ningún perjuicio al equipo infectado hasta otros que realizan verdaderos destrozos irreversibles en nuestro sistema. Para evitar el ataque de este tipo de programas se han comercializado aplicaciones denominadas antivirus que mantienen actualizadas sus ficheros de firmas parci detectar y eliminar los programas con código malicioso. Ejemplos de antivirus son Panda, Norton, AVG, etc. Todos ellos tienen antivirus on-fine (en línea) que en la mayoría de los casos sólo permiten detectar si nuestra máquina está infectada. Es aconsejable tener instalado un antivirus, teniendo en cuenta que todos ellos ralentizan tonto el arranque como el normal funcionamiento del equipo por consumir recursos del equipo.

Algunos virus famosos:

• El virus FORM hace sonar los días 18 de cada mes un pitido por cada tecla pulsada. Esto simplemente se puede considerar una broma más o menos incómoda.

• El virus VIERNES 13 borra los programas utilizados en dicho día afectando exclusivamente a los archivos ej ecutables. • Generic Backdoor, permite a los intrusos acceder de manero remoto al ordenador

actlv e scan 2-0 ""',"""""' '''...... ,,,,..

afectado, por lo que compromete la confidencialidad de la información almacenada en el

................",'"".. """"""'_....,."'''' ........

...."....., ...... ..,.. ... '-w""' ••,,,, __ ... . _ •., ....'."n"" ••

""'......

..',,,,.., ....""""

=-c"""'.., . ~..""

''''''''''0:.'''. '',,,,,,,,,,

..-. ""' ~

equipo . • Sasser, es un gusano qu e aprovechando una vulnerabi-

lidad de Windows, apagaba el equipo . • Elk Cloner, programado por Rich Skrenta a los quin ce años de edad, es considerado el primer virus d esarrolla-

Fig. 5.74. Anfivirus online de Panda.

do y expandido por la red . Afectaba a los equipos con sistemas MAC instalado.


~/5

Seguridad activa en el sistema

~--~----------------------------------

Q

Caso próctico ::...,:1.:: 2_ _

Configurar el análisis en busca de virus y otras amenazas del Antivirus Panda Como hemos comentada anteriormente, los antivirus ralentizan el arranque de los equipos debido al análisis en busca de malware que realizan en cada uno de los arranques. l.eJ.ID.!.JLJ'

Por ello vamos a cambiar lo configuración del análisis paro que no se realice en todos los arranques sino sólo los viernes.

1. Una vez arrancado el antivirus debemos hacer e1ic sobre la pestaña Analizar (Fig 5.75) .

Internet SecurltYJ 0 ' -

I

Amillsrs en busca de virus y otras amenazas

Anánsls programados

O

Actualmente estID definidos los slgulentes anatisis programados.

<0

...... n... 10lla mlPC

@ ~r • .,.....r 1, o¡'cuDd" d •

I=),@] ~l

C3 Programar la ejecución de análisis

~

I

~ Aná!r!:is al nao de WJI'Ido.'1S

Nuevo enálsls, ..

fl.lIi,,,

ConfIourar análisis .. ,

~

ANlbu r t l to", o

~

AIIaliu t otro •• I_

o.

_.Ilor.

De tectilr vulnerablll dedes

11

Aceptor 1I Cancel"

Fig. 5.76. Progromar análisis.

Fig. 5.75. Anólisis Panda.

2. En el marco derecho de la Figura 5.76 hacemos e1ie en Programar la eiecución de anólisis. Aparece una nuevo

3. En la siguiente pantalla (Fig . 5.77) hacemos e1ic sobre el botón Planificación.

ventana (Fig 5.77) en la que se nos muestran dos balones; el primero de ellos permite generar un nuevo análisis y el segundo permile modificar la configuración del análisis programado. En nuestro coso queremos modificar la periodicidad del análisis, por lo debemos hacer e1ic en el botón Configurar anólisis .. .

4. Aparece una nueva ventana en la que podemos definir cuándo queremos que se haga el análisis. Como queremos que se realice todos los viernes debemos hacer e1ic sobre lo último opción, seleccionando en el desplegable el día (en nuestro caso Viernes), en el que queremos que se haga la comprobación (Fig . 5.78).

uu

o ConfigunI::ión del W fosit .¡ Inicio de Wirul oWJ

:3' Configu rar análisis ~

Editar elementos a analizar

An'hIs I AccIone5 ! Alertas PrO\ll"lIII'IIIdot ' -_ _ _ __ An A!;si~al lni do ---

fJ>

Pulsa en Editar para seleccionar los ~ementos que serán aM~ZZldo5.

_ __

IrdtII Cll!1 que perioOOdad qo,RrH

(¡\Ir;

O Ctd&

~ .,.enc¡ue:¡;

Conflguradón del análisis

OCtd&

~

..cJ

0 ""

l v~

Pulsa on eontigtnción para modificar las prcpiedodos del anOtisls, si no se aplicará la configuración por defl!:do.

I ConfiQuractón...

_ _ _ __

se ef«b:ie el an.fuis 61 iOOa .

O ......

Editar ...

~

6es

H

1

Configuración de la programadón

tf!jJ

Pulsa en planificación para moáficar la programaOón d~ análisis.

I 8Ceptar

Fig. 5.77. Configuror análisis.

1

Plantftcact6n .. . 1

1

~ancetar

1

Fig. 5.78 . Configuración de la periodicidad del análisis.

_

,


Seguridad activa en el sistema

Keyloggers: la traducción literal de esta palabra, registrador (Iogger) de teclas (keys), nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta maliciosa para conocer todo lo que un usuario escribe a través del teclado, incluso a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos existen herramientas hardware y software. Los periféricos diseñados para tal fin pueden ir desde un teclado en apariencia idéntico a uno normal pera que contiene una memoria no volátil donde almacena la información escrita o bien mediante un pequeño dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado.

Denegación del servicio: este tipa de ataque también es conocido par sus siglas: DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con el propósito de interrumpir el servicio que están ofreciendo. Es conocido el ataque DoS que realizaron piratas informáticos de la antigua Unián Soviética y que paralizá el acceso a Internet de los estonios, tras la decisián del gobierno del país báltico de retirar una estatua que conmemoraba a los muertos soviéticos durante la Segunda Guerra Mundial. También son conocidos los ataques de este tipo lanzados contra los servidores raíz del sistema de nombres distribuido DNS, con el fin de dejar Internet paralizada al no poder disponer los usuarios del servicio de resolucián de nombres. Entre los múltiples tipos de ataque DoS se pueden destacar los siguientes:

.'

5

Vocabulario

9

Zombie. Ordenador en el que un hacker de sombrero negro ha conseguido instalar software malicioso para hacerse con el control del mismo. Spam. También conocido como correo basura. Correo habitualmente de publicidad que no ha sido solicitada.

- La mayoría de los ataques de denegación de servicios son realizados al unísono desde múltiples máquinas que han sido convertidas en zombies por crackers de la red, llamándose en este caso DDoS, ataque de Denegacián de Servicio Distribuido. - Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un tamaño de bytes muy grande, lo que bloqueaba las conexiones en los antiguos sistemas operativos; en los actuales este tipo de ataque está subsanado y por tanto se puede considerar como historia. •

Inundación de peticiones SYN: más conocido por SYN Flood, consiste en hacer una peticián de establecimiento de conexián a un servidor y no responder a su aceptación de conexián, bien sea porque se falseó el paquete de petición con una IP falsa o por alguna otra causa. Este tipo de ataque provoca una saturación en las conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden llegar a producir un colapso del servicio ofrecido con la consiguiente denegación de servicio. Mediante el simple uso del comando netstat (comando que nos permite ver el estado de las conexiones) se puede ver si estamos siendo víctimas de un ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers que paren el tráfico de IP que puedan ser falseadas.

Dialers: también conocidos como marcadores telefónicos, se hicieron muy famosos a principios de los años noventa cuando la mayoría de la gente se conectaba a Internet mediante módem. Son programas de conexión a Internet mediante módem, que realizan una llamada a un teléfono con tarificación especial, como aquellos que empezaban por 905. Estos pragramas actuaban sin la intervención y sin el consentimiento del usuario provocando una factura telefánica desorbitada. Hoy en día con las conexiones ADSL los dialers casi han desaparecido en la mayoría de los hogares.

Ingeniería social: es un ataque que afecta al objetivo de confidencialidad de la seguridad informática. Esta técnica consiste en obtener información secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos. Habitualmente los ingenieros sociales utilizan el correo electrónico, páginas Webs falsas, el correo ordinario o el teléfono para llevar a cabo sus planes. Los ejemplos más llamativos de estos ataques son el phising y el uso de una máquina atacada para la envío de spam. 141


Seguridad activa en el sistema

~ Actividades 10. El navegador Internet Explorer a partir de la versión 7 incluye la funcionalidad Filtro de suplantación de identidad. Paro configurarlo debemos acceder a las Opciones avanzadas del menú de Herramientas (Opcio-

nes de Internet). En la ficha de Opciones avanzadas podremos activar la comprobacián automática de sitios web en el apartado de seguridad. De esta manera siempre que accedamos a una página comprobará su autenticidad inmediatamente.

, . , GOII [ UIO

tWJ

O[UI».I.II

I

;&

Phishing: es una técnica de engaño al usuario, que intenta adquirir información confidencial del mismo suplantando la identidad de otros personas, organismos o páginas WEB de Internet. Uno de los métodos de Phishing más utilizados hoy en día consiste en colgar en Internet una página que es copia idéntica de alguna otro, como puede ser la de alguna entidad financiero o banco. El engaño consiste en que si alguien confunde esta página falsa con la original e introduce en ella sus datos personales como puedan ser el número de tarjeta o el PIN de la misma, estos números se les manda directamente a los creadores de la estafa, que consiguen así tener en su poder información que puede comprometernos. La manero de no caer en estas estafas es tener en cuenta que nunca los bancos ni organismos oficiales piden a través de correos electrónicos datos confidenciales. También debemos mirar con cautela las direcciones URL de las páginas visitadas, pues sucede a menudo que si la dirección real es por ejemplo www.mibanca.es. la dirección que utilizan este tipo de delincuentes para diseccionar la página será algo así como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una pequeña diferencia que a primero vista no se notará pero que obligatoriamente ha de tener. Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros, pero actualmente estos ataques han afectado a otros organismos, como el INEM, Cámaras de Comercios de diferentes ciudades y últimamente a la Agencia Tributaria (Fig. 5.78). En este último caso, el ataque consiste en la remisión de un correo electrónico que informa que el receptor del mensaje tiene derecho a un reembolso de impuestos inexistentes. Pero para poder disponer del dinero, el receptor debe enviar los números de cuentas bancarias y tarjetas de crédito.

Pc!lil;ll

Agencia Tributaria D RSS

I:ngii~lica

I Mapa Web I Accesib i!il:llld I Ayuda

la Agencia Trlbutarla

-seleccione portal-

...

I

I

Ir al portal

(1q~ On,Io' Virtual

)

Inldo :. La Agenda Tributaria ) Sala de prensa

Notas de prensa

o El Ministerio de Economia y Hacienda a.dyierte de un intento de fraude a través de Internet que utiliza su nombre y su imagen 15.jullo.2009. Gabinete de Prensa

Agencia Tnbutaria

Acceda directamente

~ AUnCJiC

I Calend~rio

del ccntnbuyente

CaM de Servicies

El engaño hace referencia a un reembolso de impuestos inexistente.

CertirJC8dcs Eledr6niCcs

14 de julio de 2009. El Ministerio de Economia y Hacienda ha detectado hoy un importante envio de comunicaciones por correo electrónico en el que se utiliza fraudulentamente su nombre y su imagen.

Descargll de prcgrllffi3s de ayuda

En el envio se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale supuestamente beneficiado . Para poder disponer del dinero hay que aportar datos de cuentas bancarias y ta~etas de credito.

UCrm.:!wn y cri!eri:ls intcl1lrellltivcs

El Ministerio de Economia y Hacienda, a Iraves de la Agencia Tributaria. ha tomado las medidas necesarias para perseguir este intento de fraude y recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios . Ni el Ministerio de Economía y Hacienda ni la Agencia Tributaria solicitan información confidencial, ni mimeros de cuenta, ni numeras de ta~eta de los contribuyentes. por correo electrónico.

Fig. 5.79. Configuración momento análisis.

142

Modelos y IcrmuillrloS

Preguntas Tli:ulllrUs (.¡FORMA)

la

I~ Enlace s relllcionDdos I,Iinislelio de Eccnorr6 y H~ciendft [8


Seg uridad activo en el sistema

5

Comprueba tu aprendizaje " Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático

6. En un pequeño colegio es necesa rio que los alumnos compartan los equipos de un aula de informática. Los perfiles de los alumnos que comparten el aula son:

1. En multitud de noticias podemos leer que el despecho de los empleados dispara el robo de información en los empresas. El 28% de lo sustracción de información se produce o través de los memorias externas USB. Paro evitar dichos robos podemos deshabilitar estos o través de la BIOS. Accede a la BIOS y desactiva los dispositivos USB. Otra forma de protegernos contra dichos robos es desactivando dichos dispositivos USB a través del sistema operativo. Enumera los pasos que has realizado para desactivar dichos dispositivos a través del Sistema Operativo.

• Alumnos de gestión administrativa. Estos utilizan los equipos para aprender mecanografía y el paquete ofimática de Microsoft.

2. Spoof Guard es una herramienta que nos ayuda a discernir si estamos siendo víctimas de un ataque malintencionado de spoofing o de phising. Esta aplicación añade un semáforo en la barra de herramientas del navegador que nos indica la peligrosidad de la página . Descarga el programa de la página http://crypto. stanford.edu/SpoofGuard/, instálalo y comprueba que dependiendo de la luz del semáfaro lo página que visitas no ha sido atacada o por el contrario es una posible página web fraudulenta. 3. Modifica el fichero de configuración del gestor de arranque (GRUB), rnenu_lst, para que bloquee el arranque del test de memoria . Indica los pasos que has realizado para alcanzar el objetivo. 4. Descarga la demo de la aplicación Biopassword de http://smortadvisors.net/biapassword/demo.php, instálala, configúrala y comprueba que si escribe otra persona diferente o la que ha realizado el mádulo de inscripción lo reconoce y produce un error diciendo que tu forma de escribir no se corresponde con el patrón registrado. 5. Descarga el antivirus AVG de http://free.avg.com/, instálalo y haz una comprobación del estado de tus dispositivos de almacenamiento. Aseguror la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico

• Alumnos de construcción que utilizan Autocad paro la realización de planos y PRESTO para el cálculo de presupuestos. • Alumnos de un curso de JAVA, los cuales utilizan un compilador de dicho programa. Se ha observado que los alumnos del curso de JAVA se dedican a instalar juegos en los equipos de manera indiscriminada, por lo que se están viendo perjudicados sus compañeros. ¿Cómo podemos solventar la situación? ¿Qué medidas tomarías? 7. Esta actividad se deberá realizar en grupo. Descarga de la página web http://www.effetech.cam/download/ el programa MSN sniffer e instálalo en uno de los equipos de la red. Otros dos compañeros deben hacer uso del Messenger manteniendo una conversación entre ellos. ¿Puedes ver la conversación mantenida desde tu equipo? En caso de que la respuesta sea negativa ¿Por qué no puedes visualizarla? ¿Cómo podrías llegar a visualizar la conversación? 8. Descarga EffeTech HTTP Sniffer de la página Web http://www.effetech.com/download/ e instálalo en uno de los equipos de la red . Otro compañero debe visitar distintas páginas Web. ¿Puedes ver las póginas que visita tu compañero? En caso de que la respuesta sea negativa , ¿por qué no puedes visualizarlas? ¿Cómo podrías llega r a visualizar las páginas que visita tu compañero? 9. Captura las contraseñas de inicio de sesión de otros usuarios de tu red y envíalas al crackeador de contraseñas para más tarde intentar averiguarlas. ¿Qué método utilizas para averiguarlas? ¿Fuerza bruta, diccionario o Rainbow tables?


Seguridad activa en el sistema

--------------------------

Evitar acceso a BIOS

--Seguridad en el acceso al ordenador

-( Proteger el gestor

de arranque GRUB

Cifrado de las particiones

Cuotas de disco

Políticas de contraseñas Autenticación de los usuarios

-( Sistemas biométricos

Monitorización del sistema

Tipos de atacantes

Tipos de ataques

Software para evitar ataques

144


lLD ri1 U~ (9] cdJ

Seguridad activa en redes

En esta unidad aprenderemos a:

• Minimizar el valumen de tráfico na deseada utilizando sistemas de seguridad. • Aplicar medidas para evitar la monitorización de redes cableadas. • Clasificar y valorar las propiedades de seguridad de las protocolas usadas en redes inalámbricas. • Identificar la necesidad de inventariar y controlar las servicias de red.

y

estudiaremos:

• Seguridad en la conexión a Internet. • Protocolas seguros. • Seguridad en accesos en red. • Seguridad perimetral. • Monitorización en redes cableadas. • Seguridad en redes inalámbricas.

I

,

:utb~

;~tl.4!/,


r

~/

7 6

Seguridad activa en redes

l. Seguridad en la conexión a redes no fiables Cada vez que nos conectamos a Internet se produce un intercambia de información entre nuestro equipa y la red. Este intercambia es necesaria paro que podamos acceder a la información y servicias de Internet, pera si na tenemos garantías de seguridad es necesario limitar la información que es enviada, ya que en otro caso podría ser utilizada sin nuestro consentimiento.

Pensemos en la infarmación que se transmite cuando navegamos por la Web -estamos enviando la dirección IP de nuestra máquina y la página Web desde donde hemos llegada- a cuando participamos en servicias de noticias y foros, donde enviamos nuestra dirección de correo electrónica, par e¡empla. Si alguien se hace can esta información podríamos vernos afectadas par grandes volúmenes de tráfico no deseado y ser victimas de un ataque de denegación de servicia. Ningún dispositiva, par sencilla que sea, está libre de sufrir un ataque, par la que es muy importante minimizar las pasibilidades de que esta ocurra. Existen diversas herramientas que nas permitirán proteger los equipos de la red, como los cortafuegos y los proxys, que veremos en las Unidades 7 y 8, Y las técnicas y herramientas que abordaremos en las siguientes apartadas de esta unidad.

TwiHer se cae víctima de un 'ataque malicioso' Facebook también ha sufrido problemas similares, aunque más limitados El popular sitio de 'microblogging' Twitter ha anunciado que ha sido víctima de un «ataque malicioso», concretamente un

ataque de denegación de servicio (DoS), algo que ha dejado sin acceso al servicio a millones de usuarios durante un espacio de tiempo de al menos dos horas a lo largo de la tarde. En un breve comunicado en http://status. twitter.com, la compañía ha anunciado que se están "defendiendo de un ataque de denegación de servicim>, y anuncian que el sitio ya funciona, aunque advierten que siguen defendiéndose del ataque y tratar de recuperar la normalidad. La otra gran red social, Facebook, también ha sufrido problemas similares, aunque más limitados. Los usuarios de la página vieron retrasos al registrarse y al actualizar sus perfiles. Un portavoz de

Facebaok ha indicada que la Web había sufrido al comienza del día "problemas de red vinculadas a un aparente ataque de denegación de servicim>. Desde aproximadamente las 15.00, hora española, Twitter ha estada inaccesible o can serias dificultades para el acceso de sus millones de usuarios en toda el mundo durante varias haras. La noticia de la caída de Twitter ha dado enseguida la vuelta por la blagosfera en toda el mundo. [... ] Se llama ataque de denegación de servicio a la manera de sobrecargar de peticiones a un servidor, de manera que el alud de solicitudes llega a un punto en el que el servidor na puede atenderlos y deja de dar servicio a los usuarios. MADRID,

7

DE AGOSTO DE

2009

(elmundo.es)


Seguridad activa en redes

6

1.1. Spyware en tu ordenador Navegar por Internet, recibir correas can archivos adjuntas a inclusa instalar algún programa con licencia Freeware sin leer sus condiciones de uso pueden traer un invitada inesperado a nuestro equipa, un spyware. Pera, ¿qué es un spyware? Su nombre, formada por lo conjunción de las palabras spy y software, viene del de las clósicos espías, cuya misión era la de recopilar información y enviarla a sus contactas para que estos pudiesen beneficiarse de ella. Un spyware es, en definitiva, un pequeña programa que se instala ' en nuestro equipa can el objetivo de espiar nuestros movimientos par la red y robar nuestras datas, de moda que a través de él puede obtenerse información como nuestro correo electrónico y contraseña, la dirección IP de nuestro equipo, nuestro teléfono, páginas buscadas y visitadas, así coma cuánto tiempo se pasa en ellas, u otros datos igualmente importantes como las descargas realizadas, las compras que hacemos por Internet e incluso el número de tu tarjeta. A medida que recopilan esta información la envian a empresas de publicidad de Internet para comercializar con nuestros datos. Este tipa de software se instala sin que tengamos conocimiento de ella y trabaja en segundo plano, de moda que no nos damos cuenta de su presencia, aunque existen una serie de indicios que pueden alertarnos de que están ahí: •

Cambian las póginas de inicio o búsqueda del navegador.

Se abren pop-ups por todos lados, incluso aunque no estemos conectados ni tengamos abierto nuestra navegador, llenando la pantalla, como puedes ver en la Figura 6.1 .

Actividades

9'

1. Busca información sobre diferentes herramientas que permitan bloquear spyware u otro código malicioso en nuestro equipo.

2. Instala y estudia el funcionamiento de la herramienta SpywareBlaster, que puedes descargar desde: www.infospyware. como

Otra herramienta alternativa que puedes analizar SuperAntiSpyware, que puedes descargar desde http://www.superantispy wa re .com.

• , . .... 't ..

Fig. 6.1. Pop·ups. •

Aparecen barras de búsquedas de sitias como Hatbar, etc., que na podemos eliminar.

Falsos mensajes de alerta en la barra de Windows (al lado del reloj) de supuestas infecciones que no podemos eliminar. Este tipo concreto de malware se denomina rogueware o fakeav (de «FAKEAntiVirus»), y se aprovecha de la falta de formacián de los usuarios para tratar de instalar un programa de dudosa finalidad.

Cuando navegamos por Internet hay veces que no se llega a mostrar la pagina Web que queremos abrir, ya que el tráfico de red va cada vez más lento.

Malware. Es la abreviatura de Mal;cius Software. Es el término que engloba todo tipo de programa cuya finalidad es dañar o causar un mal funcionamiento de un sistema informático.


,

~/6 q

Seguridad activa en redes

----~----------------------------------

Caso prácti."'co" -'l__________~_ _ _ _ _ _ _ _ __

Detección de Spyware/Malware y Virus con HijackThis HijackThis es una herramienta gratuita para Win d ows que nos permite detectar y eliminar intrusos de nuestro equipo. HijackThis no distingue entre las entradas seguras e inse· guros en sus resultados, pero nos permitirá seleccionar y quitar manualmente las entradas indeseadas del sistema. Cuenta con un foro de ayuda para usuarios inexpertos don· de, si subimos el log proporcionado por la herramienta, se nos informará de cuales son las referencias de los elementos causantes de los problemas de nuestra equipo y cámo eli· minarlas, en ocasiones utilizando herramientas adicionales.

1. Descarga HijackThis desde su página oficial, www. infosyware.com, e instálalo en tu equipo. En esta misma página puedes encontrar el manual de la herramienta y el foro de ayuda.

2. La instalación apenas dura unos segundos y aparecerá el menú de inicio de la aplicación, que puedes ver en la Figura 6.2. Selecciona la primera opcián Do a system scan on/y, para analizar tu equipo. 1= ![3.'RE3

I!

I

Para hacernos con una primera idea de qué nos indica cada una podemos seleccionarla y pulsar Info on selected Item ... 1 •

tI. ,

.,

,,

.. , ~!

:,

,~;.;;;;:~" : , 2j~;= "

,

"

:i.,fu ~ -"'=-.J - - I ~.~ I ~~==~~~ -._~ I Fig. 6.3. Resultado del análisis de Hijack This.

Nos mostrará una ventana similar a la de la Figura 6.4, donde se indica que la entrada Rl corresponde a las páginas de inicio y el asistente de búsqueda del lE. Como vemos, la información aparece en inglés, pero si tienes alguna duda puedes consultar el manual, donde encontrarás la información en castellano.

011liltd ¡nlolmlticn cm itlm 111,

Da l'PI.m Kln ,lid AVI llogfiIe

Da, ~tRm Kan only

A RC9iJlryy. luf thU huI/un I;l"1.Ud Ind 11 nal plllllnl in. dtflult Windll'W' ¡nshll no/ lIudcd, pOllibly rU\l~¡ng in. eh,ng,dtE Sil/eh PI;" 5tlrt Pli" 5urc:h BI. Plg. cr5nrc:h AniJllnt.

(Adicn tlk,,,, Rfg;Jlry y. lul j, o;I.I".d)

Opm 0","1 HijldlThls Qulck5tart

Fig. 6.4. Información de la entrada R1.

5. Una alternativa más aconsejable si somos usuarios

Fig. 6.2. Menú de HijackThis.

3. En unos instantes se habrá generado un registro en la

inexpertos es consultar el foro de ayuda, como hemos hecho en este caso. Las entradas que nos indican que debemos corregir son las que aparecen ya seleccionadas en la Figura 6.3. Pulsamos FixChecked (marcado con un 2 en la misma figura) para limpiar el equipo y aceptamos que los registros se borren permanentemente. Así nuestro equipo quedará libre de malware.

siguiente pantalla de la herramienta (Fig . 6.3).

4. Cuando empezamos a trabajar con esta herramienta el problema resid~ en detectar qué entradas son las que hay que corregir.

~ Actividades

lI~.

Analiza el significado de los registros eliminados en el Caso práctico 1, que puedes ver ella Figura 6.3.


Seguridad activo en redes

2. Protocolos seguros

En ocasiones, cuando nos conectamos a determinados servidores, podemos ver que la dirección Web que aparece en nuestro navegador comienza con https, en lugar de con el habitual http. Esto se debe a que nos acabamos de conectar a un servidor seguro, que encriptará los mensajes que nos envíe por la red para que salo nuestro equipo pueda interpretarlos.

2.1. Protocolo HTTPS El protocolo HITPS es la alternativa segura al uso de HITP. Sus siglas corresponden a Hyper/ex/ TronsFer Pr%ca/ Secure, es decir, protocolo seguro de transferencia de hiper. texto y se emplea para conexiones a páginas Web en las que hay que proteger los datos que se intercambian con los servidores. El objetivo de HTTPS es proporcionar una conexión segura sobre un canal inseguro. Se basa en el intercambio de claves y el uso de certificados válidos, verificados por una autoridad de certificación que garantiza que el titular del mismo es quien dice ser, de modo que un atacante no pueda hacerse pasar por, por ejemplo, nuestro banco. Podemos verlo de manera habitual cuando accedemos a las páginas Web de tiendas en línea, servicios donde sea necesario enviar datos personales o contraseñas o entidades bancarias, como se muestra en la Figura 6.5. l ·

:::':"ff.:-::~:': - =::==

__ -_ o'-'

_-

..._.._..- ....-.... --"_.._M __ ,_

'-~-_ . '--'.-"" .'­ ._._~ --

_~-.-l

es>

=-_=,:;--

""-;::"="''''.,,. Q =::-.:.,..-._._. p

... _--_._._ -_.-_.... ... _._------_.. .....---- -_. -.-._- ~ --­

Fig. 6.5. Accesos mediante hltps.

Actividades " 4. El protocolo https es también utilizado por los servidores de correo electrónico, como gmail, pero no siempre está activado. Investiga cómo configurar una cuenta de correo de gmail para activar https, protegiendo así nuestros datos.

l

6

5. Un navegador no siempre identifica un certificado como. válido para acceder a un servidor usando https, en general debemos rechazar dicho certificado pero hay veces que estamos seguros de la confianza del sitio Web. Conéctate a moa· dle.dit.upm.es utilizando firefox y realiza los pasos necesarios para agregar una excepción para este certificado.

HTTP trabaja por defecto el puerto TeP 80 Y HTTPS lo hace en el puerto TeP 443.


Seguridad activa en redes

2.2. Protocolo SSH

I

otros protocolos seguros

como SSL (Secure Socket Layer), que se usa principalmente para trasferencia de hipertexto pero

ofrece la posibilidad de usarlo como alternativa segura en otros

protocolos.

El protacolo Secure Shell (intérprete de órdenes seguro, SSHI nos permite acceder a equipos rematas o través de una red y copiar dotas que residen en ellos de formo segu· ra, utilizándose cama alternativo al uso de Telnet. Cualquier equipo puede configurarse como servidar ssh, incluso nuestro PC doméstico, tanto si utilizamos coma sistema apeo rativa Windaws cama si usamos Linux, instalando una pequeña aplicación y configurán· dolo adecuadamente. Su formo de trobaiar es similar a la de Telnet, pera incorpora técnicas de cifrada que protegen la información que viaia par la red, de moda que un snifler na pueda hacerse con el usuaria y la contraseña usados en la conexión, ni otras datas que se intercambian.

~ Caso práctico 2 Instalación de un servidor SSH en Windows XP

@ OpenSSH for Windows 3.8.1pl-l Setup

En este coso próctico veremos cómo realizar uno instala· ción básico de un servidor ssh sobre un sistema Windaws, de moda que podamos conectarnos con él de forma rema· ta y seguro.

1. Descargamos OpenSSH poro Windows desde http:// sshwindows.sourceforge.net/. El archiva descargada tiene formato .zip, así que extraemos el eiecutable que contiene y hocemos doble clic sobre él poro comenzar lo instalación.

."."""'"

Please wait wh!e 0penSSH for WndcrNS 3.8. 411-1 Is being instaeed.

@

OpenSSH for Windows 3.a,lpl-l Setup

A V

Before starting the OpenSSH service you MUST edit the C:\OpenSSH\etc\passwd file. Ifyou don't do this. you will not be able to log in through the SSH server. Please rud the readme,txt or quickstart.txt file for information regarding proper setup of the. pa5swd

file.

2. El asistente de instalación nos guiará en los posos que hemos de realizar paro llevar o coba lo instaloción . Aceptamos la licencio e instalamos todos los campo· nentes del paquete en C:\OpenSSH. 3. Durante el proceso de instalación nos aparecerá uno advertencia como lo que ves en lo Figura 6.6, que nos indica que debemos modificar el archivo passwd poro poder conectarnos posteriormente 01 servidor y donde encontrar lo información necesaria paro realizar dichos cambios, en el paso 6 veremos como hacerlo. Acepto· mas y finolizará lo instalación. 4. A continuación es necesario añadir los grupos de usua· rios de la máquina y crear los usuarios que van o tener acceso o lo información contenido en el servidor, poro lo que debemos trabaiar desde lo línea de comandos de Windows. Vete 01 botón de inicio, y en eiecutar escribe cmd y utilizo el comando cd paro situarte en el directorio C:\OpenSSH\ bin .

"

e: '

OIle n S SII ' h in

> FIJ<lJd~ ~ \Id

-1 -1

» __ 'c tc '

Fig. 6.6. Advertencia de /a insta/ación de SSH.

5. Podemos añadir grupos locales (con lo opción -11 o de dominio (con lo opción - dI, según lo instalación de nuestra red, de modo que se adecue el uso de esta herramienta (típicamente de Unixl o sistemas de Microsolt. En nuestro coso utilizamos los grupos locales, que añadimos 01 fichero de configuración utilizando lo pri· mera orden que ves en lo Figuro 6.7. 6. A continuación añadimos 01 fichero C:\OpenSSH\etc\ posswd los usuarios que vayan a tener acceso 01 ser· vidor, como nos indicaba el aviso de instalación (Fig . 6.61. los usuarios pueden ser locales (-11 o de dominio (-dI, como los grupos.

:. l~ ..~_.

C:\WINDOWS\system32\cmd.exe

C: ,OllcnSSIl,hin)~)<~fl'OltP

Aceptllr

!P'()U))

El

) > • • ' e t e ' 11<\ :;:. \Id

Fig. 6.7. Advertencia de /a instalación de SSH.

(Continúa) )


Seguridad activa en redes

_ _ _~_ _ _ __________......:C :::!,aso Práctica 2

6

9

(Continuación)

7. Como último paso modificamos la carpeta a la que nuestro usuaria acce· derá por defeda. Para ella abrimos utilizando el bloc de notas el archivo C:\ OpenSSH\etc\passwd, donde vemos la siguiente línea: Admini strador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Admi nistrador, S-1-5-21-322932897 0-15 409659 53-255827466 5-50O :/home/ Adminis trador:/bin/switch /home/Administrator señala a la carpeta por defedo de Windows para el usuario administrador (C:\Dacuments and Sellings\administradar). En nuestro casa, queremos que se acceda a la carpeta C:\DatasServidor. Para acceder al disco C: hemos de usar una nota ción un tanto especial, propia de OpenSSH /cygdrive/c/, de moda que modificando la línea quedaría : Administrador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Ad ministrador,S -1-5- 21-322932 8970 -154096 59 53-255827466 5-50 0:/ cygdrive/c/DatosServidor :/bin/switch

8. Sólo queda arrancar el servicio. Podemos arrancarlo desde la opción Servicios de Herramientas Administrativas (panel de control) o utilizando la orden net start opensshd desde la línea de comandos y el servidor SSH comenzará funcionar (Fig . 6.8).

Fig. 6.8. Arranque del servidor SSH. 9. Podemos comprobar que el acceso es correcta testeando desde el mismo servi· dor, recuerda que en la instalación uno de los componentes era el cliente ssh. Para ello abre otra consola de línea de comandos y escribe ssh administrador@jupiter, que corresponden al usuario y al nombre del equipo, tras lo que te mostrará la advertencia de uso del servicio. A continuación te pedirá la contraseña del usuario (Fig. 6.9). Escríbela y accederás a la carpeta del servidor SSH que definimos en el punto 7. Para salir basta con que escribas exit.

Actividades " 6. Realiza el proceso de instalación de un servi· dor SSH sobre un equipo con un sistema operativo Linux. Puedes utilizar el mismo paquete que para Windows en su versión correspond iente. Encan· trarás los archivos y la documentación necesaria en hllp://www.openssh. com/ 151


Seguridad activa en redes

3. Seguridad en redes cableadas Tradicionalmente los redes cableadas se han considerado más seguros que las redes inalámbricos, de las que hablaremos en el Apartado 4. Pensemos simplemente en la red local de uno oficina, una red aislado y confinado en un edificio, cerrar la puerto y denegar el acceso 01 reci nto bastaría paro protegerla de intrusiones.

Desgrociodomente esto no es ton sencillo: el uso de Internet y la evolución de las comunicaciones han hecho que los emplazamientos de los equipos de uno mismo red no sean únicos, sino que puedan situarse o miles de kilómetros de distancio, pero sigue siendo necesario mantener la conectividad entre ellos. Lo necesidad de proteger los redes, tanto cableados como inalámbricos, es indudable, pero, ¿cámo lograrlo? En esto unidad abordaremos cámo protegernos de las intrusiones externos o nuestro red mediante el uno de redes privados virtuales (VPNI y como detector y contrarrestar los intrusiones internos.

3.1. Red privada virtual (VPN) Es el acrónimo de Virtual Private Network, red privada virtual.

Comunicar equipos remotos de modo directo es imprescindible en muchos organizaciones, independientemente de donde se encuentren físicamente, y esto necesidad crece cada día más. Los redes privados virtuales permiten, mediante el uso de Internet, establecer esto conexión realizando una inversión econámico bastante moderada . Además, como utilizan protocolos de seguridad, el acceso o los recursos tiene carácter privado, por lo que uno persono podría acceder o los datos de la empresa en la que trabajo con la misma tranquilidad que si se encontrase en su oficina .

o Muchas grandes empresas estón

apastando por el te letra bajo. Sus empleados rea lizan las mismas funciones que harían en la ofici·

na pera desde sus propios domicilios, conectándose a los servi·

dores de la empresa mediante redes privada virtuales.

¿Qué es una VPN?

Uno VPN o red privado virtual es, básicamente, uno red virtual que se creo dentro de otro red, habitualmente Internet. Paro un cliente VPN se trato de uno conexión que se establece entre su equipo y el servidor de su organizacián, pero lo manera en que se realizo esta conexión es transparente paro él, simplemente los datos le son enviados de lo mismo manera que si llegaran o través de lo LAN o la que se conecto.

o

¿Cómo funciono una VPN?

Los VPN se basan en establecer un túnel entre los dos extremos de lo conexián y usar sistemas de encriptoción y autenticación para asegurar la confidencialidad e integridad de los datos que se transmiten. Lo autenticación en redes virtuales es parecido 01 sistema de inicio de sesián (utilizo un usuario y su contraseño" pero es necesario tener especial cuidado con lo seguridad de estos datos, por lo que lo mayoría de los VPN usan sistemas de autenticación basados en el uso de claves compartidos. Uno vez establecido lo conexión, los paquetes de datos se envían encriptados o través del túnel virtual (que se establece sobre Internetl. Poro encriptor los datos se suelen utilizar claves secretos que son solo válidos mientras dure para lo sesión.

o

Instalación y configuración de una VPN

Cuando implementemos una VPN, será necesario realizar lo instalación y configuración de dos portes bien diferenciados, el servidor y el cliente.


Seguridad activo en redes

6

los sistemas operativos Windows, por ejemplo, incorporan una utilidad para establecer redes privadas virtuales de un modo sencillo y guiado, mediante la configuración de una conexión de red avanzada. Existen muchas aplicaciones software que nos permiten crear VPN, que ofrecen diferentes niveles de seguridad y posibilidades distintas para lo configuración. Es el caso de Hamachi logMeln, que puede utilizarse aunque tu equipo esté detrás de un proxy o utilices un router NAT para conectarte a Internet. Caso p'ráctico 3

9

Creación de una red privada virtual Como ya hemos visto, el uso de redes privadas virtuales permite estoblecer canales de comunicación seguras entre equipos remotos. logMeln Hamachi es una herramienta que nos permitirá configurar nuestra propia VPN, tanto en el lado del servidor como del cliente, y establecer una lAN virtual con hasta 16 equipos de modo gratuito. En este caso práctico realizaremos la instalación del servidar y crearemos una nueva red a la que posteriormente se conectarán los clientes. Configuracián del Servidor Windows 1. Entra en la página Web de logMeln, http://secureJogmein.com/US/home_ospx, y en Products selecciona logMelnHamachi. 2_ Descarga la herramienta para empezar a trabajar. Es conveniente que te registres antes; es gratuito y podrás centralizar lo gestión de tu red utilizando tu cuenta, que se asociará a la aplicación. la aplicación que debes descargar se denomina Hamachi.msi, la encontrarás siguiendo las instrucciones de uso alternativas. 3_ Haz doble clie sobre Hamochi.msi y ejecútala para comenzar la instalacián . Selecciona el lenguaje correspondiente en la primera pantalla (Fig. 6.10) Y pulsa siguiente hasta que aparezcan los términos de la licencia . léela 'y acepta, si estás de acuerdo. 4_ En la siguiente pantalla te indica que para facilitar la gestión, se asocia la instalación a la cuenta con la que te has registrado (Fig. 6.11).

Lengullge Selection

Asocillr el diente

11

una cuenta de logMeln

' •• I.... Io~ ....... blliorCHdol..OO"lo"'I\ImId'II .. PIIOdcn_

.""'.....udol..OO"lo/n.

.......

5I .. tnudo""'I'IslaIoá:!n ...... ~do""'~do"'<ierte""

....cLIdI:>, .. ~_'nt

....

ICt.t>

I I

c..aI

Io~_.dolo\t"e!n'

I

Fig. 6.10. Insfalación de LogMeln Hamachi.

Fig. 6. 11. Cuenta asociada.

5. Con posterioridad veremos que es posible modificar los datos asociados a la instalacián, y asociar, si no se había hecho ya, una cuenta de carreo electránico, así que pulsamos en Siguiente. Aparecerá uno pantalla donde seleccionar la carpeta en que se realizará la instalación. Dejamos la carpeta por defecto C\Archivos de Programa\ logMeln Hamachi\ o C\Program Files\logMeln Hamachi. También seleccionamos Crear un acceso directo en el escritorio y procedemos a instalar. Una vez que concluya la instalación, seleccionamos en la última pantalla Ejecutar Homochiy pulsamos

Terminar. (Con finú o)

153


~/6

Seguridad activa en redes

- -- -- ---------- -- -- -- -- - - -- - - - - -- - - - - ---

q

Caso práctico 3

(Continuación)

6. La aplicación se ha instalado correctamente. Para que se le asigne una IP virtual, es necesario pulsar el botón de encendido. En este caso la dirección asignada es 5.125.76.223 (Fig. 6.12). El resto de equipos que formen parte de la red virtual se conectará a esta dirección IP. Si ahora pulsamos en el menú Sistema en Preferencias se abrirá una pantalla como la que muestra la Figura 6.13, correspondiente a la opción Estado. El menú de la derecha nos permite realizar modificaciones en la configuración que se ha establecido por defecto, como el nombre del equipo (Jupiter).

Z

ff) loqMrTn Ht1Il1C1ChP _, 1'110'

n

g

~~

J

- )(

StalU. and Conflnuratlon

-

~

Softw~

~,,, ll

Clerte VPN de ~ HetMchI, versión 2.0,1.62

IS.125.76.223 !1PV~llJd I

DIente

lupHer

ID de dente:

09Z.Q97-759

Ncicnb'1I: Cuenta de

~

cambiar ...

~fJIseouidad.ccm

'-1m

Fig. 6.12. Pantalla

~:

protocolo MlIvo do li5lI8di

Di"ea:I6n:

77.212.193.229:12975

Fig. 6.13'. Pantalla de Estado.

de conexión. 8. Pulsamos ahora en Seguridad. En esta pantalla se localiza la clave pública RSA del servidor, que servirá para realizar la autenticación (Fig. 6.14). En esta lista se irán añadiendo las claves públicas de los equipos con los que conectemos.

9. Si no deseamos utilizar una clave pública en la configuración avanzada de Configuración podemos cambiar la opción de autenticación y utilizar una contraseña (Fig. 6.15), aunque no es recomendable. Para ello basta con hacer clic sobre Autenticación y seleccionar como valor contraseña, tras ello hacemos doble clic sobre Contraseña y escribimos la clave elegida. En la pestaña de configuración podemos configurar otras opciones como ocultar a los miembros de la red que no estén conectados.

Fig . 6.1 4. Pantalla de Seguridad.

Fig . 6.15. Pantalla de Configuración.

(Continúa)


-

Seguridad activa e n redes

Casa flráctico 3

9

(Continuación)

10. El siguiente pasa es crear la red a la que se unirán las clientes, para ella pulsa· mos en Red, Crear una nueva red de malla, como se muestra en la Figura 6 .16.

11. Se abrirá una pantalla (Fig . 6 .17 ), donde daremos nombre a la red (que no puede estar ya siendo usado), y la protegeremos con una contraseña, que deberemos proparcianar a aquellos clientes que queramos formen parte de nuestra VLAN.

(reate a n~ cUent-owned (ll network

Network name

S:::I.=bcl:::,_

II

_

-,-_-,--,--=c-_.,..--,--,=--,--J

IntroduzaJ un nombre p&.! ~ red,oEste nombre lo utiiz.ván

0' ---- -- - - - - - - -- -- - - - l og in to (reate a new managed (ll network

Fig. 6. 16. Crear una nuevo red.

Fig. 6.17. Datos de la nueva red.

12. La red se mostrará ahara en la pantalla principal de LogMelN Hamachi (Fig . 6.18). En estos momentos el equipa jupiter, el servidar, es el único equipo que está conectado a la VPN . A medida que se unan nuevos miembros a nuestra red, irán apareciendo sus nombres debajo de Sl.bcle, hasta un máximo de 16, que es el máxima de miembras en la versión gratuita de esta aplicación. La versión de pago permite ampliar el número de usuarios conectados, haciendo que su uso para empresas sea viable.

fJI LogMeln H~ma(hi' S,:\o-rn,

1m!

a

I\~

-

X

¡:. ,uu~

5.125.76.223 lupiter

;;;:==

IleQ] 5IJIdO _~~==. liJI

Fig. 6.18. Red SI.bele.

6

,


~/6

Seguridad activa en redes

----~----------------------------------

Como ya hemos visto antes, en toda VPN la conexión tiene dos extremos, uno que podemos denominar servidor, donde hemos creado la red virtual y al que han de conectarse el resto de equipos, situados en el extremo del cliente. la configuración de un cliente es más sencilla que la de un servidor, ya que únicamente ha de crear la conexión y especificar la red con la que esta se realiza. logMeln Hamachi puede ser utilizado tanto en equipos Windows como en equipos Linux, aunque en este sistema operativo aún se está en versión beta y se trabaja desde el terminal.

~ Casa práctica 4 Instalación y configuración de un cliente para una red VPN En las organizaciones se trobaja con distintos sistemas operativos, por lo que es habitual que haya necesidad de interconectar equipos funcionando con Windows y Linux. Aprovechando la red que hemos creado en el caso práctico anterior, nos conectaremos a ella desde un equipo con Ubuntu, a través de una VPN creada con logMeln Hamachi.

1. Descarga el paquete de instalación desde http://files.hamachi.cc/ linux! En este caso práctico vamos a realizar la instalación del paquete hamachi-0.9.9.9-20Inx.tar.gz. Guárdalo en la carpeta donde vayas a realizar la instalación, en este caso /root. Recuerda que debes de ser el administrador del equipo. 2. Descomprímelo utilizando la orden de la Figura 6.19, se generarán las carpetas y archivos de instalación en el directorio hamachi-0.9.9.9-20-lnx, donde debemos situarnos con cd.

r.gz namacnl·a .9.9.9-20-tnxl hamachi-O. 9.9.9 -20-tnx/Hakefile hamachi -O. 9.9 . 9-20-tnx/lICENSE hamachi-e.9.9 . 9-26-1nx/REAOME hamachi-B .9.9.9- 2o-tnx/LICENSE . tunctg hamachi -0.9.9.9' 20 -1nx/ LICErlSE. openssh

hamachi-e.9.9 .9- 20-tnx/LICENSE.opensst

hamachi-O.9.9 .9-29-1nx/hamachi hamachi-e .9.9.9 -20-tnx/tuncfg¡ hamachi-e. 9.9 .9-20 -1nx/tuncfg/Hakefile hamachi-e.9.9.9-20-tnx/tuncfg/tuncfg.c hamachi-6.9.9.9-20-1nx/tuncfg/tuncfg hamachi-e . 9.9 .9 -2o-tnx/CHANGES

root@jupiter:-# cd hamachi-B.9.9.9-29-lnx

Fig _6.19. Descomprimimos Hamachi.

3. Instalamos el cliente con la orden make install, tal y como puedes ve en la Figuro 6.20. Hamachi para Linux está listo paro funcionar.

copying hamachi into l usr/bin .. creating hamachi-init symlink .. Compiling tuncfg . . Copying tuncfg into Isbin .. Hamachi is installed. See REAOME tor what to do next . root@jupiter:-/hamachi-9.9.9.9-29-lnx#

Fig. 6 .20. Inslalamas Hamaehi. (Conlinúa)

156


Seguridad activa en redes

Casa práctico 4

'---

9

(Continuación) 4. El cliente empieza a funcionar cuando ejecutamos el comando tuncfg (que está en el directorio del mismo nombre); para ellos debemos escribir las árdenes de la Figura 6.21. ArthIvo Editar ~ ~rmlnal AVüda root@júpl ter : -/h~~chl·0. 9.9. 9·20-lnxI cd tuncfg/ root@juplur: -/ha~chl-0. 9. 9. 9-20-lnx/tuncfgl ./tund!! tuncfg : a1.relldy running root@Jup1ter:- /haltach1-0.9.9.9-10-lnx/tunc f o'

---

Fig. 6.21. Arrancamos el cliente.

5. Las siguientes árdenes que veremos nos permitirán crear el perfil de un nuevo usuario y unirnos a la red Sl.bcle, que creamos en el servidor Windows en el Caso práctico 3. En la Figura 6.22 vemos la orden que hemos de ejecutar para informacián de la cuenta . • •• m

!l'

• • Gi [i'j

tID{JilJ'ji!1iEI!

lClf

AlUlivo ~djtllr ~ ~rmlnal A)'llda root@jupite r: -/ha~achi -0.9.9. 9- 20-ln~/tuncfg' har.Jachl· lnl t Inlt1I1Uzlng H8t:1l1chl conflgufatlon (froot/.hllmachil. Please wait __ generatl ng 2048·bit RSA keypair .. ok aaking ¡ rootl.ha:aachl directory .. ok saving Hoot! .hal=.ach1tcUent .pub .. ok saving ¡ root/.haDilchi/c Uent.pri .. ok s~ving /root/.h~mach1/snte .. ok Authentication infornaUon hils been created . Hamachi can now be started with 'ha~achl surt ' cor::nand IInd then brought onUne with 'haruchi login'. root@juplter :-/hamachl-0.9. 9 .9·10-1ml! tuncfg'

I

Fig. 6.22. Creación de Información de la cuenta.

6. En la Figura 6.23 ves como debemos arrancar el demonio (servicio) Hamachi con el comando start. Para detenerlo bastará con sustituir slart por slop. Afd¡ivo EdItar Y.er ]l!rmlnal Ay¡.¡da root@Jupite r:- /ha3ilchi -O.9. 9 .9 -28-1nx/tuncfgl hcmachi stllrt Starting HMachi hacachi-lnx -O_9.9 .9·20 . . ok root@jupite r:-/haDilchi·O.9 . 9.9-20-1nx¡tuncfgl I

Fig. 6.23. Arrancamos el servicio.

7. Como es la primera vez que nos conectamos, nuestro máquina no tiene ningún nombre. Podemos dejar que tome uno por defecto pera es conveniente asignárselo mediante la orden de la Figura 6.24.

root@Jup1ter:-/haraachi-0.9. 9. 9-20-1n~ttuncfg' Setting nicknar.e .. ok root@jupiter:-/ha1lilchi-O.9.9.9-20-1nx/tuncfg'

ha~chi

set · nick jupi terLinux

I

Fig. 6.24. Asignamos un nombre 01 equipo.

8. Ejecutamos la arden hamachi login antes de realizar la conexión con la red de destino, para poder ser identificados y nos unimos a la red, mediante el comando join seguido del ID que tiene asignado dicha red, en nuestro coso Sl.bcle (Fig. 6.25). ,,--ro ArchiYO

fditar

-

~

I

Y.eJ :rmnlnal Ayuda

rootOjupi ter:-/!la;::achi -O. 9. 9. 9-20- tnx/tuncfg l haoachi joln SI.bcle Password: Join1ng SI.bcle .. ok root@jup1ter:-/haroachi-O.9.9.9-20-1nx/tuncfgl I

Fig. 6.25. Nos unimos a lo red.

(Continúa)

6


~/6

Seguridad a ctiva en redes

----~-- --------------------------------

q

Casa práctica 4_____________~___~_____I

¡Conlinuación} 9. Por defecto, codo vez que nos conectemos o este servicio lo haremos en el mismo estado en que lo abandonamos la última vez, es decir, si cuando ejecutamos la orden stop estábamos en línea, la siguiente vez que ejecutemos la orden start directamente estaremos en línea. Como es la primera vez que vamos a unirnos a la red, por defecto aparecemos como no conectados, así que debemos utilizar el comando go-online (Fig. 6.26) . Cuando queramos desconectarnos, sin cerrar lo aplicación, usaremos go -off line.

Going ontine in SI . bcle , _ ok root@jupiter :- / hamachi ·e . 9.9 . 9-29-1nx/ tuncfg#

Fig. 6.26. Clienle en línea .

10. Por último, vemos si en la red hay más miembros conectados. En este caso jupiter (el servidor) está en línea, como ves con la orden list (Fig . 6.27).

[SLbelet '" 5 . 125.76.223 5 . 126 . 2e6.176

192.16B.l.33 :1e36

jupiter jupiter2

root@jupiter:- ¡ hamachi-e.9.9 . 9-29-1nx/tuncfg#

Fig. 6.27. LisIo de usuarios de lo red.

11. En la Figura 6.28 del equipo jupiter vemos que hay un nuevo usuario conectado en la red .

. ~

:

lonMpIn H"rn"t( hi'

.~~.,

m

,.,

_

-

x

,1>

5.126.76.223

1upiler

Io SLbde

-1

o j;.Jp.(erZ lO'

jo..pter\.hDI:-5.2.15.132. - ¡

Fig. 6.28. Equipos coneelodas o lo red SI.bele.

~ Actividades

~

Hamachi es usado en muchos

servidores de ju e gos para conectar a diferentes jugadores.

7. En la Figu ra 6.28 puedes ver que se ha unido a la red otro equipo llamado jupiter2. Configura un cliente Windows con este nombre y realiza los pasos necesarios para que se una a Sl.bcle. 8. Busca información sobre otros paquetes software que permitan crear redes privadas virtuales y compara sus características con LogMeln Hamachi.


Seguridad activa en redes

6

3.2. Detección de intrusos Como hemos visto, podemos evitar los intrusiones externas utilizando redes privada virtuales, pera ¿qué hacer cuando las intrusas ya están en nuestra red? Detectar intrusiones es una tarea muy compleja para la que se ha ido desarrollando un software específico denominado sistema de detección de intrusiones, IDS.

lOS. Es el acrónimo de

"IIIU51(m

Detection Systems,

sistemas de detección de intrusiones

Estas aplicaciones suelen ser propietarias y muy complejas de utilizar, por lo que su uso suele limitarse a grandes redes que requieren una seguridad muy concreta. Aunque existen sistemas que utilizan conceptos tan ava nzados como la inteligencia artificial, la mayoría se basan en el uso de bibliotecas de normas, que describen las condiciones del tráfico para técnicas de ataque o intrusiones ya conocidas. Los IDS son un paso adelante en las funciones que implementan los cartafuegos, a los que dedicaremos la unidad siguiente, y algunas de sus funcionalidades suelen integrarse en ellos, aunque a un nivel mucho más bajo.

Puedes conseguir una versión evaluación de Tripwire a través

de su Web: http://www.tripwire.com

Existen varias herramientas interesantes de detección de intrusos pera su uso es bastante complejo, algunos ejemplos más representativos son Tripwire Enterprise y Snort: •

Tripwire Enterprise, que permite detectar los acciones en la red que no se ajustan a la política de seguridad de la empresa, e informar de aquellos que necesitan especial atención. Ofrece soporte para Windows y Linux, además de para entornos virtuales, como las creados con VMWare, pero es una aplicación propietaria, pensada para grandes redes con un tráfico y un número de usuarios muy elevado.

to Snort puedes encontrarla en:

http://www.snort.org

Snort, que es una aplicación de código abierto que permite tanto la detección de intrusión como su prevención. Existen versiones para sistemas Windows, aunque el grueso del proyecto se desarrolla para entornos Linux. En cualquier caso, será necesario instalar algunos paquetes adicionales que garanticen el funcionamiento de la aplicación, en el caso de las distribuciones Linux, par ejemplo, se instalarán Libpcap, PCRE, Libnet y Barnyar, que también son de código abierto. Este IDS escucha el tráfico de la red en tiempo real y lo relaciona con una serie de normas ya predefinidas, que pueden descargarse desde Internet. Cuando encuentra alguna coincidencia alerta sobre ella, hace un lag de dicho tráfico o lo ignora, según se haya indicado en la norma.

3.3. Arranque de servicios Un servicio de un sistema operativo es una pequeña aplicación que corre en segundo plano y da soporte a este, para permitirnos tener funcionalidades como, por ejemplo, el uso del protocolo SSH, que ya conoces.

El número de servicios que se pueden instalar y utilizar en un equipo es innumerable, pero debemos de tener en cuenta que, cuantas más acciones queramos que haga automáticamente nuestro sistema operativo, peor será el rendimiento del equipo. Y no solo eso, sino que es posible que también estemas poniendo en peligro su segu ridad .

o

Toda la información del proyec·

Servicios en Windows Vista

En su búsqueda por evitar que se ejecuten automáticamente servicios no deseados, Windows Vista incarpora el UAC, control de cuentas de usuario. Si bien es una herramienta útil para usuarios inexpertos, ya que refuerza la seguridad del sistema evitando que se ejecuten programas innecesarios o dañinos, como pueden ser los virus, resulta bastante molesta en ocasiones, especialmente cuando se van añadir nuevos programas al sistema. Con la utilidad UAC activada será necesario autorizar específicamente cada acción o ca mbio de configuracián que realicemos, como activar el firewall de Windows (Fig. 6.29).

Actividades ~ 9. Busca otros paquetes IDS en Internet y realiza una tabla con su nombre, su fabricante (o grupo de trabajo) y sus característi· cas básicas.


Se guridad acti va en redes

Cc:iirttOl de cucntu de usu,rio

~

Windows necesita su permiso para continuar

Si usted inide en, uc.ióo. puede c.ontinuar.

Configuración de Flrew,U de Windows Microsoft Windows

I

'ontinu.f

1I

Cancelar

I

El Control de cuentas dI! usuario le a)'\lda a impedir cualquier cambio no autorizado en el equipo.

Fig. 6.29. Con/rol de cuen ta de W indows Vis/a.

En el caso de que tengamos ciertos conocimientos y herramientas adicionales para proteger tu equipo, o mientras estemas realizando instalaciones programadas de programas, como reconfigurar los servicios de Windows, podemos desactivarlo desde el Panel de control > Centro de Seguridad. La opcián correspondiente se localiza dentro de las Opciones de Configuración Adicional. Para acceder a los servicios instalados en el sistema operativo debemos abrir, en el panel de control, las herramientas administrativas. El ob¡etivo que debemos tener en mente es uno que ya hemos tratado a lo largo del libro, no tener nada instalado o en funcionamiento, que no vayamos a necesitar. La lista de servicios de Windows Vista es mayor que la que ofrecía Windows XP y se prevé muy similar a la de Windows 7, ya que varios de ellas se han divida para dotarnos de mayor control (Fig. 6.30) . Si hacemos clic con el ratón sobre el nombre del servicia vemos también una pequeña descripción del mismo.

.

-_.,,-

4o .. !0

r:¡ 1IY!! a ~ l ' .

n "

''' ' '- ¡11=.-_ I'---=--::::.

---__ _

..._. .. ... ...:.---.. _........_,. .......... -

';:

t:. _ _ ..

I~=:;: _ _ .. _

.. . _ .. -

~

~_

':- 1 -~_5=~ . --~-- :::::: -

~....::~"!".. .

1

..

~_ (

'.......... - -

"...

.......

Q_

.. -...... .. ,,_

row

__ _

__

<l _ .. _ . .... ClO _ ... _ .. ".... . _ <l _ ....... _ _

o ............ ....... _

.. _~ CNO oClO __ _

-'- --

_ o...

_

.. t:,. _ .... _ -_. .._.. _.. t:. _ t:. _

.. _ .. ,, _

:: ~ . .

~.,. '-" .....

:: ~

';: ~_

.. _

-

Q ........ .. ..'<:O <-. ~....

.::_ ca....- .... .-..... _ .. _

_ ....

~_

....... ...."-",,, ::_ ....... ::_ .. _ c::u.

:: _

.. _ . .. .......

_

.. _ ,-

_

_ _ .-0- _

l'

_

', -___ -

.......... . _ _

:¡ ........ . - - ..- :;: a - . - .

Fig. 6.30. Servicios de Windows Vis/o .

~ Actividades

Dentro de estos servicios encontramos algunos que pueden suponer un riesgo paro la seguridad de nuestro equipo si no se inician en un entorno controlado, u otros servicios peligrosos, por lo que puede ser conveniente desactivarlos. La dificultad suele encontrarse en determinar qué servicios son peligrosos, y distinguirlos de aquellos que hemos instalado nosotros. Buscaremos: •

Servicios que no llevan descripción (los del sistema operativo la incluyen), aunque los que hayamos añadido al sistema no tienen por qué incluirla .

Servicios cuya descripción está en un idioma distinto al de instalación de nuestro sistema operativo.

Servicios que se arrancan con cuentas no utilizadas para propósitos de administración.

Servicios cu ya ruta de acceso al e¡ecutable sea Window s.

Servicios con un nombre extraño.

10. Busca información sobre las servicios que arranca automáticamente Windows Vista y decide si conviene deshabilitarlos para me¡orar el rendimiento de tu equipo.


Seguridad activo en redes

9

Caso p'ráctico 5 Desactivar un servicio en Windows Vista

El servicio de Administración conexión de acceso re moto es necesario si en tu equipo vos

En ocasiones debemos desinstalar alguno de los servicios de Windows, bien parque queramos mejarar el rendimiento de nuestro equipo o porque seo un servicio potencialmente peligroso. En este coso vamos o desinstalar el servicio Telnet, para evitar que puedan conectarse o este equipo de formo remoto no segura.

a establecer una red privada virtual. En otro caso es conve·

niente deshabilitarlo para evi· tar accesos no autorizados que

1. Abre la lista de servicios de Windows y localizo el servicio Telnet. En este coso el

pudiesen hacerse con el control del equipo.

servicio ya está iniciado, ya que se lanzo automáticamente can el inicio de sistema operativo (Fig. 6.31) . .......... ....... v.. ..,.. .c-q !@l El n ~ l fl r,n I

C. 5a>U:1 (IoaIuJ

• • u

It

.:,j - . - . C\IdoIO

:==0 ,...,.. do .. ~

.

-~ J ,

Fig. 6.31. Seleccionamos el servicio Te/n et.

2. Hocemos doble clic sobre el servicio y se obre su ventano de propiedades. Desplegamos los opciones de tipo de inicio y seleccionamos Deshabilitado.

"""" -....,

--,

Ibltnd! .......,.,:

FU.o~~oI

"""

r-~"'_-"noe"""" "'oI ~ r:->J.¡.,:..u~.,

....

_

~

qcU:Ie:

c;W"rd:rn~lZ'~.-

1

TlPQden::i:l :

I

Eu:!oc!tl""""":-~ 1

11

~

"'-

II

p-

I I "'"'''''' I

Puedo ege:lcz-b ~m..... c!o_o;....~....c,

4. En coso de que desees volver o activar el servicio, o habilitarlo paro que se active de modo automático, tienes que realizar este mismo proceso pero seleccionando el tipo de inicio que desees y pulsando

o

~ O"" .. dII!

IbIin~~ T'"

3. El servicio seleccionado yo estaba iniciado, por lo que es conveniente que lo detengamos de inmediato. Paro ello pulsamos sobre Detener, que aparece en el menú de lo izquierdo que corre spondiente al servicio (Fig . 6.30).

Iniciar.

.,.".

Telnct p,.,,¡:iedadosr...... ¡¡o baIJ

... nc.

"~des:Io-=1J; .

F~.dr"""

.-J

L-

1-- 1 I '"""" I C- J Fig. 6.32. Deshabilitamos.

Servicios en Ubunlu

El manejo de servicios en Linux, denominados habitualmente demonios, es parte esencial de la administración de este tipo de sistemas. Ubuntu 9.04 ha minimizado,el tiempo de arranque del sistema operativo, en parte cargando un menor númera de servicios al inicio, lo que, además, facilita la administración . Podemos acceder a los servicios instalados desde el entorno gráfico del sistema operativo, pulsando sobre Sistema y seleccionado Administración, donde está la opción servicios que ves en la Figura 6.33. Desde aquí podemos activar y desactivar servicios con un solo clic.

~

r

...

__

.............

~ ·-~-=·~"·~··'-' o 0 GnUolft ....-pad6n' ....-r 101

CnUoIn ...

! 'lt 101

1 101

le ;l

dIo""........ __

GnU6n'" -

·1

I~

... jaqold)

~ GcsU6n ......... ¡."",1It

@GcIl:"'..... """....... ¡1wttfJt ~ GcIUoln U~ "pIGo l

1_ ¡;iL!a

ele

..

1""!u7""nl"t(p]

~"'.:~~:'!.:.~!."-;ri:IICD I~I

~

Fig. 6.33. Servicios en Ubuntu.

6

~J


1 /6

Seguridad acliva en redes

----~----------------------------------

I

á

Ejemplos

En el Caso práctico 4 hicimos uso de alguno de los comandos

Los verdaderos posibilidades paro controlar los servicios estón en el uso de lo línea de comandos. Los servicios instalados en el sistema se encuentran en lo carpeta /etc/ init.d pueden arrancarse, pararse, etc., con el uso de cuatro modificadores: •

sta rt : arranCamOs el servicio.

cio hamachi. En la Figura 6.34 podemos ver cual es la orden que hemos de escribir parar esle

stop: paramos el servicio.

resta rt: reiniciamos el servicio.

mismo servicio.

status: nos informo del estado del servicio.

anteriores para manejar el servi-

_

uooovoo _

.....

.....1..""'·"_ ... ·····1·"' ...,........ _ .., ,,.. ::::::::J:;;.i~,

.. ,....·\. ."... '.. 1

Fig. 6.34. Parada de un proceso.

4. Seguridad en redes inalámbricas En los últimos años, los necesidades de comunicación en los empresas y en los hogares han cambiado mucho, y no solo en la velocidad de los conexiones o Internet. El uso de ordenadores portótiles y otros dispositivos móviles como por ejemplo teléfonos móviles, consolas portables o PDA se ha disparado en los últimos tiempos . Este tipo de equipamiento exige conexiones inalómbricas que permitan la movilidad. Los ventajas y las inconvenientes que proporcionan los redes inalómbricas son: o

Según el Inslilulo Nacional de Esladíslica, desde el año 2006 se observa un estancamiento

en el uso de los ordenadores de sobremesa, mientras que los

porlátiles han crecido un 4% de 2006 a 2007 y un 6% de 2007 a 2008, siendo en este último año de un 40 %. El uso de banda ancha en los hogares en el año 2006 ero de un 30 %, en el año 2007 de un 40 y en el año 2008 de un 45 %.

Fig. 6.35. Wi·Fi con antena.

Movilidad: nos permite conectarnos desde

cualquier punlo ¡dentro del alcance de la red inalámbrico). Escalabilidad: podemos añadir equipos fácil· mente y con un coste reducido. Flexibilidad: permile colocar un equipo en c ualquier punto Ino es necesaria una toma de red). .

Menor rendimiento: el ancho de banda es

mucho menor. Seguridad: cualquiera que esté en el alcance

de lo red puede aprovechar una vulnerabilidad pora colarse en la red o descifrar los mensajes. Interferencias: la red es mucho más sensible a interferencias.

Tabla 6.1. Ventajas e inconvenientes de los redes inalámbricas .

Existen varios tipos de conexiones inalómbricas: Bluetooth, Wi-Fi (puedes ver uno adaptador Wi-Fi en la Fig. 6.35), 3G (puedes ver un adaptador 3G en lo Fig . 6.36). Nos vamos a centrar en las redes Wi-Fi, por ser las que proporcionan el acceso o una red de órea local.

Fig. 6.36. Módem 3G USB.


'~""d"d "";~""

"do"

6'-C-'

------------------------~-------------

4.1. Tecnologías Wi-Fi El estándar IEEE 802.11 define los dos primeros niveles de la capa OSI para las redes de área local inalámbricas (WLAN). Los protocolos estándar que permiten la comunicación inalámbrica son:

54 Mbit!s

Sufre menos interferencias porque no es la banda de los teléfonos móviles y otros electrodomésticos, sin embargo es mucho más sensible a los obstáculos.

100 metros

11 Mbit/s

La frecuencia de 2,4 es menos sensible a los obstáculos, pero en esta frecuencia trabajan muchos electrodomésticos que provocan interferencias.

100 metros

54Mbit!s

Las interferencias sufridas son las mismas que en 802.11 b.

802.11a

5GHz

50

802.11 b

2,4GHz

802.119

2,4GHz

802.11 n

2,4GHz y5GHz

metros

Aunque el estándar se publicá de forma definitiva en septiembre de 2009, 100 metros

600 Mbps

ya existían anteriormente dispositivos que cumplían un borrador del estándar

llamado 802.11 draft n. Los dispositivos de este tipo son compatibles con todos

105

protocolos anteriores.

Tabla 6.2. Protocolos inalámbricos estándar.

Es importante tener en cuenta que los dispositivas electrónicos Wi-Fi que interactúan entre sí pueden seguir diferentes estándares, y tendrán que ser compatibles entre ellos para poder comunicarse. Algunos dispositivos Wi-Fi son compatibles con varios de estas estándares. Cuando un punto de acceso permite por ejemplo los protocolos 802.11b y 802.11g, si lo configuramos correctamente podemos conseguir que se conecten a él estaciones con dispositivos 802.11b y 802.11g . Existen otros protocolos na estándar como por ejemplo 802.11 g+ que aumentan la velocidad de comunicación con las estaciones que soportan estos protocolos.

Actividades

9t

11. Una pequeña empresa como SiTour comienza con 2 empleados. Tiene la esperanza de triplicar el personal en el próximo año. Han alquilado un local en el que no hay instalación de red. Analiza las ventajas y desventajas de la red inalámbrica para este caso.

12. Analiza el uso que haces tú en tu vida diaria de algún tipo de comunicación inalámbrica. Intenta identificar que tipo de comunicación inalámbrica se está produciendo.

13. Consulta en alguna tienda online cual sería el coste de un router inalámbrico y tres adaptadores Wi-Fi, dos para portátil y uno para el ardenador del aula.

14. Revisa la solución que propusiste para la actividad anterior y averigua si todos los elementos que seleccionaste son compatibles. Si no lo son, escribe por qué.

15. ¿Qué protocolos estándar permiten los dispositivos <dntel Wi-Fi Link 5100" y «Linksys WUSB600N,,?

16. ¿Qué protocolos permiten las puntos de acceso SMCWEB-N y WRT54GX4?

17. Son compatibles los interfaces de la Actividad 15 con los puntos de acceso de la actividad 16?

18. ¿Qué diferencia en coste hay entre montar una red con tres equipos 802.11 g y 802.11 n? 163 ,

, ,-

·,!,t1JA:L


~6

Seguridad oclivo en redes

------~----------------------------------------

4.2. Conceptos de redes Wi-Fi

~hOC.

~

•• ,'

Voc<lb.ulono

-

~.

-'o

" . ':.

Es uno lopologio de red

Wi~Fi en [a que la comunicación

se produce directamente entre dos equipos, sin un punto de

acceso.

Aunque, como ya estudiaste en el módulo «Redes locales» también existe la topología ad-hoc, lo más habitual es la topología infraestructura (Fig. 6.37) en la que existe un punto de acceso que es el encargado de gestionar el proceso de comunicación entre todas las estaciones Wi-Fi. En primer lugar para que un cliente pueda comunicarse can la red tiene que estar asociado al punto de acceso y para poderse asociar tiene que pasar un proceso de autenticación. Una vez pasada este proceso, la estación quedará asociada al punto de acceso y podrá comunicarse con este y a través de él con otros equipos.

w

,

AP

Estación 2

Es recomendable no utilizar una conexión Wi-fi para configurar

Estación 1

el rouler, debido a que cuando cambiemos la configuración podremos perder la conexión.

PDA

Fig. 6.37. Estructura de una red Wi-Fi.

~ Caso práctica 6

Red Wi-Fi obierta Montar una red inalámbrica abierta para dar salida a Internet a todos los equipos que quieran conectarse a ella .

1. Accedemos a la configuración del punto de acceso (o router ADSL Wi-Fi) a través del navegador, poniendo su dirección IP. En el caso de la Figura 6.38 la dirección del punto de acceso es 192.168.1.2. También puedes acceder a un simulador de algún router. Te proponemos el router linksys WRT54GX4 (http://uiJinksys.com/files/WRT54GX4/1.00.09/Wireless.htm) o puedes buscar otro de linkSys en http://uiJinksys.com/_

~I';"';," ;:::: 1v~I ____~ 1J...mER ~ ~==;;- ..J I Aula Jv I

Wrele-'..s tktwOI'k Mode :

- .-........

__

Wrele:¡:¡ NdwOI'k N.lme (SSD) :

.....eless Chllmd:

o

" " " ". "~'

,"'."..

,......

Fig. 6.38. ConFiguración básica Comtrend.

(Auto .....eless SS[) Broadc;¡sI: :

tl-

®

!vi

Enable

O

Dlsable

Fig. 6.39. Configuración básico LinkSYS.

(Continúo)


Seguridad activa en redes

Casa ¡:>ráctica 6

6

9

(Continuación)

2. Accedemos a la sección de configuración Wi-Fi básica. Aquí hay que tener en cuenta que cada fabricante utiliza una aplicación de configuración diferente (Figs. 6.38 y 6.39), por lo que tendremos que buscar las opciones e incluso disponer del manual del punto de acceso. Dentro de la configuración básica ponemos el SSID (Service Set Identifier), que es el nombre que tendrá la red Wi-Fi.

3. Por último accedemos a la sección de Seguridad Wi-Fi y ponemos autenticación abierta y seguridad deshabilitada (Figs. 6.40 y 6.41) para los routers inalámbricos Comtrend y linkSys . Do . leo

.- . - , ..""... ... ",,.,,.,,,, ..... . ...... ,,, ..,, ... .,,, .." """'"',, ,. .. .. "," c".. ·~"' ,.." .. '"1" . .. . '''" ,... .. .. ",.",, "'

"',",,, h ,. ,. """ . . ..... ,.",,,.,,, ,., . .. ,,,,j,,,I,

..

w.

"

\\1 , .. ...

o....

~ '" . ,. " ,.,

. ..

" ~"" . " ,,

II . ..... . . ,... , .. ,¡"

\\Ir .. ...

IIo . ~

--

..... _ 'd ~

.. .., w.

ti ..... "" .

Fig. 6.40. Seguridad Camtrend deshabilitada.

Sectdy

r.tod~ :

Fig. 6.4 1. Seguridad LinkSYS deshabilitada.

4. Conectamos uno de los conectores RJ45 del punto de acceso a la red cableada habitual de clase y ya podemos conectar un ordenador por Wi-Fi al punto de acceso. Ten en cuenta que el estándar 802.11 no modifica el nivellP, así que usaremos la misma configuración IP de siempre. Como puedes comprobar nos podemos conectar a la red que hemos creado sin utilizar contraseña.

4.3. Seguridad Wi-Fi En el caso práctico anterior hemos configurado un punto de acceso para permitir el acceso sin seguridad a la red. Como has podido comprobar cualquier cliente que tenga una tarjeta de red inalámbrica compatible con el punto de acceso, podrá conectarse a la red. Esta no es la situación deseada. Lo que habitualmente queremos es contra lar quien se conecta a nuestra red. Para ello podemos aplicar varias medidas de seguridad, que se pueden agrupar según el nivel en el que aplican: •

Nivel físico: en este nivel podemos intentar controlar la señal producida por los puntos de acceso y las interferencias recibidas. A través de la utilización de diferentes antenas podemos intentar conseguir que la señal salga lo menos posible de los límites deseados.

Nivel de enlace: en el nivel de enlace hay mucha variedad de medidas que podemos tomar para conseguir este objetivo:

Aunque pueda parecer sorprendente/ inicialmente los proveedores de servicios de Internet/ cuando instalaban un router ina-

lámbrico, dejaban la red Wi-Fi abierta.

Controlar el acceso a través de una contraseña común para todos los clientes. Controlar el acceso a través de una caracteristica del clien te, como par ejemplo la dirección MAC o un nombre de usuario y contraseña.

Actividades ~ 19. ¿Hay alguna forma de obligar a un punto de acceso a que utilice un estándar 802.11 determinado si es compatible con varios? Describe el procedimiento a seguir en el de clase.

165


~/6

Seguridad activa en redes

------~----------------------------------------

5. Seguridad WEP CRC es un código de comprobación que se calcula a partir de

las datas y se añade al paquete para que en el destina se pueda comprobar que na ha habido variación de los datos durante la transmisión.

WEP (Wired Equivalen! Privocy) es el sistema de cifrado estóndar que se utilizó inicialmente para el cifrada del protocola 802.11. Intenta dar a los redes inolómbricos la seguridad que se tiene en los redes cableadas. La principal diferencio entre la s redes cableadas e inolómbricos es que en los redes inalámbricos puede intentar entrar en lo red cualquier persono dentro del alcance, aunque seo fuero de lo empresa, mientras que en uno red cableada hoy que tener acceso físico a dicha red, es decir, hoy que estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones de trabaja tienen que compartir una clave (clave WEP). Esta clave puede ser según el estándar, de longitud 104 bits (13 caracteres) a 40 bits (5 caracteres).

I Cabecera

Datos

I GRC

¡ Se suele hablar de WEP 128 o WEP 64, pero realmente estos 128 o 64 bits son el tamaño de la contraseña WEP y el vector

Clave WEP

~8

Vec. lnj (IV)

~8

inicialización.

~8

¡

de inicialización juntos.

Por ejemplo se habla de WEP 128 porque es uno clave de 104 bits más los 24 bits del vector de

Cabecera

I

í Datos

IV

CRG

Fig. 6.42. Funcionamiento WEP.

W EP util iza un algoritmo llamada RC4 para a partir de lo clave WEP y de un vector de inicialización de 24 bits (también llamada IV), generar una secuencio aleatorio, llamada semilla, lo cual utilizaró para cifrar lo comunicación can el punta de acceso. Puedes ver un esquema del algoritmo en la figuro 6.42. El resultada es una trama en la que la cabecera y el vector de inicialización va n sin cifrar y tonta las datas cama el CRC van cifradas.

q

Caso p'ráctico 7

Seguridad WEP en el punto de acceso Configurar el punta de acceso para utilizar una clave WEP de 128 bits y proteger así el punta de acceso.

l. Abre en el navegador la página de configuración del

del rauter para poder restaurarla pasteriarmente y dejar toda cama estaba.

4. Selecciona WEP cama moda de seguridad (figs. 6.43 Y6.44).

_. ...._.,

rauter.

:::.:'',':•••::. .... ::::~7:::...''':::;'.:: ..... _.....•.:;;' M'........ ................_. .. .... _"....._. o.,

~,:~

2. Configura tal y cama se describió en el cosa práctica

~

:;:,~~'':: '::.~:::.:; :.~~"

, ... ·• ••v .. ..

anterior el nombre de lo red.

3. Accede a la sección de seguridad inalámbrico . La

__ ,_ ' •• _ . ,....

-~-.-

encontraras tal y cama la dejamos en el cosa práctica anterior, es decir, cama la ves en las figuras 6.40 y 6.41. Es recomendable que hagas estas casas prácticas can varias puntas de acceso (par ejemplo, el del au la y el de tu casa) parque las herramientas de configuración san diferentes. Si realizas esta tarea en tu casa, haz primera una copia de seg uridad de la configuración

-. . ~

""

........ ~

~

.·." ... ...·,.. ~l ; .....~ ...-;g

Fig. 6.43. WEP en Rou/er Com/rend.

(Con/inúal


Seguridad activa en redes

6

Caso "rádico 7

9

(Continuación) !O<oa.al,,-,

I\\I!P

- ' -:

~

Oot""'''''''''': ve~ :

,... 1

o,

Q 4

I Ubh!QI>o.~ .

... 1

<J ,

O l

K .. ' :

5. Seleccionamos como encriptación WEP, 128 bits, e introducimos la clave WEP que queremos poner (por e¡emplo, ,,$1 Nab74c$b!@l») en alguna de las casillas llamadas clave (Figs. 6.45 y 6.46). Si la controseña la ponemos en la casilla llamada clave 1 (key 1) es importante poner que la contraseña que tiene que usar por defecto es la clave 1.

" .. 3 :

KI,.' Fig. 6.44. WEP en Router linksys. VIlr t! tss Sttll nDS' Encr)p1lcn Utl"" Enl., 13 A:'C I!

o h ~I.~ttn.

Ol::!(l h •• ¡d.clm.! digil1101 l::!O·b ll

t ncrypllon h.l'1.

5ecaKy trlode:

1-

Anoclllllon Mode :

IA~O

DeflNll Trllllsml Key:

ve> EnctypUon :

Iv I

!vi

® 1 O 2 O l O ..

I128 bh26 hex digls Iv I

I Generllle I

IJ.l:¡ojook I\.y3:

K.y:

I [±J I :'.vtfApply I

Fig . 6.45. Clave WEP en Comtrend.

I<cy 1 : I(cy 2: Kcy 3: Key":

Fig. 6.46. Clave WEP en linbys.

En algunos router dependiendo de la longitud de la cadena que pongas como contraseña puede entenderse que lo estás escribiendo en hexadecimal o en ASCII. Por e¡emplo la contraseña que hemos puesto es de 104 bits, que son 13 carocteres ASCII, pero que en hexadecimal son 26 dígitos.

Ten cuidado de escribir correctamente la controseña. 6. Guardamos los cambios y ya podemos conectar un cliente al punto de acceso JUPITER utilizando seguridad WEP de 128 bits.

____________________~J

Existen dos métodos a trovés de los cuales un usuario puede autenticarse con un punto de acceso WEP: •

Abierta (open): la estación puede autenticarse sin necesidad de utilizar la clave WEP, simplemente con solicitar la asociación, el punto de acceso dará por asociada a la estación. Después de este proceso de autenticación la estación solo podró comunicarse con el punto de acceso si conoce la clave WEP utilizada para encriptar la comunicación. Clave compartida (shared key): cuando una estación envía una solicitud de asociación al punto de acceso, este envía un texto sin cifrar a la estación, llamado "desafío». El punto de acceso solo asociará a las estaciones que devuelvan correctamente cifrodo con la clave WEP dicho texto.

Modo monitor en un di I de red; es el que nos permite

coger todos los paquetes que circulan por la red a la que estamos conectados aunque no vayan dirigidos a nosotros. En este modo ponemos la tarjeta cuando utilizamos Wireshark.

Aunque pueda porecer más seguro shared key, no lo es, porque cualquier estación inalámbrica podría atrapar tanto el paquete de desafío como el mismo paquete cifrado y con esta informacián asociarse correctamente con el punto de acceso e iniciar un ataque a nuestro punto de acceso. Se recomienda el método de autenticación abierto.

Actividades ~ 20. Configura el punto de acceso para que utilice seguridad WEP 64 y la contraseña que tú el;¡as.

167


~~ s_e~g_Ur_id_a_d_a_c_ti_v_a_e_n_r_e_de_S _______

__________________________________

q Este proceso basado en Linux

para

sacar

las

contraseñas

Wi-Fi se ha hecho muy famoso en los últimos años y se han creado distribuciones espe-

cíficamente desarrolladas para auditorio de redes inalámbricas

como WifiSlax o WifiWay.

Caso flráctico 8

Comprobación de seguridod Wi-Fi Utilizando una distribución Ubuntu sacar la contraseña de una red inalámbrica con seguridad WEP 64. 1. Instalar sobre Ubuntu el paquete aircrack-ng ejecutando el comando aptitude install aircrack-ng (para el desarrollo de este caso práctico se ha utilizado Ubuntu 8.10, the Intrepid Ibex).

2_ Ponemos el interfaz inalámbrico en modo monitor utilizando el comando airmon: airmon-ng start wlanO. Start indica que se quiere arrancar el modo monitor (stop para parar) y wlanO es el nombre del interfaz inalámbrico. Si esto no funciona, es probable que tu interfaz no sea capaz de trabajar en modo monitor. Puedes investigar en hl1p://www.aircrack-ng.org/doku.php?id=compotibilily_drivers sobre la compatibilidad de la tarjeta Wi-Fi.

Archivo

Editar Ver Terminal

Solapas Aluda

root@jupiter:/# airmon-ng start wlan0 Interface

Chipset

Driver

wlan0

Realtek 8I87L

rU8I87 - [phy0] (monitor mode enabled on mon0)

root@jupiter:/#

I

.--~--~-----===~====-=-==~~ Fíg.