ud 2: implantación de mecanismos de seguridad activa · pdf fileud 2:...

2011 2º ASIR

Edu

[UD 2: IMPLANTACIÓN DE MECANISMOS DE SEGURIDAD ACTIVA]

Todo sobre el mundo de la seguridad

UD 2: Implantación de mecanismos de seguridad activa

Juan Eduardo Toledo Página 2

Tabla de contenido Ataques y contramedidas en sistemas personales ............................................................... 4

Clasificación de los ataques en sistemas personales: ..................................................... 4

Ataques pasivos ...................................................................................................................... 5

Ataques activos ...................................................................................................................... 5

Sistemas de Detección de intrusos (IDS). ........................................................................ 6

Anatomía de un ataque informático ...................................................................................... 7

Análisis del software malicioso o malware: ........................................................................ 8

- Historia del malware. ......................................................................................................... 8

- Clasificación del malware ................................................................................................ 10

- Métodos de infección: Explotación de vunerabilidades, Ingeniería social, ...... 11

Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc. ................ 11

- Herramientas paliativas. Instalación y configuración. ............................................... 12

- Software antimalware: Antivirus (escritorio, on line, portables, Live),

Antispyware, .......................................................................................................................... 12

Herramientas de bloqueo web. ......................................................................................... 13

Herramientas preventivas. Instalación y configuración. ............................................. 13

Control de acceso lógico .................................................................................................... 13

Seguridad en la conexión con redes públicas....................................................................... 15

Técnicas de Cifrado: ............................................................................................................... 15

-Criptografía simétrica. ..................................................................................................... 15

-Criptografía asimétrica. ................................................................................................... 16

Identificación Digital: ............................................................................................................ 17

-Firma Electrónica y Firma Digital. ................................................................................ 17

-Certificado Digital, Autoridad certificadora (CA). ................................................. 17

- Documento Nacional de Identidad Electrónico (DNIe) ........................................ 19

- Buenas prácticas en el uso del certificado digital y DNIe. .................................20

Seguridad en la red corporativa: ............................................................................................. 21

- Amenazas y ataques en redes corporativas: ................................................................. 21

Amenaza interna o corporativa y Amenaza externa o de acceso remoto........... 21

Amenazas: Interrupción, Intercepción, Modificación y Fabricación. ..................22

Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming. .........................22

Riesgos potenciales en los servicios de red. ....................................................................23

Seguridad en los dispositivos de red : terminales, switch y router. ....................23



Seguridad en los servicios de red por niveles: ...........................................................25

Monitorización del tráfico en redes: Herramientas. ....................................................27

Técnicas de Detección de intrusos. ....................................................................................28

Tipos de IDS: (Host IDS, Net IDS)..................................................................................28

Software libre y commercial ................................................................................................29

Seguridad en las comunicaciones inalámbricas. .............................................................. 31

Sistemas de seguridad en WLAN. .................................................................................. 31

Recomendaciones de seguridad en WLAN. ..................................................................32



Ataques y contramedidas en sistemas personales

Clasificación de los ataques en sistemas personales: Digamos que se entiende por amenaza una condición del entorno del sistema de

información (persona, máquina, suceso o idea) que, dada una oportunidad, podría

dar lugar a que se produjese una violación de la seguridad (confidencialidad,

integridad, disponibilidad o uso legítimo).

Las amenazas a la seguridad en una red pueden caracterizarse modelando el

sistema como un flujo de información desde una fuente, como por ejemplo un

fichero o una región de la memoria principal, a un destino, como por ejemplo otro

fichero o un usuario.

Un ataque no es más que la realización de una amenaza. Las cuatro categorías

generales de amenazas o ataques son las siguientes:

1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible.

Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la

destrucción de un elemento hardware, como un disco duro, cortar una línea

de comunicación o deshabilitar el sistema de gestión de ficheros.

2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este

es un ataque contra la confidencialidad. La entidad no autorizada podría ser

una persona, un programa o un ordenador. Ejemplos de este ataque son

pinchar una línea para hacerse con datos que circulen por la red y la copia

ilícita de ficheros o programas (intercepción de datos), o bien la lectura de

las cabeceras de paquetes para desvelar la identidad de uno o más de los

usuarios implicados en la comunicación observada ilegalmente (intercepción

de identidad).

3. Modificación: una entidad no autorizada no sólo consigue acceder a un

recurso, sino que es capaz de manipularlo. Este es un ataque contra la

integridad. Ejemplos de este ataque son el cambio de valores en un archivo

de datos, alterar un programa para que funcione de forma diferente y

modificar el contenido de mensajes que están siendo transferidos por la

red.

4. Fabricación: una entidad no autorizada inserta objetos falsificados en el

sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque

son la inserción de mensajes espurios en una red o añadir registros a un

archivo. Estos ataques se pueden asimismo clasificar de forma útil en

términos de ataques pasivos y ataques activos.



Ataques pasivos

En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la

escucha o monitoriza, para obtener información que está siendo transmitida.

Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más

sutil para obtener información de la comunicación, que puede consistir en:

- Obtención del origen y destinatario de la comunicación, leyendo las

cabeceras de los paquetes monitorizados.

- Control del volumen de tráfico intercambiado entre las entidades

monitorizadas, obteniendo así información acerca de actividad o inactividad

inusuales.

- Control de las horas habituales de intercambio de datos entre las entidades

de la comunicación, para extraer información acerca de los períodos de

actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna

alteración de los datos. Sin embargo, es posible evitar su éxito mediante el

cifrado de la información y otros mecanismos que se verán más adelante.

Ataques activos

Estos ataques implican algún tipo de modificación del flujo de datos transmitido o

la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:

a. Suplantación de identidad: el intruso se hace pasar por una entidad

diferente. Normalmente incluye alguna de las otras formas de ataque

activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y

repetidas, permitiendo a una entidad no autorizada acceder a una serie de

recursos privilegiados suplantando a la entidad que posee esos privilegios,

como al robar la contraseña de acceso a una cuenta.

b. Repetición: uno o varios mensajes legítimos son capturados y repetidos para

producir un efecto no deseado, como por ejemplo ingresar dinero repetidas

veces en una cuenta dada.

c. Modificación de mensajes: una porción del mensaje legítimo es alterada, o

los mensajes son retardados o reordenados, para producir un efecto no

autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta

A" podría ser modificado para decir "Ingresa un millón de pesos en la

cuenta B".

d. Interrupción: o degradación fraudulenta del servicio, impide o inhibe el uso

normal o la gestión de recursos informáticos y de comunicaciones. Por

ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una

determinada entidad o se podría interrumpir el servicio de una red

inundándola con mensajes espurios. Entre estos ataques se encuentran los

de denegación de servicio, consistentes en paralizar temporalmente el

servicio de un servidor de correo, Web, FTP, etc.



Sistemas de Detección de intrusos (IDS). Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion

Detection System) es un programa usado para detectar accesos no autorizados a

un computador o a una red. Estos accesos pueden ser ataques de

habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El término IDS (Sistema de detección de intrusiones) hace referencia a un

mecanismo que, sigilosamente, escucha el tráfico en la red para detectar

actividades anormales o sospechosas, y de este modo, reducir el riesgo de

intrusión.

Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la

seguridad dentro de la red.

El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la

seguridad en el host.

Un N-IDS necesita un hardware exclusivo. Éste

forma un sistema que puede verificar paquetes de

información que viajan por una o más líneas de la

red para descubrir si se ha producido alguna

actividad maliciosa o anormal. El N-IDS pone uno o

más de los adaptadores de red exclusivos del

sistema en modo promiscuo.. Por lo general, se

colocan sondas fuera de la red para estudiar los

posibles ataques, así como también se colocan

sondas internas para analizar solicitudes que

hayan pasado a través del firewall o que se han

realizado desde dentro.

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una

amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix,

etc.

El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.

Tradicionalmente, el H-IDS analiza la información particular almacenada en

registros (como registros de sistema, mensajes, lastlogs y wtmp) y también

captura paquetes de la red que se introducen/salen del host para poder verificar

las señales de intrusión (como ataques por denegación de servicio, puertas

traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos

malignos o ataques de desbordamiento de búfer).

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Hacker

http://es.wikipedia.org/wiki/Script_Kiddies



Anatomía de un ataque informático Conocer las diferentes etapas que conforman un ataque informático brinda la

ventaja de aprender a pensar como los atacantes y a jamás subestimar su

mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar

esas habilidades para comprender y analizar la forma en que los atacantes llevan a

cabo un ataque.

La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque

informático al momento de ser ejecutado:

Básicamente se compone de cinco etapas bien diferenciadas que permiten acceder

a un sistema de forma metódica y sistemática.

Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de

información (Information Gathering) con respecto a una potencial víctima que

puede ser una persona u organización, utilizando diferentes recursos.

. Algunas de las técnicas utilizadas en este primer paso son: diferentes estrategias

de Ingeniería social como el Dumpster diving (buscar información del objetivo en

la basura), el sniffing (interceptar información).

Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información

obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre

el sistema víctima como direcciones IP, nombres de host, datos de autenticación,

entre otros.

Entre las herramientas que un atacante puede emplear durante esta fase se

encuentran:

- Network mappers

- Port mappers

- Network scanners

- Port scanners

- Vulnerability scanners



Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a

materializarse el ataque a través de la explotación de las vulnerabilidades y

defectos del sistema (Flaw exploitation) descubiertos durante las fases de

reconocimiento y exploración.

Algunas de las técnicas que el atacante puede utilizar son:

- Buffer Overflow

- Denial of Service (DoS)

- Distributed Denial of Service (DDos)

- Password filtering

- Session hijacking

Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha

conseguido acceder al sistema, buscará implantar herramientas que le permitan

volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.

Para ello, suelen recurrir a recursos como:

o Backdoors

o Rootkits

o Troyanos

Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener

y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando

durante la intrusión para evitar ser detectado por el profesional de seguridad o los

administradores de la red. En consecuencia, buscará eliminar los archivos de

registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).

Análisis del software malicioso o malware:

- Historia del malware.

1949

Los trabajos preliminares a los virus de ordenador se

remontan al año 1949. John von Neumann (1903-1957)

desarrolló la teoría de los autómatas autorreplicantes.

Pero entonces era impensable aún la materialización

técnica.

La década de los 70

En CoreWars batallan entre sí programas escritos en

"Código rojo". Luchan por sobrevivir en la memoria. Los

llamados "imps" trajinan por la memoria y borran

direcciones sin orden ni concierto. También había

algunas versiones capaces de autocopiarse. Aquí

tenemos las raíces de los virus informáticos.

1981

El profesor Leonard M. Adleman utiliza por primera vez

el concepto de "virus informático" en una conversación

con Fred Cohen.



1982

Los primeros virus para el ordenador Apple II pasan en

disquete de mano en mano en un círculo muy restringido.

Por un error, el virus causaba el bloqueo del programa.

Este error se solucionó en las versiones posteriores.

El virus "Elk Cloner" es el primer virus "en libertad" (“in

the wild”) que enfada a los usuarios de Apple / DOS 3.3

con rimas con metátesis, indicaciones invertidas o falsas

y ruidos de clic. Se propagaba por disquetes que se

hicieron inservibles (probablemente por equivocación)

con otros sistemas operativos.

En el Xerox Alto Research Center, Jon Hepps y John

Shock programaron los primeros gusanos. Se utilizaban

para cálculos repartidos y se propagaban en la red de

modo autónomo. Por un fallo de programación, esta

difusión tuvo lugar sin control, lo que dejó los

ordenadores fuera de combate al poco tiempo.

1983

En noviembre, Fred Cohen presentó por primera vez el

concepto de virus en un seminario. Sólo necesitó 8 horas

para implementar el primer virus funcional en UNIX. A

los pocos minutos tenía derechos de acceso sin

restricciones en todos los ordenadores.

1984

Fred Cohen publica los primeros artículos acerca de

"Experimentos con virus informáticos", que se

incorporan a su tesis doctoral "ComputerViruses -

Theory and Experiments", publicada en 1986. Su

definición de virus, de orientación más bien matemática,

aún sigue siendo reconocida y no posee el matiz negativo

que se asocia en la actualidad al concepto de virus.

1985

No tardan mucho en aparecer otros virus dejados a su

libre albedrío. A menudo, sólo se trata de programas

bromistas para molestar al usuario del ordenador.

Verdaderamente maligno es el troyano Gotcha. Tras el

inicio del programa EGABTR, que aparentemente

permite una representación gráfica, se borran los datos

del disco duro y en la pantalla aparece "Arf, arf,

Gotcha" (“te pillé”).

El programa escrito en BASIC "Surprise" borraba todos

los datos accesibles con la línea de comando "kill *.*" .

Entonces aparecía



- Clasificación del malware

Virus Informático

Es un programa informático diseñado para infectar archivos. Además, algunos

podrían ocasionar efectos molestos, destructivos e incluso irreparables en los

sistemas sin el consentimiento y/o conocimiento del usuario.

Cuando se introduce en un sistema normalmente se alojará dentro del código de

otros programas. El virus no actúa hasta que no se ejecuta el programa infectado.

Algunos de ellos, además están preparados para activarse cuando se cumple una

determinada condición (una fecha concreta, una acción que realiza el usuario, etc.).

Los efectos de los virus pueden ser muy molestos para los usuarios ya que la

infección de un fichero puede provocar la ralentización del ordenador o la

modificación en su comportamiento y funcionamiento, entre otras cosas.

Gusanos Informáticos

Los "Gusanos Informáticos" son programas que realizan copias de sí mismos,

alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware

suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el

trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.

El principal objetivo de los gusanos es propagarse y afectar al mayor número de

ordenadores posible. Para ello, crean copias de sí mismos en el ordenador afectado,

que distribuyen posteriormente a través de diferentes medios, como el correo

electrónico, programas P2P o de mensajería instantánea, entre otros.

Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor

efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre

atractivo con el que camuflar el archivo malicioso. Los temas más recurrentes son

los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o

software pirata.

Troyanos

El principal objetivo de este tipo de malware es introducir e instalar otras

aplicaciones en el equipo infectado, para permitir su control remoto desde otros

equipos.

Los troyanos no se propagan por sí mismos, y su nombre deriva del parecido en su

forma de actuar con los astutos griegos de la mitología, ya que los troyanos llegan

al equipo del usuario como un programa aparentemente inofensivo, pero, en

determinados casos, al ejecutarlo instalará en el equipo infectado un segundo

programa; el troyano en sí. Este es un claro ejemplo de la familia de troyanos de

tipo downloader.

Actualmente y a nivel mundial, el porcentaje del tráfico de Malware que

representan los troyanos es: Virus: 10.56%



Stealer

En español "ladrón de información" es el nombre genérico de programas

informáticos maliciosos del tipo troyano, que se introducen a través de internet en

un ordenador con el propósito de obtener de forma fraudulenta información

confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña

o número de tarjeta de crédito.

Crimeware

Es un tipo de software que ha sido específicamente diseñado para la ejecución de

delitos financieros en entornos en línea. El término fue creado por Peter Cassidy,

Secretario General del Anti-PhishingWorking para diferenciarlo de otros tipos de

software malicioso.

Grayware

Es un nuevo término que comienza a aparecer en las pantallas de radar de los

profesionales de informática y de seguridad. Muchos usuarios finales solo conocen

vagamente acerca del "Grayware" y su impacto potencial en sus computadoras. Sin

embargo la probabilidad de sus sistemas estén infectados es extremadamente alta

y muchos usuarios han sufrido los síntomas producidos por estos programas.

Es un término abarcador aplicado a un amplio rango de programas que son

instalados en la computadora de un usuario para dar seguimiento o reportar cierta

información a un tercero. Estas aplicaciones son usualmente instaladas y “corren”

sin el permiso del usuario.

- Métodos de infección: Explotación de vunerabilidades, Ingeniería social,

Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc.

Las formas en que un programa puede llegar al ordenador son las siguientes:

Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una

vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en

el ordenador. Es posible que tengan alguna vulnerabilidad que sea aprovechada por

un atacante para introducir programas maliciosos. Para prevenir quedarse

infectado de esta forma, recomendamos tener siempre actualizado el software el

equipo.

Ingeniería social: apoyado en técnicas de ingeniería social para apremiar al usuario

a que realice determinada acción. La ingeniería social se utiliza sobre todo en

correos de phishing, pero puede ser utilizada de más formas, por ejemplo,

informando de una falsa noticia de gran impacto, un ejemplo puede ser alertar del

comienzo de una falsa guerra incluyendo un enlace en que se puede ver más

detalles de la noticia; a donde realmente dirige el enlace es a una página Web con

contenido malicioso. Tanto para los correos de phishing como para el resto de

mensajes con contenido generado con ingeniería social, lo más importante es no

hacer caso de correos recibidos de remitentes desconocidos y tener en cuenta que

su banco nunca le va a pedir sus datos bancarios por correo.



Por un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos de

llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por

redes P2P, como enlace a un fichero que se encuentre en Internet, a través de

carpetas compartidas en las que el gusano haya dejado una copia de sí mismo…La

mejor forma de prevenir la infección es analizar con un antivirus actualizado todos

los archivos antes de ejecutarlos, a parte de no descargar archivos de fuentes que

no sean fiables.

Dispositivos extraíbles: muchos gusanos suelen dejar copias de sí mismos en

dispositivos extraíbles para que automáticamente, cuando el dispositivo se conecte

a un ordenador, ejecutarse e infectar el nuevo equipo. La mejor forma de evitar

quedarse infectados de esta manera, es deshabilitar el autoarranque de los

dispositivos que se conecten al ordenador.

Cookies maliciosas: Existe un tipo de ficheros que según el uso que tengan, pueden

o no ser peligrosos, son las cookies. Las cookies son pequeños ficheros de texto

que se crean en el navegador al visitar páginas Web; almacenan diversa información

que, por lo general, facilitan la navegación del usuario por la página Web que se

está visitando y lo más importante no tienen capacidad para consultar información

del ordenador en el que están almacenadas. Sin embargo existen un tipo de cookies

llamadas cookies maliciosas que su cometido no es facilitar la navegación por

determinadas páginas, sino monitorizar las actividades del usuario en Internet con

fines maliciosos, por ejemplo capturar los datos de usuario y contraseña de acceso

a determinadas páginas Web o vender los hábitos de navegación a empresas de

publicidad.

- Herramientas paliativas. Instalación y configuración.

- Software antimalware: Antivirus (escritorio, on line, portables, Live), Antispyware,

Antivirus

En informática los antivirus son programas cuyo objetivo es detectar y/o eliminar

virus informáticos. Nacieron durante la década de 1980.

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e

Internet, ha hecho que los antivirus hayan evolucionado hacia programas más

avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos,

desinfectarlos y prevenir una infección de los mismos, y actualmente ya son

capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. Estos

son los diferentes tipos.

Escritorio Es un software que se encuentra instalado en el pc controlado

en todo momento la actividad de los ficheros en busca de amenazas. En cualquier

momento se puede analizar el equipo a fondo.

Online Es un software que a través del navegador analiza tu equipo sin

necesidad de instalar nada. No suelen ser fiables.



Portables Es un software que se encuentra normalmente en una unidad

portátil y que se puede ejecutar en cualquier equipo sin necesidad de instalación

solamente enchufando o introduciendo la unidad portatil

Live Es software normalme intalado en un cd que nos sirve para analizar el

equipo sin necesidad de cargar el SO evitando asi el camuflamiento de algunos

virus.

Herramientas de bloqueo web.

Mediante un archivo robots.txt

Restringen el acceso de los robots de motores de búsqueda que rastrean la Web a

un sitio. Estos robots están automatizados y, antes de acceder a las páginas de un

sitio, verifican si existe un archivo robots.txt que les impida el acceso a

determinadas páginas.

Editando el archivo host

Para ello hay que editar el archivo hosts, que en Windows98 está en el directorio

c:\Windows y en XP está en el directorio c:\Windows\system32\drivers\etc.

Añadimos la pagina que no que remos que se cargue y al lado la ip 127.0.0.1 y nunca

llegara a abrirse esa dirección.

Ejemplo:

www.xxx.com (Pulsación de tabulación) 127.0.0.1

En el propio navegador

Todos los navegadores tienen una opcion en la pestaña de seguridad que podemos

agregar sitios de los cuales no confiamos o no queremos que sean vistos.

Con el antivirus.

Todos los navegadores tienen una opcion para bloquear sitios web de echo cuando

los antivirus detectan alguna amenaza en un sitio concreto lo bloquean para siempre

y no podras acceder a ese sitio web nunca

Herramientas preventivas. Instalación y configuración.

Control de acceso lógico

Seguridad del BIOS y del gestor de arranque

La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor

de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan

acceso físico a sus sistemas, arranquen desde medios removibles u obtengan

acceso como root a través del modo monousuario. Pero las medidas de seguridad

que uno debería tomar para protegerse contra tales ataques dependen tanto de la

confidencialidad de la información que las estaciones tengan como de la ubicación

de la máquina.



CONTROL DE ACCESO AL SISTEMA OPERATIVO

Objetivo: evitar el acceso no autorizado a los sistemas operativos. Se recomienda

utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a

los sistemas operativos. Tales medios deberían tener la capacidad para:

a) autenticar usuarios autorizados, de acuerdo con una política definida de control

de acceso;

b) registrar intentos exitosos y fallidos de autenticación del sistema;

c) registrar el uso de privilegios especiales del sistema;

d) emitir alarmas cuando se violan las políticas de seguridad del sistema;

e) suministrar medios adecuados para la autenticación;

f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

Configurar la seguridad de usuarios y grupos

Para proteger un equipo y sus recursos, debe decidir qué tareas y acciones pueden

realizar los usuarios o grupos de usuarios. Las tareas y acciones que un usuario o un

grupo de usuarios pueden realizar dependen de los derechos de usuario que les

asigne. Por ejemplo, si un miembro de confianza del grupo Usuarios necesita

supervisar el registro de seguridad, puede concederle el derecho "Administrar

auditoría y registro de seguridad" en lugar de agregar el usuario a un grupo con

más privilegios, como el grupo Administradores. De la misma forma, puede proteger

un objeto, como un archivo o una carpeta, si asigna permisos.

Algunas de las tareas más comunes son asignar derechos de usuario en el equipo

local, asignar derechos de usuario en toda la organización y establecer permisos de

archivos y carpetas. Para obtener más información acerca de otras tareas para

configurar la seguridad de usuarios y grupos, vea Procedimientos de control de

acceso.

ACTUALIZACIONES DE SW Y SO

Necesidad de las actualizaciones

Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma

análoga a como haría un ladrón al intentar entrar a robar a una casa– desarrollan

software malicioso para aprovechar cualquier vulnerabilidad en el sistema a través

del cual infectarlo. Suelen aprovechar las vulnerabilidades más recientes que

tienen tanto el sistema operativo como los demás programas, y que requieren una

actualización inmediata de los sistemas.

Hay que tener en cuenta que cuanto más tiempo tardemos en actualizar nuestros

equipos más tiempo estaremos expuestos a que cualquier tipo de malware pueda

explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante.

Para facilitar esta tarea, la mayoría de aplicaciones y sistemas operativos tienen la

opción de actualizar el sistema automáticamente, lo que permite tener los

programas actualizados sin la necesidad de comprobar manual y periódicamente si

la versión utilizada es la última disponible, y por tanto la más segura.



Estas actualizaciones de software vienen justificadas por diferentes motivos:

Corregir las vulnerabilidades detectadas.

Proporcionar nuevas funcionalidades o mejoras respecto a las versiones

anteriores.

Aunque es posible hacer la actualización de forma manual, lo más sencillo es

hacerlo de forma automática. De esta forma el propio sistema busca las

actualizaciones, las descarga e instala sin que nosotros tengamos que intervenir en

el proceso.

-ACTUALIZACIONES EN LOS SO

Generalmente los sistemas operativos vienen configurados de forma

predeterminada con la opción de “Actualizaciones Automáticas” por lo que no es

necesario habilitarla manualmente

Seguridad en la conexión con redes públicas

Técnicas de Cifrado:

-Criptografía simétrica.

La criptografía simétrica se refiere al conjunto de métodos que permiten tener

comunicación segura entre las partes siempre y cuando anteriormente se hayan

intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría

se refiere a que las partes tienen la misma llave tanto para cifrar como para

descifrar.

Este tipo de criptografía se conoce también como criptografía de clave privada

o criptografía de llave privada.

Existe una clasificación de este tipo de criptografía en tres familias, la

criptografía simétrica de bloques (block cipher), la criptografía simétrica de

lluvia (stream cipher) y la criptografia simétrica de resumen (hash functions).

Aunque con ligeras modificaciones un sistema de criptografía simétrica de bloques

puede modificarse para convertirse en alguna de las otras dos formas, sin embargo

es importante verlas por separado dado que se usan en diferentes aplicaciones.

Aunque no existe un tipo de diseño estándar, quizá el más popular es el de

Fiestel, que consiste esencialmente en aplicar un número finito de interacciones de

cierta forma, que finalmente da como resultado el mensaje cifrado. Este es el caso

del sistema criptográfico simétrico más conocido, DES.



-Criptografía asimétrica.

La criptografía de clave asimétrica o pública fue inventada en 1976 por los

matemáticos Whit Diffie y Martin Hellman y es la base de la moderna criptografía.

La criptografía asimétrica utiliza dos claves complementarias llamadas clave

privada y clave pública. Lo que está codificado con una clave privada necesita su

correspondiente clave pública para ser descodificado. Y viceversa, lo codificado

con una clave pública sólo puede ser descodificado con su clave privada.

Las claves privadas deben ser conocidas únicamente por su propietario, mientra

que la correspondiente clave pública puede ser dada a conocer abiertamente.

Si Ana quiere enviar a Benito un mensaje de forma que sólo él pueda entenderlo, lo

codificará con la clave pública de Benito. Benito utilizará su clave privada, que solo

él tiene, para poder leerlo

La criptografía asimétrica está basada en la utilización de números primos muy

grandes. Si multiplicamos entre sí dos números primos muy grandes, el resultado

obtenido no puede descomponerse eficazmente, es decir, utilizando los métodos

aritméticos más avanzados en los ordenadores más avanzados sería necesario

utilizar durante miles de millones de años tantos ordenadores como átomos existen

en el universo. El proceso será más seguro cuanto mayor sea el tamaño de los

números primos utilizados. Los protocolos modernos de encriptación tales como

SET y PGP utilizan claves generadas con números primos de un tamaño tal que los

hace completamente inexpugnables.

-Criptografía híbrida.

La criptografía híbrida emplea el cifrado de clave pública para compartir una clave

para el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra

usando la clave y enviándolo al destinatario. Ya que compartir una clave simétrica

no es seguro, la clave usada es diferente para cada sesión.

Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el

de cifrado simétrico de los que hace uso, independientemente de cuál sea más

débil. En PGP y GnuPG el sistema de clave pública es probablemente la parte más

débil de la combinación. Sin embargo, si un atacante pudiera descifrar una clave de



sesión, sólo sería útil para poder leer un mensaje, el cifrado con esa clave de

sesión. El atacante tendría que volver a empezar y descifrar otra clave de sesión

para poder leer cualquier otro mensaje.

Identificación Digital:

-Firma Electrónica y Firma Digital.

Una firma electrónica es una firma digital que se ha almacenado en un soporte de

hardware; mientras que la firma digital se puede almacenar tanto en soportes de

hardware como de software. La firma electrónica reconocida tiene el mismo valor

legal que la firma manuscrita.

De hecho se podría decir que una firma electrónica es una firma digital contenida o

almacenada en un contenedor electrónico, normalmente un chip de ROM. Su

principal característica diferenciadora con la firma digital es su cualidad de ser

inmodificable (que no inviolable). No se debe confundir el almacenamiento en

hardware, como por ejemplo, en un chip, con el almacenamiento de la firma digital

en soportes físicos; es posible almacenar una firma digital en una memoria flash,

pero al ser esta del tipo RAM y no ROM, no se consideraría una firma electrónica

si no una firma digital contenida en un soporte físico.

Las características y usos de la Firma electrónica son exactamente los mismos que

los de la Firma digital con la única diferenciación del tipo de soporte en el que se

almacenan. Su condición de inmodificable aporta un grado superior de seguridad, si

bien la ausencia habitual de contraseñas de seguridad que protejan su uso

permitiría que un portador ilegítimo pudiese suplantar al propietario con facilidad.

-Certificado Digital, Autoridad certificadora (CA).

Un certificado digital (también conocido como certificado de clave pública o

certificado de identidad) es un documento digital mediante el cual un tercero

confiable (una autoridad de certificación) garantiza la vinculación entre la

identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos

de identificación) y una clave pública.



Este tipo de certificados se emplea para comprobar que una clave pública

pertenece a un individuo o entidad. La existencia de firmas en los certificados

aseguran por parte del firmante del certificado (una autoridad de certificación,

por ejemplo) que la información de identidad y la clave pública perteneciente al

usuario o entidad referida en el certificado digital están vinculadas.

Un aspecto fundamental que hay que entender es que el certificado para cumplir la

función de identificación y autenticación necesita del uso de la clave privada (que

sólo el titular conoce). El certificado y la clave pública se consideran información

no sensible que puede distribuirse perfectamente a terceros.

Por tanto el certificado sin más no puede ser utilizado como medio de

identificación, pero es pieza imprescindible en los protocolos usados para

autenticar a las partes de una

Si bien existen variados formatos para certificados digitales, los más comúnmente

empleados se rigen por el estándar UIT-T X.509. El certificado debe contener al

menos lo siguiente:

- La identidad del propietario del certificado (identidad a certificar),

- La clave pública asociada a esa identidad,

- La identidad de la entidad que expide y firma el certificado,

- El algoritmo criptográfico usado para firmar el certificado.

Autoridad certificadora (CA). Es una entidad de confianza, responsable de emitir

y revocar los certificados digitales o certificados, utilizados en la firma

electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente

es un caso particular de Prestador de Servicios de Certificación.

por sí misma o mediante la intervención de una Autoridad de Registro, verifica la

identidad del solicitante de un certificado antes de su expedición o, en caso de

certificados expedidos con la condición de revocados, elimina la revocación de los

certificados al comprobar dicha identidad. Los certificados son documentos que recogen

ciertos datos de su titular y su clave pública y están firmados electrónicamente por la

Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es

un tipo particular de Prestador de Servicios de Certificación que legitima ante los

terceros que confían en sus certificados la relación entre la identidad de un usuario y su

clave pública. La confianza de los usuarios en la CA es importante para el

funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un

procedimiento normalizado para demostrar que una CA merece dicha confianza.

Un certificado revocado es un certificado que no es válido aunque se emplee dentro de

su período de vigencia. Un certificado revocado tiene la condición de suspendido si su

vigencia puede restablecerse en determinadas condiciones.



- Documento Nacional de Identidad Electrónico (DNIe)

El Documento Nacional de Identidad (DNI), emitido por la Dirección General de la

Policía (Ministerio del Interior), es el documento que acredita, desde hace más de

50 años, la identidad, los datos personales que en él aparecen y la nacionalidad

española de su titular.

A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e

incorporando las innovaciones tecnológicas disponibles en cada momento, con el fin

de aumentar tanto la seguridad del documento como su ámbito de aplicación.

Con la llegada de la Sociedad de la Información y la generalización del uso de

Internet se hace necesario adecuar los mecanismos de acreditación de la

personalidad a la nueva realidad y disponer de un instrumento eficaz que traslade

al mundo digital las mismas certezas con las que operamos cada día en el mundo

físico y que, esencialmente, son:

- Acreditar electrónicamente y de forma indubitada la identidad de la

persona

- Firmar digitalmente documentos electrónicos, otorgándoles una validez

jurídica equivalente a la que les proporciona la firma manuscrita

Para responder a estas nuevas necesidades nace el Documento Nacional de

Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que

incorpora un pequeño circuito integrado (chip), capaz de guardar de forma segura

información y de procesarla internamente.

Para poder incorporar este chip, el Documento Nacional de Identidad cambia su

soporte tradicional (cartulina plastificada) por una tarjeta de material plástico,

dotada de nuevas y mayores medidas de seguridad. A esta nueva versión del

Documento Nacional de Identidad nos referimos como DNI electrónico nos

permitirá, además de su uso tradicional, acceder a los nuevos servicios de la

Sociedad de la Información, que ampliarán nuestras capacidades de actuar a

distancia con las Administraciones Públicas, con las empresas y con otros

ciudadanos.

En la medida que el DNI electrónico vaya sustituyendo al DNI tradicional y se

implanten las nuevas aplicaciones, podremos utilizarlo para:

- Realizar compras firmadas a través de Internet

- Hacer trámites completos con las Administraciones Públicas a cualquier

hora y sin tener que desplazarse ni hacer colas

- Realizar transacciones seguras con entidades bancarias

- Acceder al edificio donde trabajamos

- Utilizar de forma segura nuestro ordenador personal

- Participar en un conversación por Internet con la certeza de que nuestro

interlocutor es quien dice ser



- Buenas prácticas en el uso del certificado digital y DNIe.

Tal y como recoge la Declaración de Prácticas de Certificación del DNI

electrónico, los certificados electrónicos podrán utilizarse:

• Como medio de Autenticación de la Identidad.

El Certificado de Autenticación (Digital Signature) asegura que la comunicación

electrónica se realiza con la persona que dice que es. El titular podrá, a través de

su certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en

posesión del certificado de identidad y de la clave privada asociada al mismo.

• Como medio de firma electrónica de documentos.

Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un

mensaje firmado electrónicamente puede verificar la autenticidad de esa firma,

pudiendo de esta forma demostrar la identidad del firmante sin que éste pueda

repudiarlo.

• Como medio de certificación de Integridad de un documento.

Permite comprobar que el documento no ha sido modificado por ningún agente

externo a la comunicación. La garantía de la integridad del documento se lleva a

cabo mediante la utilización de funciones resumen (hash), utilizadas en combinación

con la firma electrónica. Esto esquema permite comprobar si un mensaje firmado

ha sido alterado posteriormente a su envío.

Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del

documento ,de forma tal que cualquier alteración posterior del documento dará

lugar a una alteración del resumen.

El Certificado de Identidad Pública español (DNI electrónico) contribuirá,

necesariamente a la existencia de empresas prestadoras de servicios de valor

añadido ya que el DNI electrónico no facilitara en ningún caso los denominados

"sobres" (sistemas de cifrado, sellos de tiempo, etc.)



Seguridad en la red corporativa:

- Amenazas y ataques en redes corporativas:

Amenaza interna o corporativa y Amenaza externa o de acceso remoto.

- Amenaza interna o corporativa

Cualquier empleado puede convertirse en un punto de fuga de información. Lo único

que necesita es acceso a la misma, ya que para extraerla hoy en dia en muy fácil a

través de dispositivos portatitles (pendrives, discos duros, USB, etc) o incluso

directamente a un servidor via internet.

Lo mas lógico es aplicar una una política de gestión de usuarios, cada uno con sus

permisos correspondientes para acceder a determinadas aplicaciones. También es

preciso definir en los procesos de baja de personal algún procedimiento que impida,

o al menos dificulte, que una persona pueda sacar información fuera de las

fronteras de la empresa.

Otra via interna son los despistes. Instalar una aplicación que deje abierta una

puerta trasera o enviar un correo electrónico a multiples destinatarios incluyendo

las direcciones en un campo diferente al de “copia oculta”, es decir, dejándolas al

descubierto para cualquiera que lo reciba. Esta practica ha sido recientemente

sancionada por la AEPD . se trata errores que pueden salir caros, y no solo por la

sanción administrativa. La solución pasa por controlar lo que instala cada usuario en

su equipo y, en el caso del correo, usar una herramienta profesional de marketing

via email, en lugar del cásico cliente de correo electrónico.

Amenza externa o remota

Con la llegada de internet, las amenazas pueden venir desde el exterior. No se

necesita poner un pie en las instalaciones de la empresa para que alguien pueda

acceder a información propiedad de esta. Se necesita una protección del

perímetro de la red informática, asi como un control de los accesos de sus

usuarios ¿Quién hace esto? Un experto en sistemas. Se le contrata para que

monte la red y su posterior mantenimiento periódico.

Las amenazas en el exterior también aparecen cuando alguien no autorizado se

hace con un equipo informatico de la empresa. Situaciones de extravio o robo de

un ordenador portátil, un teléfono móvil o un disco duro usb o un uso indebido de

los mismos en el domicilio de algún empleado, pueden poner a disposición de gente

no deseada información protegida. La solución pasa por la encriptación de los

datos en equipos portátiles y la educación de los usuarios a la hora de usarlos

fuera de la red corporativa.



Amenazas: Interrupción, Intercepción, Modificación y Fabricación.

1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible.

Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la

destrucción de un elemento hardware, como un disco duro, cortar una línea

de comunicación o deshabilitar el sistema de gestión de ficheros.

2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este

es un ataque contra la confidencialidad. La entidad no autorizada podría ser

una persona, un programa o un ordenador. Ejemplos de este ataque son

pinchar una línea para hacerse con datos que circulen por la red y la copia

ilícita de ficheros o programas (intercepción de datos), o bien la lectura de

las cabeceras de paquetes para desvelar la identidad de uno o más de los

usuarios implicados en la comunicación observada ilegalmente (intercepción

de identidad).

3. Modificación: una entidad no autorizada no sólo consigue acceder a un

recurso, sino que es capaz de manipularlo. Este es un ataque contra la

integridad. Ejemplos de este ataque son el cambio de valores en un archivo

de datos, alterar un programa para que funcione de forma diferente y

modificar el contenido de mensajes que están siendo transferidos por la

red.

4. Fabricación: una entidad no autorizada inserta objetos falsificados en el

sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque

son la inserción de mensajes espurios en una red o añadir registros a un

archivo. Estos ataques se pueden asimismo clasificar de forma útil en

términos de ataques pasivos y ataques activos.

Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.

DoS: (negacion de servicios) el atacante utiliza un ordenador para quitar de

operación un servicio u ordenador conectado a internet. Ejemplos de este tipo de

ataque: generar sobrecarga en el procesamiento de datos de un ordenador,

generar trafico de datos en la red ocupando todo el ancho de banda disponible,

eliminar servicios importantes de un ISP (proveedor de servicios de internet)

imposibilitando el acceso de los usuarios al correo electrónico a una pagina web.

Sniffing: conseguir capturar las tramas enviadas a través de la red no enviadas a

el. Para conseguirlo pone la tarjeta de red en modo promiscuo en el cual en la capa

de enlace de datos no son descartadas las tramas no destinadas a la MAC address

dela tarjeta. De este modo podemos ver todo tipo de información de cualquier

aparato conectado a la red como contraseñas, e-mail, etc.

Man in the middle: es un atacante en el que el enemigo adquiere la capacidad de

leer, inserter y modificar a vuoluntad, los mensajes entre dos partes sin que

ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe

ser capaz de observar e interceptar mensajes entre las dos victimas.



Spoofing: hace referencia al uso de técnicas de suplantación de identidad

generalmente con usos maliciosos o de investigación. Se clasifican en función de la

tecnología utilizada, entre ellos tenemos el IP soofing (posiblemente el mas

conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en

general se puede englobar dentro de spoofing cualquier tecnología de red

susceptible de sufrir suplantaciones de identidad.

Pharming: consiste en la explotación de una vulnerabilidad en el software de los

servidores DNS o en los equipos de los propios usuarios, que permite a un atacante

redirigir en nombre de dominio a otra maquina distinta.

Riesgos potenciales en los servicios de red.

Seguridad en los dispositivos de red : terminales, switch y router.

Seguridad en los terminales: instalaciones por defecto no pensadas para la

seguridad o la facilitación a los usuarios son algunos de los motivos por los que

nuestros quipos no son seguros. algunas medidas que se pueden tomar son:

- Conocimientos del sistema

- Verificación de la integridad

- Protocolos cifrados

- Revisión de los registros

- Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)

- Eliminación de servicios innecesarios

- Reglas de acceso (cotafuegos)

Protección de los switch: los puertos de entrada pueden ser un punto de entrada a

la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una

función que se conoce como seguridad de puertos. La seguridad de puertos limita la

cantidad de direcciones MAC validas que se permiten por puerto. El puerto no

reenvia paquetes con direcciones MAC de origen que se encuentran fuera del grupo

de direcciones definidas. Existen tres maneras de configurar la seguridad de

puertos:

Estatica: las direcciones MAC se configuran manualmente con el comando de

configuración de interfaz switchport port-security mac-address. Las direcciones

MAC estaticas se almacenan en la tabla de direcciones y se agregan a la

configuración.

Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en

la tabla de direcciones. Se puede controlar la cantidad de direcciones que se

aprenden. La cantidad máxima predeterminada de direcciones MAC que se

aprenden por puerto es una. Las direcciones que se aprenden se borran de la tabla

si el puerto se desconecta o si el switch se reinicia.



Sin modificación: similar a la dinámica excepto que las direcciones también se

guardan en la configuración en ejecución.

Routers debemos tomar las siguientes políticas de seguridad:

- Seguridad física

o Designar al personal para actividades de instalación y desinstalación

o Designar la persona para realizar actividades de mantenimiento

o Designar al personal para realizar la conexión física

o Definir controles de colocación y usos de la consola y los puertos de

acceso

o Definir procedimientos de resuperacion ante eventualidades físicas

- Seguridad de configuración física

o Designar las personas que acceden al router via consola o en forma

remota

o Designar la persona con privilegios de administración.

o Definir procedimientos para realizar cambios a la configuración.

o Definir políticas de contraseñas de usuario y administración.

o Definir protocolos, procedimientos y redes para acceso remoto.

o Definir plan de recuperación que incluya responsabilidades

individuales ante incidentes.

o Definir políticas de revisión de bitácoras.

o Definir procedimientos y limitaciones del monitoreo remoto (SNMP)

- Seguridad deconfiguracionestatica

o Definir directrices para la detección de ataques directos

o Definir políticas de administración en intercambio de información

(Protocolos de ruteo, RADIUS, SNMP, TACAS+, NTP).

o Definir políticas de intercambio de llaves de encriptación.



- Seguridad de configuración dinámica

o Identificar los servicios de configuración dinámica del router, y las

redes permitidas para accesar dichos servicios.

o Identificar los protocolos de routeo a utilizar, y sus esquemos de

seguridad que proveen.

o Designar mecanismos y políticas de actualización del reloj (manual o

por NTP)

o Identificar los algoritmos criptográficos autorizados para levantar

vpn´s.

- Seguridad en servicios de red

o Enumerar protocolos, pùertos y servicios a ser permitidos o

filtrados en cada interface, asi como los procedimientos para su

autorización.

o Describir procedimientos de seguridad y roles para interactuar con

proveedores externos.

Seguridad en los servicios de red por niveles:

Seguridad en el nivel de enlace:

- Ataques basados en MAC y ARP

o CAM Table Overlow:consiste en el inundar la tabla de

direcciones MAC de un switch haciendo que el switch envie

todas las tramas de las direcciones MAC que no tiene en la

tabla a todos los equipos, haciendo que actue como HUB.

o ARP Spoofing:es una técnica usada para infiltrarse en una red

Ethernet conmutada que puede permitir al atacante husmear

paquetes de datos en la LAN, modificar trafico, o incluso

detenerlo.

o Ataques que emplean ARP Spoofing:

Switch Port Stealing: el atacante consigue que todas

las tramas dirigidas hacia otro puerto del switch

lleguen a puertos del atacante para luego re-enviarlos

hacia su destinatario y de esta manera poder ver el

trafico que viaja desde el remitente hacia el

destinatiario



Man in the middle: utilizando ARP Spoofing el

atacacnte logra que todas las tramas que intercambian

las victimas pasen priemro por su equipo

Hijacking: el atacante puede lograr redirigir el flujo

de tramas entre dos dispositivos hacia su equipo. Asi

puede lograr colocarse en cualquera de los dos

extremos de la comunicación

Denial of service (DoS): el atacante puede hacer que

un equipo critico de la red tenga una dirección MAC

inaccesible. Con esto se logra que las tramas dirigidas

a la IP de este dispositivo se pierdan

- Ataques basados en VLAN

o Dinamic trunking protocol: automatiza la configuración de los

trunk 802.1Q. sincroniza el modo de trunking en los extremos

haciendo innecesaria la intervención administrativa en ambos

extremos.

o Vlan hopping attack: un equipo puede hacerse para coo un

switch con 80.2.1Q y DTP , o bien se puede emplear como un

Switch volviendo al equipo miembro de todas las VLAN.

Requiere que el puerto este configurado con trunking

automatico.

o Doublé encapsulated VLAN Hopping Attack: una trama

802.1Q lleva otra trama 802.1Q, solo permiten trafico en una

sola dirección y solo funciona entre VLAN.

o VLAN trunking Protocol:se emplea para distribuir

configuración de VLAN a través de multiples dispositivos.

Solo se emplea en puertos trunk y puede causar muchos

inconvenientes. Utiliza autentificación MD5.

- Ataques basados en STP: l atacante puede ver tramas que no

debería(esto permite ataques DoS,MIM, etc )

Seguridad a nivel de red:

- Filtrado de paquetes: permitir a los usuarios de la red local acceder

a los servicios, limitando asi el acceso a los del exterior. Esto se

hace en los filtros del router.

- Monitorización de routers y equipos de acceso:controlar los accesos

mediante ficheros LOG

- Separa las redes y filtros anti-sniffing: con esto conseguimos evitar

que una atacante pueda obtener calves de acceso mediante sniffers.



Seguridad en la capa de alicacion:

- Cifrado: nos da integridad, autenticidad, garantía de recepción, y un

comprobante del envio

- Certificados digitales:son contenedores de información que se

intercambian en trasacciones digitales. Un certificado puede

contener datos del emisor y su clave publica.estan firmados con

claves privadasde uno o mas entes certificadores.

- SSL: es un protocolo de seguridad que provee privacia en las

comunicaciones a través de internet. Sus objetivos son: dar

seguridad criptográfica, interoperabilidad, extensibilidad y eficienca

relativa

- TLS: este protocolo se basa en SSL 3.0 y presenta diferencias

menores

- SET: propuesta de Visa y Mastercard àra permitir transacciones

elctronicas seguras. Utiliza certificados digitales para verificar la

identidad de las partes involucradas en la transacción. La

verificación se realiza mediante cifrado asimétrica

Monitorización del tráfico en redes: Herramientas. Network Manager agregado es una red de clase empresarial / aplicación /

plataforma de supervisión del rendimiento. Se integra perfectamente con otros

sistemas inteligentes de gestión de edificios, tales como control de acceso físico,

HVAC, iluminación, y el tiempo / control de asistencia.

Airwave Gestión PlatformT (AMP) de red inalámbrica de software de gestión

permite un control centralizado para redes Wi-Fi. Las características incluyen:

punto de acceso de gestión de configuración, presentación de informes,

seguimiento de los usuarios, ayudar a puntos de vista escritorio, y rogue AP

descubrimiento.

akk @ da es un sistema de monitoreo de red simple diseñado para redes de

ordenadores pequeños y medianos. Su objetivo es detectar rápido fallo del sistema

o de red y para mostrar información acerca de los problemas detectados por los

administradores. akk @ da está diseñado como un monitor de red pro-activa

Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de

enlaces WAN, detección y mitigación de DDoS, lo que representa el tráfico y la

representación gráfica.

Axence nVision supervisa la infraestructura de red: Windows, servicios TCP /

IP, servidores web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.)

También supervisa routers y conmutadores: tráfico de red, estado de la interfaz,

los ordenadores conectados. nVision recoge el inventario de la red y el uso de

licencias de auditoría - puede alertar en caso de una instalación de programas o

cualquier cambio de configuración en un nodo remoto. Con el agente usted puede

supervisar la actividad del usuario y acceso remoto a los ordenadores.



Cymphonix Red Compositor supervisa el tráfico de Internet por usuario,

aplicación, y la amenaza. Incluye controles de forma de acceso a recursos de

Internet por usuario, grupo y / u hora del día. También con el bloqueo de proxy

anónimos, la gestión de políticas y la supervisión en tiempo real.

dopplerVUe proporciona la detección de redes, la cartografía y el sistema de

reglas permite el monitoreo de Ping, SNMP, syslog, y las métricas de rendimiento

de WMI. Se puede utilizar para controlar los dispositivos IPv6. Monitores de

servicios tales como DNS, HTTP y correo electrónico.

Técnicas de Detección de intrusos. El tráfico en la red (en todo caso, en Internet) generalmente está compuesto

por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a

través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una

lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede

aplicar las siguientes técnicas para detectar intrusiones:

Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de

la muerte" y "escaneo silencioso TCP" utilizan violaciones de los

protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del

protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente

utilizada.

Verificación de los protocolos de la capa de aplicación: Algunas formas de

intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que

utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para

detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una

amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP,

etc.

Tipos de IDS: (Host IDS, Net IDS). Existen dos tipos de sistemas de detección de intrusos:

HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito

de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo

atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras

actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado,

y hacer un reporte de sus conclusiones.

NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el

segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así

todo el tráfico de la red.

http://es.kioskea.net/contents/internet/protip.php3

http://es.kioskea.net/contents/internet/tcpip.php3

http://es.kioskea.net/contents/internet/protip.php3

http://es.kioskea.net/contents/internet/tcp.php3

http://es.kioskea.net/contents/internet/udp.php3



Software libre y commercial Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar,

distribuir, estudiar, cambiar y mejorar el software. De modo más preciso, se

refiere a cuatro libertades de los usuarios del software:

- La libertad de usar el programa, con cualquier propósito (libertad 0).

- La libertad de estudiar cómo funciona el programa, y adaptarlo a tus

necesidades (libertad 1). El acceso al código fuente es una condición previa

para esto.

- La libertad de distribuir copias, con lo que puedes ayudar a tu

vecino (libertad 2).

- La libertad de mejorar el programa y hacer públicas las mejoras a los

demás, de modo que toda la comunidad se beneficie. (libertad 3). El acceso

al código fuente es un requisito previo para esto.

Software libre no significa no comercial. Un programa libre debe estar disponible

para uso comercial, desarrollo comercial y distribución comercial. El desarrollo

comercial del software libre ha dejado de ser inusual; el software comercial libre

es muy importante.

Cuando se habla de software libre, es mejor evitar términos como: `regalar' o

`gratis', porque esos téminos implican que lo importante es el precio, y no la

libertad.

El software comercial es el software, libre o no, que es comercializado, es decir,

que existen sectores de la economía que lo sostiene a través de su producción, su

distribución o soporte.

El software comercial cuenta con las siguientes características:

- Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas

licencias restringen las libertades de los usuarios a usar, modificar, copiar y

distribuir el software.

- El desarrollo, programación y actualización de este software sólo lo hace la

empresa que tiene los derechos. Como sucede con los productos Microsoft

(Windows, Office, etc).

- En el software comercial se suele esconder y mezquinar los avances y

descubrimientos tecnológicos entre las empresas que lo desarrollan.

- Muchas veces con estrategias comerciales se suele hacer que los usuarios

actualicen su software comercial, sin que exista una necesidad verdadera de

ello, consiguiendo de esta forma hacer que el usuario invierta en nuevas

licencias, la mayoría de las veces innecesarias.

Ventajas

- Las compañías productoras de software propietario, por lo general, tienen

departamentos de control de calidad que llevan a cabo muchas pruebas

sobre el software que producen.

- Se destina una parte importante de los recursos a la investigación sobre la

usabilidad del producto.

http://es.wikipedia.org/wiki/Software



- Se tienen contratados algunos programadores muy capaces y con mucha

experiencia.

- El software propietario de marca conocida ha sido usado por muchas

personas y es relativamente fácil encontrar a alguien que lo sepa usar.

- Existe software propietario diseñado para aplicaciones muy específicas que

no existe en ningún otro lado más que con la compañía que lo produce.

- Los planes de estudios de la mayoría de las universidades del país tienen

tradicionalmente un marcado enfoque al uso de herramientas propietarias y

las compañías fabricantes ofrecen a las universidades planes educativos de

descuento muy atractivos.

- Existen gran cantidad de publicaciones, ampliamente difundidas, que

documentan y facilitan el uso de las tecnologías proveídas por compañías de

software propietario, aunque el número de publicaciones orientadas al

software libre va en aumento.

Desventajas

- Es difícil aprender a utilizar eficientemente el software propietario sin

haber asistido a costosos cursos de capacitación.

- El funcionamiento del software propietario es un secreto que guarda

celosamente la compañía que lo produce.

- En la mayoría de los casos el soporte técnico es insuficiente o tarda

demasiado tiempo en ofrecer una respuesta satisfactoria.

- Es ilegal extender una pieza de software propietario para adaptarla a las

necesidades particulares de un problema específico.

- La innovación es derecho exclusivo de la compañía fabricante.

- Es ilegal hacer copias del software propietario sin antes haber contratado

las licencias necesarias.

- Si una dependencia de gobierno tiene funcionando exitosamente un sistema

dependiente de tecnología propietaria no lo puede compartir con otras

dependencias a menos que cada una de éstas contrate todas las licencias

necesarias.

- Si la compañía fabricante del software propietario se va a la banca rota el

soporte técnico desaparece, la posibilidad de en un futuro tener versiones

mejoradas de dicho software desaparece y la posibilidad de corregir las

erratas de dicho software también desaparece

- Si una compañía fabricante de software es comprada por otra más

poderosa, es probable que esa línea de software quede descontinuada y

nunca más en la vida vuelva a tener una modificación.

- En la mayoría de los casos el gobierno se hace dependiente de un solo

proveedor.



Seguridad en las comunicaciones inalámbricas.

Sistemas de seguridad en WLAN.

- Sistema Abierto.

Si nuestra instalación está abierta, una persona con el equipo adecuado y

conocimientos básicos podría no sólo utilizar nuestra conexión a Internet,

sino también acceder a nuestra red interna o a nuestro equipo -donde

podríamos tener carpetas compartidas- o analizar toda la información que

viaja por nuestra red -mediante sniffers- y obtener así contraseñas de

nuestras cuentas de correo, el contenido de nuestras conversaciones por

MSN, etc.

Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave

en una instalación residencial (en casa), mucho más peligroso es en una

instalación corporativa. Y desgraciadamente, cuando analizamos el entorno

corporativo nos damos cuenta de que las redes cerradas son más bien

escasas.

- WEP.

Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para

redes Wireless que permite cifrar la información que se transmite. Proporciona un

cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64

bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más

24 bits del IV). Los mensajes de difusión de las redes inalámbricas se transmiten

por ondas de radio, lo que los hace más susceptibles, frente a las redes cableadas,

de ser captados con relativa facilidad.

- WPA.

Es un sistema para proteger las redes inalámbricas creado para corregir las

deficiencias del sistema previo WEP. Los investigadores han encontrado varias

debilidades en el algoritmo WEP (tales como la reutilización del vector de

inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar

la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i,

y fue creado como una medida intermedia para ocupar el lugar de WEP mientras

802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-

Fi).

WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se

almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar

al uso de tal servidor para el despliegue de redes, WPA permite la autenticación

mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al

WEP, requiere introducir la misma clave en todos los equipos de la red.



Recomendaciones de seguridad en WLAN.

- Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos

routers permiten controlar la intensidad de la señal, por esto, disminuya la

intensidad para restringir la propagación fuera del edificio.

- Cambie la contraseña por default del router inalámbrico: en general, el nombre de

usuario es admin y la contraseña también es admin.

- Cambie el SSID por default del router inalámbrico y deshabilite el broadcast del

SSID. Si es posible, no hay que permitir acceder a la red local a través de la red

inalámbrica sino solamente a través de la red cableada conectada a uno de los

puertos LAN del router.

- Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña

de 128 bits, si es posible.

- Instale actualizaciones de firmware cuando estén disponibles por el fabricante.

- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.

- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall,

actualizando el antivirus, el sistema operativo y los programas.

ud 2: implantación de mecanismos de seguridad activa · pdf fileud 2:...

Documents