ud 2: “implantación de mecanismos de seguridad … · decía “soy una enredadera (creeper),...

UD 2: “Implantación de mecanismos de seguridad activa” []

Esperanza Elipe Jimenez Página 2

INDICE

1. Clasificación de los ataques en sistemas personales. 2. Anatomía de ataques. 3. Análisis del software malicioso o malware: 4. Herramientas paliativas. Instalación y configuración. 5. Herramientas preventivas. Instalación y configuración. 6. Seguridad en la conexión con redes públicas: 7. Amenazas y ataques en redes corporativas: 8. Riesgos potenciales en los servicios de red. 9. Monitorización del tráfico en redes: Herramientas. 10. Intentos de penetración. 11. Sistemas de seguridad en WLAN. 12. Recomendaciones de seguridad en WLAN.



1.CLASIFICACIÓN DE LOS ATAQUES

EN SISTEMAS PERSONALES:

Se entiende por amenaza una condición del entorno del sistema de información

(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar

a que se produjese una violación de la seguridad (confidencialidad, integridad,

disponibilidad o uso legítimo).

La política de seguridad y el análisis de riesgos habrán identificado las

amenazas que han de ser contrarrestads, dependiendo del diseñador del

sistema de seguridad especificar los servicios y mecanismos de seguridad

necesarios.

Las amenazas a la seguridad en una red pueden caracterizarse modelando el

sistema como un flujo de información desde una fuente, como por ejemplo un

fichero o una región de la memoria principal, a un destino, como por ejemplo

otro fichero o un usuario.

Un ataque no es más que la realización de una amenaza. Las cuatro

categorías generales de amenazas o ataques son las siguientes:

1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros.

2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).

3. Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un



archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red.

4. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.

Ataques pasivos

En los ataques pasivos el atacante no altera la comunicación, sino que

únicamente la escucha o monitoriza, para obtener información que está siendo

transmitida.

Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica

más sutil para obtener información de la comunicación, que puede consistir en:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras

de los paquetes monitorizados.

Control del volumen de tráfico intercambiado entre las entidades monitorizadas,

obteniendo así información acerca de actividad o inactividad inusuales.

Control de las horas habituales de intercambio de datos entre las entidades de

la comunicación, para extraer información acerca de los períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna

alteración de los datos.

Sin embargo, es posible evitar su éxito mediante el cifrado de la información y

otros mecanismos que se verán más adelante.

Ataques activos

Estos ataques implican algún tipo de modificación del flujo de datos transmitido

o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro

categorías:

a. Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie



de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.

b. Repetición: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.

c. Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B".

d. Interrupción: o degradación fraudulenta del servicio, impide o inhibe el

uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.

2.Anatomía de ataques. Importancia de la anatomía de un ataque Uno de los recursos más importantes, para sobrellevar los desafíos en la seguridad de la información, es el conocimiento práctico de las técnicas de hacking.

Las técnicas de hacking brindan una mejor comprensión del riesgo.

Un ejemplo es si un administrador detecta comportamientos extraños en un equipo y revisando los archivos de registro (logs) observa que alguien ha realizado conexiones al sitio 132.168.1.67:80 a las 3:00 de la madrugada podría pensar que es solamente una página web, sin embargo, se podría estar utilizando la herramienta netcat para enviar una shell y posiblemente el puerto 80 sólo sea para atravesar tranquilamente el cortafuegos.

Las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque. Las cinco etapas por las cuales suele pasar un ataque informático al momento de ser ejecutado:



Fase 1: Reconocimiento Esta etapa involucra la obtención de información con respecto a una potencial víctima que puede ser una persona u organización.Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing.

Fase 2: Exploración En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners.

Fase 3: Obtener acceso. En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Mantener el acceso Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Borrar huellas Una vez que el atacante logró obtener y



mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).

3. Análisis del software malicioso o malware:

Historia del Malware

Fue en 1949 cuando Von Neumann estableció la idea de programa

almacenado y expuso La Teoría y Organización de Autómatas Complejos,

donde presentaba por primera vez la posibilidad de desarrollar pequeños

programas replicantes y capaces de tomar el control de otros programas de

similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia,

es fácil apreciar una aplicación negativa de la teoría expuesta por Von

Neumann: los virus informáticos, programas que se reproducen a sí mismos el

mayor número de veces posible y aumentan su población de forma

exponencial.

En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores:

Robert Thomas Morris, Douglas Mcllroy y Victor Vysottsky crean un juego

denominado CoreWar basado en la teoría de Von Neumann y en el que el

objetivo es que programas combatan entre sí tratando de ocupar toda la

memoria de la máquina eliminando así a los

oponentes. Este juego es considerado el

precursor de los virus informáticos.

Fue en 1972 cuando Robert Thomas Morris

creó el que es considerado cómo el primer

virus propiamente dicho: el Creeper era

capaz de infectar máquinas IBM 360 de la

red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que

decía “Soy una enredadera (creeper), atrápame si puedes”. Para eliminarlo, se

creó otro virus llamado Reaper (segadora) que estaba programado para

buscarlo y eliminarlo. Este es el origen de los actuales antivirus.

En la década de los 80 los PC ganaban popularidad y cada vez más gente

entendía la informática y experimentaba con sus propios programas. Esto dio

lugar a los primeros desarrolladores de programas dañinos y en 1981, Richard



Skrenta escribe el primer virus de amplia reproducción: Elk Cloner, que contaba

el número de veces que arrancaba el equipo y al llegar a 50 mostraba un

poema.

En 1984, Frederick B. Cohen acuña por primera vez el término virus informático

en uno de sus estudios definiéndolo como “Programa que puede infectar a

otros programas incluyendo una copia posiblemente evolucionada de sí

mismo”.

En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de

infectar archivos .EXE y .COM. Su primera aparición fue reportada desde la

Universidad Hebrea de Jerusalem y ha llegado a ser uno de los virus más

famosos de la historia.

En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea

una nueva corriente en cuanto al desarrollo de malware que persiste hasta el

día de hoy: el envío de gusanos por correo electrónico. Este gusano estaba

encaminado y programado para propagarse a través del correo electrónico.

En el año 2000 hubo una infección que tuvo muchísima repercusión mediática

debido a los daños ocasionados por la infección tan masiva que produjo. Fuel

el gusano I Love You o LoveLetter, que, basándose en técnicas de ingeniería

social infectaba a los usuarios a través del correo electrónico. Comenzaba aquí

la época de grandes epidemias masivas que tuvieron su punto álgido en el

2004.

Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el

Sasser, o el Bagle, que alarmaron a toda la sociedad y lo que buscaban era

tener la mayor repercusión y reconocimiento posible. Ese fue el año más duro

de este tipo epidemias y curiosamente el último. Los creadores de malware se

dieron cuenta de que sus conocimientos servirían para algo más que para tener

repercusión mediática… para ganar dinero.

El Gran Cambio

Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal

y como los conocíamos fueron dejando su lugar a gusanos y troyanos

encargados de formar redes de bots para obtener dinero, cuando vieron que el

entretenimiento que podía suponer la creación de malware se podía convertir

en un negocio muy rentable.



Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de

los que existen miles de variantes dado que los creadores, para dificultar su

detección modificaban permanente el código de los mismos.

Este tipo de malware actualmente se distribuye mediante exploits, spam o a

través de otro malware que descarga el troyano bancario. Este último tipo de

troyano es el encargado de robar información relacionada con las

transacciones comerciales y/o datos bancarios del usuario infectado.

Otra amenaza latente relacionada con la obtención de beneficios económicos a

través del malware es el spyware y adware, donde algunas empresas de

software permiten al usuario utilizar sus aplicaciones a cambio de que los

creadores puedan realizar un monitoreo de las actividades del usuario sin su

consentimiento.

En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las

tecnologías, móviles e inalámbricas, y su constante evolución han

revolucionado en los últimos años la forma en la que nos comunicamos y

trabajamos. Sin embargo, la expansión del uso de esta tecnología ha hecho

que también se convierta en un vector de ataque importante para la industria

del malware.

Fue durante el año 2004 cuando se informó de la existencia del primer código

malicioso para plataformas móviles: Cabir.A siendo, junto al ComWar.A, los

mas conocidos, este último no solo por su capacidad de replicarse a través de

Bluetooth sino también a través de mensajes de texto con imágenes y sonido

(MMS), enviándose a las direcciones y números de la agenda de sus víctimas.

Actualmente existe malware para las plataformas más comunes, como pueden

ser Symbian, PocketPC, Palm, etc, siendo el método de propagación tan

diverso como las posibilidades que nos ofrecen estos avances tecnológicos:

SMS, MMS, IrDA, Bluetooth, etc.

A día de hoy la plataforma más atacada es Windows sobre procesadores de 32

bits. Como hemos mencionado anteriormente, los creadores de malware han

visto en esta actividad un método de enriquecimiento y pensando en términos

económicos y estableciendo el target más amplio posible, los usuarios de

plataforma Windows representan el 90% del mercado. Quizás otro obstáculo

con el que chocan los creadores de malware para Linux y Macintosh tiene que

ver con la capacitación media/alta de los usuarios de este tipo de plataformas,

por lo que la Ingeniería Social, principal método de propagación en la

actualidad, no resulta tan eficiente con estos usuarios.



Análisis del software malicioso o malware.

Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware.

Virus es una secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas. Algunas acciones que puede realizar un virus son:

Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente molestas.

Ralentizar o bloquear el ordenador.

Destruir la información almacenada en el disco, en algunos casos vital para el sistema, que impedirá el funcionamiento del equipo.

Reducir el espacio en el disco.

Molestar al usuario cerrando ventanas, moviendo el ratón.

Gusano es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

Troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.

Infostealer puede afectar también al servicio de correo electrónico MSN Messenger, enviando mensajes falsos e incluso introduciendo en ellos datos incluidos por los usuarios en sus mensajes a través de dicho servicio.

Otro problema causado por stealer puede ser la desconexión involuntaria de un sitio web.Estos programas pueden detectarse y eliminarse mediante software antivirus, aunque la mejor forma de evitarlos consiste en no abrir documentos



anexos a correos electrónicos enviados por remitentes desconocidos o dudosos.

Crimeware es un tipo de software que ha sido específicamente diseñado para la ejecución de delitos financieros en entornos en línea. El término fue creado por Peter Cassidy, Secretario General del Anti-Phishing Working Group para diferenciarlo de otros tipos de software malicioso.

El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseñado, mediante técnicas de ingeniería social u otras técnicas genéricas de fraude en línea, con el fin de conseguir el robo de identidades para acceder a los datos de usuario de las cuentas en línea de compañías de servicios financieros (típicamente clínicas) o compañías de venta por correo, con el objetivo de obtener los fondos de dichas cuentas, o de completar transacciones no autorizadas por su propietario legítimo, que enriquecerán al ladrón que controla el crimeware.

El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos (logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles a través de Internet.

Un software de tipo crimeware (generalmente un troyano) también podría conseguir redirigir el navegador web utilizado por el usuario, a una réplica del sitio web original, estando éste controlado por el ladrón. Esta redirección se podría dar incluso cuando el usuario teclee correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha completado su trabajo, podría haber modificado el conjunto de direcciones DNS que asocian el nombre de dominio introducido por el usuario, con su dirección IP original. Ahora la información DNS contenida en la máquina infectada por el crimeware, indicará al navegador la dirección IP del sitio replicado y controlado por el ladrón.

Stealer (en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.

Bomba lógica: Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo…

Adware: Muestra publicidad, generalmente está relacionado con los espías, por lo que se suelen conectar a algún servidor remoto para enviar la información recopilada y recibir publicidad.

Algunos programas en sus versiones gratuitas o de evaluación muestran este tipo de publicidad, en este caso deberán avisar al usuario que la instalación del programa conlleva la visualización de publicidad.



Grayware es un tipo de programa maligno que involucra aquellos programas que se comportan de forma molesta o indeseada. Los grayware abarcan otros tipos de malwares (programas malignos) como espías, adwares, dialers, etc. Grayware no incluye virus o troyanos. Suelen afectar el rendimiento de la computadora. También a menudo los grayware suelen realizar acciones que son molestas para los usuarios, como ventanas pop-up con publicidad, entre otras. Posibles problemas que acarrean los graywares Reducción del rendimiento de la computadora. Incremento de los cuelgues en aplicaciones y errores fatales. Reducen la eficiencia del usuario. Degradan el ancho de banda de la red o de internet. Pueden producir pérdida de información. Pérdida de privacidad del usuario que emplea la computadora infectada.

Métodos de infección Malware

Entre los canales más usados por malware son:

Internet. La red global es el origen principal de distribución de todos tipos de malware. En general, los virus y otros programas maliciosos se colocan en unas páginas Web populares pretendiéndose algún software útil y gratis. Muchos de los scripts que se ejecutan automáticamente al abrir las páginas Web también pueden contener programas maliciosos.

Correo electrónico. Los emails en los buzones privados y las bases de correo pueden contener virus. Los archivos adjuntos y el cuerpo de email pueden contener malware. Los tipos principales de malware distribuido por correo electrónico son virus y gusanos. Puede infectar su equipo cuando abre un email o guarda un archivo adjunto. El correo electrónico es también un fuente de spam y phishing. Mientras spam es generalmente una perdida de tiempo, phishing es un método de robar sus datos confidenciales (el número de su tarjeta de crédito, p.e.).

Vulnerabilidades de software. Explotación de vulnerabilidades de software instalado en el sistema es el método preferido por los hackers. Las vulnerabilidades permiten a un hacker establecer una conexión remota a su equipo, y consecuentemente a sus datos, los datos de su red, etc.

Todos tipos de unidades de almacenamiento portátiles. Discos externos, discos compactos y disquetes, unidades flash. Al



conectar una unidad portátil a su equipo o iniciar algún archivo de allí, puede infectar su equipo con malware y empezar distribuirlo involuntariamente.

Explotación de vulnerabilidades

Existen varios factores que hacen a un sistema más vulnerable al malware: homogeneidad, errores de software, código sin confirmar, sobre-privilegios de usuario y sobre-privilegios de código.

Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. Por ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo, si se puede comprometer ese sistema, se podría afectar a cualquier ordenador que lo use. En particular, Microsoft Windows16 tiene la mayoría del mercado de los sistemas operativos, esto permite a los creadores de malware infectar una gran cantidad de computadoras sin tener que adaptar el software malicioso a diferentes sistemas operativos.

La mayoría del software y de los sistemas operativos contienen bugs que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de los que le caben, sobre escribiendo otras partes de la memoria. Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código malicioso.

Las memorias USB infectadas pueden dañar la computadora durante el

arranque.

Originalmente las computadoras tenían que ser booteadas con un diskette, y hasta hace poco tiempo era común que fuera el dispositivo de arranque por defecto. Esto significaba que un diskette contaminado podía dañar la computadora durante el arranque, e igual se aplica a CD y memorias USB. Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el equipo se inicia por defecto en un medio removible, y por seguridad normalmente no debería haber ningún diskette, CD, etc, al encender la computadora. Para solucionar este problema de seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del ordenador.

Ingeniería Social

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les



permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Por un archivo malicioso:

Esta es la forma que tienen gran cantidad de troyanos de llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por redes P2P, como enlace a un fichero que se encuentre en Internet, a través de carpetas compartidas en las que el gusano haya dejado una copia de sí mismo…La mejor forma de prevenir la infección es analizar con un antivirus actualizado todos los archivos antes de ejecutarlos, a parte de no descargar archivos de fuentes que no sean fiables.

Dispositivos extraíbles;

Los códigos maliciosos que se propagan a través de dispositivos USB

son cada vez más comunes y todos tienen un funcionamiento similar.



Muchos gusanos suelen dejar copias de sí mismos en dispositivos extraíbles para que automáticamente, cuando el dispositivo se conecte a un ordenador, ejecutarse e infectar el nuevo equipo. La mejor forma de evitar quedarse infectados de esta manera, es deshabilitar el autoarranque de los dispositivos que se conecten al ordenador Algunos ejemplos de malware que se diseminan aprovechándose de estos dispositivos son: • RJUMP: este gusano posee características de troyano y abre una puerta trasera en el sistema infectado. Entre los medios de almacenamiento masivo que puede infectar se encuentran discos rígidos extraíbles, cámaras digitales y memorias USB. • Fujacks: esta familia de gusanos no sólo se propaga a través de dispositivos de almacenamiento masivo sino que también infecta archivos ejecutables y recursos compartidos que existen en la red configurados con contraseñas débiles (o sin ellas). • AutoRun.C (también conocido como Zayle): es un gusano de Internet que aprovecha la conexión a los dispositivos USB para propagarse e infectar las computadoras. Para lograr ejecutarse en forma automática, se vale de un archivo “autorun.inf”. Además posee la capacidad de deshabilitar la opción de abrir las unidades con doble clic. Tanto los códigos maliciosos mencionados como la mayoría del malware en general, utilizan formas comunes de infección; como por ejemplo, copiarse a sí mismo a un determinado sector del disco, manipular el registro de Windows, etc. En el caso de las infecciones a través de dispositivos USB, el malware se vale de un archivo llamado “autorun.inf” que se encarga de ejecutar el código malicioso en forma automática cuando el dispositivo es insertado en la computadora. Esto sucede si el usuario no ha deshabilitado esta opción explícitamente (lo que la mayoría de los usuarios no hacemos) y que a continuación muestra la siguiente ventana:

Cookies

Las cookies son ficheros de texto que se crean al visitar una página web, y que sirven para almacenar información de diversos tipos que no debería afectar a tu privacidad. Por poner un ejemplo, gracias a las cookies se pueden guardar las preferencias de una página web o la contraseña y el



nombre de usuario durante un determinado tiempo. Sin embargo, algunas páginas web utilizan la información recogida en estas cookies para recopilar información del usuario y seguidamente enviarle publicidad, por lo que se consideran un tipo de spyware.

Saber si estamos infectado por cookies.

Cuando se navega por internet, se debe hacer de una manera responsable: debe primar la desconfianza. Generalmente, las páginas que aparentan tener un „contenido de dudosa legalidad‟, material pornográfico e incluso que ofrecen descargas de programas de pago de forma gratuita, suelen ser los principales focos de cookies maliciosas, y es por ello que empresas como Google o Microsoft nos avisan si nos dirigimos desde sus buscadores a estos sitios de que podríamos estar en riesgo.

Además, los navegadores modernos, disponen de algoritmos para identificar este tipo de páginas, aunque no son ni mucho menos perfectos, por lo que no es recomendable fiarse al 100% de ellos.

4. Herramientas paliativas. Instalación y configuración.

Software anti-malware

Como los ataques con malware son cada vez más frecuentes, el interés ha empezado a cambiar de protección frente a virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para combatirlos.

Los programas anti-malware pueden combatir el malware de dos formas:

1. Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza.

2. Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de protección frente al malware es normalmente mucho más fácil de usar y más popular. Este tipo de programas anti-malware escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar.



La protección en tiempo real funciona idénticamente a la protección de los antivirus: el software escanea los archivos al ser descargados de Internet y bloquea la actividad de los componentes identificados como malware. En algunos casos, también pueden interceptar intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el navegador web. Debido a que muchas veces el malware es instalado como resultado de exploits para un navegador web o errores del usuario, usar un software de seguridad para proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el malware puede causar.

Antivirus

Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron durante la década de 1980.

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.

Escritorio Es un software que se encuentra instalado en el pc

controlado en todo momento la actividad de los ficheros en busca de

amenazas. En cualquier momento se puede analizar el equipo a fondo.

Online Es un software que a través del navegador analiza tu equipo

sin necesidad de instalar nada. No suelen ser fiables.

Portables Es un software que se encuentra normalmente en una

unidad portátil y que se puede ejecutar en cualquier equipo sin necesidad de

instalación solamente enchufando o introduciendo la unidad portatil

Live Es software normalme intalado en un cd que nos sirve para

analizar el equipo sin necesidad de cargar el SO evitando asi el camuflamiento

de algunos virus.

Antispyware

Tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el sistema.



El spyware es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.

El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.

Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando anuncios relacionados.

Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parásito.

Las consecuencias de una infección de spyware moderada o severa (a parte de las cuestiones de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema (hasta un 50% en casos extremos), y problemas de estabilidad graves (el ordenador se queda "colgado"). También causan dificultad a la hora de conectar a Internet. Algunos ejemplos de programas espía conocidos son Gator, o Bonzi Buddy.

HERRAMIENTAS DE BLOQUEO WEB.

Estas herramientas pueden ser automatizadas o no. Las herramientas automátizadas son aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la prevención y el control. Ninguna de estas herramientas es 100% efectiva por lo que debemos ser conscientes de la importancia de las herramientas no automátizadas: la educación y la concientización. El diálogo con los menores es la mejor herramienta de prevención para los riesgos que existen en la web.

Todas las herramientas indicadas en la presente sección deben ser aplicadas con el compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se realizan y tomando la responsabilidadsobre cuáles son los contenidos a los que se podrá acceder y a cuáles no.

Existen diferentes controles que se pueden aplicar:

Herramientas de control de navegación: permite controlar a qué sitios es posible acceder y a qué sitios no. Este es el principal control utilizado y para ello, se utilizan diferentes técnicas de prevención:



o Listas blancas/negras: en estos casos se utiliza una lista de sitos a los que el menor tiene permitido acceder (lista blanca) o bien permitir la navegación exceptuando los sitios explícitamente denegados (listas negras).

o Bloqueo por palabras clave: en estos casos la aplicación verifica el contenido del sitio web y bloquea el acceso a aquellos que tengan ciertas palabras (lease "porno", "sexo", "drogas", "matar", "xxx", etc.). Muchas aplicaciones, permiten personalizar los criterios de severidad (¿cuántas veces debe aparecer una palabra para considerar el sitio como no apto?) e incluso seleccionar las palabras por categorías y agregando palabras específicamente indicadas por el usuario.

Bloqueo de aplicaciones: son herramientas que permiten directamente bloquear ciertas aplicaciones como acceso web (www), mensajería instantánea o chat, o correo electrónico.

Control de tiempo: estas herramientas limitan el tiempo que un menor puede estar utilizando computadora o conectado a Internet. En su mayoría también permiten controlar a qué horas es posible conectarse. Son útiles para controlar que los horarios y la cantidad de uso sea razonable, acorde a los criterios de cada familia.

Navegadores infantiles: Son herramientas que dan acceso a páginas adecuadas para los niños y adolescentes. Tienen un diseño y características apropiadas al público menor y permiten el uso de diferentes perfiles, en función de la edad del usuario. También existen buscadores infantiles con características similares. Algunos navegadores infantiles son Kidsui, Kidrocket, MyKidBrowser y BuddyBrowser.

Herramientas que bloquean la información que sale de la computadora: son aplicaciones que impiden revelar información personal. Esto es especialmente útil con respecto a llenar formularios y hojas de registro en línea o comprar a través de la tarjeta de crédito. Puede ser utilizado tanto para la red, como para el correo electrónico, como para los chats, etc.

Monitorización: son herramientas que realizan un monitoreo del sistema. Por ejemplo, registran todas las páginas web visitadas para posteriormente poder supervisar los hábitos de navegación de los menores. No son las herramientas más óptimas ya que implican una mayor invasión a la privacidad de los menores y a la vez no son preventivas, sino solo de monitoreo.



5.HERRAMIENTAS

PREVENTIVAS.CONFIGURACIÓN E

INSTALACIÓN.

Controles de acceso físico

La mayoría de los ataques físicos ocurren cuando una persona tiene acceso a

las dependencias. Los “intrusos” pueden ser personas ajenas a la organización

o bien personal interno, como empleados o contratistas. Cuando un intruso es

capaz de acceder físicamente a un sistema informático, por lo general puede

también dejarlo fuera de funcionamiento.

Por ejemplo:

Normalmente un intruso puede manipular y acceder a las computadoras protegidas con contraseña, introduciendo un disco de "inicio" retirable.

Un intruso que logra interrumpir el proceso de inicio de un enrutador protegido puede obtener privilegios administrativos en tal enrutador.

Un individuo puede acceder directamente a las redes para agregar o reorganizar conexiones.

Alguien puede robar objetos físicos, tales como computadoras portátiles y asistentes digitales personales (PDA).

A medida que los componentes informáticos se vuelven más pequeños y

livianos, la seguridad física adquiere cada vez mayor importancia.

POLITICAS DE CONTRASEÑAS SEGURAS

Cuando nos conectamos a un sistema informático, generalmente se debe

ingresar: un nombre de registro o nombre de usuario y una contraseña para

acceder. Este par nombre de

registro/contraseña forma la clave para tener

acceso al sistema.

Mientras que al nombre de registro generalmente

lo brinda el sistema o el administrador de forma

automática, el usuario casi siempre tiene la

libertad de elegir la contraseña. La mayoría de los

usuarios, como piensan que no tienen ninguna

información secreta que proteger, usan una

contraseña fácil de recordar (por ejemplo, su

nombre de registro, el nombre de su pareja o su fecha de nacimiento).

Esto implica, particularmente, que los empleados elijan las contraseñas a partir

de ciertos requisitos, por ejemplo:



Que la contraseña tenga una longitud mínima

Que tenga caracteres especiales

Que combinen mayúsculas con minúsculas

Además, se puede afianzar la política de seguridad si se pone una fecha de

expiración en las contraseñas para hacer que los usuarios las modifiquen

periódicamente. Por último, es aconsejable que los administradores usen

software que craquea contraseñas en sus contraseñas de usuario para probar

su solidez. Sin embargo, se debe hacer dentro del marco de la política de

protección y con discreción para tener el apoyo de la gerencia y los usuarios.

4.2. Seguridad del BIOS y del gestor de arranque

La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el

gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que

tengan acceso físico a sus sistemas, arranquen desde medios removibles u

obtengan acceso como root a través del modo monousuario. Pero las medidas

de seguridad que uno debería

tomar para protegerse contra

tales ataques dependen tanto

de la confidencialidad de la

información que las

estaciones tengan como de la

ubicación de la máquina.

Por ejemplo, si se utiliza una

máquina en una exhibición y

esta no contiene datos

confidenciales, entonces

puede que no sea crítico

prevenir tales ataques. Sin embargo, si se deja al descuido en la misma

exhibición, la portátil de uno de los empleados con llaves privadas SSH sin

encriptar para la red corporativa, esto puede conducir a una violación de

seguridad importante para la compañía completa.

Por otro lado, si la estación de trabajo está localizada en un lugar donde sólo

los usuarios autorizados o de confianza tienen acceso, entonces la seguridad

del BIOS o del gestor de arranque puede que no sea necesaria.

Contraseñas del BIOS

Las siguientes son las dos razones básicas por las que proteger la BIOS de

una computadora con una contraseña :



1. Prevenir cambios a las configuraciones del BIOS Si un intruso tiene

acceso a la BIOS, puede configurarlo para que arranque desde un

diskette o CD-ROM. Esto les permite entrar en modo de rescate o

monousuario, lo que a su vez les permite plantar programas dañinos en

el sistema o copiar datos confidenciales.

2. Prevenir el arranque del sistema Algunas BIOS le permiten proteger

el proceso de arranque con una contraseña. Cuando está funcionalidad

está activada, un atacante esta forzado a introducir una contraseña

antes de que el BIOS lanze el gestor de arranque.

Si olvida su contraseña del BIOS, usualmente esta se puede reconfigurar bien

sea a través de los jumpers en la tarjeta madre o desconectando la batería

CMOS.

Contraseñas del gestor de arranque

A continuación se muestran las razones principales por las cuales proteger el

gestor de arranque Linux:

1. Previene el acceso en modo monousuario Si un atacante puede

arrancar en modo monousuario, se convierte en el superusuario de

forma automática sin que se le solicite la contraseña de acceso.

2. Previene el acceso a la consola de GRUB Si la máquina utiliza GRUB

como el gestor de arranque, un atacante puede usar la interfaz del editor

para cambiar su configuración o para reunir información usando el

comando cat.

3. Previene el acceso a sistemas operativos inseguros Si es un sistema

de arranque dual, un atacante puede seleccionar un sistema operativo

en el momento de arranque, tal como DOS, el cual ignora los controles

de acceso y los permisos de archivos.

Protegiendo GRUB con contraseñas

Puede configurar GRUB para solucionar los primeros dos problemas listados

añadiendo una directiva de contraseña a su archivo de configuración. Para

hacer esto, primero seleccione una contraseña, luego abra un indicador de

comandos del shell, conéctese como root y escriba:

/sbin/grub-md5-crypt

Cuando se le pida, escriba la contraseña GRUB y presione [Intro]. Esto

retornará un hash MD5 para la contraseña.

Luego, modifique el archivo de configuración GRUB /boot/grub/grub.conf. Abra

el archivo y debajo de la línea timeout en la sección principal del documento,

añada la siguiente línea:

password --md5 <password-hash>



Reemplace <password-hash> con el valor retornado por /sbin/grub-md5-crypt.

La próxima vez que el sistema arranque, el menú de GRUB no le permitirá

accesar el editor o la interfaz de comandos sin primero presionar [p] seguido

por la contraseña de GRUB.

Lamentablemente, esta solución no previene a un atacante de arrancar en un

sistema operativo inseguro, si se está en un ambiente de arranque dual. Para

esto, necesita editar una parte diferente del archivo /boot/grub/grub.conf.

Busque la línea title del sistema operativo inseguro y añada una línea que

diga lock directamente debajo de ella.

Para un sistema DOS, la estrofa debería comenzar con algo similar a:

title DOS

lock

Para crear una contraseña diferente para un kernel o sistema operativo

particular, añada una línea lock a la estrofa, seguido por una línea de

contraseña.

Cada estrofa que usted proteja con una contraseña única debería comenzar

con líneas similares a las del ejemplo siguiente:

title DOS lock

password --md5 <password-hash>

CONTROL DE ACCESO EN EL SISTEMA OPERATIVO

Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo común de control de accesos basado en lo siguiente:

Autorización basada en el usuario: El código se procesa en el mismo contexto de seguridad del usuario que lo inicia. No puede hacerse nada para lo que el usuario no esté autorizado.

Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un archivo o una carpeta) puede conceder o denegar permisos para controlar cómo se utiliza y quién lo utiliza.

Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene (así, un objeto de archivo puede heredar los permisos del objeto de carpeta al que pertenece).

Privilegios administrativos: Es posible controlar qué usuarios o grupos de usuarios pueden desempeñar funciones



administrativas y realizar cambios que afecten a recursos de todo el sistema.

Auditoría de eventos del sistema: Estas funciones permiten tanto detectar los intentos de burla a la seguridad del sistema como crear un registro de auditoría.

Se considera principal de seguridad a toda entidad capaz de ejecutar código. Los principales de seguridad pueden ser tanto usuarios como programas capaces de actuar en lugar de un usuario o un equipo. Procesos como los servicios de Windows se ejecutan normalmente en el contexto de identidades de especial seguridad, como la cuenta LocalSystem.

Directivas o Políticas de Grupos

La configuración de Directiva de Grupo define los distintos componentes del

entorno de Escritorio del usuario que accede de forma autenticada al dominio

de nuestro servidor Windows 2000, de modo que el administrador del sistema

determina cuales le serán aplicadas a cada usuario englobado en un sitio,

dominio o unidad organizativa; entre las

directivas que pueden especificarse, por

ejemplo, podemos indicar aquellos

programas que deseemos se

encuentren disponibles para nuestros

usuarios, los programas que aparecerán

en su Escritorio, las opciones del menú

Inicio, las opciones del navegador, etc.

Para crear una configuración específica de Escritorio para un grupo de usuarios

en particular, se utilizan las Directiva de Grupo. La configuración de Directiva

de Grupo está contenida en un objeto de Directiva de Grupo, de modo que se

asocia dicha directiva a los Sitios, Dominios o Unidades Organizativas

indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser

asociadas a un grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios

o Unidades Organizativas), aunque el resultado de su aplicación afecte

únicamente a los usuarios y a los equipos de Active Directory.

Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las

opciones de configuración del perfil del usuario en caso de que se cree un

conflicto.



En los siguientes apartados nos centraremos en definir una estructura de

Unidades Organizativas para nuestro centro educativo, así como en asociar las

Políticas o Directivas de Grupo al dominio o a las Unidades Organizativas

anteriormente creadas.

Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias

subredes IP. Los sitios suelen representar la estructura física de la red.

Dominio .- Un dominio tiene un nombre único y permite el acceso a las

cuentas de usuario y de grupo centralizadas mantenidas por el administrador

del dominio. Cada dominio tiene sus propias directivas de seguridad y

relaciones de seguridad con otros dominios, y representa límite de seguridad

en una red Windows 2000. Active Directory está compuesto de uno o varios

dominios, cada uno de los cuales puede abarcar más de una ubicación física.

Los dominios representan la estructura lógica de la organización.

Unidad Organizativa .- Es un objeto contenedor de Active Directory que se

utiliza en los dominios. Las Unidades Organizativas son contenedores lógicos

en los que pueden colocarse usuarios, grupos, equipos y otras Unidades

Organizativas. Sólo pueden contener objetos de su dominio principal. Una U.O.

es el ámbito más pequeño al que se puede aplicar una Directiva de Grupo.

POLITICA DE USUARIO

Desactivación y/o borrado de cuentas

En la gestión del ciclo de vida de las cuentas de usuario es muy importante delimitar las cuentas temporales y aplicarles un sistema de caducidad para que no queden activas cuentas obsoletas y se mantengan únicamente aquellas que se utilizan y son realmente necesarias.

Debemos distinguir, por tanto, entre las cuentas de usuario con relaciones temporales y las que tienen relaciones fijas. La distinción se hace a través de un atributo del directorio corporativo que recogerá la fecha de expiración de las cuentas temporales. Las cuentas que tienen asociada una fecha de expiración reciben 30, 15 y 7 días antes de la fecha de expiración un mensaje a su cuenta de correo electrónico indicándole que debe renovar dicha cuenta. En el cuerpo del mensaje se le indicará la cuenta que pierde y la fecha en la que se producirá,



además contendrá un enlace a una URL donde se explica la política de desactivaciones y borrados, formas de reactivar o renovar la cuenta y personas de contacto para cada caso. Si no renueva la cuenta en dicho plazo, el día que expira la cuenta, ésta se deshabilita y se borra la relación 3 meses después . En el caso particular que sea la única relación que tenía el usuario se borrará la cuenta en el directorio corporativo.

Solo se avisará a los usuarios que pierden una de sus cuentas en el directorio corporativo. Los usuarios que pierdan alguna relación pero mantengan el usuario porque tienen otra relación no se les notificará.

ACTUALIZACIÓN DE SISTEMAS

Un Sistema Operativo (S.O.) es un conjunto de programas destinados a

permitir la comunicación del usuario con un ordenador y gestionar sus recursos

de manera eficiente.

Comienza a trabajar cuando se enciende el ordenador, y gestiona el hardware

de la máquina desde los niveles más básicos.

Los Sistemas Operativos requieren de actualizaciones periódicas, por varios

motivos:

Actualizaciones hardware: Debido a que el hardware de las máquinas

evoluciona, es necesario crear programas capaces de gestionar este

nuevo hardware.

Actualizaciones de los programas: En ocasiones, se detectan

vulnerabilidades o fallos en los programas que son subsanados en

posteriores actualizaciones.

Nuevas funcionalidades: Con frecuencia, los sistemas operativos

incorporan nuevas funcionalidades que los usuarios pueden aprovechar

descargándoselas en las actualizaciones.

ACTUALIZACION DE WINDOWS



Actualizaciones: Se puede realizar desde el siguiente enlace:

http://windowsupdate.microsoft.com/

Otra información: Windows tiene activado por defecto una opción para

descargarse de forma automática las actualizaciones del sistema

operativo (Windows Update), si desea comprobar que tiene esta opción

activada y/o activarla/desactivarla, siga estos pasos:

1. Vaya a 'Inicio->Panel de Control'

2. Realice una de las siguientes acciones dependiendo de si tiene activada la

opción de 'Vista clásica' o la opción de 'Vista por categorías':

ƒ Vista clásica: Pulse en el icono de 'Actualizaciones automáticas'

ƒ Vista por categorías: Vaya a 'Centro de Seguridad' y pulse en la

opción de 'Actualizaciones automáticas'

3. En la nueva ventana que verá, puede comprobar qué opción tiene activada y

modificar dicha opción si así lo desea.

Actualizar SUSE:

Puede actualizar SUSE de varias formas:

A través de la opción de "Actualizaciones Automáticas" que se

encuentra dentro de "YaST -> Software". De esta forma sólo actualizará

los paquetes del Sistema Operativo, es decir, si tiene instalado otros

paquetes (por ejemplo los drivers de su tarjeta gráfica), no se

actualizarán automáticamente con esta opción.

Utilizando "zen-updater" este programa busca automáticamente

nuevas actualizaciones para el ordenador, no sólo del Sistema

Operativo, sino también de otros programas o paquetes que el usuario

tenga instalados. Cuando el programa detecta que hay nuevas

actualizaciones disponibles, mostrará un aviso en la barra de notificación

(parte inferior derecha de la barra de tareas, junto al reloj).

Actualizar Debian



Para descargarse las actualizaciones de Debian, siga estos pasos:

• Acceda al intérprete de comandos (Shell) de Debian

• Teclee:

apt-get update

apt-get upgrade

De esta forma se descarga e instala los paquetes más actuales de su Sistema

Operativo. Si, por el contrario, lo que desea es actualizar la distribución de

Debian que está utilizando teclee las siguientes instrucciones:

apt-get upgrade

apt-get dist-upgrade

Nota: Tenga cuidado con las dependencias entre paquetes, si actualiza un

paquete que depende de otro, tiene tres opciones:

Actualizar también los paquetes de los que depende

Desintalarlos, si se trata de un programa que ya no va a utilizar

No actualizar nada.

Actualizar Fedora

Para actualizar su sistema de forma gráfica utilice el Actualizador de Software,

para ello siga estos pasos:



1. Vaya a "Aplicaciones -> Herramientas del Sistema -> Actualizador de

Software"

2. Cuando se le pregunte, ingrese la clave de root.

3. Revise la lista de paquetes actualizados. Cuando vea una flecha doble al

lado de una actualización, quiere decir que para que dicha actualización sea

completada, es necesario reiniciar el sistema.

4. Pulse en "Aplicar Actualizaciones" para comenzar el proceso de

actualización.

5. Si uno o más actualizaciones requieren que se reinicie el equipo, el proceso

de actualización le mostrará un diálogo para Reiniciar Ahora. Seleccione esta

opción para reiniciar el sistema inmediatamente, o Cancelar para reiniciar el

sistema en un momento más conveniente.

Actualizar Ubuntu

Puede actualizar Ubuntu a través del "Gestor de Actualizaciones"(update-

manager), para acceder a él vaya a "Menú -> Sistema -> Administración".

Por defecto Ubuntu tiene activadas las actualizaciones automáticas, si desea

comprobar si tiene activada esta opción o modificar sus parámetros, siga estos

pasos:

1. Vaya a "Menú -> Sistema -> Administración"

2. Pulse en la opción de "Orígenes del software" (software-properties-gtk)

O bien, a través de una consola teclee:

gksudo "software-properties-gtk"

Una vez haya accedido a "Orígenes del software", seleccione la pestaña de

"Actualizaciones"; en esta pestaña puede comprobar con qué frecuencia tiene

configuradas las actualizaciones automáticas y, si lo desea, modificarla.



Es importante que, a parte de tener el sistema operativo y sus productos

actualizados, también actualice la distribución de Ubuntu que utilice, cuando

salga una nueva, la forma más rápida de hacerlo es tecleando en una consola

el comando:

gksudo "update-manager -c"

6.Seguridad en la conexión con redes públicas:

Técnicas de Cifrado:

El cifrado es un método que permite aumentar la seguridad de un mensaje o de

un archivo mediante la codificación del contenido, de manera que sólo pueda

leerlo la persona que cuente con la clave de cifrado adecuada para

descodificarlo.

Por ejemplo, si realiza una compra a través de Internet, la información de

la transacción (como su dirección, número de teléfono y número de

tarjeta de crédito) suele cifrarse a fin de mantenerla a salvo.

A continuación algunas de las técnicas de cifrado más utilizadas.

Criptografía simétrica.

La criptografía simétrica es un método criptográfico en el cual se usa una

misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican

han de ponerse de acuerdo de

antemano sobre la clave a usar. Una

vez ambas tienen acceso a esta clave,

el remitente cifra un mensaje usándola,



lo envía al destinatario, y éste lo descifra con la misma.

Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el

algoritmo. En otras palabras, no debería ser de ninguna ayuda para un

atacante conocer el algoritmo que se está usando. Sólo si el atacante obtuviera

la clave, le serviría conocer el algoritmo.

El principal problema con los sistemas de cifrado simétrico no está ligado a su

seguridad, sino al intercambio de claves. Una vez que el remitente y el

destinatario hayan intercambiado las claves pueden usarlas para comunicarse

con seguridad, pero ¿qué canal de comunicación que sea seguro han usado

para transmitirse las claves? Sería mucho más fácil para un atacante intentar

interceptar una clave que probar las posibles combinaciones del espacio de

claves.

Criptografía asimétrica.

La criptografía asimétrica es el método criptográfico que usa un par de claves

para el envío de mensajes. Las dos claves pertenecen a la misma persona que

ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier

persona, la otra clave es privada y el propietario debe guardarla de modo que

nadie tenga acceso a ella.

Además, los métodos

criptográficos garantizan que esa

pareja de claves sólo se puede

generar una vez, de modo que se

puede asumir que no es posible

que dos personas hayan obtenido

casualmente la misma pareja de

claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una

vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje,

ya que es el único que la conoce. Por tanto se logra la confidencialidad del

envío del mensaje, nadie salvo el destinatario puede descifrarlo.

Si el propietario del par de claves usa su clave privada para cifrar el mensaje,

cualquiera puede descifrarlo utilizando su clave pública. En este caso se



consigue por tanto la identificación y autentificación del remitente, ya que se

sabe que sólo pudo haber sido él quien empleó su clave privada (salvo que

alguien se la hubiese podido robar). Esta idea es el fundamento de la firma

electrónica.

Ejemplo:

Ana y Bernardo tienen sus pares de claves respectivas: una clave privada

que sólo ha de conocer el propietario de la misma y una clave pública que

está disponible para todos los usuarios del sistema.

Ana escribe un mensaje a Bernardo y quiere que sólo él pueda leerlo. Por

esta razón lo cifra con la clave pública de Bernardo, accesible a todos los

usuarios.

Se produce el envío del mensaje cifrado no siendo necesario el envío de la

clave.

Sólo Bernardo puede descifrar el mensaje enviado por Ana ya que sólo él

conoce la clave privada correspondiente.

El beneficio obtenido consiste en la supresión de la necesidad del envío de la

clave, siendo por lo tanto un sistema más seguro.

El inconveniente es la lentitud de la operación. Para solventar dicho

inconveniente, el procedimiento que suele seguirse para realizar el cifrado de

un mensaje es utilizar un algoritmo de clave pública junto a uno de clave

simétrica.

Criptografía híbrida.

La criptografía híbrida es un método criptográfico que usa tanto un cifrado

simétrico como un asimétrico. Emplea el

cifrado de clave pública para compartir

una clave para el cifrado simétrico. El

mensaje que se esté enviando en el

momento, se cifra usando la clave y

enviándolo al destinatario. Ya que

compartir una clave simétrica no es

seguro, la clave usada es diferente para cada sesión.

Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave de sesión

es cifrada con la clave pública, y el mensaje saliente es cifrado con la clave



simétrica, todo combinado automáticamente en un sólo paquete. El destinatario

usa su clave privada para descifrar la clave de sesión y acto seguido usa la

clave de sesión para descifrar el mensaje.

Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el

de cifrado simétrico de los que hace uso, independientemente de cuál sea más

débil. En PGP y GnuPG el sistema de clave pública es probablemente la parte

más débil de la combinación. Sin embargo, si un atacante pudiera descifrar una

clave de sesión, sólo sería útil para poder leer un mensaje, el cifrado con esa

clave de sesión. El atacante tendría que volver a empezar y descifrar otra clave

de sesión para poder leer cualquier otro mensaje.

Identificación Digital:

Identificación Digital

Es la verificación de la identidad en línea. Se encuentra

dentro de la teoría de la Web 2.0 y se trata de ofrecer la

autenticación y la confidencialidad, protegiendo

documentos de falsificaciones y manipulaciones.

Este sistema ya está operativo con diversas aplicaciones

en funcionamiento y numerosos organismos en fase de

incorporación al sistema.

Firma electrónica y Firma digital

Una firma digital es un esquema matemático que sirve para

demostrar la autenticidad de un mensaje digital o de

un documento electrónico. Las firmas digitales se utilizan

comúnmente para la distribución de software, transacciones

financieras y en otras áreas donde es importante detectar

la falsificación y la manipulación.

Mientras que la firma electrónica es una firma digital que se ha almacenado en un soporte de hardware; mientras que la firma digital se puede almacenar tanto en soportes de hardware como de software. La firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita. De hecho se podría decir que una firma electrónica es una firma digital contenida o almacenada en un contenedor electrónico, normalmente un



chip de ROM. Su principal característica diferenciadora con la firma digital es su cualidad de ser inmodificable.

Certificado Digital, Autoridad certificadora (CA).

Un certificado digital es un documento electrónico que permite a la Administració, a los ciudadanos y a las empresas realizar sus trámites a través de Internet de manera totalmente segura. Las nuevas soluciones de certificación y autenticación de identidad digital que utiliza el SOC proporcionan validez y seguridad a las transacciones electrónicas.

El uso del certificado digital garantiza que:

El usuario de las aplicaciones de la web del SOC es la persona interesada, identificando de forma precisa al ciudadano en sus trámites a través de la web.

La información que se recibe en el servidor del SOC no ha sido manipulada por ninguna persona no autorizada.

Les transacciones son legales, ya que la firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita.

La tramitación electrónica mantiene la confidencialidad de todos los datos, de forma segura y encriptada para su protección.

El Certificado de Usuario le permitirá realizar trámites de forma segura con la Administración pública a través de Internet. Gracias al Certificado de Usuario puede olvidarse de desplazamientos y esperas innecesarias. La Administración pública en Internet es ágil y eficaz.

Si quiere obtener un certificado digital, puede obtenerlo de forma gratuita en:

Catcert FNMT

Autoridad de certificación, certificadora

Es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente



es un caso particular de Prestador de Servicios de Certificación.

DOCUMENTO NACIONAL DE IDENTIDAD

ELECTRÓNICO

El Documento Nacional de Identidad (DNI), emitido por la Dirección General de la Policía (Ministerio del Interior), es el documento que acredita, desde hace más de 50 años, la identidad, los datos personales que en él aparecen y la nacionalidad española de su titular. A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e incorporando las innovaciones tecnológicas disponibles en cada momento, con el fin de aumentar tanto la seguridad del documento como su ámbito de aplicación. Con la llegada de la Sociedad de la Información y la generalización del uso de Internet se hace necesario adecuar los mecanismos de acreditación de la personalidad a la nueva realidad y disponer de un instrumento eficaz que traslade al mundo digital las mismas certezas con las que operamos cada día en el mundo físico y que, esencialmente, son:

Acreditar electrónicamente y de forma indubitada la identidad de la persona

Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica equivalente a la que les proporciona la firma manuscrita

Para responder a estas nuevas necesidades nace el Documento Nacional de Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que incorpora un pequeño circuito integrado (chip), capaz de guardar de forma segura información y de procesarla internamente. Para poder incorporar este chip, el Documento Nacional de Identidad cambia su soporte tradicional (cartulina plastificada) por una tarjeta de material plástico, dotada de nuevas y mayores medidas de seguridad. A esta nueva versión del Documento Nacional de Identidad nos referimos como DNI electrónico nos permitirá, además de su uso tradicional, acceder a los nuevos servicios de la Sociedad de la Información, que ampliarán nuestras capacidades de actuar a distancia con las Administraciones Públicas, con las empresas y con otros ciudadanos.



En la medida que el DNI electrónico vaya sustituyendo al DNI tradicional y se implanten las nuevas aplicaciones, podremos utilizarlo para:

Realizar compras firmadas a través de Internet

Hacer trámites completos con las Administraciones Públicas a cualquier hora y sin tener que desplazarse ni hacer colas

Realizar transacciones seguras con entidades bancarias

Acceder al edificio donde trabajamos

Utilizar de forma segura nuestro ordenador personal

Participar en un conversación por Internet con la certeza de que nuestro interlocutor es quien dice ser

El DNI electrónico es una oportunidad para acelerar la implantación de la Sociedad de la Información en España y situarnos entre los países más avanzados del mundo en la utilización de las tecnologías de la información y de las comunicaciones, lo que, sin duda, redundará en beneficio de todos los ciudadanos.

El DNI electrónico tiene grandes ventajas para el ciudadano:

Desde el punto de vista de la SEGURIDAD:

o El DNI electrónico es un documento más seguro que el tradicional, pues incorpora mayores y más sofisticadas medidas de seguridad que harán virtualmente imposible su falsificación.

o Mediante el DNI electrónico podremos garantizar la identidad de los interlocutores de una comunicación telemática, ya sea para intercambio de información, acceso a datos o acciones o compra por Internet. Igualmente, gestionar mejor el acceso a



nuestro espacio de trabajo, nuestro ordenador personal y a la información que contenga).

o Usando el DNI electrónico podemos intercambiar mensajes con la certeza de que nuestro interlocutor es quien dice ser y que la información intercambiada no ha sido alterada.

Desde el punto de vista de la COMODIDAD:

o Con el DNI electrónico se podrán realizar trámites a distancia y en cualquier momento: El DNI electrónico permitirá realizar multitud de trámites sin tener que acudir a las oficinas de la Administración y sin tener que guardar colas. Y hacerlo en cualquier momento (24 horas al día, 7 días a la semana).

o El DNI electrónico se expedirá de forma inmediata: No será necesario acudir dos veces a la Oficina de Expedición, sino que la solicitud y la obtención del documento se hará en una única comparecencia, en cualquiera de las Oficinas de Expedición existentes en España, que se irán dotando progresivamente del equipamiento necesario para la expedición del nuevo documento.

o Hacer trámites sin tener que aportar una documentación que ya exista en la Administración: Una de las ventajas derivadas del uso del DNI electrónico y de los servicios de Administración Electrónica basados en él será la práctica eliminación del papel en la tramitación. El ciudadano no tendrá que aportar una información que ya exista en otra Unidad de la Administración, evitándose -de nuevo- colas y pérdidas de tiempo. La Unidad que realice la tramitación lo hará por él, siempre que el ciudadano así lo autorice.

Desde el punto de vista de la ERGONOMÍA:

o El DNI electrónico es un documento más robusto. Está construido en policarbonato y tiene una duración prevista de unos diez años.

o El DNI electrónico mantiene las medidas del DNI tradicional (idénticas a las tarjetas de crédito habituales)

El DNI electrónico es una tarjeta de un material plástico (concretamente policarbonato), que incorpora un chip con información digital y que tiene unas dimensiones idénticas a las del DNI tradicional. Su tamaño, por



tanto, coincide con las dimensiones de las tarjetas de crédito comúnmente utilizadas (85,60 mm de ancho X 53,98 mm de alto).

7.Amenazas y ataques

Amenazas internas y externas

El objetivo de estas amenazas es la violación de los sistemas, provocando la

pérdida o modificación de los datos sensibles de la organización.

En cuanto a tipos de amenazas hay dos claros tipos:

Amenaza externa o de acceso remoto.

Son aquellas amenazas que se originan desde

el exterior de la red. Al no tener información

certera de la red, un atacante tiene que realizar

ciertos pasos para poder conocer qué es lo que

hay en ella y buscar la manera de atacarla,

como son la localización, violación de la

seguridad y evadir las pruebas. La ventaja que

se tiene en este caso es que el administrador de

la red puede prevenir una buena parte de los ataques externos.

Amenaza interna o corporativa

Generalmente estas amenazas son más serias que las externas y pueden

dañar seriamente al sistema, algunas amenazas pueden ser la paralización del



sistema por daños físicos o la intrusión en la red internamente. Estas

amenazas son potencialmente peligrosas por estos motivos:

Los usuarios conocen la red y saben cómo es su funcionamiento. Pueden tener algún nivel de acceso a la red por las mismas necesidades

de su trabajo. Los Firewalls son mecanismos no efectivos en amenazas internas.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad

con los que cuentan la mayoría de las compañías a nivel mundial, y porque no

existe conocimiento relacionado con la planeación de un esquema de

seguridad eficiente que proteja los recursos informáticos de las actuales

amenazas combinadas.

Amenazas

Hay varios tipos de amenazas a los sistemas informáticos, que se pueden

catalogar en:

Interrupción

En una interrupción un activo del sistema se pierde, este queda no disponible o inoperable, como consecuencia de una destrucción maliciosa de un dispositivo de equipo, haber borrado un programa o archivo de datos u ocasionado el malfuncionamiento de un administrador de archivos del sistema operativo, para que el sistema no pueda encontrar un archivo particular en disco.

Intercepción

Una intercepción significa que un tercero no autorizado ha ganado acceso a un activo. Este tercero puede ser una persona, un programa o un sistema de cómputo. Ejemplos de este tipo de ataque son: la copia ilícita de programas o archivos de datos, o la intrusión en la red de comunicaciones para obtener datos. La intercepción puede basarse en Ingeniería Social donde el intruso obtiene información privada proporcionada en forma voluntaria. Este método es conocido bajo el término "phishing".



Modificación

La modificación consiste en que alguien cambie los datos de una base de datos, altere el código de programa para ejecutar algún código adicional, o modifique los datos que se transmiten electrónicamente. Terceros pueden fabricar objetos plagiados en un sistema de cómputo. Un intruso puede insertar en una red de comunicación transacciones fingidas o puede agregar nuevos registros a una base de datos.

Fabricación

En este tipo de ataque, una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.

Ataques

Denegación de Servicio: Comúnmente llamado DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios. Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión. Sniffing: Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.



Esto se realiza mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, …)

Man in the middle: un ataque man-in-the-middle o JANUS es un ataque en el

que una persona adquiere la capacidad de leer, insertar y modificar a voluntad

los mensajes entre dos partes cifradas sin que ninguna de ellas conozca que el

enlace entre ellos ha sido violado.

Spoofing: Es el conjunto de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

Pharming: es la explotación de una vulnerabilidad en el software de los

servidores DNS o en el de los equipos de los propios usuarios, que permite a

un atacante redirigir un nombre de dominio a otra máquina distinta. De esta

forma, un usuario que introduzca un determinado nombre de dominio que haya

sido redirigido, accederá en su explorador a la página web que el atacante

haya especificado para ese nombre de dominio.

8.Riesgos potenciales en los servicios de red. Seguridad en los dispositivos de red

Terminales La seguridad en los terminales, es la seguridad que se consigue poniendo programas en los terminales como un antivirus, antimalware, antizombies etc…

Switch



Los puertos del switch pueden ser un punto de entrada a la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una función que se conoce como seguridad de puertos. La seguridad de puerto limita la cantidad de direcciones MAC válidas que se permiten por puerto. El puerto no reenvía paquetes con direcciones MAC de origen que se encuentran fuera del grupo de direcciones definidas. Existen tres maneras de configurar la seguridad de puerto. Estática Las direcciones MAC se configuran manualmente con el comando de configuración de interfaz switchport port-security mac-address . Las direcciones MAC estáticas se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución. Dinámica Las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla de direcciones. Se puede controlar la cantidad de direcciones que se aprenden. La cantidad máxima predeterminada de direcciones MAC que se aprenden por puerto es una. Las direcciones que se aprenden se borran de la tabla si el puerto se desconecta o si el switch se reinicia. Sin modificación Similar a dinámica excepto que las direcciones también se guardan en la configuración en ejecución. La seguridad del puerto se deshabilita de manera predeterminada. Si se habilita la seguridad del puerto una violación hace que el puerto se desconecte. Por ejemplo, si se habilita la seguridad de puerto dinámica y la cantidad máxima de direcciones MAC por puerto es uno, la primera dirección que se aprende se transforma en la dirección segura. Si otra estación de trabajo intenta acceder al puerto con una dirección MAC diferente se produce una infracción de seguridad.

Router El mínimo es cambiar la contraseña que viene por defecto. Tendremos que

generar una password fuerte que no sea fácilmente identificable por posibles

atacantes. La segunda opción es tapar el agujero que puede suponer tener

determinados puertos abiertos, cuestión que podemos evaluar con cualquier

escaneador de puertos.

Por último una opción sencilla y que no evita ataques pero si curiosos merodeando por nuestro espectro es ocultar nuestra red WiFi. Además de las medidas de protección que hayamos tomado para proteger el acceso, mantener la red oculta a la detección automática nos evitará que más de un curioso se interese por nuestra red. Son medidas sencillas, que con un par de manuales de nuestro modelo de router podemos poner en práctica y tener un poco más de seguridad en nuestra red. Seguridad de configuración estática Designar la(s) persona(s) que accede(n) al router vıa consola o en forma

remota.

Designar la persona con privilegios de administración.

Definir procedimientos para realizar cambios a la configuración.

Definir políticas de password de usuario y administrador.



Definir protocolos, procedimientos y redes para acceso remoto.

Definir plan de recuperación que incluya responsabilidades individuales ante incidentes. Definir políticas de revisión de bitácoras.

Definir procedimientos y limitaciones del monitoreo remoto(SNMP).

Definir directrices para la detección de ataques directos.

Definir políticas de administración e intercambio de información (Protocolos de ruteo, RADIUS, SNMP, TACAS+,NTP).

Definir políticas de intercambio de llaves de encriptación.

Seguridad de configuración dinámica

Identificar los servicios de configuración dinámica del router, y las redes permitidas para accesar dichos servicios

Identificar los protocolos de routeo a utilizar, y sus esquemas de seguridad que proveen.

Seguridad de configuración dinámica Designar mecanismos y políticas de actualización del reloj (manual o por

NTP).

Identificar los algoritmos criptográficos autorizados para levantar VPN‟s

Seguridad en los servicios de red por niveles: El modelo OSI está pensado para que cada capa opere independiente de las demás. Esto significa que una capa puede ser comprometida sin que las demás lo

noten.

Ataque en la Capa Enlace de datos Mitos de la capa de enlace de datos • Las direcciones MAC no pueden ser falsificadas. • Un switch no permite hacer sniffing. • Las VLANs están completamente aisladas unas de otras. Ataques basados en MAC y ARP: CAM Table Overflow • Los switchs guardan las asociaciones MACPuerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM. • La tabla CAM de un switch tiene un tamaño fijo y finito. • Cuando la tabla CAM no tiene espacio para almacenar más asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destino no almacenada en la tabla CAM. (Actúa como un HUB para cualquier MAC que no haya aprendido) • Se basa en el tamaño limitado de la tabla CAM. • Para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM. • Se desarrolló una herramienta para tal fin llamada macof.



Actualmente es parte del paquete Dsniff (GNU/Linux).

Address Resolution Protocol(ARP) La solicitud ARP se coloca en una trama broadcast y se envía. Todas las estaciones reciben la trama y examinan el pedido. La estación mencionada en el pedido contesta y todas las demás estaciones procesan la misma. Ataque en la Capa Red (ip) Sin medidas de seguridad, tanto las redes públicas como las privadas están expuestas a la observación y el acceso no autorizados. Los ataques internos pueden ser la consecuencia de una seguridad de intranet mínima o incluso inexistente. Los riesgos provenientes del exterior de la red privada se originan en las conexiones a Internet y a extranets. Los controles de acceso de usuarios basados en contraseñas no protegen por sí solos los datos transmitidos a través de una red. Tipos comunes de ataques a redes Si no se toman medidas de seguridad ni se aplican controles, los datos pueden ser objeto de un ataque. Algunos ataques son pasivos, en el sentido de que sólo se observa la información. Otros ataques son activos y se modifica la información con intención de dañar o destruir los datos o la propia red. Cuando no se tiene un plan de seguridad, las redes y los datos son vulnerables a todos los tipos de ataques siguientes. Espionaje En general, la mayoría de las comunicaciones por red tienen lugar en formato de texto simple (sin cifrar), lo que permite al atacante que haya logrado el acceso a las rutas de datos de una red observar e interpretar (leer) el tráfico. El espionaje de las comunicaciones por parte de un atacante se conoce como husmear. La capacidad de los espías para observar la red suele ser el mayor problema de seguridad que afrontan los administradores de las compañías. Sin unos servicios de cifrado eficaces basados en criptografía, mientras los datos atraviesan la red pueden ser observados por terceros. Modificación de datos Cuando un atacante ha leído los datos, a menudo el siguiente paso lógico consiste en modificarlos. Un atacante puede modificar los datos de un paquete sin que el remitente ni el receptor lo adviertan. Incluso cuando no se requiera confidencialidad en todas las comunicaciones, no se desea que los mensajes se modifiquen en su camino. Por ejemplo, si intercambia solicitudes de compra, no desea que se modifique la información relativa a los artículos, los importes ni la facturación.



Suplantación de identidad (direcciones IP ficticias) La mayoría de las redes y sistemas operativos utilizan la dirección IP para identificar un equipo como válido en una red. En algunos casos, es posible utilizar una dirección IP falsa. Esta práctica se conoce como suplantación. Un atacante podría utilizar programas especiales para construir paquetes IP que parezcan provenir de direcciones válidas dentro de la intranet de una organización. Una vez obtenido el acceso a la red con una dirección IP válida, el atacante podrá modificar, desviar o eliminar datos. También podrá realizar ataques de otros tipos, como se describe en las secciones siguientes. Ataques basados en contraseñas Un procedimiento común en la mayoría de los sistemas operativos y planes de seguridad de redes es el control de acceso basado en contraseñas. El acceso tanto a un equipo como a los recursos de la red está determinado por un nombre de usuario y una contraseña. Históricamente, muchas versiones de componentes de sistemas operativos no siempre protegían la información de identidad cuando ésta pasaba por la red para su validación. Ello podría permitir a un espía detectar un nombre de usuario y una contraseña válidos, y utilizarlos para lograr acceso a la red haciéndose pasar por un usuario autorizado. Cuando un atacante encuentra una cuenta de usuario válida y la utiliza para el acceso, obtendrá los mismos derechos que el usuario real. Por ejemplo, si el usuario tiene derechos administrativos, el atacante puede crear cuentas adicionales para tener acceso posteriormente. Una vez obtenido el acceso a una red con una cuenta válida, el atacante puede hacer lo siguiente: Obtener listas de nombres de usuarios y equipos válidos e información

de la red. Modificar las configuraciones de los servidores y de la red, incluidos los

controles de acceso y las tablas de enrutamiento. Modificar, desviar o eliminar datos.

Ataque de rechazo de servicio A diferencia de un ataque basado en contraseñas, el ataque de rechazo de servicio impide el uso normal de un equipo o de una red por parte de los usuarios autorizados. Una vez obtenido el acceso a una red, el atacante puede hacer lo siguiente: Distraer al personal de sistemas de información para que no detecte

inmediatamente la intrusión. Esto da al atacante la oportunidad de llevar a cabo ataques adicionales.

Enviar datos no válidos a aplicaciones o servicios de red para provocar su cierre o su funcionamiento de forma anormal.

Generar tráfico masivamente hasta provocar el colapso de un equipo o de toda la red.



Bloquear el tráfico, lo que hace perder el acceso a los recursos de la red por parte de los usuarios autorizados.

Ataque por usuario interpuesto Como su nombre indica, un ataque por usuario interpuesto se produce cuando alguien situado entre dos usuarios que se están comunicando observa activamente, captura y controla la comunicación sin que los usuarios lo adviertan. Por ejemplo, un atacante puede negociar claves de cifrado con ambos usuarios. A continuación, cada usuario enviará datos cifrados al atacante, quien podrá descifrarlos. Cuando los equipos se comunican en niveles bajos de la capa de red, quizás no puedan determinar con qué equipos están intercambiando datos. Ataque de clave comprometida Una clave es un código o un número secreto necesario para cifrar, descifrar o validar información protegida. Averiguar una clave es un proceso difícil y que requiere grandes recursos por parte del atacante, pero no deja de ser posible. Cuando un atacante averigua una clave, ésta se denomina clave comprometida. El atacante puede utilizar la clave comprometida para obtener acceso a una

comunicación protegida sin que el remitente ni el receptor lo perciban. La clave

comprometida permite al atacante descifrar o modificar los datos. El atacante

también puede intentar utilizar la clave comprometida para calcular otras claves

que podrían suponer el acceso a otras comunicaciones protegidas.

Ataque de husmeador Un husmeador es una aplicación o dispositivo que puede leer, supervisar y capturar intercambios de datos y paquetes en la red. Si los paquetes no están cifrados, el husmeador proporciona una vista completa de los datos contenidos en el paquete. Incluso los paquetes encapsulados (enviados por un túnel) se pueden abrir y leer si no están cifrados. El husmeador permite al atacante hacer lo siguiente: Analizar una red y lograr acceso a la información, y eventualmente hacer

que la red deje de responder o que resulte dañada.

Leer comunicaciones privadas. Ataque en la Capa de aplicación Los ataques en la capa de aplicación se dirigen a los servidores de aplicaciones e intentan provocar errores en su sistema operativo o en sus aplicaciones. De este modo el atacante puede llegar a eludir los controles de acceso normales. El atacante aprovecha esta situación para obtener el control de una aplicación, sistema o red, con lo que podrá hacer lo siguiente: Leer, agregar, eliminar o modificar datos o un sistema operativo.



Introducir un virus que utilice los equipos y las aplicaciones de software para copiarse por toda la red.

Introducir un programa husmeador que analice la red y obtenga información que pueda utilizarse para hacer que la red deje de responder o que resulte dañada.

Cerrar aplicaciones de datos o sistemas operativos de forma anormal.

Deshabilitar otros controles de seguridad para posibilitar futuros ataques Ataque en la Capa Transporte (TCP-UDP) SSL (Secure Socket Layer) es un protocolo criptográfico de la capa de aplicación Proporciona autenticación, integridad y confidencialidad. No proporciona “No repudio” Utiliza TCP Transparente para las capas superiores (aplicaciones). Es el protocolo más utilizado en Internet para proporcionar servicios de seguridad Utiliza criptografía simétrica y asimétrica desarrollado por Netscape hasta la versión 3.0 En el año 1996, en plena Guerra de Navegadores con Microsoft SSLv3.0 sirve

de base al IETF para TLS Transport Layer Security, RFC 2246 (actualizado en

la RFC 3546)

Problemas de seguridad Restricción en la longitud de las claves utilizadas Características • Fácil de utilizar e implementado en muchas aplicaciones • Solo se aplica extremo a extremo • Otras opciones implementadas por las aplicaciones • Nivel de red seguro (IPSEC) Distintas fases de trasporte Fases en SSL Establecimiento de sesión

Autenticación

Negociación de los parámetros de cifrado que se utilizarán posteriormente

Generar las claves

Transferencia de Datos

Proporcionando integridad y confidencialidad

Fase de Negociación (Handshake) Se negocian los algoritmos

Algoritmo de cifrado simétrico y asimétrico

Método de intercambio de claves



Funciones resumen Autenticación del servidor (obligatoria)

Opcionalmente se autentica al cliente

9.Monitorización del Tráfico en redes

El monitoreo es saber la disponibilidad de la maquina, tiempos de respuesta

por medio del ping. Saber que servicios de red se encuentran habilitados, si

están en funcionamiento o han dejado de funcionar y ver los paquetes que se

envían y reciben con información. Se usan unas herramientas para realizar el

monitoreo.

Wireshark

Para muchos el principal programa de referencia en su sector. Se trata de un

analizador de protocolos que permite realizar

análisis y solucionar problemas en redes

de comunicaciones. Posee una interfaz

gráfica que nos permitirá interpretar mejor la

información que nos proporciona. Nos permite

analizar todo el tráfico de una red ethernet,

aunque también se puede utilizar en redes de

otro tipo, estableciendo la configuración en

modo promiscuo lo que le permite capturar

todo el tráfico de la LAN.

Es un programa de software libre y multiplataforma, que podremos instalar

tanto en Windows, como en Mac o Linux. Para capturar tramas directamente de

red es necesario ejecutarlo con permisos de superusuario, razón por la cual es

recomendable utilizarlo con mucho cuidado y establecer la configuración de

forma adecuada para los propósitos de nuestra empresa. Para sacarle todo el

partido deberemos saber realizar filtros para la información recibida de forma

que no nos veamos desbordados por la información que nos proporciona

WinDump



Es la versión para sistemas Windows de TCPDump, un paquete disponible en

Linux y Unix, entre otros sistemas para capturar los paquetes de datos que

circulan por la red de nuestra empresa. Tiene una gran funcionalidad, pero

muchos pensarán que le falla el aspecto gráfico, puesto que funciona por línea

de consola, algo cada día más en

desuso sobre todo en sistemas

Windows, donde muchos prefieren

disponer de una interfaz gráfica aún

a costa de un rendimiento algo

menor.

Es una herramienta de análisis muy

potente, que para utilizar

correctamente debemos dominar

los comandos básicos y saber

extraer la información necesaria en

la que estamos interesados. De igual modo que en el caso anterior, establecer

filtros para tratar de segmentar el filtrado de paquetes es fundamental para

poder analizar la información y no vernos desbordados.

Fing

Quizás se trate de una herramienta que nos ofrece menos información de la

red que las dos anteriores, pero más ordenada, más estructurada y en base

a los informes que nos permite construir podemos sacar más información. Nos

ofrece toda la información recopilada como resultado del análisis: dirección IP,

estado, grupo de red, sistema operativo, nombre de host, usuario entre otras

cuestiones.

Al igual que en los casos anteriores se trata de un programa multiplataforma

y gratuito, que podemos descargar e instalar de forma sencilla para comenzar

a auditar nuestra red interna. Visualmente quizás es el más atractivo de los

tres, aunque a la hora de determinar

problemas quizás sea el menos útil. A la

vez es el más sencillo de usar y requiere

menos conocimientos de administración de

redes que los dos anteriores

Como hemos comentado antes, para sacar

el mejor partido de estas herramientas los

conocimientos de redes son más que

necesarios. Cuanto mayor sea nuestro conocimiento de la estructura de la red,

la interpretación de los datos recibidos o el establecimiento de filtros que nos

ayuden a separar la información que estamos recibiendo sin duda nos servirá

para saber interpretar correctamente todos los datos recibidos.



10.Intentos de Penetración. Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su alcance se extiende a: Equipos de comunicaciones; Servidores; Estaciones de trabajo; Aplicaciones; Bases de Datos; Servicios Informáticos; Casillas de Correo Electrónico; Portales de Internet; Intranet corporativa; Acceso físico a recursos y documentación; Ingeniería social (La ingeniería social es la técnica por la cual se obtiene

información convenciendo al usuario que otorgue información confidencial, haciéndose pasar por usuarios con altos privilegios como administradores y técnicos).

Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:

Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.

Identificación de las vulnerabilidades existentes mediante herramientas automáticas.

Explotación manual y automática de las vulnerabilidades para determinar su alcance.

Análisis de los resultados.

Sistemas de Detección de intrusos (IDS).

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Hacker

http://es.wikipedia.org/wiki/Script_Kiddies



actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.

El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.

Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

Técnicas de Detección de intrusos.

El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones:

Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada.

http://es.kioskea.net/contents/internet/ip.php3

http://es.kioskea.net/contents/internet/protip.php3

http://es.kioskea.net/contents/internet/tcpip.php3

http://es.kioskea.net/contents/internet/protip.php3

http://es.kioskea.net/contents/internet/tcp.php3

http://es.kioskea.net/contents/internet/udp.php3



Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc.

Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente.

Consiste en la identificación de una intrusión al examinar un paquete y reconocer, dentro de una serie de bytes, la secuencia que corresponde a una firma específica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto del script CGI "phf". Este método también se utiliza como complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este método de reconocimiento también se puede refinar si se combina con una sucesión o combinación de indicadores TCP.

Esta táctica está difundida por los grupos N-IDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexión supervisada y en su posterior comparación al utilizar un analizador de "expresiones regulares". Éste intentará hacer coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado.

Existen otros métodos para detectar e informar sobre intrusiones, como el método Pattern Matching Stateful, y/o para controlar el tráfico peligroso o anormal en la red.

Tipos de IDS: (Host IDS, Net IDS).

Existen dos tipos de sistemas de detección de intrusos:

1) HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

2) NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.



Software libre y commercial

El software libre (en inglés free software, aunque esta denominación también se confunde a veces con "gratis" por la ambigüedad del término "free" en el idioma inglés, por lo que también se usa "libre software") es la denominación del software que respeta la libertad de los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, modificar el software y distribuirlo modificado.

Análogamente, el "software gratis" o "gratuito" incluye en ocasiones el código fuente; no obstante, este tipo de software no es libre en el mismo sentido que el software libre, a menos que se garanticen los derechos de modificación y redistribución de dichas versiones modificadas del programa.

Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software. De modo más preciso, se refiere a cuatro libertades de los usuarios del software:

La libertad de usar el programa, con cualquier propósito (libertad 0).

La libertad de estudiar cómo funciona el programa, y adaptarlo a tus necesidades (libertad 1). El acceso al código fuente es una condición previa para esto.

La libertad de distribuir copias, con lo que puedes ayudar a tu vecino (libertad 2).

La libertad de mejorar el programa y hacer públicas las mejoras a los demás, de modo que toda la comunidad se beneficie. (libertad 3). El acceso al código fuente es un requisito previo para esto.

El software comercial

El software comercial es el software, libre o no, que es comercializado, es decir, que existen sectores de la economía que lo sostiene a través de su producción, su distribución o soporte. El software comercial cuenta con las siguientes características:

Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas licencias restringen las libertades de los usuarios a usar, modificar, copiar y distribuir el software.

El desarrollo, programación y actualización de este software sólo lo hace la empresa que tiene los derechos. Como sucede con los productos Microsoft (Windows, Office, etc).

En el software comercial se suele esconder y mezquinar los avances y descubrimientos tecnológicos entre las empresas que lo desarrollan.



http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Libertad

http://es.wikipedia.org/wiki/Free_Software_Foundation



http://es.wikipedia.org/wiki/Libertad


http://es.wikipedia.org/wiki/C%C3%B3digo_fuente






Muchas veces con estrategias comerciales se suele hacer que los usuarios actualicen su software comercial, sin que exista una necesidad verdadera de ello, consiguiendo de esta forma hacer que el usuario invierta en nuevas licencias, la mayoría de las veces innecesarias.

Existen además tipos de software intermedios. Software semilibre Es aquel que mantiene las mismas características que el software libre para los usuarios individuales, entidades educativas o sin ánimo de lucro, sin embargo prohibe esas libertades para su uso comercial o empresarial. Software propietario Es aquel que no es libre ni semilibre; por lo tanto, su redistribución, modificación y copia están prohibidas o, al menos, tan restringidas que es imposible hacerlas efectivas. Freeware No tiene una definición clara y precisa, sin embargo suele usarse para clasificar al software que puede redistribuirse libremente pero no modificarse, entre otras cosas, porque no está disponible su código fuente. El freeware no es software libre. Shareware Es un software que permite su redistribución, sin embargo no viene acompañado de su código fuente y, por tanto, no puede ser modificado. Además, pasado un periodo de tiempo, normalmente es necesario pagar una licencia para continuar usándolo, luego tampoco es software libre.

11. Sistemas de seguridad en WLAN.

Los paquetes de información en las redes inalámbricas viajan en forma de ondas de radio. Las ondas de radio -en principio- pueden viajar más allá de las paredes y filtrarse en habitaciones/casas/oficinas contiguas o llegar hasta la calle.

Si nuestra instalación está abierta, una persona con el equipo adecuado y conocimientos básicos podría no sólo utilizar nuestra conexión a Internet, sino también acceder a nuestra red interna o a nuestro equipo -donde podríamos tener carpetas compartidas- o analizar toda la información que viaja por nuestra red -mediante sniffers- y obtener así contraseñas de nuestras cuentas de correo, el contenido de nuestras conversaciones por MSN, etc.

Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave en una



instalación residencial (en casa), mucho más peligroso es en una instalación corporativa. Y desgraciadamente, cuando analizamos el entorno corporativo nos damos cuenta de que las redes cerradas son más bien escasas.

Sin pretender invitaros a hacer nada ilegal, podéis comprobar la cantidad de redes abiertas que podéis encontrar sin más que utilizar el programa Network Stumbler o la función Site Survey o escaneo de redes de vuestro PDA con Wi-Fi o de vuestro portátil mientras dáis un paseo por vuestro barrio o por vuestra zona de trabajo.

Para que una red inalámbrica sea segura ahí que tener en cuenta:

Cambiar la contraseña que trae por defecto. Un fabricante usa la misma contraseña para todos sus equipos.

Usar encriptación WEP/WPA. Activar en el Punto de Acceso la encriptación WEP, mejor 128 bits que de 64 bits… cuanto mayor sea el número de bits mejor. Cuidar la frase para generar las claves, que no sean palabras del diccionario, mezclar mayúsculas, números, que no sean letras seguidas de las teclas del ordenador etc.

Cambiar el SSID por defecto. No usar palabras atractivas sino más bien "Broken", "Down" o "Desconectado". El SSID (Service Set IDentifier) es un código incluido en todos los paquetes de una red inalámbrica (Wi-Fi) para identificarlos como parte de esa red. El código consiste en un máximo de 32 caracteres alfanuméricos. Todos los dispositivos inalámbricos que intentan comunicarse entre sí deben compartir el mismo SSID.

Desactivar el broadcasting SSID. Es uno de los métodos más básicos de proteger una red inalámbrica, desactivar el broadcast del SSID, ya que para el usuario medio no aparecerá como una red en uso.

Activar el filtrado de direcciones MAC. Activa en el AP el filtrado de direcciones MAC de los dispositivos Wi-Fi que actualmente tengas funcionando. Al activar el filtrado MAC dejarás que sólo los dispositivos con las direcciones MAC especificadas se conecten a tu red Wi-Fi.

Establecer el número máximo de dispositivos que pueden conectarse

Desactivar DHCP. Desactiva DHCP en el router ADSL y en el AP, que establece las conexiones automáticamente. En la configuración de los dispositivos/accesorios Wi-Fi tendrás que introducir a mano la dirección IP, la puerta de enlace, la máscara de subred y el DNS primario y secundario.

Desconectar el Access Point cuando no lo uses. El AP almacena la configuración y no hace falta introducirla de nuevo cada vez que se conecte.

Cambiar las claves WEP regularmente. Por ejemplo semanalmente o cada 2 ó 3 semanas. Existen aplicaciones capaces de obtener la clave WEP de nuestra red Wi-Fi analizando los datos transmitidos por la misma. Pueden ser necesarios entre 1 y 4 Gb de datos para romper una clave WEP, dependiendo de la complejidad de las claves. Cuando lleguemos a este caudal de información transmitida es recomendable cambiar las claves.



Sistemas de seguridad en WLAN.

Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier ordenador cercano al punto de acceso puede conectarse a Internet a través de él, siempre que tenga una tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una red inalámbrica cercana disponible, pero para acceder habrá que introducir la contraseña. Es lo que suele ocurrir en los aeropuertos y algunos hoteles, donde la contraseña se obtiene previo pago.

Sistema Abierto.

La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos, o vienen configurados por el operador. Pero si se quiere modificar algo, como la seguridad, conviene conocer algunos de los parámetros de la conexión:

El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso. Por defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se puede cambiar y poner "PerezWiFi", por ejemplo.

El canal: por lo general se usa el canal 6, pero si el vecino también tiene un punto de acceso en este canal habrá que cambiarlo para evitar interferencias. Puede ser un número entre 1 y 11.

La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la contraseña que tendrá que introducirse en los ordenadores que se quieran conectar.

La clave compartida WPA: Como en el caso anterior, si se emplea seguridad WPA hay que seleccionar una clave de acceso para poder conectarse a la red WiFi.

Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas para protegerlas. Esto quiere decir que los números y letras se cambian por otros mediante un factor. Sólo con la clave adecuada se puede recuperar la información. Cuanto más grande sea el factor de cifrado (más bits), tanto más difícil resulta romper la clave.

WEP

Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de radio, lo que los hace más susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad.



WPA

Es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado).[1] Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi).

WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

12.Recomendaciones de seguridad en WLAN.

Consejos finales para mejorar la seguridad.

- Instale el router en el ambiente más alejado de la calle y las ventanas.

Muchos routers permiten controlar la intensidad de la señal, por esto,

disminuya la intensidad para restringir la propagación fuera del edificio.

- Cambie la contraseña por default del router inalambrico: en

general, el nombre de usuario es admin y la contraseña

también es admin.

- Cambie el SSID por default del router inalambrico y

deshabilite el broadcast del SSID. Si es posible, no hay que

permitir acceder a la red local a través de la red inalámbrica

sino solamente a través de la red cableada conectada a uno de los puertos

LAN del router.

- Utilice WPA, en caso de que no estar disponible utilice WEP con una

contraseña de 128 bits, si es posible.



- Instale actualizaciones de firmware cuando esten disponibles por el

fabricante.

- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.

-Tenga siempre en mente la seguridad de todo el sistema instalando un

firewall, actualizando el antivirus, el sistema operativo y los programas.

Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando

se hacen conexiones e intercambio de datos. Mejor aún, instalar

computadoras y otros dispositivos móviles para que se conecten

automáticamente a los datos cifrados de la VPN, de esta forma se

pueden determinar sí el dispositivo no ha sido extraviado o robado.

Establecer y hacer cumplir las políticas de fuerte autenticación para los

dispositivos que intentan acceder a redes corporativas.

Cerciorarse de que todos los dispositivos y aplicaciones de software

están configurados correctamente y tienen los últimos parches.

Asegurarse que las políticas de seguridad corporativa prohíban a las

personas la transferencia de datos sensibles a dispositivos móviles o

equipos no autorizados.

Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que

requieren un plan de servicio, para que los empleados no tengan que

usar los puntos de acceso públicos para conexiones inalámbricas.

ud 2: “implantación de mecanismos de seguridad … · decía “soy una enredadera (creeper),...

Documents