13.05.2013 Views

Seguridad y alta disponibilidad

Seguridad y alta disponibilidad

Seguridad y alta disponibilidad

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

Seguridad y alta

disponibilidad

En este libro se abarcara la asignatura de seguridad y

alta disponibilidad del grado superior de informática.

Escrito por: Nicolás Madrid Gallego

Nicolás Madrid Gallego

IES GREGORIO PRIETO

Adopción de pautas de seguridad

informática


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

2


ÍNDICE

SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Contenido

1. HERRAMIENTAS PALIATIVAS.................................................................................................. 7

a.-Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. ................................. 7

ClamAV ..................................................................................................................................... 7

b.-Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD ......................... 9

C.-En tu ordenador, realiza un análisis antimalware a fondo En tu ordenador, realiza un

análisis antimalware a fondo (msconfig, procesos dudosos ejecutándose, …etc)

mediante el software de Microsoft : suite Sysinternals. Indica en un documento todos

las acciones que has realizado. Utiliza entre otros: Autoruns y Process Explorer......... 13

d)En tu ordenador, realiza un análisis antimalware a fondo: ................................................... 16

hijackthis ............................................................................................................................... 16

Rubooted ................................................................................................................................ 18

Browser Guard 2011 ............................................................................................................... 19

House call ............................................................................................................................... 20

e.-Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer

Keylogger. ............................................................................................................................... 22

Eliminación de un keyloger ..................................................................................................... 25

f.-Investiga en Internet el término : Hijacker. Cómo puedes eliminar el “Browser hijacker”.

¿Qué efectos tiene sobre el sistema?. ..................................................................................... 26

g)Busca información sobre el fichero autorun.inf que poseen los dispositivos de

almacenamiento y cómo se camufla y opera malware a través de este archivo. ...................... 27

2. HERRAMIENTAS PREVENTIVAS . .......................................................................................... 30

a.-Configuración de contraseñas seguras: ............................................................................... 30

b.-Peligros de distibuciones live: (Ultimate Boot CD – UBCD, Backtrack, Ophcrack, Slax,

Wifiway, Wifislax). .................................................................................................................. 34

c.-CONTRASEÑAS DE LA BIOS .................................................................................................. 35

d.-Contraseñas en el gestor de arranque: ................................................................................ 37

e)Recuperación de contraseñas: ............................................................................................. 39

- En Windows: Ophcrack. ........................................................................................................ 39

- En GNU/Linux: Aplicación John the Ripper. ........................................................................... 41

f) Modificación de contraseñas: .............................................................................................. 42

En Windows: Distribución cia commander. ............................................................................. 42

En GNU/Linux: mediante el sistema, modificando /etc/shadow. ............................................. 44

g) Realizar una copias de seguridad de drivers ........................................................................ 45

3


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

h)Control de acceso a datos y aplicaciones: ............................................................................. 47

- En Windows: Política de directivas de seguridad local. .......................................................... 47

Directivas de grupo .............................................................................................................. 47

- En GNU/Linux: chmod, chown, chgrp, getfacl, setfacl. ........................................................... 49

i) Utiliza el sotware “Windows SteadyState”, y crea un pequeño informe de las posibilidades

del mismo, desde un punto de vista de seguridad informática ................................................ 52

j) Busca aplicaciones “congelador” disponibles para Windows y GNU/Linux como

“DeepFreeze”. Indica que protección ofrecen. ........................................................................ 56

k)Utiliza el software “Keepass Passwrod Safe”, y crea un pequeño informe de las posibilidades

del mismo, desde un punto de vista de seguridad informática. ............................................... 59

3. TÉCNICAS DE CIFRADO: ....................................................................................................... 61

a) Cifrado simétrico : ............................................................................................................... 61

- Uso de GPG. ......................................................................................................................... 61

b) Cifrado de datos y particiones: ............................................................................................ 65

- En Windows: Uso de TrueCrypt. ............................................................................................ 65

c) Funciones HASH .................................................................................................................. 70

- En Window: md5sum. ........................................................................................................... 70

- En GNU/Linux: md5sum. ....................................................................................................... 70

d) Cifrado asimétrico: .............................................................................................................. 71

- En GNU/Linux: gpg. ............................................................................................................... 71

4. IDENTIDAD DIGITAL: ............................................................................................................ 72

a) Firma digital de un documento............................................................................................ 72

b) Certificados digitales. - Busca que Autoridades Certificadoras Admitidas de certificados

digitales existen en España. Describe el proceso para la obtención del certificado digital. Visita

la web www.fnmt.es ............................................................................................................... 73

Exportar ................................................................................................................................. 75

Importar ................................................................................................................................. 75

c) Certificados digitales.- Revisa en la web www.camerfirma.com , uno de los usos que tiene el

certificado digital para la firma y el envío de correos electrónicos con certificado digital.

Describe el proceso. ¿Qué garantiza?. ¿Qué es S-MIME?. ....................................................... 77

d)Certificados digitales.- Realiza los trámites para la obtención de tu certificado digital. ......... 79

e)Certificados digitales/ DNIe. – Realiza una búsqueda de los servicios de empresas como

bancos, y de la administración pública (seguridad social, hacienda, etc) a los que se puede

acceder de forma segura, mediante certificado digital y mediante DNIe. ................................ 85

- Acceder a un organismo público en Internet utilizando el Dni-e. ........................................... 87

Una vez creado el certificado procederemos a identificarnos en un sitio web: .............. 90

4


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

SEGURIDAD EN LA RED CORPORATIVA: ................................................................................... 95

5. AMENAZAS Y ATAQUES EN REDES CORPORATIVAS: ............................................................. 95

a)Identidad digital.- ¿Qué diferencias existen entre la instalación de un certificado en un

servidor web y un servidor de certificaciones?. Busca cómo se instala y qué opciones ofrece el

servidor de certificados integrados en el servidor IIS de Microsoft. Realiza una petición por

parte de un cliente de un certificado digital. ........................................................................... 95

Instalar una entidad emisora de certificados en Windows 2003 server. ................................... 95

b) Seguridad en redes corporativas: ........................................................................................ 99

- Windows: Uso de Caín & Abel como Sniffing – MitM- ARP Spoofing – Pharming. .................. 99

- GNU/Linux: Uso de ArpWatch ............................................................................................. 105

c) Seguridad en redes corporativas: ...................................................................................... 106

- Uso de netstat para análisis de puertos en Window y GNU/Linux. ....................................... 106

- Uso de un análisis de puertos on line: ................................................................................. 107

d)Uso de la distribución Backtrack de GNU/Linux con la finalidad de investigar sobre la

inyección de código SQL (SQL Inyection) con la finalidad de obtener las tablas de usuarios y

contraseñas de las bases de datos de sitios web. .................................................................. 108

6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED: ............................................................ 112

a) Configura en modo seguro un switch CISCO (Packet Tracer) .............................................. 112

b) Configura en modo seguro un router CISCO ...................................................................... 113

c) Elabora un documento que manifieste las vulnerabilidades en las capas enlace, red (IP), TCP-

UDP y Aplicación (DHCP, DNS, ….) y como protegerse de las mismas. .................................... 114

Ataque en la Capa Enlace de datos ........................................................................................ 114

Ataque en la Capa Red (ip) .................................................................................................... 114

Ataque en la Capa de aplicación ............................................................................................ 116

Ataque en la Capa Transporte (TCP-UDP) .............................................................................. 117

7. MONITORIZACIÓN DEL TRÁFICO EN REDES: HERRAMIENTAS ............................................. 118

a) Descarga e instala Wireshark y realiza filtrado de servicios de red para monitorizar sólo el

tráfico deseado. .................................................................................................................... 118

b) Descarga e instala Kismet o Network Stumbler para redes inalámbricas y realiza filtrados de

red para monitorizar sólo el tráfico deseado. ........................................................................ 119

8. INTENTOS DE PENETRACIÓN: ............................................................................................ 120

a) Honeypot. Instalación, configuración , ejecución y prueba en Windows o GNU/Linux de

honeyd ................................................................................................................................. 120

b) Sistema de detección de intrusos (IDS): HostIDS: .............................................................. 123

- Linux: Integridad de un fichero: md5sum. ........................................................................... 123

- Linux: Integridad de un sistema de ficheros: trypwire ......................................................... 124

5


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- Windows: Integridad del sistema de ficheros mediante Xintegrity....................................... 127

c) Sistema de detección de intrusos (IDS): Net IDS:................................................................ 131

- Instala y configura Snort en GNU/Linux. .............................................................................. 131

9. Seguridad en las comunicaciones inalámbricas: ................................................................. 133

a) Configuración de un punto de acceso inalámbrico seguro ................................................. 133

b) Configuración de un router de acceso inalámbrico CISCO LINKSYS WRT54GL, utilizando un

simulador. ............................................................................................................................. 134

c) Configuración de un router de acceso inalámbrico CISCO Linksys seguro y un cliente de

acceso inalámbrico en Windows y GNU/Linux. ...................................................................... 136

- Filtro MAC, WPA, Control parental. ..................................................................................... 136

d) Configuración de un router de acceso inalámbrico TP-LINK, utilizando un simulador. ........ 137

e) Realiza una auditoria wireless para medir el nivel de seguridad de una red inalámbrica,

utilizando una aplicación para monitorizar y recuperar contraseñas inalámbricas WEP

(airodump, aircrack, etc..) y Realiza una auditoria wireless para medir el nivel de seguridad de

una red inalámbrica, utilizando una distribución Live ( Backtrack, Wifiway, Wifislax, etc) para

monitorizar y recuperar contraseñas inalámbricas WEP. ....................................................... 139

6


SEGURIDAD Y ALTA DISPONIBILIDAD

1. HERRAMIENTAS PALIATIVAS.

Adopción de pautas de seguridad

informática

a.-Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica

Clamtk.

ClamAV

En primer lugar instalamos el clamav:

Ahora realizamod el escáner de nuestro sistema introduciendo el comando

clamscan:

7


ClAMtk

SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

En primer lugar instalamos el antivirus tecleando sudo aptitude install clamtk

Para ejecutarlo tecleamos sudo clamtk

Una vez ejecutado realizamos un análisis recursivo de /home. Para ello vamos

a escáner y seleccionamos la opción indicada:

Una vez finalidado podremos ver los resultados del análisis.

8


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

b.-Instala y utiliza la herramienta de análisis antimalware Live

AVG Rescue CD

Una vez arrancado desde la bios seleccionamos la tercera opción y pulsamos

intro:

Ahora aceptamos las condiciones :

9


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

En esta pantalla observamos las opciones que nos permite el programa.

Nosotros utilizaremos la opción scan:

Nosotros analizaremos un volumen en concreto:

10


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora seleccionamos la partición deseada y pulsamos en ok:

En las opciones del escáner utilizaremos las opciones que vienen de serie:

11


SEGURIDAD Y ALTA DISPONIBILIDAD

En la siguiente imagen vemos el resultado de los análisis:

Adopción de pautas de seguridad

informática

12


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

C.-En tu ordenador, realiza un análisis antimalware a fondo En tu

ordenador, realiza un análisis antimalware a fondo (msconfig,

procesos dudosos ejecutándose, …etc) mediante el software

de Microsoft : suite Sysinternals. Indica en un documento

todos las acciones que has realizado. Utiliza entre otros:

Autoruns y Process Explorer

Tcpvcon

Esta aplicaion nos permite analizar los puertos que tiene abierto nuestro

equipos. Por ejemplo en nuestra imagen podremos observar que tenemos

abiertas 2 sesiones de iexplore:

13


SEGURIDAD Y ALTA DISPONIBILIDAD

AUTORUNS

Adopción de pautas de seguridad

informática

Esta aplicación nos permite ver el registro de las diversas aplicaiones que

tenemos instaladas en nuestro equipo:

14


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

También podremos ver los driver que se encuentran instalados en nuestro

equipo:

Process explorer

Esta aplicación nos muestra los procesos que se encuentran activas en nuestro

equipo:

15


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

d)En tu ordenador, realiza un análisis antimalware a fondo:

hijackthis

Este programa sirve escanear el registro de nuestro equipo. Para realizar el

análisis deberemos de seleccionar la opción Do a system scan and sabe a

logfile:

16


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez finalizado el análisis podremos observar una gran información en la

que podremos observar el registro de nuestro sistema:

17


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Rubooted

Este es un programa que nos indica si nuestro equipo esta infectado con algún

programa malicioso relacionado con el spam. Como vemos en la imagen

nuestro equipo esta libre de infecciones:

Si se encuentra algún botnet podremos ver información en la pestaña log:

18


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Browser Guard 2011

Esta es una aplicación que nos permite bloquear las ventanas emergente de

publicidad que aparecen cuando navegamos por internet:

19


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

House call

Esta aplicación es una especie de antivirus que examina nuestro equipo y

elimina una gran cantidad de antimalware y virus. Para analizar el equipo

seleccionamos sobre la opción analizar ahora:

Ahora dara comienzo el análisis:

20


SEGURIDAD Y ALTA DISPONIBILIDAD

Una vez finalizado observaremos la siguiente pantalla:

Adopción de pautas de seguridad

informática

21


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

e.-Instala y utiliza el software de recuperación de pulsaciones de

teclado denominado Revealer Keylogger.

Free kgb keyloger

Al ejecutar por primara ver el keyloger nos aparecerá un asistente de

configuración. En la primera pantalla podremos indicar lo que queremos

registrar:

A su vez también podremos ocultar el programa para que el usuario no sepa

que tiene un keyloger instalado>

22


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez finalizado el proceso de configuración procederemos a realizar una

prueba para comprobar su funcionamiento. Para ello nos dirijimos a nuestro

navegador y buscamos en google „marca‟

Ahora procederemos a observar que se a registrado la palabra buscada

23


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Otra de las opciones de este keyloger es la de realizar pantallazos en un

intervalo de tiempo indicado

También podremos configurar nuestro keyloger para que envié la información

recolectada a nuestro correo

24


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Eliminación de un keyloger

Una vez instalado malwarevytes procederemos a la eliminación del keyloger.

Para ello en primer lugar realizaremos un análisis completo de nuestro sistema

Una vez finalizado el análisis observaremos que el keyloger ha sido detectado,

para su eliminación deberemos de pulsar sobre la opción eliminar

seleccionados

25


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

f.-Investiga en Internet el término : Hijacker. Cómo puedes

eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el

sistema?.

Hijacking significa "secuestro" en inglés y en el ámbito informático hace

referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo

(generalmente información) por parte de un atacante. Es por tanto un concepto

muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos

encontramos con el secuestro de conexiones de red, sesiones de terminal,

servicios, modems y un largo etcétera en cuanto a servicios informáticos se

refiere.

Browser hijacker

Browser hijacker es una forma de software malicioso osoftware espía que

sustituye la página de inicio de nuestro navegador. Éstos se utilizan

generalmente para forzar visitas a un sitio web en particular.

Muchas personas creen que Browser hijacker fueron diseñadas a la

molestia simple. La mayoría de los Browser hijacker don una forma

redireccionar una página a la fuerza de visitas a sus sitios web que contienen

anuncios. Esto entonces aumenta el costo de publicidad de ese sitio web,

beneficiándose así el webmaster del sitio.

BENEFICIOS

Troyanos de malware, y muchos tienen muchas aplicaciones de marketing.

Este software malintencionado puede secuestrar su navegador, incluso, añadir

excepciones a la seguridad de su navegador y pop ups. La mayoría del

software malicioso es recogido con algo tan simple como abrir un correo

electrónico o hacer clic en un enlace. Estar al tanto de todos los enlaces y el

contenido de la URL que hace clic. Muchos de nosotros todavía se haga clic en

un enlace sin necesidad de mirar en la dirección URL de su destinado. La

conciencia es la primera línea de defensa cuando se navega por la web.

Sin embargo, en algunos casos el secuestro se ha hecho sin el conocimiento

de la web. El webmaster crea una cuenta en una plataforma de publicidad

(donde se paga por el tráfico que se dirige a su sitio a través de medios

legítimos, sólo como Google Adwords) y un secuestrador comienza forzar el

tráfico a esa página web para que los dueños tienen que pagar dinero cada vez

que Un usuario llega a la página. En este caso el secuestrador es ganar dinero,

sin embargo, el sitio web del usuario se ve obligado a perder es en realidad un

montón de dinero.

26


SEGURIDAD Y ALTA DISPONIBILIDAD

Eliminación

Adopción de pautas de seguridad

informática

La mayoría de los Browser hijacker , no permitirá que un usuario cambie de

nuevo a su página principal a través de Propiedades de Internet.Configuración

de los secuestradores modernos "muy probablemente devuelvan en el

arranque, sin embargo, el software antispyware actualizado bien es probable

que retire el secuestrador. Algunos escáneres de spyware tiene una página del

navegador restaurar la función de configurar su página de volver a la

normalidad o que le avise cuando su página del navegador ha cambiado.

g)Busca información sobre el fichero autorun.inf que poseen los

dispositivos de almacenamiento y cómo se camufla y opera

malware a través de este archivo.

AUTORUN

Autorun.inf en realidad es un archivo de texto que indica una función a seguir,

es utilizado en sistemas operativos como Windows

¿Cómo se propaga?¿Qué efecto tiene?

En Windows, los parámetros de auto ejecución se definen en un documento de

texto sin formato llamado Autorun.inf, que se debe guardar en la carpeta

principal de la unidad en cuestión.

El principal objetivo de Autorun.INF es propagarse y afectar a otros

ordenadores.

Propagación a través de unidades mapeadas:

Autorun.INF comprueba si el ordenador infectado se encuentra conectado a

una red.

En caso afirmativo, realiza un inventario de todas las unidades de

red mapeadas y crea una copia de sí mismo en cada una de ellas.

Propagación a través de recursos compartidos de red:

Autorun.INF comprueba si el ordenador infectado se encuentra conectado a

una red. En caso afirmativo, intenta propagarse a las unidades de red

compartidas.

Para ello, intenta ganar acceso a dichas unidades compartidas,

empleando contraseñas que son típicas o fáciles de adivinar.

27


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Distribución de archivos infectados:

Autorun.INF no se propaga automáticamente por sus propios medios, sino que

infecta archivos del siguiente tipo:

Llega a otros ordenadores cuando se distribuyen los archivos previamente

infectados, que pueden entrar al ordenador a través de cualquiera de las vías

habituales: disquetes, mensajes de correo electrónico con archivos adjuntos,

descargas de Internet, transferencia de archivos a través de FTP, canales

de IRC y redes de intercambio de archivos entre pares (P2P), etc.

¿A qué tipo de sistemas operativos afecta?

Autorun afecta a todos los sistemas operativos que existen en la actualidad

aunque os más vulnerables son los de la familia de Windows por ser los más

extendidos en la actualidad y los que más agujeros de seguridad tienen.

¿Qué medidas de seguridad puede tomar?

El archivo autorun.inf que se genera en los pendrive con la infección, borra

cualquier archivo autorun.inf que tengamos configurado en nuestro pendrive,

aun los generados con programas antivirus USB. Pero la infección no borra

carpetas así que lo mas sencillo para que nuestro pendrive no se "contagie" es

crear en raíz una carpeta con el nombre "autorun.inf".

También podremos desactivar la reproducción automática.

¿Qué es la desactivación de la ejecución automática?

Es denegar el arranque automático de unidades externas como pueden ser

HDD externos, pendrives, mp3, móviles…

¿Cómo se puede realizar?

También podremos desactivar la reproducción automática, para ello:

1. Dirígete a inicio, y haz click en ejecutar

2. Escribe gpedit.msc y dale al botón aceptar

3. Se abrirá una ventana titulada Directiva de Grupo. Ahí, en el

panel izquierdo, dirígete a Configuración local de equipo > Plantillas

administrativas > Sistema.

4. Ahora, en el panel de la derecha, verás que existe una serie de

reglas que no están configuradas. Búsca la que diga Desactivar

reproducción automática, y haz doble click sobre ella.

5. En Propiedades de Desactivar reproducción

automática, selecciona la opción habilitada y en donde dice

28


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

"Desactivar reproducción automática en" selecciona Todas las

unidades.

¿Para que sirve USB Vaccine?.

Panda USB Vaccine es una utilidad de seguridad gratuita desarrollada por

Panda Security, que con sólo un par de clics nos permitirá bloquear el autoarranque

de las memorias USB (pendrives, memorias flash, etc.) que se

inserten en nuestro sistema, evitando así el contagio de los Malwares del tipo

Gusano que se aprovechan de esta funcionalidad.

¿Qué programa podemos utilizar para realizar la desinfección?.

avAntivirus

Haz doble clic en RAV.exe para ejecutar la herramienta

Una vez ejecutado RAV ANTIVIRUS escaneará automáticamente todas las

unidades que puedan estar infectadas

El programa generará un informe en caso que detecte una infección, si no

mostrará el mensaje: "Your computer is clean"

Retira los dispositivos extraibles y reinicia el PC.

29


SEGURIDAD Y ALTA DISPONIBILIDAD

2. HERRAMIENTAS PREVENTIVAS .

a.-Configuración de contraseñas seguras:

Contraseñas seguras

En Windows

Adopción de pautas de seguridad

informática

Para configurar las contraseñas seguras en Windows nos deberemos de dirigir

al panel de control \herramientas administrativas\directivas de seguridad local

30


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez allí nos dirigimos a directivas de cuenta y posteriormente a directiva de

contraseñas

Allí podremos configurar aspectos como la complejidad de la contraseña

31


SEGURIDAD Y ALTA DISPONIBILIDAD

Longitud mínima de la contraseña

EN LINUX

EN primer lugar instalaremos el paquete libpam cracklib

Adopción de pautas de seguridad

informática

Una vez instalado nos dirigimos al archivo common-password y des

comentamos las líneas seleccionadas en pantalla:

32


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez realizado el paso anterior procederemos a la comprobación de la

seguridad de una de nuestras contraseñas para ello introducimos el comando

passwd + nombre del usuario(en mi caso niko).

33


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

b.-Peligros de distibuciones live: (Ultimate Boot CD – UBCD,

Backtrack, Ophcrack, Slax, Wifiway, Wifislax).

En esta practica accederemos a los datos desde un live CD en nuestro caso

usaremos el live CD wifiway. Una vez haya arrancado nuestro equipo desde el

cd nos dirigimos a media y allí seleccionamos el disco duro donde se

encuentran los datos que deseamos:

Ahora podremos ver que hemos accedido a los datos de dicha partición sin

haber iniciado el equipo desde su SO:

34


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

c.-CONTRASEÑAS DE LA BIOS

Una vez en la bios nos dirigimos a la pestaña security y pulsamos introsobre la

opción set supervisor password para establecer una nueva contrasña

Ahora introducimos la contraseña deseada:

35


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora guardamos la configuración de la bios para que se apliquen los cambios:

36


SEGURIDAD Y ALTA DISPONIBILIDAD

d.-Contraseñas en el gestor de arranque:

Contraseñas en el grub de Linux:

Adopción de pautas de seguridad

informática

EN primer lugar deberemos de introducir grub-mk passwd-pbkdf2 para

encriptar la contraseña deseada:

Ahora modificamos el archivo /boot/grub/grub.cfg e introducimos la orden set

superusers=‟niko‟:

37


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora en la sección BEGIN /etc/grub.d/10_linux deberemos de introducir la

línea que se muestra en pantalla:

38


SEGURIDAD Y ALTA DISPONIBILIDAD

e)Recuperación de contraseñas:

Adopción de pautas de seguridad

informática

- En Windows: Ophcrack.

Una vez instalado el programa deberemos de indicar las librerías que nos

hemos descargado, para ello pulsamos sobre el icono tables, una vez allí

seleccionamos las tables instaladas y indicamos el directorio en el que están

ubicadas:

Una vez realizado el paso anterior deberemos de pulsar sobre la opción lod y

posteriormente en la opción Local SAM:

39


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez realizado el paso anterior podremos ver las cuentas de usuario y sus

contraseñas:

40


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- En GNU/Linux: Aplicación John the Ripper.

Después de instalar el programa deberemos de aplicar un parche

para poder sacar las contraseñas md5, para ello seguiremos los

siguientes pasos:

1.- Una vez descargado el parche deberemos de instalarlo

introduciendo el siguiente comando:

Una vez realizado el comando anterior procederemos a pasar las

los registros que se encuentran en /etc/passwd a un archivo que

creeemos para ello introducimos el siguiente comando:

Ahora tecleamos John y el nombre del archivo creado y el

programa comenzara a sacar las contraseñas:

41


SEGURIDAD Y ALTA DISPONIBILIDAD

f) Modificación de contraseñas:

Adopción de pautas de seguridad

informática

En Windows: Distribución cia commander.

Una vez arrancado el equipo desde cd seleccionamos la partición

en la que se encuentra el sistema operativo del que queremos

cambiar la contraseña:

Ahora pulsamos la barra espaciadora sobre la opción user

manager:

42


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora seleccionamos el usuario al que queremos sacar la

contraseña y pulsamos f3:

Ahora introducimos la contraseña deseada y pulsamos f10 para

salir:

43


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

En GNU/Linux: mediante el sistema, modificando /etc/shadow.

En primer lugar seleccionaremos el siguiente comando para

encriptar la contraseña deseada una vez ejecutado el comando

nos dará una cadena de texto encriptada

Ahora nos dirigimos al archivo /etc/shadow y buscamos el

usuario deseado para cambiarle la contraseña una vez allí

introducimos la clave cifrada que hemos obtenido en el paso

anterior y sustituimos del archivo toda la parte que corresponde

hasta los primeros:

Una vez reemplazada la parte indicada la clave habrá sido

cambiada.

44


SEGURIDAD Y ALTA DISPONIBILIDAD

g) Realizar una copias de seguridad de drivers

- Utiliza el software “DriverMax” o similar.

MY DRIVERS

Adopción de pautas de seguridad

informática

Para realizar copia de seguridad de nuestros driver con my driver deberemos

de seguir los siguientes pasos:

1.- En primer lugar seleccionamos la opción Recolección total:

2.- En segundo lugar seleccionamos la opción empaquetar todos para realizar

una copia de seguridad de todos los drivers de nuestro equipo:

45


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora deberemos de elegir el destino de la copia de seguridad de nuestros

drivers:

Una vez realizados los pasos anteriores dara comienzo la copia de seguridad

de nuestros drivers

46


SEGURIDAD Y ALTA DISPONIBILIDAD

h)Control de acceso a datos y aplicaciones:

Adopción de pautas de seguridad

informática

- En Windows: Política de directivas de seguridad local.

Directivas de grupo

Son un Conjunto de políticas del sistema que establecen una determinada

configuración al objeto afectado, por ejemplo, ocultar el panel de control,

establecer que paquetes msi se pueden instalar, etc.

La configuración de directiva de grupo define distintos componentes del

entorno del usuario y del equipo cuando se accede de forma autenticada al

dominio controlado por el servidor, de modo que el administrador del sistema

determina las directivas que serán aplicadas al usuario y al equipo englobado

en un sitio, dominio o unidad organizativa. Entre las directivas que pueden

especificarse, por ejemplo, podemos citar las que indican aquellos programas

que deseemos se encuentren disponibles para nuestros usuarios, los

programas que aparecerán en su Escritorio, las opciones del menú Inicio, las

opciones de configuración del navegador de los equipos, etc.

Ejemplos:

En este ejemplo denegaremos la ejecución del Windows Messenger en el

equipo local para ello en primer lugar deberemos de ir a ejecutar e introducir

gpedit.msc

Una vez allí nos dirigimos a Configuración de equipo/plantillas

administrativas/componentes de Windows/Windows live Messenger. Una vez

allí habilitamos la directiva que impide la ejecución del Messenger:

47


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Como segundo ejemplo quitaremos la opción de propiedades en el menú

contextual de mi pc.

Para ello nos dirigimps a configuración del usuario/plantillas

administrativas/escritorio y habilitamos la directiva que aparece en pantalla:

48


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- En GNU/Linux: chmod, chown, chgrp, getfacl, setfacl.

CHMOD

CHMOD es un comando que permite cambiar los permisos de acceso de un

archivo según un modo dado. Se pueden aplicar diferentes permisos al

dueño del fichero, al grupo al que el fichero pertenece y al resto de usuarios.

Tipos de permiso de acceso:

Read (lectura): ver el archivo o directorio, sin hacer cambios. l

Write (escritura): puede escribir el archivo, y por tanto, cambiarlo. w

Execute (ejecución): puede ser ejecutado. x

Ahora daremos solo permiso de lectura a un archivo; para ello introducimos el

comando

Ahora le aplicaremos permisos de lectura y ejecución al archivo prueba2

Por último le daremos control total a ese archivo para todos los usuario

49


SEGURIDAD Y ALTA DISPONIBILIDAD

CHOWN

Adopción de pautas de seguridad

informática

El comando chown permite cambiar el propietario de un archivo o directorio en

sistemas tipo UNIX. Puede especificarse tanto el nombre de un usuario, así

como el identificador de usuario (UID) y elidentificador de grupo (GID).

Opcionalmente, utilizando un signo de dos puntos (:), o bien un punto (.), sin

espacios entre ellos, entonces se cambia el usuario y grupo al que pertenece

cada archivo.

En el siguiente ejemplo podemos ver como hemos cambiado el propietario del

archivo prueba1 a al usuario prueba:

chgrp

El comando chgrp permite cambiar el grupo de usuarios de

un archivo o directorio en sistemas tipo UNIX. Cada archivo de Unix tiene

un identificador de usuario (UID) y un identificador de grupo (GID), que se

corresponden con el usuario y el grupo de quien lo creó.

En el siguiente ejemplo se observa que hemos cambiado el grupo del archivo

prueba1 de niko a prueba.

Setfacl

Existen dos tipos de ACLs: acceso ACLs y ACLs predeterminado. Un acceso a

ACLs es la lista de control de acceso para un archivo o directorio específico. Un

ACLs predeterminado sólo puede ser asociado con un directorio, si un archivo

dentro del directorio no tiene un acceso ACL, utiliza las reglas del ACL

predeterminado para el directorio. Los ACLs predeterminado son opcionales

50


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Por ejemplo, para otorgar permisos de lectura y escritura para el usuario

prueba sobre el archivo prueba1

getfacl

El comando getfacl nos permite mostrar los ACLs.

La opción -R permite ver los ACLs de forma recursiva

La opción -L para el enrutamiento de los enlaces simbólicos

Para ver todas las ACLS de nuestro sistema introducimos el comando de la

imagen:

Aquí podemos observar las listas de acceso existentes en nuestro equipo

51


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

i) Utiliza el sotware “Windows SteadyState”, y crea un pequeño

informe de las posibilidades del mismo, desde un punto de vista

de seguridad informática

Windows SteadyState es un programa que nos permite varios aspectos

relacionados con la seguridad de nuestro equipo, en concreto estas

configuraciones se pueden aplicar al equipo en concreto o a la cuenta del

usuario.

Algunas de las opciones mas atractivas que encontramos en este programa

son las siguientes:

En primer lugar podremos establecer restricciones al equipo:

52


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Algunas de las restricciones mas importantes que apreciamos en el son las de

quitar el nombre de usuario administrador de la pantalla de bienvenida, quitar la

opción de apagar y suspender de la pantalla de bienvenida:

También podremos activar las actualizaciones automáticas en nuestro sistema:

53


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Este programa también nos permite proteger nuestro disco duro pudiendo

conservar los cambios realizados en nuestro equipo durante un cierto tiempo o

activar la opción de conservar los cambios permanentemente:

Por ultimo si activamos la protección de nuestro disco duro deberemos de

indicar el tamaño de la cache nuestro disco duro:

54


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Como conclusión podremos indicar que esta herramienta nos ofrece varias

características interesantes para administrar la seguridad local de nuestro

equipo por tanto es recomendable el uso de esta aplicación en todos los

equipos en los que se quiera proporcionar un alto nivel de seguridad.

55


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

j) Busca aplicaciones “congelador” disponibles para Windows y

GNU/Linux como “DeepFreeze”. Indica que protección ofrecen.

Freezadores de PC - Congeladores de Discos Duros (con crack y/o serial)

Los congeladores de disco duro son como su nombre lo menciona te congela el

disco duro que selecciones La mayoria de las veces se utilizan en los equipos

de un laboratorio de equipos escolar o un cibercafé, una biblioteca o incluso en

casa.

Debido que tiene congelado el disco duro todo programa, virus, paginas

visitadas, y todo lo que se haga en el equipo cuando esta activado el

congelador en un reinicio se borra todo y que queda el equipo en un estado

Como se dejo

Algunos de los programas congeladores más importantes son:

CleanSlate

Clean Slate controla los cambios

que los usuarios realizan en el PC

de tal forma que el administrador

pueda revertirlos o simplemente

dejarlos sin efecto.

El programa está diseñado para

garantizar la integridad de un

sistema operativo utilizado por

varios usuarios inexpertos o

malintencionados. En una serie de

ventanas, el administrador puede

controlar los privilegios y

permisos. El principal se refiere a que la alteración de los archivos de sistema

no es permanente. Cuando un usuario reinicie su sesión todo volverá a estar

como estaba: ficheros borrados, programas instalados, descargas,virus,

troyanos, carpetas, iconos, etc.

De esta manera, no existe riesgo de que el ordenador se infecte, modifique su

configuración de rendimiento óptimo o cambie la estructura de archivos.

Suele ocurrir que en cada casa el más avezado en informática se ocupa de

arreglar el ordenador cuando algo va mal y según éste, los demás se encargan

de estropearlo. Clean Slate ofrece una solución definitiva para conflictos de

este tipo porque los cambios sólo los autoriza el administrador.

56


SEGURIDAD Y ALTA DISPONIBILIDAD

DeepFreeze Enterprize

Adopción de pautas de seguridad

informática

Deep Freeze permite a los administradores proteger

el sistema operativo y el software de una estación de

trabajo sin restringir el acceso al usuario. Cada vez

que se reinicia el sistema, Deep Freeze restablece la

computadora a su estado original, hasta el último

byte. Como resultado, los entornos informáticos son

más fáciles de manejar, los costosos activos

informáticos funcionan a un 100% de su capacidad y

las estaciones de trabajo gozan de inmunidad total

contra configuraciones incorrectas del software, virus, programas maliciosos

(malware) y programas espías (spyware). Deep Freeze Enterprise edition

puede proteger múltiples computadoras en redes LAN o WAN distribuidas o en

Internet.

Beneficios de Deep Freeze

Ofrece a los administradores de informática la capacidad de entregar una

estación de trabajo limpia y sistemática en todas y cada una de las sesiones.

Libera al personal de IT de tediosas reparaciones de sistema provocadas por

software dañado, virus, software malicioso y software espía. Permite que los

usuarios disfruten de una experiencia informática ilimitada y sin

complicaciones. Incrementa el control del departamento de informática sobre

los sistemas de la empresa a través de las capacidades de gestión e

implementación de redes. Reduce el tiempo y dinero que las organizaciones

destinan a reparaciones informáticas.

DriveShield Plus

DriveShield es un potente escudo protector que mantiene a salvo tu sistema de

cambios de potencial peligrosidad, recuperando la configuración original de la

máquina cada vez que la reinicies.

Tienes total libertad para descargar ficheros, borrar datos del disco duro,

cambiar configuraciones del sistema, instalar aplicaciones, tocar cosas del

registro... todo ello sin miedo de "cargarte" el PC, ya que todos esos cambios

desaparecerán y el sistema volverá a su estado original con un simple reinicio.

57


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

El programa se ejecuta en segundo plano, mostrando un icono en la bandeja

de sistema desde el que se puede activar o desactivar la protección (siempre

mediante la contraseña de administración). De esta manera, los cambios que

realices en el sistema sólo se guardarán cuando tú quieras.

Una práctica utilidad para probar y cambiar cosas en tu PC sin temor a un

desastre informático. Protege toda la información de su computadora.

Durante el proceso de instalación, DriveShield crea un área de almacenamiento

temporal donde serán guardados los cambios una vez que se active el

DriveShield. Es así como trabaja DriveShield, por esta razón, cualquier cambio

será descartado al reiniciar la computadora, dejando todos los archivos en su

estado original.

Cararcteristicas:

CONCLUSIÓN

Evita cualquier cambio accidental o intencional.

Evita que entren virus en su computadora.

Evita el espionaje en su computadora.

Menos horas hombre para el mantenimiento de los equipos.

Especial para los encargados de centros de cómputo de

Escuelas.

Como conclusión podemos destacar que el mejor programa para realizar

operaciones de control de la modificación de nuestro sistema operativo es

DeepFreeze puesto que es el programa que tiene las opciones más atractivas

y el que mejor resultados ofrece.

58


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

k)Utiliza el software “Keepass Passwrod Safe”, y crea un pequeño

informe de las posibilidades del mismo, desde un punto de vista

de seguridad informática.

En file seleccionamos la opción new para crear un nuevo contenedor de

contraseñas:

Ahora procederemos a introducir la contraseña de la base de datos e

contraseñas que vamos a crear:

59


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez creada la base de datos de contraseñas podremos añadir varios

nombre de usuario y contraseñas en las categorías existentes:

Por ejemplo creare un usuario y una contraseña en la sección Windows; para

ello botón derecho add entry:

Ahora deberemos de rellenar los campos que existen y pulsar sobre ok:

60


SEGURIDAD Y ALTA DISPONIBILIDAD

3. TÉCNICAS DE CIFRADO:

a) Cifrado simétrico :

- Uso de GPG.

Cifrado simétrico

Adopción de pautas de seguridad

informática

Para cifrar simétricamente un documento utilizamos la opción -c. Su invocación

es como sigue:

gpg -c documento_que_cifrar

Para descifrar el documento introducimos el siguiente comando e introducimos

la contraseña de cifrado:

$ gpg documento_cifrado.gpg

61


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- Uso de PGP.

1.- Primero debemos de a aplicaciones y una vez allí ejecutar el programa

contraseñas y claves de cifrado.

2.-Una vez realizado nos dirigiremos a la pestaña contraseñas y crearemos una

nueva contraseña, para ello archivo crear nueva….

3.- Una vez realizados los pasos anteriores debemos de elegir la opción clave

pgp.

4.-Ahora deberemos de rellenar los campos requeridos para crear la

contraseña.

62


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

5.- Para cifrar una carpeta u archivo únicamente debemos de hacer doble click

sobre dicho archivo y pulsar sobre la opción cifrar.

63


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

6.- Una vez hechos los pasos anteriores debemos de seleccionar la contraseña

de cifrado con la que queremos cifrar el archivo.

6.- Ahora deberemos de seleccionar las opciones deseadas y confirmar la

encriptación del archivo. Una vez realizados estos pasos habremos cifrado el

archivo o carpeta.

64


SEGURIDAD Y ALTA DISPONIBILIDAD

b) Cifrado de datos y particiones:

Adopción de pautas de seguridad

informática

- En Windows: Uso de TrueCrypt.

En primer lugar deberemos de crearnos un nuevo volumen:

En la primera pantalla seleccionamos la opción que viene por defecto:

65


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Seleccionamos la opción standard truecrypt volumen puesto que el volumen no

estará oculto:

Ahora crearemos el contenedor del volumen en nuestro caso se ubicara en mis

documentos:

66


SEGURIDAD Y ALTA DISPONIBILIDAD

Ahora seleccionaremos el algoritmo de encriptación:

Ahora seleccionaremos el tamaño del volumen:

Introducimos la contraseña del volumen:

Adopción de pautas de seguridad

informática

67


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora pulsamos sobre format para darle formato a nuestra partición:

Ahora seleccionamos el volumen creado

68


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez seleccionado el volumen seleccionamos la opción mount, ahora nos

pedirá la contraseña del volumen, una vez introducida la contraseña nuestro

volumen habrá sido montado nuestro volumen:

69


SEGURIDAD Y ALTA DISPONIBILIDAD

c) Funciones HASH

Adopción de pautas de seguridad

informática

- En Window: md5sum.

Con md5sun podremos observar el hash para verificar la itegridad de los

archivos y saber si estos no han sido modificados.

Aquí podremos ver un primer ejemplo de un documento de Word:

Aquí podremos ver un primer ejemplo de un documento con extensión .rar:

- En GNU/Linux: md5sum.

Aquí podremos ver un primer ejemplo de un documento de Word:

70


SEGURIDAD Y ALTA DISPONIBILIDAD

d) Cifrado asimétrico:

- En GNU/Linux: gpg.

Criptografía asimétrico

Adopción de pautas de seguridad

informática

Los algoritmos de cifrado asimétrico utilizan dos claves para el cifrado y

descifrado de mensajes. Cada persona involucrada (receptor y emisor) debe

disponer, por tanto, de una pareja de claves pública y privada.

Para generar nuestra pareja de claves con gpg utilizamos la opción --gen-key:

$ gpg --gen-key

Una vez introducido el comando anterior deberemos de configurar la clave

privada eligiendo aspectos como es el tipo de clave el tamaño de la clave y la

validez de la misma

Cifrado asimétrico con claves públicas

Para encriptar asimétricamente introducimos el siguiente comando:

$ gpg -a -r niko --encrypt documento

71


SEGURIDAD Y ALTA DISPONIBILIDAD

4. IDENTIDAD DIGITAL:

a) Firma digital de un documento

- En GNU/Linux: gpg.

Firma digital de un documento

Adopción de pautas de seguridad

informática

Con la firma de un documento, nos aseguramos de que los destinatarios de

éste, no tengan duda de que el autor del mensaje es quien dice ser

(autenticidad), y de que el documento no ha sido modificado por nadie

(integridad). Para firmar un documento lo haremos de la siguiente forma:

$ gpg -sb -a documentoafirmar

Una vez introducido el comando anterior nos pedirá la contraseña del

certificado creado anteriormente:

El programa nos pedirá la contraseña de nuestra clave privada puesto que ésta

es necesaria para firmar el documento, y el resultado será un archivo

prueba3.asc que contiene la firma digital.

Para verificar que la firma es correcta, debemos poseer tanto el documento

original como el archivo de firma, y bastará con ejecutar gpg sobre el archivo

de firma:

$ gpg documentoafirmar.asc

72


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

b) Certificados digitales. - Busca que Autoridades Certificadoras

Admitidas de certificados digitales existen en España. Describe el

proceso para la obtención del certificado digital. Visita la web

www.fnmt.es

Autoridades Certificadoras:

CERES (CERtificación Española)

* AC Abogacía

* ANCERT – Agencia Notarial de Certificación

* ANF AC

* Autoritat de Certificació de la Comunitat Valenciana – ACCV

* Banesto CA

* AC Camerfirma

* CATCert

* CERES Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda

(FNMT-RCM)

* CertiVer

* CICCP

* Colegio Oficial de Arquitectos de Sevilla

* Dirección General de la Policía y de la Guardia Civil – Cuerpo Nacional de

Policía

* EADTrust

* EDICOM

* Firmaprofesional

* Gerencia de Informática de la Seguridad Social

* Healthsign

* ipsCA

* Izenpe

* Ministerio de Defensa de España

* Registradores de España

* Santander

* Servicio de Salud de Castilla-La Mancha (SESCAM)

PROCESO DE OBTENCIÓN

El proceso se divide en tres apartados que deben realizarse en el orden

señalado.

ES IMPRESCINDIBLE:

No formatear el ordenador. Se debe realizar todo el proceso de obtención

desde el mismo equipo, con el mismo usuario y el mismo navegador. No

realizar actualizaciones en el equipo mientras dure el proceso.

Es importante leer atentamente la Declaración de Prácticas de Certificación

previamente a la Solicitud del certificado. En ella se encuentran las condiciones

bajo las cuales se prestan los servicios de Certificación.

73


SEGURIDAD Y ALTA DISPONIBILIDAD

1 Solicitud vía internet de su Certificado.

Adopción de pautas de seguridad

informática

Al final de este proceso obtendrá un código que deberá presentar al acreditar

su identidad.

2 Acreditación de la identidad en una Oficina de Registro.

Si usted ha solicitado un certificado de persona fisica, puede dirigirse a

cualquiera de las Oficinas de Registro de los Organismos acreditados.

Para su comodidad, puede usted hacer uso de nuestro servicio de localización

de las OFICINAS MÁS CERCANAS.

Tenga en cuenta que si usted ha solicitado un certificado de persona jurídica (o

de entidad sin personalidad jurídica) para el ámbito tributario o para el ámbito

de la Comisión Nacional del Mercado de Valores, debe dirigirse únicamente y

según proceda a las Oficinas de Registro de dichos organismos.Para este tipo

de Certificados el registro de usuario es exclusivamente presencial.

3. Descarga de su Certificado de Usuario.

Unos minutos después de haber acreditado su identidad en una Oficina de

Registro, haciendo uso del código de solicitud obtenido en el paso 1, podrá

descargar su certificado desde esta página web entrando en el apartado

Descarga del Certificado.

.

¿Es válido para todos los navegadores web?

NO solo es compatible con Internet explorer y firefox

¿Puede emplearse para firmar otro tipo de archivos?

Si además de documentos se pueden firmar email, documentos de texto y todo

tipo de archivos.

¿Es posible exportarlo o solamente se puede emplear en un solo equipo?

Si, es posible exportar la firma electrónica si se trata del certificado de DNI,

porque haremos uso de el lector.

Si se trata del usuario electrónico el certificado esta instalado en nuestro

navegador, entonces no podemos explotarlo en diferentes equipos.

Procese de exportación:

Una vez obtenido el Certificado Digital (Firma Digital), ya puede hacer uso de

éste a través del mismo equipo y navegador desde el que realizó el proceso.

Sin embargo, es muy recomendable que el usuario realice una copia de

seguridad de su certificado y su correspondiente clave privada. De esta

74


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

forma no sólo puede instalarlo en otros navegadores, sino que además no lo

perderá en caso de problemas con su equipo actual

Exportar

Para exportar la firma digital una vez instalada en el navegador (si usa Internet

Explorer), debe ir a:

Herramientas => Opciones de Internet => Contenido => Certificados =>

Personal

Ahí se indican los certificados (las firmas digitales) que hay disponibles en este

navegador.

Seleccione con el ratón la firma que desea Guardar, y pulse el botón

Exportar.

Indique en el siguiente menú que desea exportar la clave privada, que

es la que podrá instalar en otro navegador para firmar documentos.

Indique una contraseña que protegerá su firma, y que se le pedirá cada

vez que opere con ella.

Guarde esta firma en un directorio y un archivo cuyo nombre vaya a

recordar posteriormente.

Normalmentre, se creará un fichero de tipo .pfx, que deberá guardar en un

disquete o CD.

También puede exportar su certificado sin clave privada, que es el que

puede entregar a otros para que confirmen su identidad cuand les envíe datos

o mensajes.

Para exportar su certificado con clave pública haga lo siguiente:

Seleccione con el ratón la firma que desea Guardar, y pulse el botón

Exportar.

Indique en el siguiente menú que desea exportar sin clave privada.

Seleccione el formato X.509 Base 64. Guarde este certificado en un

directorio y un archivo cuyo nombre vaya a recordar posteriormente

Normalmentre, se creará un fichero de tipo .cer, que deberá guardar en un

disquete o CD

Importar

Si posteriormente formatea el disco duro o pierde la firma digital en el

navegador, deberá importar la firma desde el CD o disquete donde la guardó.

Para ello, debe abrir el navegador igual que ha hecho anteriormente (si usa

Internet Explorer):

Herramientas => Opciones de Internet => Contenido => Certificados =>

Personal

75


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Seleccione el botón Importar y siga adelante hasta que en el menú le

pidan el nombre del fichero que guarda la firma digital que quiere

importar desde disquete o CD.

Seleccione el fichero de la firma con el botón Examinar, e introduzca la

contraseña con la que protegió este fichero.

Seleccione "Habilitar protección segura de Claves" y "Marcar esta clave

como exportable".

Siga adelante aceptando los menús de importación, y finalmente se le

informará que la clave se ha importado con éxito.

La firma digital que acaba de importar debe aparecee en la pestaña "Personal",

que es la que contiene sus firmas personales.

Si la firma digital que acaba de importar aparece en la pestaña "Otras

Personas", esto indica que no exportó la firma correctamente (probablemente

no seleccionó guardar la clave privada). Debe exportar nuevamente la firma

desde el navegador donde la instaló correctamente o debe localizar de nuevo

el fichero en el que guardó la firma con clave privada.

¿Qué precauciones podemos tener con el certificado digital en cuanto a

protección mediante contraseñas a la exportación?

Las precauciones que debemos utilizar es, tener contraseñas con mayúsculas

minúsculas, números, caracteres especiales, la contraseña debe tener un

mínimo de 8 dígitos, y se debe cambiar cada cierto tiempo para mayor

seguridad.

76


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

c) Certificados digitales.- Revisa en la web www.camerfirma.com ,

uno de los usos que tiene el certificado digital para la firma y el

envío de correos electrónicos con certificado digital. Describe el

proceso. ¿Qué garantiza?. ¿Qué es S-MIME?.

El certificado también puede ser utilizado por algunos agentes de correo

electrónico, como por ejemplo, MS Outlook. Para ello es necesario que la

dirección de correo electrónico incluida en el certificado (proporcionada en el

momento de la acreditación) coincida con la dirección de correo que queremos

utilizar para enviar un correo firmado.

Al igual que en los casos anteriores, el utilizar certificados con los agentes de

correo electrónicos proporciona confidencialidad a la información e integridad y

no repudio.

De esta forma, si queremos cifrar nuestros mensajes con el certificado

deberemos:

1. Tener instalados los certificados de aquellos para los que queremos cifrar.

Para ello aquellos a los que hayan querido establecer comunicaciones cifradas

con nosotros, deberán haber exportado su certificado sin clave privada y

habérnoslos proporcionado.

2. Una vez construido el mensaje buscaremos en la barra de herramientas una

opción que es cifrar, lo pulsaremos, y aparecerá un símbolo (candado),

indicando que el mensaje va a ser mandado cifrado. Por supuesto, deberemos

seleccionar aquellas personas para las que queremos cifrar y que se

corresponderán con los certificados de “Otras personas” que tengamos

instalado en nuestro navegador (evidentemente, estos certificados no

contienen la clave privada correspondiente)

Si queremos firmar electrónicamente nuestros correos:

1. Componemos el mensaje que queremos firmar

2. Para firmarlo buscaremos en la barra de herramientas un botón que dice

firmar, lo pulsaremos y automáticamente aparecerá un símbolo (distintivo)

indicando que dicho mensaje es firmado por el emisor. Evidentemente, el

mensaje será firmado con nuestra clave privada asociada a nuestro certificado

y que está bajo nuestro exclusivo control, por eso se garantiza nuestra

identidad como firmantes.

Como corolario de este apartado, señalar que la dirección de correo

electrónico es uno de los datos anejos al certificado y que va avalada con la

firma del Prestador de Servicios de Certificación. Por este motivo, el cambio de

dirección de correo electrónico, para que se vea reflejado en el propio

77


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

certificado, ha de ser notificado en una nueva emisión de certificado. La propia

firma electrónica que el prestador de servicios de certificación realiza al

certificado, garantiza integridad en los datos de éste, por tanto y por definición,

los datos no pueden ser variados sin que se “refirme” el certificado, esto es, sin

que se emita uno nuevo.

En otras palabras, los datos contenidos en un certificado están firmados

electrónicamente por la autoridad de certificación o prestador de servicios de

certificación, por tanto, no se pueden variar “alegremente” sino que el

certificado en sí mismo ha de ser regenerado.

El S/MIME (Secure MIME o Secure Multipurpose Mail Extension) es un proceso

de seguridad utilizado para el intercambio de correo electrónico que hace

posible garantizar la confidencialidad y el reconocimiento de autoría de los

mensajes electrónicos.

El S-MIME está basado en el estándar MIME, cuyo objetivo es permitir a los usuarios

adjuntar a sus mensajes electrónicos archivos diferentes a los archivos de

texto ASCII (American National Standard Code for Information Interchange). Por lo

tanto, el estándar MIME hace posible que podamos adjuntar todo tipo de archivos a

nuestros correos electrónicos.

78


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

d) Certificados digitales.- Realiza los trámites para la obtención de

tu certificado digital.

- ¿Dónde lo tienes que descargar?

- ¿Dónde tienes que ir a recogerlo?

- ¿Qué caducidad posee?

- Instalarlo en Internet Explorer y Mozilla Firefox.

- Una persona que acceda a nuestro equipo en el que tenemos instalado

un certificado digital, ¿puede acceder a distintos sitios web de información

personal de tipo legal?.

- ¿Dónde lo tienes que descargar?

IMPORTANTE

La obtención del certificado de usuario solo podrá ser realizada desde el mismo

equipo y navegador desde el que se realizó la solicitud.

PASOS A SEGUIR

Nota: Las imágenes presentadas podrán variar en función de la versión de su

navegador.

1. Comienzo del proceso

En la página web encontrará la siguiente ventana:

Deberá cumplimentar los datos que se le presenten y pinchar el botón "Enviar

petición".

En el caso de que la cumplimentación se haya realizado de forma incorrecta el

navegador le mostrará una página informándole del error y deberá

cumplimentar de nuevo los datos.

2. Información acerca del éxito de la operación.

Una vez que el navegador haya obtenido el certificado le mostrará la siguiente

pantalla:

79


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Si quiere ver el certificado que ha recibido pulse "Mostrar certificado" (paso 3).

Para finalizar con la instalación del certificado pulse "Aceptar".

3. Información del certificado

Si pulsa el botón "Ver certificado" el navegador le mostrará información sobre el

titular, el emisor del certificado, su número de serie, su fechas de validez y su

huella digital.

Para finalizar con la instalación del certificado pulse "Aceptar". El Certificado de

Usuario habrá quedado instalado en su navegador Mozilla Firefox.

4. Copia del certificado

Su navegador le pedirá que realice una copia del certificado.

80


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Debe pulsar el botón "Guardar como" y el navegador le pedirá una clave para

cifrar los datos del certificado.

Posteriormente, se proceder del modo habitual como se trabaja en Windows

para guardar un fichero, seleccionando una unidad, una ruta y un nombre y

pulsando el botón "Guardar".

5. Comprobación

Para ver el certificado que has instalado, siga las siguientes intrucciones:

Diríjase al menú 'Herramientas'

Seleccione 'Opciones'

Seleccione el icono 'Avanzado'

En 'Certificados' pulse el botón

Seleccione la solapa 'Encriptación'

81


SEGURIDAD Y ALTA DISPONIBILIDAD

- ¿Dónde tienes que ir a recogerlo?

Adopción de pautas de seguridad

informática

Deberemos de ir a recogerlo a algún estamento oficial como es la seguridad

social, una comisaría de policía…..

- ¿Qué caducidad posee?

Eso depende de la entidad certificadora puede tener una validez de un

año o de varios años.

- Instalarlo en Internet Explorer y Mozilla Firefox.

Internet Explorer

Para ello, debe abrir el (si usa Internet Explorer):

Herramientas => Opciones de Internet => Contenido => Certificados =>

Personal

Seleccione el botón Importar y siga adelante hasta que en el menú le

pidan el nombre del fichero que guarda la firma digital que quiere

importar desde disquete o CD.

Seleccione el fichero de la firma con el botón Examinar, e introduzca la

contraseña con la que protegió este fichero.

Seleccione "Habilitar protección segura de Claves" y "Marcar esta clave

como exportable".

Siga adelante aceptando los menús de importación, y finalmente se le

informará que la clave se ha importado con éxito.

La firma digital que acaba de importar debe aparecee en la pestaña "Personal",

que es la que contiene sus firmas personales.

Si la firma digital que acaba de importar aparece en la pestaña "Otras

Personas", esto indica que no exportó la firma correctamente (probablemente

no seleccionó guardar la clave privada). Debe exportar nuevamente la firma

desde el navegador donde la instaló correctamente o debe localizar de nuevo

el fichero en el que guardó la firma con clave privada.

Mozilla Firefox

Instalación personal del certificado

Abrimos la ventana Preferencias del navegador y seleccionamos la

opción Avanzado y la pestaña cifrado.

82


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Pulsamos sobre el botón Ver certificados y la pestaña Autoridades. En este

punto pulsamos el botón importar y cargamos el fichero FNMTClase2CA.cer

que nos hemos descargado de la FNMT. Se nos abrirá una ventana en la que

seleccionaremos Confiar en esta CA para identificar sitios web

Ya nos aparecerá la FNMT como entidad certificadora válida. Esto habrá que

repetirlo para todos los usuarios del sistema, ya que este cambio se realiza en

las opciones de iceweasel de cada usuario.

83


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una persona que acceda a nuestro equipo en el que tenemos instalado un

certificado digital, ¿puede acceder a distintos sitios web de información

personal de tipo legal?.

No podrá puesto que necesitara introducir una clave para obtener ese tipo

de acceso.

84


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

e)Certificados digitales/ DNIe. – Realiza una búsqueda de los

servicios de empresas como bancos, y de la administración

pública (seguridad social, hacienda, etc) a los que se puede

acceder de forma segura, mediante certificado digital y mediante

DNIe.

Servicios a los que se puede acceder con el DNIe:

85


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

86


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- Acceder a un organismo público en Internet utilizando el Dni-e.

PROCESO DE INSTALCIÓN DE UN LECTOR DE DNI

Una vez introducido el CD seleccionamos el idioma del asistente de instalación:

Ahora elegimos la opción Instalación Lector y DNIe:

Ahora seleccionamos nuestro SO en nuestro caso Windows:

87


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora nos aparecerá un asistente de instalación. En primer lugar pulsamos

sobre siguiente:

Ahora aceptamos la licencia:

88


SEGURIDAD Y ALTA DISPONIBILIDAD

Posteriormente seleccionamos lo que deseamos instalar:

Adopción de pautas de seguridad

informática

Una vez finalizado el proceso de instalación pulsaremos sobre terminar

89


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Para configurar un dni deberemos de reiniciar nuestro ordenador.

Una vez instalado la aplicación del lector procederemos a acceder a una

página web con nuestro certificado:

En primer lugar descargaremos nuestro certificado electrónico:

Una vez creado el certificado procederemos a identificarnos en un sitio web:

90


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora importaremos el certificado, para ello nos dirigimos a la sección de

opciones y avanzado, una vez allí nos dirigimos a la sección de cifrado e

importamos el certificado.

Una vez realizado el paso anterior podremos ver nuestro certificado de DNI en el

administrador de certificados:

91


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora accederemos a la DGT con nuestro dni, para ello seleccionaremos la

opción consultar los puntos y antecedentes (con certificado):

92


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora nos aparecerá una pantalla en la que deberemos de elegir nuestro

certificado, una vez elegido pulsamos sobre aceptar:

Ahora podremos observar como hemos accedido a la pagina web de la dgt

93


SEGURIDAD Y ALTA DISPONIBILIDAD

EN LINUX

Adopción de pautas de seguridad

informática

Una vez instalado nos dirigimos a aplicaciones/ oficina/registrar modulo DNI PKCS:

Ahora nos aparecerá el proceso de importación del certificado:

94


SEGURIDAD Y ALTA DISPONIBILIDAD

SEGURIDAD EN LA RED CORPORATIVA:

Adopción de pautas de seguridad

informática

5. AMENAZAS Y ATAQUES EN REDES CORPORATIVAS:

a)Identidad digital.- ¿Qué diferencias existen entre la instalación

de un certificado en un servidor web y un servidor de

certificaciones?. Busca cómo se instala y qué opciones ofrece el

servidor de certificados integrados en el servidor IIS de Microsoft.

Realiza una petición por parte de un cliente de un certificado

digital.

Un certificado digital de servidor es un componente que habilita las siguientes

características de seguridad en un servidor WEB:

Cifrado de datos: Los datos intercambiados entre el navegador del

usuario y el servidor se cifrarán, con lo que no serían directamente

inteligibles en caso de intercepción en su tránsito por la red. Esta

característica es muy útil si se utilizan formularios para que el

usuario envíe datos críticos o personales, o si el contenido del web o

parte del mismo es un área privada cuyos datos son confidenciales

y deben ser únicamente accesibles por un grupo cerrado de

personas.

Autenticación del servidor: El visitante podrá saber que el propietario

de la web indicada en el certificado ha seguido un proceso de

identificación ante un tercero (autoridad de certificación) que es

quien emite el certificado. Este proceso de identificación varía según

el emisor del certificado y el tipo de certificado, y puede ir desde la

validación por correo electrónico del propietario del dominio hasta la

validación documental de la existencia de la organización propietaria

del dominio.

Sin embargo un servidor de certificaciones genera a los certificados digitales a

los equipos que se lo soliciten.

Instalar una entidad emisora de certificados en Windows 2003

server.

En este post voy a mostrar como instalar básicamente una entidad emisora de

certificados, la finalidad de esta acción en nuestro caso será poder preparar

esta entidad emisora de certificados para emitir un certificado para poder

configurar OWA por HTTPS en nuestro Exchange 2003.

95


SEGURIDAD Y ALTA DISPONIBILIDAD

Los pasos que deberemos seguir son:

Adopción de pautas de seguridad

informática

Id a Agregar o quitar programas y Agregar o quitar componentes de

Windows

Marcad Servicios de Certificate Server.

96


SEGURIDAD Y ALTA DISPONIBILIDAD

Pulsad Sí y pulsad sobre Siguiente.

Pulsad Siguiente.

Adopción de pautas de seguridad

informática

97


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Escribid un nombre en el campo Nombre común para esta entidad emisora

de certificados y pulsad Siguiente.

Pulsad Siguiente.

Ahora ya tendremos instalado nuestro servidor de certificados.

98


SEGURIDAD Y ALTA DISPONIBILIDAD

b) Seguridad en redes corporativas:

Adopción de pautas de seguridad

informática

- Windows: Uso de Caín & Abel como Sniffing – MitM- ARP

Spoofing – Pharming.

Una vez instalado deberemos de seleccionar la tarjeta de red a través de la

cual queremos recopilar la información:

99


SEGURIDAD Y ALTA DISPONIBILIDAD

Ahora seleccionamos start sniffer:

Ahora en la sección snifer veremos los resultados

Adopción de pautas de seguridad

informática

100


SEGURIDAD Y ALTA DISPONIBILIDAD

ARP SPOOFING

Adopción de pautas de seguridad

informática

En primer lugar en la pestaña sniffer pulsamos sobre la cruz azul. Una vez allí seleccionamos el

equipo sobre el que queremos realizar un arp poison:

Una vez seleccionado el equipo pulsamos sobre la opción start/stop ARP:

101


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora podemos ver como aparecen los pauetes en la sección de abajo:

Man in the middle

Ahora nos dirigimos a la pestaña password y podemos observar que hemos

capturados paquetes de acceso a ciertas páginas web y que aparece su

contraseña y su nombre de usuario:

102


SEGURIDAD Y ALTA DISPONIBILIDAD

PHARMING

Adopción de pautas de seguridad

informática

Nos dirigimos a la pestaña ARP DNS , una vez allí seleccionamos la cruz azul:

En la pantalla que nos aparece introducimos la dirección ip que la que deseamos realizar ek

phishing:

103


SEGURIDAD Y ALTA DISPONIBILIDAD

Como resultado obtendremos esta pantalla:

Adopción de pautas de seguridad

informática

104


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- GNU/Linux: Uso de ArpWatch

En primer lugar debemos de seleccionar la interfaz de red que usaremos en

nuestro caso será la eth0:

Ahora ejecutamos arpwtch –dN para poder ver las conexiones existentes en

nuestro equipo y la MAC de los equipos que han iniciado una sesión con

nuestro equipo.

105


SEGURIDAD Y ALTA DISPONIBILIDAD

c) Seguridad en redes corporativas:

Adopción de pautas de seguridad

informática

- Uso de netstat para análisis de puertos en Window y GNU/Linux.

En Windows:

Aquí vemos las conexiones existentes en nuestro PC:

En linux:

Aquí vemos las conexiones existentes en nuestro PC:

106


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- Uso de un análisis de puertos on line:

En esta pagina web podremos escanear todos los puertos o unos puertos

específicos. En mi caso analizare los puertos mas habituales:

EN la siguiente imagen vemos el estado de los puertos de mi equipo:

107


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

d)Uso de la distribución Backtrack de GNU/Linux con la finalidad

de investigar sobre la inyección de código SQL (SQL Inyection) con

la finalidad de obtener las tablas de usuarios y contraseñas de las

bases de datos de sitios web.

Prueba en un sitio web en el que sea necesario registrarse.

¿Qué tipo de precauciones tendrías como administrador web

para evitar inyecciones SQL?

Una vez arrancado el equipo seleccionamos la opción BackTrack

debug – safe mode:

108


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez arrancado el backtrack nos dirigimos a inicio/exploration

tolos/database explore/mysqlexploration/sqlmap:

Para realizar un ataque de deberemos de introducir el comando

resaltado en la imagen:

109


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora para finalizar intentaremos acceder a la base de datos y a

la tabla de una página web específica, para ello introducimos el

comando especificado en pantalla:

Precauciones tendrías como administrador web para evitar

inyecciones SQL

Uno de los ataques más frecuentes en los últimos tiempos es una variación

de las clásicas inyecciones de SQL: la inyección de SQL por URL. Se trata en

esencia de pasar en la URL una cadena SQL para tratar de que el sistema

atacado la ejecute. La principal protección frente a este tipo de situaciones es

un buen diseño de la aplicación, protegerse de cross site scripting, de

los ataques de inyección en general, y de los de SQL en particular y utilizar

un enfoque de continua defensa cuando se desarrollan soluciones. Por

ejemplo, utilizar consultas parametrízadas siempre nos evitará un motón de

quebraderos de cabeza relacionados con las inyecciones de SQL (sean por

URL o no y sea la aplicación Web o de escritorio).

Algunas aplicaciones para poder evitar los ataques por inyección sql son:

UrlScan 3.0 o Request Filtering: UrlScan es un filtro ISAPI que pemite

restringir el tipo de URLs que nuestro servidor va a procesar. Bloqueando

ciertos tipos de peticiones HTTP por URL vamos a poder para ciertos tipos de

ataques que utilizan la URL como vector. UrlScan no solo aplica para los

110


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

ataques de inyección de SQL por URL, sino también para inyecciones de otro

tipo o inyecciones que usen cabeceras. Podéis descargar

UrlScan gratuitamente, tanto para servidores de 32 como de 64 bits. Además

el equipo de IIS ha publicado una configuración de UrlScan diseñada para

evitar los ataques de inyección de SQL, entre muchas otras. Es importante

destacar que se debe usar la versión 3.0 de UrlScan (actualmente en beta),

pues versiones anteriores no analizaban lo que se pasaba en el query string,

solo analizaban la URL. Se puede usar esta herramienta con IIS 5, 6 y 7, si

bien es cierto que en IIS 7 la funcionalidad de UrlScan se ha incluido en un

módulo llamado Request Filtering con el que podemos

usar denyUrlSequence para especificar que elemento nos son permitidos en

las URLs.

IIS 6 SQL Injection Sanitation ISAPI: Es un proyecto que podemos

encontrar en Codeplex y que consiste en un filtro ISAPI especialmente

dedicado a frenar ataques de inyección por SQL. En principio creo que la

opción mas interesante es UrlScan, pero este proyecto nos proporciona el

código fuente y es sin duda interesante para ante situaciones de ataques

específicos saber como desarrollar una 'antidoto' especifico para la solución.

Además este ISAPI es más simple de desplegar y configurar que UrlScan,

aunque también es mucho menos flexible y potente.

111


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED:

a) Configura en modo seguro un switch CISCO (Packet Tracer)

Seguridad de usuario:

Crearemos una contraseña segura para nuestro switch para ello introducimos:

Enable secret inves

Seguridad de puerto en switches Cisco

Con el objetivo de incrementar la seguridad en una red LAN es posible

implementar seguridad de puertos en los switches de capa de acceso, de

manera de permitir que a cada puerto se conecte sólo la estación autorizada.

Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo

que resumiré a continuación.

Dirección MAC segura estática

Introduciendo el siguiente comando solo la mac indicada podrá usar el puerto

especificado:

SwA(config-if)#int f0/1

SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

Numero máximo de mac permitidas:

switchport port-security maximum [cant MAC permitidas]

Esta opción permite definir el número de direcciones MAC que está permitido

que se conecten a través de la interfaz del swtich. El número máximo de

direcciones permitidas por puerto es 132.

Es importante tener presente que este feature también limita la posibilidad de

ataque de seguridad por inundación de la tabla CAM del switch.

112


SEGURIDAD Y ALTA DISPONIBILIDAD

Dirección MAC segura dinámica

Se aprende del tráfico que atraviesa la interfaz.

Se la guarda en la tabla de direcciones MAC.

Se pierde cuando se reinicia el equipo.

SwA(config-if)# switchport port-security

b) Configura en modo seguro un router CISCO

Adopción de pautas de seguridad

informática

Seguridad de usuario:

Crearemos una contraseña segura para nuestro switch para ello introducimos:

#Enable secret inves

Desactivación de los puertos que no estamos utilizando:

Esta configuración nos permite evitar el acceso de terceros al router a través de

los puertos que encontramos abiertos en nuestro router.

Para ello introducimos el siguiente comando:

113


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

c) Elabora un documento que manifieste las vulnerabilidades en

las capas enlace, red (IP), TCP-UDP y Aplicación (DHCP, DNS, ….) y

como protegerse de las mismas.

1.-Ataque en la Capa Enlace de datos

Las principales amenazas en la capa de aplicación son:

Ataques que usan ARP Spoofing:

Switch Port Stealing (Sniffing):

Utilizando ARP Spoofing el atacante consigue que todas las tramas dirigidas

hacia otro puerto del switch lleguen al puerto del atacante para luego

reenviarlos hacia su destinatario y de esta manera poder ver el tráfico que viaja

desde el remitente hacia el destinatario (Una especie de sniffig half-duplex).

Man in the Middle (Sniffing):

Utilizando ARP Spoofing el atacante logra que todas las tramas que

intercambian las víctimas pasen primero por su equipo (Inclusive en ambientes

switcheados)

Secuestro (Hijacking):

Utilizando ARP Spoofing el atacante puede lograr redirigir el flujo de tramas

entre dos dispositivos hacia su equipo. Así puede lograr colocarse en

cualquiera de los dos extremos de la comunicación (previa deshabilitación del

correspondiente dispositivo) y secuestrar la sesión.

Denial of service (DoS):

Utilizando ARP Spoofing el atacante puede hacer que un equipo crítico de la

red tenga una dirección MAC inexistente. Con esto se logra que las tramas

dirigidas a la IP de este dispositivo se pierdan.

POSIBLES SOLUCIONES

Seguridad inalámbrica: La seguridad en las redes inalámbricas es

sumamente importante, por la facilidad con que cualquiera puede encontrarlas

y acceder a ellas. Cualquier persona con un ordenador portátil puede encontrar

fácilmente el punto de acceso inalámbrico de nuestra red inalámbrica, pudiendo

así ingresar en nuestros archivos, utilizar nuestra conexión a internet, obtener

114


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

datos importantes que se transfieran en la red inalámbrica, etc. Por ejemplo, la

ausencia de seguridad en nuestra red inalámbrica o nuestro punto de acceso a

internet inalámbrico puede hacernos víctimas del piggybacking, del phishing,

del robo de información, etc.

Ataque en la Capa Red (ip)

Sin medidas de seguridad, tanto las redes públicas como las privadas están

expuestas a la observación y el acceso no autorizados. Los ataques internos

pueden ser la consecuencia de una seguridad de intranet mínima o incluso

inexistente. Los riesgos provenientes del exterior de la red privada se originan

en las conexiones a Internet y a extranets. Los controles de acceso de usuarios

basados en contraseñas no protegen por sí solos los datos transmitidos a

través de una red.

Tipos comunes de ataques a redes

Si no se toman medidas de seguridad ni se aplican controles, los datos pueden

ser objeto de un ataque. Algunos ataques son pasivos, en el sentido de que

sólo se observa la información. Otros ataques son activos y se modifica la

información con intención de dañar o destruir los datos o la propia red. Cuando

no se tiene un plan de seguridad, las redes y los datos son vulnerables a todos

los tipos de ataques siguientes:

Espionaje

En general, la mayoría de las comunicaciones por red tienen lugar en formato

de texto simple (sin cifrar), lo que permite al atacante que haya logrado el

acceso a las rutas de datos de una red observar e interpretar (leer) el tráfico. El

espionaje de las comunicaciones por parte de un atacante se conoce como

husmear. La capacidad de los espías para observar la red suele ser el mayor

problema de seguridad que afrontan los administradores de las compañías. Sin

unos servicios de cifrado eficaces basados en criptografía, mientras los datos

atraviesan la red pueden ser observados por terceros.

Modificación de datos

Cuando un atacante ha leído los datos, a menudo el siguiente paso lógico

consiste en modificarlos. Un atacante puede modificar los datos de un paquete

sin que el remitente ni el receptor lo adviertan. Incluso cuando no se requiera

confidencialidad en todas las comunicaciones, no se desea que los mensajes

se modifiquen en su camino. Por ejemplo, si intercambia solicitudes de compra,

no desea que se modifique la información relativa a los artículos, los importes

ni la facturación.

115


SEGURIDAD Y ALTA DISPONIBILIDAD

Suplantación de identidad (direcciones IP ficticias)

Adopción de pautas de seguridad

informática

La mayoría de las redes y sistemas operativos utilizan la dirección IP para

identificar un equipo como válido en una red. En algunos casos, es posible

utilizar una dirección IP falsa. Esta práctica se conoce como suplantación. Un

atacante podría utilizar programas especiales para construir paquetes IP que

parezcan provenir de direcciones válidas dentro de la intranet de una

organización.

Una vez obtenido el acceso a la red con una dirección IP válida, el atacante

podrá modificar, desviar o eliminar datos. También podrá realizar ataques de

otros tipos, como se describe en las secciones siguientes.

Ataque de rechazo de servicio

El ataque de rechazo de servicio impide el uso normal de un equipo o de una

red por parte de los usuarios autorizados.

Una vez obtenido el acceso a una red, el atacante puede hacer lo siguiente:

Distraer al personal de sistemas de información para que no detecte

inmediatamente la intrusión. Esto da al atacante la oportunidad de llevar

a cabo ataques adicionales.

Enviar datos no válidos a aplicaciones o servicios de red para provocar

su cierre o su funcionamiento de forma anormal.

Generar tráfico masivamente hasta provocar el colapso de un equipo o

de toda la red.

Bloquear el tráfico, lo que hace perder el acceso a los recursos de la red

por parte de los usuarios autorizados.

POSIBLES SOLUCIONES

IPSec: IPsec (abreviatura de Internet Protocol security) es un conjunto de

protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de

Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.

IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Ataque en la Capa de aplicación

Los ataques en la capa de aplicación se dirigen a los servidores de

aplicaciones e intentan provocar errores en su sistema operativo o en sus

aplicaciones. De este modo el atacante puede llegar a eludir los controles de

acceso normales. El atacante aprovecha esta situación para obtener el control

de una aplicación, sistema o red, con lo que podrá hacer lo siguiente:

Leer, agregar, eliminar o modificar datos o un sistema operativo.

Introducir un virus que utilice los equipos y las aplicaciones de software

para copiarse por toda la red.

116


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Introducir un programa husmeador que analice la red y obtenga

información que pueda utilizarse para hacer que la red deje de

responder o que resulte dañada.

Cerrar aplicaciones de datos o sistemas operativos de forma anormal.

Deshabilitar otros controles de seguridad para posibilitar futuros ataques

POSIBLES SOLUCIONES:

PGP: Pretty Good Privacy o PGP (privacidad bastante buena) es un programa

desarrollado por Phil Zimmermann y cuya finalidad es proteger la información

distribuida a través de Internet mediante el uso de criptografía de clave pública,

así como facilitar la autenticación de documentos gracias a firmas digitales.

Seguridad en la Capa Transporte (TCP-UDP)

SSL (TLS): Secure Sockets Layer (SSL; protocolo de capa de conexión

segura) y su sucesor Transport Layer Security (TLS; seguridad de la capa de

transporte) son protocolos criptográficos que proporcionan comunicaciones

seguras por una red, comúnmente Internet.

117


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

7. MONITORIZACIÓN DEL TRÁFICO EN REDES: HERRAMIENTAS

a) Descarga e instala Wireshark y realiza filtrado de servicios de

red para monitorizar sólo el tráfico deseado.

En primer lugar filtraremos los resultado a partir del protocolo ip:

Ahora filtraremos los mensajes UDP

118


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

b) Descarga e instala Kismet o Network Stumbler para redes

inalámbricas y realiza filtrados de red para monitorizar sólo el

tráfico deseado.

En la siguiente imagen podremos ver las redes inalámbricas existentes y el

canal en el que están:

Ahora veremos el monitor de estado de la red y su tráfico para ello nos vamos

a las sección SSIDs y seleccionamos la opción que queramos:

119


SEGURIDAD Y ALTA DISPONIBILIDAD

8. INTENTOS DE PENETRACIÓN:

Adopción de pautas de seguridad

informática

a) Honeypot. Instalación, configuración , ejecución y prueba en

Windows o GNU/Linux de honeyd

Honeyd

Una vez instalado deberemos de proceder a la creación de un equipo virtual y

de un router virtual para ello nos dirigimos al archivo de pantalla:

Una vez estemos en el archivo indicado introducimos las líneas seleccionadas

de las siguientes imágenes:

En primer lugar introducimos las siguientes líneas para permitir los principales

protocolos de red en nuestros equipos virtuales:

120


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora procederemos a la creación del router con la dirección ip 10.3.1.0/24

Por último procederemos a la creación de un equipo virtual con la dirección ip

10.3.1.50:

Ahora procederemos a realizar las configuraciones oportunas para poder ver

que se ha creado nuestro equipo virtual de forma satisfactoria. Para ello en

primer lugar introducimos el siguiente comando para asociar la ip 10.3.1.50 con

la interfaz eth0:

Ahora asociaremos nuestra eth0 a la información del honeyd.conf con el

objetivo de poder analizar los puertos del equipo virtual con el nmap:

121


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Por último analizaremos con el nmap nuestro equipo virtual:

122


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

b) Sistema de detección de intrusos (IDS): HostIDS:

- Linux: Integridad de un fichero: md5sum.

Comprobaremos la integridad del mysql, para ello nos dirigimos a la

página oficial de mysql y nos fijamos en el md5:

Ahora comprobamos la integridad del archivo descargado con el siguiente

comando. Sí el md5 es igual al que aparece en la página el programa no

habrá sido modificado:

123


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- Linux: Integridad de un sistema de ficheros: trypwire

En primer lugar procederemos a la instalación del programa:

Durante el proceso de instalación nos dirá que si queremos crear una

contraseña nosotros la crearemos ahora a pesar de que esta opción puede

comprometer la seguridad del sistema:

En la siguiente pantalla definimos la contraseña:

124


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez instalado deberemos de crear un archivo de configuración para

ello introducimos el comando que se muestra en pantalla:

El siguiente paso es crear un archivo de políticas, este se creará basado en el

archivo /etc/tripwire/twpol.txt para ello introduciomos el comando que se

muestra en pantalla:

Ahora deberemos de crear una base de datos en donde se almacenen los

datos de programa para ello introducimos el comando de la siguiente

pantalla:

Una vez realizados los pasos anteriores podemos realizar el chequeo de

integridad de nuestro sistema:

125


SEGURIDAD Y ALTA DISPONIBILIDAD

Ahora nos aparecerá una serie de resultados

Adopción de pautas de seguridad

informática

En esta pantalla vemos las reglas existentes y nos indica los archivos que

han sido modificados; en nuestro caso ninguno ha sido modificado:

126


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

- Windows: Integridad del sistema de ficheros mediante

Xintegrity.

Una vez instalado se nos mostraran los permisos de los usuarios:

Ahora deberemos de crear una base de datos:

127


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez creada la base de datos procederemos a introducir registros en la

misma:

Una vez seleccionados los valores estos se introducirán en la base de datos:

128


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez añadidos podemos observar los ficheros, el tamaño en disco el tipo de

fichero, sus atributos…

Ahora para que de comienzo el análisis deberemos de ir a la pestaña checking

y posteriormente elegir la opción checking scheule:

129


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora seleccionamos la base de datos deseada y pulsamos sobre add:

Posteriormente cerramos las bases de datos abiertas y comenzamos el

análisis:

Ahora dara cometienzo el análisis de integridad de nuestra base de datos:

Si hubiera resultados seria que en nuestro sistema se ha producido una

vulnerabilidad en nuestro sistema pero como no nos ha devuelto ningún error

todo esta bien en nuestro sistema

130


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

c) Sistema de detección de intrusos (IDS): Net IDS:

- Instala y configura Snort en GNU/Linux.

Una vez instalado el snort deberemos de ir al archivo de configuración de

sort para ello tecleamos nano /etc/snort.

Una vez allí deberemos de indicar la ip de nuestro equipo en la sección var

HOME_NET y establecer en any la sentencia var EXTERNAL_NET :

Una vez realizados los pasos anteriores ejecutamos el comando

de pantalla par que de comienzo el análisis

131


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez introducido el comando comenzara el análisis de

nuestro sistema:

Una vez detenido el programa nos mostrara el resultado del

análisis:

132


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

9. Seguridad en las comunicaciones inalámbricas:

a) Configuración de un punto de acceso inalámbrico seguro

En primer lugar en la sección wireless Settings del punto de acceso deberemos

de cambiar el SSID para no dar información al usuario del modelo del punto de

acceso que estamos utilizando:

Otra configuración es la de establecer la encriptación de la contraseña de

acceso al punto de acceso en nuestro caso estableceremos en método de

encriptación WPA2-PSK y de encriptación AES

133


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Por último cambiaremos la contraseña del administrador del punto de acceso:

b) Configuración de un router de acceso inalámbrico CISCO

LINKSYS WRT54GL, utilizando un simulador.

En primer lugar podremos desactivar el Broadcast del SSID para así ocultar la

presencia de nuestro router inalámbrico.

134


SEGURIDAD Y ALTA DISPONIBILIDAD

Ahora en la sección de Security activamos el firewal:

Adopción de pautas de seguridad

informática

También cambiamos la contraseña de acceso de nuestros router:

135


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

c) Configuración de un router de acceso inalámbrico CISCO

Linksys seguro y un cliente de acceso inalámbrico en Windows y

GNU/Linux.

- Filtro MAC, WPA, Control parental.

Para realizar un filtrado Mac en un router linksys deberemos de dirigirnos a la

sección Access Restricction y en estatus seleccionamos la opción enable.

Una vez realizado el paso anterior pulsamos sobre la opción edid list of PCs e

introducimos la dirección mac que deseamos bloquear o permitir:

En esta sección también podremos bloquear servicios. En nuestro caso

bloquearemos el telnet y el ping:

136


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

d) Configuración de un router de acceso inalámbrico TP-LINK,

utilizando un simulador.

En primer lugar cambiamos el SSID y deshabilitamos el broadcast del SSID si

lo vemos oportuno:

También deberemos de establecer el tipo de contraseña en la sección Wireless

Security de nuestro router en nuestro caso será la WPA2-PSK con encriptación

AES:

137


SEGURIDAD Y ALTA DISPONIBILIDAD

Ahora en la sección basic security activamos el firewall:

Adopción de pautas de seguridad

informática

En la sección Access Control podremos controlar el acceso al router a partir de

la mac de los cliente creando listas de accedo y de denegar, de esta forma

podemos controlar el acceso de algunos clientes a nuestra red:

Ahora cambiamos la contraseña y el nombre del usuario de acceso del

administrativo al router:

138


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

e) Realiza una auditoria wireless para medir el nivel de seguridad

de una red inalámbrica, utilizando una aplicación para

monitorizar y recuperar contraseñas inalámbricas WEP

(airodump, aircrack, etc..) y Realiza una auditoria wireless para

medir el nivel de seguridad de una red inalámbrica, utilizando

una distribución Live ( Backtrack, Wifiway, Wifislax, etc) para

monitorizar y recuperar contraseñas inalámbricas WEP.

USO DE AIRCRACK Y WIFIWAY

En primer lugar nos dirigimos al menú de inicio y nos ejecutamos el programa

airocript nuevo:

139


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez iniciado el programa deberemos de poner en modo monitor nuestra

tarjeta de red:

Para poner la tarjeta en modo monitor seleccionamos nuestra tarjeta de red y

seleccionamos la opción aplicar:

140


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez creada la interfaz en modo monitor deberemos de seleccionarla, para

ello introducimos el número de la interfaz seleccionada en nuestro caso

elegiremos la mon0 por lo tanto deberemos de introducir el número 3:

Ahora seleccionaremos la opción escanear, es decir la número 1:

141


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora nos saldrá una lista con todos los router y puntos de acceso inalámbricos

encontrados:

142


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Ahora deberemos de seleccionar el objetivo que queremos “atacar”:

Ahora deberemos de seleccionar la opción 3 para atacar al objetivo

seleccionado anteriormente:

143


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

En la pantalla que no aparece seleccionamos la opción de ataque deseado en

nuestro caso será ataque usando un cliente y en concreto la opción ARP replay

=> Automático:

144


SEGURIDAD Y ALTA DISPONIBILIDAD

Ahora dará comienzo el ataque:

Adopción de pautas de seguridad

informática

145


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez hayamos alcanzado unos 5000 paquete procederemos a intentar

sacar la contraseña. Para ello abrimos el aircrack –ng y seleccionamos los

archivos .cap que almacenan los paquetes capturados:

Ahora nos aparecerán todos los paquetes existentes y deberemos de

seleccionar la opción que tenga más paquetes ITVs :

146


SEGURIDAD Y ALTA DISPONIBILIDAD

Adopción de pautas de seguridad

informática

Una vez seleccionado dará comienzo el proceso de obtener la clave:

147

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!