UD 2: Implantación de mecanismos de seguridad activa · También hace un escaneo de puertos para...

TÍTULO ACTIVIDAD

AUTOR Servicios de Red e Internet

1

UD 2: Implantación de mecanismos de seguridad activa

TÍTULO ACTIVIDAD


2

INDICE 2.1-Ataques y contramedidas en sistemas personales:

2.1.1-Clasificación de los ataques en sistemas personales. 2.1.2-Anatomía de ataques.

2.1.3-Análisis del software malicioso o malware: 2.1.3.1-Historia del malware. 2.1.3.2-Clasificación del malware: Virus,Gusanos,Troyanos, infostealers, crimeware,grayware,…) 2.1.3.3-Métodos de infección: Explotación de vunerabilidades, Ingeniería social, Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc. 2.1.4-Herramientas paliativas. Instalación y configuración. 2.1.4.1-Software antimalware: Antivirus (escritorio, on line, portables, Live), Antispyware, Herramientas de bloqueo web. 2.1.5-Herramientas preventivas. Instalación y configuración. 2.1.5.1-Control de acceso lógico (política de contraseñas seguras, control de acceso en la BIOS y gestor de arranque, control de acceso en el sistema operativo, política de usuarios y grupos, actualización de sistemas y aplicaciones)

2.2-Seguridad en la conexión con redes públicas:

2.2.1-Pautas y prácticas seguras: 2.2.1.1Técnicas de Cifrado: 2.2.1.1.1-Criptografía simétrica. 2.2.1.1.2-Criptografía asimétrica. 2.2.1.1.3-Criptografía híbrida. 2.2.1.2-Identificación Digital: 2.2.1.2.1-Firma Electrónica y Firma Digital. 2.2.1.2.2-Certificado Digital, Autoridad certificadora (CA). 2.2.1.2.3- Documento Nacional de Identidad Electrónico (DNIe) 2.2.1.2.4- Buenas prácticas en el uso del certificado digital y DNIe.

2.3-Seguridad en la red corporativa: 2.3.1-Amenazas y ataques en redes corporativas: 2.3.1.1-Amenaza interna o corporativa y Amenaza externa o de acceso remoto. 2.3.1.2Amenazas: Interrupción, Intercepción, Modificación y Fabricación.

TÍTULO ACTIVIDAD


3

2.3.1.3Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming. 2.3.2-Riesgos potenciales en los servicios de red. 2.3.2.1Seguridad en los dispositivos de red : terminales, switch y router. 2.3.2.2Seguridad en los servicios de red por niveles: Enlace, Red (IP), Transporte(TCP-UDP) y Aplicación. 2.3.3- Monitorización del tráfico en redes: Herramientas. 2.3.4-Intentos de penetración. 2.3.4.1-Sistemas de Detección de Intrusos (IDS). 2.3.4.2-Técnicas de Detección de Intrusos. 2.3.4.3-Tipos de IDS: (Host IDS, Net IDS). 2.3.4.4-Software libre y comercial.

2.4-Seguridad en la red corporativa: 2.4.1-Seguridad en las comunicaciones inalámbricas. 2.4.1.1-Sistemas de seguridad en WLAN. 2.4.1.1.1-Sistema Abierto. 2.4.1.1.2-WEP. 2.4.1.1.3-WPA. 2.4.1.2Recomendaciones de seguridad en WLAN.

TÍTULO ACTIVIDAD


4

2.1-Ataques y contramedidas en sistemas personales: 2.1.1-Clasificación de los ataques en sistemas personales. Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que, por lo general, causan un daño.

Los ataques pueden ejecutarse por diversos motivos:

• para obtener acceso al sistema;

• para robar información, como secretos industriales o propiedad intelectual;

• para recopilar información personal acerca de un usuario;

• para obtener información de cuentas bancarias;

• para obtener información acerca de una organización (la compañía del usuario, etc.);

• para afectar el funcionamiento normal de un servicio;

• para utilizar el sistema de un usuario como un "rebote" para un ataque;

• para usar los recursos del sistema del usuario, en particular cuando la red en la que está ubicado tiene un ancho de banda considerable.

Tipos de ataque

Los sistemas informáticos usan una diversidad de componentes, desde electricidad para suministrar alimentación a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red.

Los riesgos se pueden clasificar de la siguiente manera:

TÍTULO ACTIVIDAD


5

• Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso a los equipos:

o Interrupción del suministro eléctrico.

o Apagado manual del equipo.

o Vandalismo.

o Apertura de la carcasa del equipo y robo del disco duro.

o Monitoreo del tráfico de red.

• Intercepción de comunicaciones:

o Secuestro de sesión.

o Falsificación de identidad.

o Redireccionamiento o alteración de mensajes.

• Denegaciones de servicio:

o Explotación de las debilidades del protocolo TCP/IP.

o Explotación de las vulnerabilidades del software del servidor.

• Intrusiones:

o Análisis de puertos.

o Elevación de privilegios:

o Ataques malintencionados (virus, gusanos, troyanos).

• Ingeniería social

• Puertas trampa

Es por ello que los errores de programación de los programas son corregidos con bastante rapidez por su diseñador apenas se publica la vulnerabilidad. En consecuencia, queda en manos de los administradores (o usuarios privados con un buen conocimiento) mantenerse

TÍTULO ACTIVIDAD


6

informados acerca de las actualizaciones de los programas que usan a fin de limitar los riesgos de ataques.

2.1.2-Anatomía de ataques.

Un ataque se divide en 5 fases:

Fase 1 – Reconocimiento

El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la información necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase también puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el ataque va a ser interno o externo. Esta fase le permite al atacante crear una estrategia para su ataque.

Esta fase le puede tomar bastante tiempo al Hacker ya que tiene que analizar toda la información que ha obtenido para lanzar el ataque con mayor precisión.

Fase 2 – Escaneo (Scanning)

Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En el escaneo el atacante utiliza toda la información que obtuvo en la Fase del Reconocimiento (Fase 1) para identificar vulnerabilidades específicas. Por ejemplo, si en la Fase 1 el atacante descubrió que su objetivo o su víctima usa el sistema operativo Windows XP

TÍTULO ACTIVIDAD


7

entonces el buscara vulnerabilidades especificas que tenga ese sistema operativo para saber por dónde atacarlo.

También hace un escaneo de puertos para ver cuáles son los puertos abiertos para saber por cual puerto va entrar y usa herramientas automatizadas para escanear la red y los host en busca de mas vulnerabilidades que le permitan el acceso al sistema.

Fase 3 – Ganar Acceso (Gaining Access)

Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2.Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al principio de la penetración (Fase 3).

Fase 4 – Mantener el Acceso (Maintaining Access)

Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros sistemas que quiere atacar, también usa programas llamados sniffers para capturar todo el trafico de la red, incluyendo sesiones de telnet y FTP (File Transfer Protocol).

En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data.

Fase 5 – Cubrir las huellas

En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades ilícitas y lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema comprometido ya que si borra sus huellas los administradores de redes no tendrán pistas claras del atacante y el Hacker podrá seguir penetrando el sistema cuando quiera, además borrando sus huellas evita ser detectado y ser atrapado por la policía o los Federales.

TÍTULO ACTIVIDAD


8

Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography, Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los eventos ocurridos en un sistema informático y permite obtener información detallada sobre los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema este asume que tiene control total del sistema.

2.1.3-Análisis del software malicioso o malware: 2.1.3.1-Historia del malware.

El malware, desde su creación hasta el día de hoy ha sufrido una evolución que en esta sección tratamos de analizar a modo de retrospectiva.

Un poco de Historia: el Malware

Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia, es fácil apreciar una aplicación negativa de la teoría expuesta por Von Neumann: los virus informáticos, programas que se reproducen a sí mismos el mayor número de veces posible y aumentan su población de forma exponencial.

En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar basado en la teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es considerado el precursor de los virus informáticos.

Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera (creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.

En la década de los 80 los PC ganaban popularidad y cada vez más gente entendía la informática y experimentaba con sus propios programas. Esto dio lugar a los primeros

TÍTULO ACTIVIDAD


9

desarrolladores de programas dañinos y en 1981, Richard Skrenta escribe el primer virus de amplia reproducción: Elk Cloner, que contaba el número de veces que arrancaba el equipo y al llegar a 50 mostraba un poema.

En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en uno de sus estudios definiéndolo como “Programa que puede infectar a otros programas incluyendo una copia posiblemente evolucionada de sí mismo”.

En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar archivos .EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea de Jerusalem y ha llegado a ser uno de los virus más famosos de la historia.

En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado para propagarse a través del correo electrónico.

En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love You o LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a través del correo electrónico. Comenzaba aquí la época de grandes epidemias masivas que tuvieron su punto álgido en el 2004.

Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o el Bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusión y reconocimiento posible. Ese fue el año más duro de este tipo epidemias y curiosamente el último. Los creadores de malware se dieron cuenta de que sus conocimientos servirían para algo más que para tener repercusión mediática… para ganar dinero.

El Gran Cambio

Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal y como los conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots para obtener dinero, cuando vieron que el entretenimiento que podía suponer la creación de malware se podía convertir en un negocio muy rentable.

TÍTULO ACTIVIDAD


10

Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen miles de variantes dado que los creadores, para dificultar su detección modificaban permanente el código de los mismos.

Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de otro malware que descarga el troyano bancario. Este último tipo de troyano es el encargado de robar información relacionada con las transacciones comerciales y/o datos bancarios del usuario infectado.

Otra amenaza latente relacionada con la obtención de beneficios económicos a través del malware es el spyware y adware, donde algunas empresas de software permiten al usuario utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las actividades del usuario sin su consentimiento.

En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las tecnologías, móviles e inalámbricas, y su constante evolución han revolucionado en los últimos años la forma en la que nos comunicamos y trabajamos. Sin embargo, la expansión del uso de esta tecnología ha hecho que también se convierta en un vector de ataque importante para la industria del malware. Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para plataformas móviles: Cabir.A siendo, junto al ComWar.A, los más conocidos, este último no solo por su capacidad de replicarse a través de Bluetooth sino también a través de mensajes de texto con imágenes y sonido (MMS), enviándose a las direcciones y números de la agenda de sus víctimas. Actualmente existe malware para las plataformas más comunes, como pueden ser Symbian, PocketPC, Palm, etc, siendo el método de propagación tan diverso como las posibilidades que nos ofrecen estos avances tecnológicos: SMS, MMS, IrDA, Bluetooth, etc.

A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits. Como hemos mencionado anteriormente, los creadores de malware han visto en esta actividad un método de enriquecimiento y pensando en términos económicos y estableciendo el target más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado. Quizás otro obstáculo con el que chocan los creadores de malware para Linux y Macintosh tiene que ver con la capacitación media/alta de los usuarios de este tipo de plataformas, por lo que la Ingeniería Social, principal método de propagación en la actualidad, no resulta tan eficiente con estos usuarios.

TÍTULO ACTIVIDAD


11

2.1.3.2-Clasificación del malware: Virus,Gusanos,Troyanos, infostealers, crimeware,grayware,…) Los virus son programas maliciosos creados para manipular el normal funcionamiento de los sistemas, sin el conocimiento ni consentimiento de los usuarios.

TIPOS DE VIRUS

Los distintos códigos maliciosos que existen pueden clasificarse en función de diferentes criterios, los más comunes son:

• por su capacidad de propagación

• por las acciones que realizan en el equipo infectado.

Algunos de los programas maliciosos tienen alguna característica particular por la que se les suele asociar a un tipo concreto mientras que a otros se les suele incluir dentro de varios grupos a la vez. También cabe mencionar que muchas de las acciones que realizan los códigos maliciosos, en algunas circunstancias se pueden considerar legítimas, por lo tanto, como dijimos anteriormente, sólo se considera que un programa es malicioso cuando actúa sin el conocimiento ni consentimiento del usuario.

Según su capacidad de propagación

Atendiendo a su capacidad de propagación, o mejor dicho de auto propagación, existen tres tipos de códigos maliciosos:

• Virus: Su nombre es una analogía a los virus reales ya que infectan otros archivos, es decir, sólo pueden existir en un equipo dentro de otro fichero. Los ficheros infectados generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat; pero también pueden infectar otros archivos, por ejemplo, un virus de Macro infectará programas que utilicen macros, como los productos Office.

• Gusanos: Son programas cuya característica principal es realizar el máximo número de copias de sí mismos posible para facilitar su propagación. A diferencia de los virus no infectan otros ficheros. Los gusanos se suelen propagar por los siguientes métodos:

TÍTULO ACTIVIDAD


12

o Correo electrónico

o Redes de compartición de ficheros (P2P)

o Explotando alguna vulnerabilidad

o Mensajería instantánea

o Canales de chat

• Troyanos: Carecen de rutina propia de propagación, pueden llegar al sistema de diferentes formas, las más comunes son:

o Descargado por otro programa malicioso.

o Descargado sin el conocimiento del usuario al visitar una página Web maliciosa.

o Dentro de otro programa que simula ser inofensivo.

2.1.3.3-Métodos de infección: Explotación de vulnerabilidades, Ingeniería social, Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc. Los virus informáticos se difunden cuando el código ejecutable que hace funcionar los programas pasan de una computadora a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes sin ningun medio de protección.

Como usuarios hay muchas maneras de ejecutar un virus, podría ser un doble click a un archivo infectado, viendo una pagina web con applets de Java o código Avtivex dañino o e-mails con archivos adjuntos infectados, existen archivos que tienen doble extension y asi porder infectar a la computadora.

Estos son algunos medios de entrada que los virus utilizan para infectar a nuestra computadora:

TÍTULO ACTIVIDAD


13

Correo Electrónico

El E-mail es un servicio muy usado actualmente, y los virus aprovechan eso, la mayor parte de la transferencia de virus, se hacen por medio de e-mails que vienen con archivos adjuntos infectados. El usuario puede muy fácilmente ejecutar un archivo adjunto, y se expande el virus rápidamente. La mayoría de los archivos adjuntos infectados tienen doble extensión una que hace creer al usuario que se trata de un archivo de texto totalmente inofensivo, pero no es asi.

Medios de almacenamiento

El uso de medios de almacenamiento ha disminuido con la implantación de redes, por ejemplo el disquete solo se utiliza para el transporte de pequeños textos o archivos de otro tipo, en un ambiente mas bien escolar y universitario, transportando información tan frecuentemente podemos contraer virus, también es muy frecuente el uso de disquete para arrancar una máquina. Los CD-ROM que vienen en las revistas con software de prueba, pueden contener virus.

WWW

En nuestros días el acceso a internet para navegar en la web es algo con la que la mayoría de negocios y organizaciones cuenta, ya que es una herramienta muy útil, pero a la vez se traduce en un alto riesgo para descargar archivos potencialmente infectados.

2.1.4-Herramientas paliativas. Instalación y configuración. 2.1.4.1-Software antimalware: Antivirus (escritorio, on line, portables, Live), Antispyware, Herramientas de bloqueo web. Un antivirus es un programa que se encarga de detectar y eliminar virus o otros programas maliciosos de nuestros equipos. Existen de distintos tipos: -Antivirus de escritorio

TÍTULO ACTIVIDAD


14

Los antivirus de escritorio se suelen utilizar en modo residente para proteger al ordenador en todo momento de cualquier posible infección, ya sea al navegar por Internet, recibir algún correo infectado o introducir en el equipo algún dispositivo extraíble que esté infectado. No necesitan que el ordenador esté conectado a Internet para poder funcionar, pero sí que es necesario actualizarlos frecuentemente para que sean capaces de detectar las últimas amenazas de virus. Recomendamos tener sólo un antivirus de escritorio en el ordenador, ya que tener varios antivirus puede ocasionar problemas de incompatibilidad entre ellos. -antivirus en línea (Antivirus en línea). Programa antivirus que, en lugar de estar instalado y ejecutándose de forma permanente en el sistema, funciona a través de un navegador web. Contrasta con los antivirus offline o antivirus tradicionales que se instalan. Ventajas de los antivirus online * Constante actualización: ya que la actualización de los antivirus depende directamente de la empresa desarrolladora del mismo. * Alta disponibilidad y rapidez: no requieren una instalación completa en el sistema y pueden ser ejecutados rápidamente en cualquier momento usando el navegador. Muy buena alternativa para cuando el antivirus offline no detecta o no puede eliminar un programa maligno. * Escaneo del sistema con múltiples antivirus: posibilidad de utilizar varios antivirus online sin afectarse entre sí. Porque, en general, no pueden instalarse dos o más antivirus offline en un mismo sistema. * Suelen ser gratuitos. Desventajas de los antivirus online * Falta de eficacia y eficiencia: por el momento no son tan completos como los antivirus que se instalan en la computadora. * Sin protección permanente: carecen de la función de protección permanente, suelen terminar cuando se cierra el navegador. * Sólo escanean: solamente escanean la computadora en búsqueda de virus. No protegen áreas sensibles del sistema, ni tienen módulos especiales para control del tráfico de e-mails, mensajería o similares. -Antivirus portables

TÍTULO ACTIVIDAD


15

VENTAJAS O BENEFICIOS

NO USA ESPACIO EN EL DISCO.- Asi es, este tipo de programas no es necesario instalarlo en el disco duro para su función, ya que al momento de usarlo solo se da clic sobre el instalador (mejor dicho el icono que lo abre) para usarlo desde la unidad portable (USB) o desde el mismo disco duro de la computadora.

NO ES NECESARIO TENER EL CÓDIGO DE ACTIVACIÓN (SERIAL).- Para un programa portable de gran tamaño (unos ejemplos Photoshop, Flash, Dreamweaver, etc. Etc.) estos programas son inmensos en su instalación y para poder utilizarlos en su instalación es necesario poner su numero de serial para que funcione correctamente y pueda instalarse en la computadora, para un programa portable, esto ya no es necesario, ya que el programa al hacerlo portables ya debe de traer la clave ya capturada para que no haya ningún problema en el uso del programa.

ES PORTABLE.- Por eso se llama programa portable, ya que en cualquier computadora y en cualquier lugar, mientras la computadora tenga entradas para un dispositivo USB puedes utilizar este programa y esa es la mejor de las ventajas que trae este tipo de software.

NO CONSUME RECURSOS EN EL REGISTRO.- Así es no consume muchos recursos en el registro de tu sistema para su uso, solo que en eso no estoy muy de acuerdo, que esto fuera como una ventaja, ya que en realidad si consume recursos (no muchos como los que están instalados) pero la ventaja es que el registro del sistemas operativo no se modifica y si el registro de tu sistema operativo no es modificado es mas rápido la lectura, en vez de estar buscando una por una de las entradas del registro, para que funcione correctamente.

Desventajas:

-No se puede actualizar el software al momento y su soporte técnico es inferior a otro tipo de antivirus.

-Para poder actualizar el software tienes que volverlo a descargar o utilizar una herramienta especializada.

Herramientas de bloqueo web En la informática, un bloqueo o ban es una restricción (total, parcial, permanente o

TÍTULO ACTIVIDAD


16

temporal) que se impone a un usuario dentro de un sistema informático. Lo habitual es que el usuario sea bloqueado (o baneado) cuando viola las normas de uso de un servicio como un foro o un chat.

Estas herramientas pueden ser automatizadas o no. Las herramientas automátizadas son aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la prevención y el control. Ninguna de estas herramientas es 100% efectiva por lo que debemos ser conscientes de la importancia de las herramientas no automátizadas: la educación y la concientización. El diálogo con los menores es la mejor herramienta de prevención para los riesgos que existen en la web.

Todas las herramientas indicadas en la presente sección deben ser aplicadas con el compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se realizan y tomando la responsabilidadsobre cuáles son los contenidos a los que se podrá acceder y a cuáles no.

2.1.5-Herramientas preventivas. Instalación y configuración. Gran parte de los problemas que se presentan en los sistemas de nuestros equipos se pueden evitar o prevenir si se realiza un mantenimiento periódico de cada uno de sus componentes. Se explicará como realizar paso a paso el mantenimiento preventivo a cada uno de los componentes del sistema de cómputo incluyendo periféricos comunes. Se explicarán también las prevenciones y cuidados que se deben tener con cada tipo. En las computadoras nos referiremos a las genéricas (clones). Algunos ejemplos de herramientas administrativas a nivel software son: SpywareBlaster bloquea la entrada de spyware en tu sistema previeniendo que se instalen en el mismo elementos de spyware al deshabilitar los controles Active X de los mismo sin interferir en aquellos controles Active X inofensivos y de esa forma es posible navegar sin interrupciones de ningún tipo. El programa actualiza períodicamente la lista de spyware y también permite deshacer los cambios llevados a efecto por los programas spyware en tu sistema. Se trata de un programa gratuíto en inglés.

TÍTULO ACTIVIDAD


17

Spyware Guard proporciona protección contra el denominado spyware, pequeños programas que se instalan sin tu conocimiento en tu sistema envíando información sobre tus preferencias a la hora de navegar. Funciona de manera similar a un antivirus, analizando los ficheros EXE y CAB cuando accedes a los mismos y te advierte si detecta algún tipo de spyware bloqueando el acceso al fichero y ofreciéndote la opción de tomar las acciones que consideres oportunas. Es sencillo de manejar siendo eficaz contra un gran número de spyware, de lo que se descatan CommonName, Brilliant Digital, HotBar y otros que a continuación ennumero: AdBreak, AdultLinks/LinkZZ, CommonName, Cytron, DV, FriendGreetings, Gator, HaczYK Dialer, HighTraffic, HotBar IE Installer, HotBar Netscape Installer, IEAccess2, IEDisco, MasterDialer, MoneyTree Dialer, MS7531 Browser Hijacker Trojan, NetZany, NewtonKnows, SubSearch, TGDC Plugin, UCmore, UKVideo2, VLoading, WinAD, WorkPlaceCrush, Xupiter, etc. 2.1.5.1-Control de acceso lógico (política de contraseñas seguras, control de acceso en la BIOS y gestor de arranque, control de acceso en el sistema operativo, política de usuarios y grupos, actualización de sistemas y aplicaciones) El control de acceso lógico es la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a personas autorizadas.

El principio más elemental de seguridad lógica es: Todo lo que no está permitido debe estar prohibido

Un control de acceso lógico conlleva a 2 procesos:

-Identificación: usuario se da a conocer en el sistema

-Autentificación: verificación que realiza el sistema sobre esta identificación

TÍTULO ACTIVIDAD


18

Existen varios niveles de seguridad lógica dependiendo de la complejidad:

1º Nivel: arranque (bios y gestor de arranque)

2ºNivel: Sistema operativo y servidor de autentificación

3º Nivel: Datos, aplicaciones y comunicaciones

Política de contraseñas seguras Para realizar un correcta política de contraseñas seguras, debemos de seguir los siguientes pasos: -No incluir secuencias, palabras o nombres de usuario conocidos -No dejar en blanco -Variar entre servicios -No revelarla, ni usarla en entornos poco seguros o públicos -Modificarla con periodicidad A nivel del administrador además de las anteriores, debemos añadir otras variables: -No dejar la seguridad en manos de usuarios. Disponer configuraciones que controle la configuración de contraseñas seguras. Por otro lado existen configuraciones a nivel SO: Windows -Directivas de seguridad local/Directivas de cuenta Visor de sucesos. Activar previamente auditorias Gnu/Linux Modulo PAM_cracklib -Control de intentos de login: /var/login/auth.log Control de acceso en la BIOS y gestor de arranque El control de acceso a través de la BIOS nos supone un peligro ya que si esa contraseña es descubierta, tendrán acceso total a nuestro equipo. En caso de la contraseña sea olvidada o este dañada, se utiliza un arranque con distribución live o un gestor de arranque vulnerable. La configuración básica de una bios sera: -Proteccion de acceso físico a la placa base

TÍTULO ACTIVIDAD


19

-Añadir una contraseña -Poner como 1º dispositivio de arranque del disco duro al sistema de ficheros del SO principal Control de acceso en el sistema operativo Su objetivo es evitar el acceso no autorizado a los sistemas operativos. Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos. Tales medios deberían tener la capacidad para: -Autentificar usuarios autorizados, de acuerdo con una política definida de control de acceso. -Registrar intentso exitosos y fallidos de auttentificacion del sistema -Registrar el uso de privilegios especiales del sistema. -Emitir alarmas cuando se violan las políticas de seguridad del sistema -Suministrar medios adecuados para la autenticación -Cuando sea apropiado, restringir el tiempo de conexión de los usuarios Política de usuarios y grupos Las políticas de usuarios y grupos de un administrador de sistemas sera la siguiente: -Determinar el nivel de seguridad de los datos y aplicaciones (clasificar la información, determinar el riesgo) -Diversos niveles de la información requerirán diferentes medidas y niveles de seguridad. -Definicion de cuentas y su asignación a perfiles determinados, grupos o roles, así como asignación de privilegios sobre los objetos del sistema. -Permisos de acceso a cada objeto del sistema. Gestion en red LDAP/ Active Directory, dependerá del sistema operativo: Windows: Directivas de seguridad local, Directivas de auditoria, Asignacion de derechos de usuario y opciones de seguridad GNU/LINUX: chmod (modificar), chown(propietario), chgrp (grupo) permisos sobre archivos. -Listas de control de acceso (ACL): permite asignar permisos a un usuario, sin tener en cuenta el grupo al que pertenece Actualización de sistemas y aplicaciones Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma análoga a como haría un ladrón al intentar entrar a robar a una casa– desarrollan software malicioso

TÍTULO ACTIVIDAD


20

para aprovechar cualquier vulnerabilidad en el sistema a través del cual infectarlo. Suelen aprovechar las vulnerabilidades más recientes que tienen tanto el sistema operativo como los demás programas, y que requieren una actualización inmediata de los sistemas.

Hay que tener en cuenta que cuanto más tiempo tardemos en actualizar nuestros equipos más tiempo estaremos expuestos a que cualquier tipo de malware pueda explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante.

Para facilitar esta tarea, la mayoría de aplicaciones y sistemas operativos tienen la opción de actualizar el sistema automáticamente, lo que permite tener los programas actualizados sin la necesidad de comprobar manual y periódicamente si la versión utilizada es la última disponible, y por tanto la más segura.

Estas actualizaciones de software vienen justificadas por diferentes motivos:

• Corregir las vulnerabilidades detectadas.

• Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores.

Aunque es posible hacer la actualización de forma manual, lo más sencillo es hacerlo de forma automática. De esta forma el propio sistema busca las actualizaciones, las descarga e instala sin que nosotros tengamos que intervenir en el proceso.

2.2-Seguridad en la conexión con redes públicas: 2.2.1-Pautas y prácticas seguras:

2.2.1.1Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la persona que cuente con la clave de cifrado adecuada para descodificarlo. Por ejemplo, si realiza una compra a través de Internet, la información de la transacción (como su dirección, número de teléfono y número de tarjeta de crédito) suele cifrarse a fin de mantenerla a salvo. A continuación algunas de las técnicas de cifrado más utilizadas. 2.2.1.1.1-Criptografía simétrica. La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente

TÍTULO ACTIVIDAD


21

cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma. Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. En otras palabras, no debería ser de ninguna ayuda para un atacante conocer el algoritmo que se está usando. Sólo si el atacante obtuviera la clave, le serviría conocer el algoritmo. Actualmente, los ordenadores pueden descifrar claves con extrema rapidez, y ésta es la razón por la cual el tamaño de la clave es importante en los criptosistemas modernos. El principal problema con los sistemas de cifrado simétrico no está ligado a su seguridad, sino al intercambio de claves. Una vez que el remitente y el destinatario hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero ¿qué canal de comunicación que sea seguro han usado para transmitirse las claves? Sería mucho más fácil para un atacante intentar interceptar una clave que probar las posibles combinaciones del espacio de claves. Otro problema es el número de claves que se necesitan. Si tenemos un número “n” de personas que necesitan comunicarse entre sí, se necesitan n/2 claves para cada pareja de personas que tengan que comunicarse de modo privado. Esto puede funcionar con un grupo reducido de personas, pero sería imposible llevarlo a cabo con grupos más grandes. 2.2.1.1.2-Criptografía asimétrica. La criptografía asimétrica es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del

TÍTULO ACTIVIDAD


22

destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo. Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó su clave privada (salvo que alguien se la hubiese podido robar). Esta idea es el fundamento de la firma electrónica. Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se inventaron con el fin de evitar por completo el problema del intercambio de claves de los sistemas de cifrado simétricos. Con las claves públicas no es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga una copia de la clave pública del destinatario. Es más, esa misma clave pública puede ser usada por cualquiera que desee comunicarse con su propietario. Por tanto, se necesitarán sólo n pares de claves por cada n personas que deseen comunicarse entre sí. Como con los sistemas de cifrado simétricos buenos, con un buen sistema de cifrado de clave pública toda la seguridad descansa en la clave y no en el algoritmo. Por lo tanto, el tamaño de la clave es una medida de la seguridad del sistema, pero no se puede comparar el tamaño de la clave del cifrado simétrico con el del cifrado de clave pública para medir la seguridad La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y descifrar con la otra, pero este sistema tiene bastantes desventajas: Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso. Las claves deben ser de mayor tamaño que las simétricas. El mensaje cifrado ocupa más espacio que el original. 2.2.1.1.3-Criptografía híbrida. La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico como un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando

TÍTULO ACTIVIDAD


23

la clave y enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada es diferente para cada sesión. Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave de sesión es cifrada con la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo combinado automáticamente en un sólo paquete. El destinatario usa su clave privada para descifrar la clave de sesión y acto seguido usa la clave de sesión para descifrar el mensaje. Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el de cifrado simétrico de los que hace uso, independientemente de cuál sea más débil. En PGP y GnuPG el sistema de clave pública es probablemente la parte más débil de la combinación. Sin embargo, si un atacante pudiera descifrar una clave de sesión, sólo sería útil para poder leer un mensaje, el cifrado con esa clave de sesión. El atacante tendría que volver a empezar y descifrar otra clave de sesión para poder leer cualquier otro mensaje. 2.2.1.2-Identificación Digital: Es la verificación de la identidad en línea. Se encuentra dentro de la teoría de la Web 2.0 y se trata de ofrecer la autenticación y la confidencialidad, protegiendo documentos de falsificaciones y manipulaciones. Este sistema ya está operativo con diversas aplicaciones en funcionamiento y numerosos organismos en fase de incorporación al sistema. 2.2.1.2.1-Firma Electrónica y Firma Digital. Una firma digital es un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico. Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación.

Mientras que la firma electrónica es una firma digital que se ha almacenado en un soporte de hardware; mientras que la firma digital se puede almacenar tanto en soportes de hardware como de software. La firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita. De hecho se podría decir que una firma electrónica es una firma digital contenida o almacenada en un contenedor electrónico, normalmente un chip de ROM. Su principal característica diferenciadora con la firma digital es su cualidad de ser inmodificable.

TÍTULO ACTIVIDAD


24

2.2.1.2.1-Firma Electrónica y Firma Digital. Un certificado digital (también conocido como certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y una clave pública.

Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificación, por ejemplo) que la información de identidad y la clave pública perteneciente al usuario o entidad referida en el certificado digital están vinculadas.

Una Autoridad Certificadora (AC, en inglés CA) es una entidad de confianza del emisor y del receptor de una comunicación. Esta confianza de ambos en una 'tercera parte confiable' (trusted third party) permite que cualquiera de los dos confíe a su vez en los documentos firmados por la Autoridad Certificadora, en particular, en los certificados que identifican ambos extremos. 2.2.1.2.2-Certificado Digital, Autoridad certificadora (CA). Un Usuario que tenga su certificado electrónico puede realizar todo tipo de trámites de forma que queda garantizada su verdadera identidad. Por lo tanto, se pueden firmar electrónicamente formularios y documentos electrónicos con la misma validez jurídica que si firmara el mismo documento en papel. De esta forma se puede realizar todo tipo de gestiones a través de la red, tal como compras, transacciones bancarias, pagos, etc. 2.2.1.2.3- Documento Nacional de Identidad Electrónico (DNIe) El desarrollo de la Sociedad de la Información y la difusión de los efectos positivos que de ella se derivan exigen la generalización de la confianza de los ciudadanos en las comunicaciones telemáticas. Como respuesta a esta necesidad, y en el marco de las directivas de la Unión Europea, el Estado español ha aprobado un conjunto de medidas legislativas, como la Ley de Firma

TÍTULO ACTIVIDAD


25

Electrónica y el RD sobre el Documento Nacional de Identidad electrónico, para la creación de instrumentos capaces de acreditar la identidad de los intervinientes en las comunicaciones electrónicas y asegurar la procedencia y la integridad de los mensajes intercambiados. El nacimiento del Documento Nacional de Identidad electrónico (DNIe) responde, por tanto, a la necesidad de otorgar identidad personal a los ciudadanos para su uso en la nueva Sociedad de la Información, además de servir de impulsor de la misma. Así, el DNIe es la adaptación del tradicional documento de identidad a la nueva realidad de una sociedad interconectada por redes de comunicaciones. De este modo, cada ciudadano podrá hacer realizar múltiples gestiones de forma segura a través de medios telemáticos y asegurando la identidad de los participantes en la comunicación.

2.2.1.2.4- Buenas prácticas en el uso del certificado digital y DNIe. Tal y como recoge la Declaración de Prácticas de Certificación del DNI electrónico, los certificados electrónicos podrán utilizarse: • Como medio de Autenticación de la Identidad. El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se realiza con la persona que dice que es. El titular podrá, a través de su certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en posesión del certificado de identidad y de la clave privada asociada al mismo. • Como medio de firma electrónica de documentos. Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un mensaje firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo de esta forma demostrar la identidad del firmante sin que éste pueda repudiarlo. • Como medio de certificación de Integridad de un documento. Permite comprobar que el documento no ha sido modificado por ningún agente externo a la comunicación. La garantía de la integridad del documento se lleva a cabo mediante la utilización de funciones resumen (hash), utilizadas en combinación con la firma electrónica. Este esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a su envío.

TÍTULO ACTIVIDAD


26

2.3-Seguridad en la red corporativa: 2.3.1-Amenazas y ataques en redes corporativas: 2.3.1.1-Amenaza interna o corporativa y Amenaza externa o de acceso remoto. El objetivo de estas amenazas es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización. En cuanto a tipos de amenazas hay dos claros tipos: Amenaza externa o de acceso remoto. Son aquellas amenazas que se originan desde el exterior de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla, como son la localización, violación de la seguridad y evadir las pruebas. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos. Amenaza interna o corporativa Generalmente estas amenazas son más serias que las externas y pueden dañar seriamente al sistema, algunas amenazas pueden ser la paralización del sistema por daños físicos o la intrusión en la red internamente. Estas amenazas son potencialmente peligrosas por estos motivos:

� Los usuarios conocen la red y saben cómo es su funcionamiento. � Pueden tener algún nivel de acceso a la red por las mismas necesidades de su trabajo. � Los Firewalls son mecanismos no efectivos en amenazas internas.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. 2.3.1.2Amenazas: Interrupción, Intercepción, Modificación y Fabricación. Hay varios tipos de amenazas a los sistemas informáticos, que se pueden catalogar en:

TÍTULO ACTIVIDAD


27

Interrupción En una interrupción un activo del sistema se pierde, este queda no disponible o inoperable, como consecuencia de una destrucción maliciosa de un dispositivo de equipo, haber borrado un programa o archivo de datos u ocasionado el malfuncionamiento de un administrador de archivos del sistema operativo, para que el sistema no pueda encontrar un archivo particular en disco. Intercepción Una intercepción significa que un tercero no autorizado ha ganado acceso a un activo. Este tercero puede ser una persona, un programa o un sistema de cómputo. Ejemplos de este tipo de ataque son: la copia ilícita de programas o archivos de datos, o la intrusión en la red de comunicaciones para obtener datos. La intercepción puede basarse en Ingeniería Social donde el intruso obtiene información privada proporcionada en forma voluntaria. Este método es conocido bajo el término "phishing". Modificación La modificación consiste en que alguien cambie los datos de una base de datos, altere el código de programa para ejecutar algún código adicional, o modifique los datos que se transmiten electrónicamente. Terceros pueden fabricar objetos plagiados en un sistema de cómputo. Un intruso puede insertar en una red de comunicación transacciones fingidas o puede agregar nuevos registros a una base de datos. Fabricación En este tipo de ataque, una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo. 2.3.1.3Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.

TÍTULO ACTIVIDAD


28

DENEGACIÓN DE SERVICIO (DOS) Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio ofrecido por un sistema o dispositivo de red. Existen diferentes técnicas para la explotación de este tipo de ataques: Envío de paquetes de información mal conformados de manera de que la aplicación que debe interpretarlo no puede hacerlo y colapsa. Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios. Bloqueo de cuentas por excesivos intentos de login fallidos. Impedimento de logueo del administrador. MAN-IN-THE-MIDDLE El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en Internet, dentro de una red LAN, etc. IP SPOOFING - MAC ADDRESS SPOOFING El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de información que envía a la red, falsificando su identificación para hacerse pasar por otro usuario. De esta manera, el atacante puede asumir la identificación de un usuario válido de la red, obteniendo sus privilegios. PHARMING Es la manipulación del mecanismo de resolución de nombres de dominio en Internet, llevada a cabo mediante la introducción de código malicioso en los servidores conectados a la red. Cuando un usuario ingresa una dirección en su navegador, ésta debe ser convertida a una dirección de IP numérica. Este proceso, que se denomina resolución de nombres, es llevado a cabo por servidores

TÍTULO ACTIVIDAD


29

DNS (Domain Name Servers). En ellos se almacenan tablas con las direcciones de IP de cada nombre de dominio. El pharming consiste en adulterar este sistema, de manera que cuando el usuario cree que está accediendo a su entidad financiera en Internet, en realidad esta ingresado a una página Web falsa. AIRsniffing Consiste en capturar paquetes de información que circulan por redes inalámbricas. Para ello es necesario contar con una placa de red "wireless" configurada en modo promiscuo y una antena. War Driving y Netstumbling estas técnicas se valen del AIRsniffing, ya que consisten en circular (generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de capturar información transmitida a través de redes inalámbricas. Esto es posible debido a que generalmente las ondas de transmisión de información en redes inalámbricas se expanden fuera del área donde se ubican los usuarios legítimos de la red, pudiendo ser alcanzadas por atacantes. Lo que en ocasiones las hace más vulnerables es la falta de seguridad con que se encuentran implementadas. Para más información mirar el tema 1 de Seguridad y Alta Disponibilidad

2.3.2-Riesgos potenciales en los servicios de red. 2.3.2.1-Seguridad en los dispositivos de red: terminales, switch y router.

Seguridad en los terminales: instalaciones por defecto no pensadas para la seguridad o la facilitación a los usuarios son algunos de los motivos por los que nuestros quipos no son seguros.algunas medidas que se pueden tomar son:

a) Conocimientos del sistema

b) Verificación de la integridad

c) Protocolos cifrados

d) Revisión de los registros

e) Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)

f) Eliminación de servicios innecesarios

g) Reglas de acceso (cotafuegos)

TÍTULO ACTIVIDAD


30

Ventajas a) Control de acceso

b) Limita el alcance de los problemas de seguridad en redes locales

c) Limita la posibilidad de utilizar sistemas comprometidos para atacar a terceros

d) Limita la posibilidad de extraer información

Inconvenientes a) Dificultad a la hora de configurarlos b) Dificultad a la hora de instalar nuevos servicios c) Dificultad con protocolos que usan puertos aleatorios d) Ralentización e) Importancia relativa en maquinas sin servicios y con accesos controlados f) Mantener el sistema actualizado g) A nivel de administración

o Políticas de seguridad

o Diseño estricto de la red

o Barreras de acceso

o Copias de seguridad (recuperación ante desastres)

o Cifrado de las comunicaciones

o Protoclos de autentificación seguros

o Medidas preventivas

o Trampas (Honeypots)

Protección de los switch:

TÍTULO ACTIVIDAD


31

los puertos de entrada pueden ser un punto de entrada a la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una función que se conoce como seguridad de puertos. La seguridad de puertos limita la cantidad de direcciones MAC validas que se permiten por puerto. El puerto no reenvía paquetes con direcciones MAC de origen que se encuentran fuera del grupo de direcciones definidas. Existen tres maneras de configurar la seguridad de puertos: Estática: las direcciones MAC se configuran manualmente con el comando de configuración de interfaz switchport port-security mac-address. Las direcciones MAC estáticas se almacenan en la tabla de direcciones y se agregan a la configuración. Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla de direcciones. Se puede controlar la cantidad de direcciones que se aprenden. La cantidad máxima predeterminada de direcciones MAC que se aprenden por puerto es una. Las direcciones que se aprenden se borran de la tabla si el puerto se desconecta o si el switch se reinicia. Sin modificación: similar a la dinámica excepto que las direcciones también se guardan en la configuración en ejecución. Routers: Debemos tomar las siguientes políticas de seguridad: Seguridad física

o Designar al personal para actividades de instalación y desinstalación

o Designar la persona para realizar actividades de mantenimiento

o Designar al personal para realizar la conexión física

o Definir controles de colocación y usos de la consola y los puertos de acceso

o Definir procedimientos de recuperación ante eventualidades físicas

Seguridad de configuración estática o Definir directrices para la detección de ataques directos

o Definir políticas de administración en intercambio de información (Protocolos de ruteo, RADIUS, SNMP, TACAS+, NTP).

o Definir políticas de intercambio de llaves de encriptación.

TÍTULO ACTIVIDAD


32

Seguridad de configuración dinámica o Identificar los servicios de configuración dinámica del router, y las redes

permitidas para acceder dichos servicios.

o Identificar los protocolos de router a utilizar, y sus esquemas de seguridad que proveen.

o Designar mecanismos y políticas de actualización del reloj (manual o por NTP)

o Identificar los algoritmos criptográficos autorizados para levantar vpn´s.

Seguridad en servicios de red o Enumerar protocolos, pùertos y servicios a ser permitidos o filtrados en cada

interface, asi como los procedimientos para su autorización.

o Describir procedimientos de seguridad y roles para interactuar con proveedores externos.

Para conseguir seguridad en el router debemos: Loopback

o Enumerar a las personas u organizaciones y ser notificadas en caso de una red comprometida

o Identificar la información relevante a ser capturada y retenida

o Definir procedimientos de respuesta, autoridades y los objetivos de la respuesta después de un ataque exitoso, incluir esquemas de preservación de la evidencia (cadena de custodia)

Seguridad en servicios de red o Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada

interface, asi como los procedimientos para su autorización.

o Describir procedimientos de seguridad y roles para interactuar con proveedores externos.

TÍTULO ACTIVIDAD


33

2.3.2.2-Seguridad en los servicios de red por niveles: Enlace, Red (IP), Transporte (TCP-UDP) y Aplicación. Seguridad en el nivel de enlace:

a) Ataques basados en MAC y ARP b) CAM Table Overlow: consiste en el inundar la tabla de direcciones MAC de un

switch haciendo que el switch envie todas las tramas de las direcciones MAC que no tiene en la tabla a todos los equipos, haciendo que actue como HUB.

c) ARP Spoofing: es una técnica usada para infiltrarse en una red Ethernet conmutada que puede permitir al atacante husmear paquetes de datos en la LAN, modificar trafico, o incluso detenerlo.

d) Ataques que emplean ARP Spoofing:

-Switch Port Stealing: el atacante consigue que todas las tramas dirigidas hacia otro puerto del switch lleguen a puertos del atacante para luego re-enviarlos hacia su destinatario y de esta manera poder ver el trafico que viaja desde el remitente hacia el destinatiario -Man in the middle: utilizando ARP Spoofing el atacante logra que todas las tramas que intercambian las victimas pasen primero por su equipo -Hijacking: el atacante puede lograr redirigir el flujo de tramas entre dos dispositivos hacia su equipo. Así puede lograr colocarse en cualquiera de los dos extremos de la comunicación -Denial of service (DoS): el atacante puede hacer que un equipo crítico de la red tenga una dirección MAC inaccesible. Con esto se logra que las tramas dirigidas a la IP de este dispositivo se pierdan

e) Ataques basados en VLAN -Dinamic trunking protocol: automatiza la configuración de los trunk 802.1Q. Sincroniza el modo de trunking en los extremos haciendo innecesaria la intervención administrativa en ambos extremos. -Vlan hopping attack: un equipo puede hacerse para que un switch con 80.2.1Q y DTP, o bien se puede emplear como un Switch volviendo al equipo miembro de todas las VLAN. Requiere que el puerto este configurado con trunking automatico. -Doublé encapsulated VLAN Hopping Attack: una trama 802.1Q lleva otra trama 802.1Q, solo permiten tráfico en una sola dirección y solo funciona entre VLAN. -VLAN trunking Protocol: se emplea para distribuir configuración de VLAN a través de

TÍTULO ACTIVIDAD


34

múltiples dispositivos. Solo se emplea en puertos trunk y puede causar muchos inconvenientes. Utiliza autentificación MD5.

f) Ataques basados en STP: l atacante puede ver tramas que no debería(esto permite ataques DoS,MIM, etc )

Seguridad a nivel de red:

a) Filtrado de paquetes: permitir a los usuarios de la red local acceder a los servicios, limitando así el acceso a los del exterior. Esto se hace en los filtros del router.

b) Monitorización de routers y equipos de acceso: controlar los accesos mediante ficheros LOG

c) Separa las redes y filtros anti-sniffing: con esto conseguimos evitar que una atacante pueda obtener calves de acceso mediante sniffers.

Capa de aplicación:

a) Cifrado: nos da integridad, autenticidad, garantía de recepción, y un comprobante del envió

b) Certificados digitales: son contenedores de información que se intercambian en transacciones digitales. Un certificado puede contener datos del emisor y su clave pública. están firmados con claves privadas de uno o más entes certificadores.

c) SSL: es un protocolo de seguridad que provee privacidad en las comunicaciones a través de internet. Sus objetivos son: dar seguridad criptográfica, interoperabilidad, extensibilidad y eficienca relativa

d) TLS: este protocolo se basa en SSL 3.0 y presenta diferencias menores e) SET: propuesta de Visa y Mastercard àra permitir transacciones elctronicas

seguras. Utiliza certificados digitales para verificar la identidad de las partes involucradas en la transacción. La verificación se realiza mediante cifrado asimetrica

Capa Transporte Secure Sockets Layer (SSL; protocolo de capa de conexión segura) y su sucesor Transport Layer Security (TLS; seguridad de la capa de transporte) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

TÍTULO ACTIVIDAD


35

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar.

SSL implica una serie de fases básicas:

• Negociar entre las partes el algoritmo que se usará en la comunicación

• Intercambio de claves públicas y autenticación basada en certificados digitales

• Cifrado del tráfico basado en cifrado simétrico

Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones:

• Para criptografía de clave pública: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza;

• Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES y AES (Advanced Encryption Standard);

• Con funciones hash: MD5 o de la familia SHA.

TLS/SSL poseen una variedad de medidas de seguridad:

• Numerando todos los registros y usando el número de secuencia en el MAC.

• Usando un resumen de mensaje mejorado con una clave (de forma que solo con dicha clave se pueda comprobar el MAC). Esto se especifica en el RFC 2104).

• Protección contra varios ataques conocidos (incluyendo ataques man-in-the-middle), como los que implican un degradado del protocolo a versiones previas (por tanto, menos seguras), o conjuntos de cifrados más débiles.

• El mensaje que finaliza el protocolo handshake (Finished) envía un hash de todos los datos intercambiados y vistos por ambas partes.

• La función pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes (MD5 y SHA), después realiza sobre ellos una

TÍTULO ACTIVIDAD


36

operación XOR. De esta forma se protege a sí mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en el futuro.

2.3.3- Monitorización del tráfico en redes: Herramientas.

a) Network Manager agregado es una red de clase empresarial / aplicación / plataforma de supervisión del rendimiento. Se integra perfectamente con otros sistemas inteligentes de gestión de edificios, tales como control de acceso físico, HVAC, iluminación, y el tiempo / control de asistencia.

b) Airwave Gestión PlatformT (AMP) de red inalámbrica de software de gestión permite un control centralizado para redes Wi-Fi. Las características incluyen: punto de acceso de gestión de configuración, presentación de informes, seguimiento de los usuarios, ayudar a puntos de vista escritorio, y rogue AP descubrimiento.

c) akk @ da es un sistema de monitoreo de red simple diseñado para redes de ordenadores pequeños y medianos. Su objetivo es detectar rápido fallo del sistema o de red y para mostrar información acerca de los problemas detectados por los administradores. akk @ da está diseñado como un monitor de red pro-activa. No esperar a que la información de todos los agentes, sistemas, etc recoge la información que cada minuto (puede reducir este período de 1 segundo). Casi todos los servicios de los anfitriones control se descubren de forma automática.

d) Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de enlaces WAN, detección y mitigación de DDoS, lo que representa el tráfico y la representación gráfica.

e) Axence nVision supervisa la infraestructura de red: Windows, servicios TCP / IP, servidores web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.) También supervisa routers y conmutadores: tráfico de red, estado de la interfaz, los ordenadores conectados. nVision recoge el inventario de la red y el uso de licencias de auditoría - puede alertar en caso de una instalación de programas o cualquier cambio de configuración en un nodo remoto. Con el agente usted puede supervisar la actividad del usuario y acceso remoto a los ordenadores.

f) Cymphonix Red Compositor supervisa el tráfico de Internet por usuario, aplicación, y la amenaza. Incluye controles de forma de acceso a recursos de Internet por usuario, grupo y /

TÍTULO ACTIVIDAD


37

u hora del día. También con el bloqueo de proxy anónimos, la gestión de políticas y la supervisión en tiempo real.

2.3.4-Intentos de penetración. Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su alcance se extiende a: Equipos de comunicaciones; Servidores; Estaciones de trabajo; Aplicaciones; Bases de Datos; Servicios Informáticos; Casillas de Correo Electrónico; Portales de Internet; Intranet corporativa; Acceso físico a recursos y documentación Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información convenciendo al usuario que otorgue información confidencial, haciéndose pasar por usuarios con altos privilegios como administradores y técnicos). Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:

a) Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.

b) Identificación de las vulnerabilidades existentes mediante herramientas automáticas. c) Explotación manual y automática de las vulnerabilidades para determinar su alcance. d) Análisis de los resultados.

2.3.4.1-Sistemas de Detección de Intrusos (IDS). Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

TÍTULO ACTIVIDAD


38

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS: El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.

Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro. El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer). 2.3.4.2-Técnicas de Detección de Intrusos. El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones: Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e

TÍTULO ACTIVIDAD


39

ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada. Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc. Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad para secuencias de bytes particulares) y es también más eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro). 2.3.4.3-Tipos de IDS: (Host IDS, Net IDS). Existen dos tipos de sistemas de detección de intrusos: HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. 2.3.4.4-Software libre y comercial. El software libre (en inglés free software, aunque esta denominación también se confunde a veces con "gratis" por la ambigüedad del término "free" en el idioma inglés, por lo que también se usa "libre software") es la denominación del software que respeta la libertad de los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, modificar el software y distribuirlo modificado. El software libre suele estar disponible gratuitamente, o al precio de costo de la distribución a través de otros medios; sin embargo no es obligatorio que sea así, por lo tanto no hay que asociar software libre a "software gratuito" (denominado usualmente freeware), ya que, conservando su carácter de libre, puede ser distribuido comercialmente ("software comercial"). Análogamente, el "software gratis" o

TÍTULO ACTIVIDAD


40

"gratuito" incluye en ocasiones el código fuente; no obstante, este tipo de software no es libre en el mismo sentido que el software libre, a menos que se garanticen los derechos de modificación y redistribución de dichas versiones modificadas del programa. SOFTWARE COMERCIAL. VENTAJAS

a) Las compañías productoras de software propietario, por lo general, tienen departamentos de control de calidad que llevan a cabo muchas pruebas sobre el software que producen.

b) Se destina una parte importante de los recursos a la investigación sobre la usabilidad del producto.

c) Se tienen contratados algunos programadores muy capaces y con mucha experiencia. d) El software propietario de marca conocida ha sido usado por muchas personas y es

relativamente fácil encontrar a alguien que lo sepa usar.

DESVENTAJAS a) Es difícil aprender a utilizar eficientemente el software propietario sin haber

asistido a costosos cursos de capacitación. b) El funcionamiento del software propietario es un secreto que guarda celosamente la

compañía que lo produce. En muchos casos resulta riesgosa la utilización de un componente que es como una caja negra, cuyo funcionamiento se desconoce y cuyos resultados son impredecibles. En otros casos es imposible encontrar la causa de un resultado erróneo, producido por un componente cuyo funcionamiento se desconoce.

c) En la mayoría de los casos el soporte técnico es insuficiente o tarda demasiado tiempo en ofrecer una respuesta satisfactoria.

d) Es ilegal extender una pieza de software propietario para adaptarla a las necesidades particulares de un problema específico. En caso de que sea vitalmente necesaria tal modificación, es necesario pagar una elevada suma de dinero a la compañía fabricante, para que sea ésta quien lleve a cabo la modificación a su propio ritmo de trabajo y sujeto a su calendario de proyectos.

TÍTULO ACTIVIDAD


41

e) La innovación es derecho exclusivo de la compañía fabricante. Si alguien tiene una idea innovadora con respecto a una aplicación propietaria, tiene que elegir entre venderle la idea a la compañía dueña de la aplicación o escribir desde cero su propia versión de una aplicación equivalente, para una vez logrado esto poder aplicar su idea innovadora.

SOFTWARE LIBRE VENTAJAS

a) Ahorros multimillonarios en la adquisición de licencias. b) Combate efectivo a la copia ilícita de software. c) Eliminación de barreras presupuestales. d) Beneficio social para el país. e) Beneficio tecnológico para el país.

DESVENTAJAS a) La curva de aprendizaje es mayor. b) El software libre no tiene garantía proveniente del autor. c) Se necesita dedicar recursos a la reparación de erratas. d) No existiría una compañía única que respaldará toda la tecnología. e) Las interfaces amigables con el usuario (GUI) y la multimedia apenas se están

estabilizando.

2.4-Seguridad en la red corporativa: 2.4.1-Seguridad en las comunicaciones inalámbricas. 2.4.1.1-Sistemas de seguridad en WLAN. Los paquetes de información en las redes inalámbricas viajan en forma de ondas de radio. Las ondas de radio -en principio- pueden viajar más allá de las paredes y filtrarse en habitaciones/casas/oficinas contiguas o llegar hasta la calle.

Si nuestra instalación está abierta, una persona con el equipo adecuado y conocimientos básicos podría no sólo utilizar nuestra conexión a Internet, sino

TÍTULO ACTIVIDAD


42

también acceder a nuestra red interna o a nuestro equipo -donde podríamos tener carpetas compartidas- o analizar toda la información que viaja por nuestra red -mediante sniffers- y obtener así contraseñas de nuestras cuentas de correo, el contenido de nuestras conversaciones por MSN, etc.

Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave en una instalación residencial (en casa), mucho más peligroso es en una instalación corporativa. Y desgraciadamente, cuando analizamos el entorno corporativo nos damos cuenta de que las redes cerradas son más bien escasas.

Sin pretender invitaros a hacer nada ilegal, podéis comprobar la cantidad de redes abiertas que podéis encontrar sin más que utilizar el programa Network Stumbler o la función Site Survey o escaneo de redes de vuestro PDA con Wi-Fi o de vuestro portátil mientras dáis un paseo por vuestro barrio o por vuestra zona de trabajo.

Para que una red inalámbrica sea segura ahí que tener en cuenta:

• Cambiar la contraseña que trae por defecto. Un fabricante usa la misma contraseña para todos sus equipos.

• Usar encriptación WEP/WPA. Activar en el Punto de Acceso la encriptación WEP, mejor 128 bits que de 64 bits… cuanto mayor sea el número de bits mejor. Cuidar la frase para generar las claves, que no sean palabras del diccionario, mezclar mayúsculas, números, que no sean letras seguidas de las teclas del ordenador etc.

• Cambiar el SSID por defecto. No usar palabras atractivas sino más bien "Broken", "Down" o "Desconectado". El SSID (Service Set IDentifier) es un código incluido en todos los paquetes de una red inalámbrica (Wi-Fi) para identificarlos como parte de esa red. El código consiste en un máximo de 32 caracteres alfanuméricos. Todos los dispositivos inalámbricos que intentan comunicarse entre sí deben compartir el mismo SSID.

• Desactivar el broadcasting SSID. Es uno de los métodos más básicos de proteger una red inalámbrica, desactivar el broadcast del SSID, ya que para el usuario medio no aparecerá como una red en uso.

TÍTULO ACTIVIDAD


43

• Activar el filtrado de direcciones MAC. Activa en el AP el filtrado de direcciones MAC de los dispositivos Wi-Fi que actualmente tengas funcionando. Al activar el filtrado MAC dejarás que sólo los dispositivos con las direcciones MAC especificadas se conecten a tu red Wi-Fi.

* Sistemas de seguridad en WLAN.

Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier ordenador cercano al punto de acceso puede conectarse a Internet a través de él, siempre que tenga una tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una red inalámbrica cercana disponible, pero para acceder habrá que introducir la contraseña. Es lo que suele ocurrir en los aeropuertos y algunos hoteles, donde la contraseña se obtiene previo pago. 2.4.1.1.1-Sistema Abierto. La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos, o vienen configurados por el operador. Pero si se quiere modificar algo, como la seguridad, conviene conocer algunos de los parámetros de la conexión:

• El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso. Por defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se puede cambiar y poner "PerezWiFi", por ejemplo.

• El canal: por lo general se usa el canal 6, pero si el vecino también tiene un punto de acceso en este canal habrá que cambiarlo para evitar interferencias. Puede ser un número entre 1 y 11.

• La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la contraseña que tendrá que introducirse en los ordenadores que se quieran conectar.

• La clave compartida WPA: Como en el caso anterior, si se emplea seguridad WPA hay que seleccionar una clave de acceso para poder conectarse a la red WiFi.

• Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas para protegerlas. Esto quiere decir que los números y letras se cambian por otros mediante un factor. Sólo con la clave adecuada se puede recuperar la información.

TÍTULO ACTIVIDAD


44

Cuanto más grande sea el factor de cifrado (más bits), tanto más difícil resulta romper la clave.

2.4.1.1.2-WEP. Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de radio, lo que los hace más susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad. 2.4.1.1.3-WPA. Es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi).

WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

2.4.1.2Recomendaciones de seguridad en WLAN. Consejos generales:

TÍTULO ACTIVIDAD


45

a) Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos routers permiten controlar la intensidad de la señal, por esto, disminuya la intensidad para restringir la propagación fuera del edificio.

b) Cambie la contraseña por default del router inalámbrico: en general, el nombre de usuario es admin y la contraseña también es admin.

c) Cambie el SSID por default del router inalámbrico y deshabilite el broadcast del SSID. Si es posible, no hay que permitir acceder a la red local a través de la red inalámbrica sino solamente a través de la red cableada conectada a uno de los puertos LAN del router.

d) ) Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits, si es posible.

e) Instale actualizaciones de firmware cuando estén disponibles por el fabricante. f) Desconecte el router o deshabilite la red inalámbrica cuando no la utilice. g) Tenga siempre en mente la seguridad de todo el sistema instalando un firewall,

actualizando el antivirus, el sistema operativo y los programas.

UD 2: Implantación de mecanismos de seguridad activa · También hace un escaneo de puertos para...

Documents

Transcript of UD 2: Implantación de mecanismos de seguridad activa · También hace un escaneo de puertos para...