polÍticas de seguridad -...

SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL

MANUAL DE APRENDIZAJE

CÓDIGO: 89001531

Profesional Técnico

POLÍTICAS DE SEGURIDAD

COMPUTACIÓN E

INFORMÁTICA


ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 5

TABLA DE CONTENIDO:

TAREA 01 ESTABLECER LOS PRINCIPIOS BÁSICOS RELACIONADOS A LA SEGURIDAD

INFORMÁTICA). .................................................................................................................................. 11

PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y RESTRICIONES. ..... 12

CREAR GPO DE DESPLIEGUE DE SOFTWARE ........................................................................... 16

IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL. .............................................................. 21

VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES DE DATOS. ...... 24

FUNDAMENTO TEÓRICO: ................................................................................................................ 24

PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y RESTRICCIONES. .. 24

IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL. ............................................................... 28

VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES DE DATOS. ...... 29

SUPERFICIES DE ATAQUE UTILIZADAS POR LOS INTRUSOS: ............................................ 30

TAREA 02: IMPLEMENTAR LA SEGURIDAD INFORMÁTICA A NIVEL FÍSICO. ............. 57

REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE DISPOSITIVOS

EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS MÓVILES. ....................................... 58


REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE DISPOSITIVOS

EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS MÓVILES. ....................................... 59

RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DEL REGISTRO: ......... 59

TAREA 03: REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD EN LOS

NAVEGADORES MÁS IMPORTANTES DE INTERNET. ............................................................ 63

REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS ZONAS Y SITIOS

WEB SEGUROS. .................................................................................................................................... 64


REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS ZONAS Y SITIOS

WEB SEGUROS. .................................................................................................................................... 74

CARACTERÍSTICAS DE SEGURIDAD Y PRIVACIDAD EN INTERNET EXPLORER 9 ....... 78

NAVEGADOR CHROME: ................................................................................................................... 80

NAVEGADOR FIREFOX: .................................................................................................................... 83

TAREA 04: REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD

INALÁMBRICA. ................................................................................................................................... 85


ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN - 6 -

CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD EN REDES

INALÁMBRICAS. ................................................................................................................................. 86

CONFIGURAR LOS FILTROS MAC. ................................................................................................ 87


CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD EN REDES

INALÁMBRICAS. ................................................................................................................................. 88

WEP ......................................................................................................................................................... 91

WPA......................................................................................................................................................... 94

MODOS DE FUNCIONAMIENTO DE WPA ..................................................................................... 95

WPA2 (IEEE 802.11I) ............................................................................................................................ 95

CONFIGURAR LOS FILTROS MAC. ................................................................................................ 96

TAREA 05: SELECCIONAR LOS PERMISOS ADECUADOS AL COMPARTIR LOS

RECURSOS. ........................................................................................................................................... 99

COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS, APLICANDO PERMISOS

BÁSICOS Y AVANZADOS. ............................................................................................................... 100

COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL ACTIVE

DIRECTORY........................................................................................................................................ 103

FUNDAMENTO TEÓRICO: .............................................................................................................. 106

COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS, APLICANDO PERMISOS

BÁSICOS Y AVANZADOS. ............................................................................................................... 106

TIPOS DE PERMISOS: ...................................................................................................................... 107

PERMISOS ESTÁNDAR Y ESPECIALES: ..................................................................................... 107

ACCESO A CARPETAS COMPARTIDAS ...................................................................................... 108

CARPETAS COMPARTIDAS ADMINISTRATIVAS .................................................................... 109

FINALIDAD DE LAS CARPETAS COMPARTIDAS ADMINISTRATIVAS ............................. 109

ACCESO A ARCHIVOS Y CARPETAS MEDIANTE PERMISOS NTFS ................................... 112

PERMISOS DE ARCHIVO Y CARPETA NTFS ............................................................................. 113

COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL ACTIVE

DIRECTORY........................................................................................................................................ 115

TAREA 06: IMPLEMENTAR POLÍTICAS DE CONTRASEÑA. ................................................. 121

CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A TRAVÉS DE

DIRECTIVAS DE GRUPO: ................................................................................................................ 122




CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A TRAVÉS DE

DIRECTIVAS DE GRUPO: ................................................................................................................ 123

POLÍTICA Y ACCIONES PARA CONSTRUIR CONTRASEÑAS SEGURAS: ......................... 125

DIRECTIVAS DE CONTRASEÑAS: ................................................................................................ 126

TAREA 07: IMPLEMENTAR POLÍTICAS DE AUDITORÍA EN LOS SISTEMAS DE

CÓMPUTO. .......................................................................................................................................... 129

HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL SISTEMA: ...... 130


HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL SISTEMA: ...... 133

LOS PROCESOS DE UNA AUDITORIA DE SEGURIDAD INFORMATICA ............................ 133

TAREA 08: REALIZAR EL ÓPTIMO CIFRADO DE LA INFORMACIÓN. ............................ 141

UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO. ................................................... 142


UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO: ................................................... 146

CRIPTOGRAFÍA ................................................................................................................................. 147

ALGORITMO CRIPTOGRÁFICO O CIFRADOR: ....................................................................... 147

LLAVES: ............................................................................................................................................... 148

FUNCIONES HASH DE UN SENTIDO: ........................................................................................... 148

CRIPTOGRAFÍA SIMÉTRICA: ....................................................................................................... 148

CRIPTOGRAFÍA ASIMÉTRICA: ..................................................................................................... 149

FIRMAS DIGITALES: ........................................................................................................................ 149

CERTIFICADOS DIGITALES: ......................................................................................................... 150

MECANISMOS DE SEGURIDAD EN APLICACIONES: ............................................................. 151

TAREA 09: REALIZAR UNA ÓPTIMA PROTECCIÓN DEL SISTEMA ANTE EL

MALWARE. ......................................................................................................................................... 153

REALIZAR PROCEDIMIENTOS PARA EVITAR Y ELIMINAR LOS VIRUS,

DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y OTROS. ......... 154



DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y OTROS: ........ 158

VIRUS INFORMÁTICO: .................................................................................................................... 158

FASES DE ACCIÓN DEL VIRUS: .................................................................................................... 159



PRIMERA FASE (INFECCIÓN) ....................................................................................................... 159

SEGUNDA FASE (LATENCIA) ......................................................................................................... 159

TERCERA FASE (ACTIVACIÓN) .................................................................................................... 159

CÓMO FUNCIONA UN ANTIVIRUS ............................................................................................... 160

ANALISIS DE ARCHIVOS ................................................................................................................ 160

ANÁLISIS DE CONDUCTA DE ARCHIVOS .................................................................................. 161

SÍNTOMAS DE LA PRESENCIA DE VIRUS: ................................................................................ 161

LOS MEJORES ANTIVIRUS Y APLICACIONES EN GENERAL: ............................................. 163

TAREA 10: IMPLEMENTAR LA SEGURIDAD BÁSICA DE UNA RED. ............................... 166

CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN LA RED. .... 167

ENTENDER EL FUNCIONAMIENTO DE LOS DIVERSOS TIPOS DE CORTAFUEGOS. .. 169

DIFERENCIAS ENTRE FIREWALL DE HARDWARE Y DE SOFTWARE. ............................ 173

FIREWALL DE HARDWARE: ......................................................................................................... 173

FIREWALL DE SOFTWARE: ........................................................................................................... 174

INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER. ................................... 174


CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN LA RED. .... 180

ADMINISTRACIÓN DE GPO ........................................................................................................... 182

PROBLEMAS HABITUALES AL IMPLEMENTAR DIRECTIVAS DE GRUPO ...................... 182

USO DE PLANTILLAS ADMINISTRATIVAS EN DIRECTIVA DE GRUPO PARA

CONTROLAR ENTORNOS DE USUARIO ..................................................................................... 183

TIPOS DE OPCIONES DE CONFIGURACIÓN DE PLANTILLAS ADMINISTRATIVAS ..... 184

CÓMO CONFIGURAR UNA PLANTILLA ADMINISTRATIVA ................................................ 185

USO DE PLANTILLAS DE SEGURIDAD PARA PROTEGER UN EQUIPO: ........................... 185

ENTENDER EL FUNCIONAMIENTO DE LOS DIVERSOS TIPOS DE CORTAFUEGOS

(FIREWALL)........................................................................................................................................ 187

TIPOS DE FIREWALL: ..................................................................................................................... 188

BENEFICIOS DE UN FIREWALL ................................................................................................... 190

LIMITACIONES DE UN FIREWALL .............................................................................................. 191

INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER. ................................... 193

INSTALACIÓN DE ISA SERVER: ................................................................................................... 193



REQUISITOS DE INSTALACIÓN DE ISA SERVER ESTÁNDAR: ............................................ 193

TAREA 11: REALIZAR LOS PROCEDIMIENTOS ASOCIADOS AL AISLAMIENTO DE LA

RED. ...................................................................................................................................................... 199

UTILIZAR VLANS ............................................................................................................................. 200

CONFIGURAR SUBREDES UTILIZANDO VLSM ....................................................................... 204


UTILIZAR VLANS ............................................................................................................................. 205

TIPOS DE VLAN ................................................................................................................................. 205

VENTAJAS DE LA VLAN .................................................................................................................. 206

CONFIGURAR SUBREDES UTILIZANDO VLSM ....................................................................... 206

DIRECCIONES IP VS4 ....................................................................................................................... 206

IP PRIVADO: ....................................................................................................................................... 211

IP PÚBLICO: ....................................................................................................................................... 212

ASIGNACIÓN ESTÁTICA DE DIRECCIONES ............................................................................. 212

ASIGNACIÓN DINÁMICA DE DIRECCIONES ............................................................................ 213

LA SEGURIDAD QUE ENTREGARÁ LA NUEVA VERSIÓN DE PROTOCOLO IP:

PROTOCOLO IP VS 6.0: .................................................................................................................... 213

PROTOCOLO IP VS 6 ........................................................................................................................ 214

TRANSICIÓN A IPV6 ......................................................................................................................... 215

SOLUCIÓN ACTUAL ......................................................................................................................... 219

EL CAMBIO DE IPV4 A IPV6 PERMITE UNA MEJORA EN LA SEGURIDAD: .................... 221

TAREA 12: CONFIGURAR LOS PROTOCOLOS DE SEGURIDAD MÁS IMPORTANTES Y

CONOCER LOS MÉTODOS MÁS COMUNES DE PROTECCIÓN CONTRA ATAQUES

INFORMÁTICOS. ............................................................................................................................... 224

PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE ATAQUE. ....... 225


PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE ATAQUE. ....... 226

UTILIZAR SOFTWARE DE SEGURIDAD PARA PROTEGER LOS HOST EN LA RED DE

DATOS. ................................................................................................................................................. 230

PRECAUCIONES BÁSICAS PARA IMPEDIR LAS INTRUSIONES EN EL EQUIPO DE

TRABAJO: ........................................................................................................................................... 233

TAREA 13: REALIZAR LAS CONFIGURACIONES MÁS IMPORTANTES PARA LA

PROTECCIÓN DE CORREO ELECTRÓNICO. ............................................................................ 238



ACCIONES A TOMAR CONTRA EL SPAM, PHISHING, PHARMING, ETC: ....................... 239

TAMBIÉN PODEMOS UTILIZAR PROGRAMAS ESPECÍFICOS CONTRA EL SPAM, TALES

COMO: .................................................................................................................................................. 239


ACCIONES A TOMAR CONTRA EL SPAM, PHISHING, PHARMING, ETC. ........................ 242

TAREA 14: IMPLEMENTAR DIRECTIVAS BÁSICAS DE PROTECCIÓN DE LA RED EN

SERVIDORES DE SEGURIDAD. ...................................................................................................... 250

CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY DE RED COMO

ISA, FOREFRONT Ó NETFILTER: ................................................................................................. 251

UTILIZANDO ISA SERVER: ............................................................................................................ 251

UTILIZANDO NETFILTER E IPTABLES ( A NIVEL BÁSICO): ............................................... 253


CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY DE RED COMO

ISA, FOREFRONT Ó NETFILTER: ................................................................................................. 257

TRABAJANDO CON ISA SERVER: ................................................................................................ 257

MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY 2010. ............................. 265



TAREA 01.

ESTABLECER LOS PRINCIPIOS BÁSICOS RELACIONADOS A

LA SEGURIDAD INFORMÁTICA).

En esta tarea realizará las siguientes operaciones:

Preparar políticas de otorgamiento de privilegios.

Identificar el uso de la ingeniería social.

Verificar las posibles superficies de ataque en las redes de datos.

EQUIPOS Y MATERIALES:

Computadora con microprocesadores Core 2 Duo o de mayor capacidad.

Sistema operativo Windows.

Una Máquina virtual con un servidor, que podría ser cualquiera de los

siguientes:

o Servidor Microsoft (Windows 2003 o Windows 2008).

o Servidor Linux (Centos, Debian o algún otro).

Software de simulación de redes.

Software de virtualización de equipos.

ORDEN DE EJECUCIÓN:

Preparar políticas de otorgamiento de privilegios.



01

La Vida es una obra teatralque no importa cuánto haya durado,

sino qué tan bien haya sido representada.

(Lucio Anneo Séneca)



OPERACIÓN.

PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y

RESTRICCIONES.

En esta tarea necesitará implementar una arquitectura cliente servidor, en

donde el cliente puede tener como sistema operativo el Windows XP, Windows

7 ó Windows 8 y el servidor puede ser un Windows Server 2008, Windows

Server 2008 r2 o Windows Server 2012.

Para esta tarea utilizará software de virtualización, en este caso se trabajará con VirtualPC.

Además utilizará como sistema operativo del servidor: Windows Server 2008

(El instructor puede utilizar otro sistema equivalente).

Realizará el otorgamiento de privilegios básicos y restricciones a unas cuentas

de usuario siguiendo los pasos que a continuación se describen:

En el servidor se tendrá instalado el Active Directory.

Creará la unidad organizativa “SENATI” y en esta se crearán las siguientes

unidades organizativas:

o RRHH.

o Sistemas.

o Soporte.

o Logística.

Ingresará a la unidad organizativa de RRHH y creará los usuarios:

o Carlos Vega (cvega).

o Amelia Arce (aarce).

o Diana Félix (dfelix).



Ahora ingresará a la consola de administración denominada “Administración

de Directivas de grupo” y creará una nueva GPO para la Unidad

organizativa “RRHH”:

Esta directiva de grupo será llamada: “gpoRRHH” y una vez creada la

editará:



Utilizando esta GPO podrá aplicar algunos privilegios y restricciones.

En este caso aplicará las siguientes restricciones:

o Prohibir el acceso al panel de control: En este caso se ubicará en las

directivas de “Configuración de usuario”, “Plantillas administrativas” y

escogerá la directiva “Prohibir el acceso al Panel de control”.

o Prohibir modificar elementos del escritorio: En este caso se ubicará en las


escogerá la directiva “Prohibir modificar elementos” en el escritorio.

o Prohibir la configuración TCP/IP avanzada: En este caso se ubicará en las


escogerá la directiva “Prohibir la configuración TCP/IP avanzada” de

“Conexiones de red”.



OBSERVACIÓN: No debe olvidarse de ingresar a la ventana de comandos y

colocar: gpupdate/force para actualizar las directivas.

Ahora colgará un equipo al dominio, para esto requerirá un equipo con

Windows XP (se pudo utilizar otro sistema equivalente), y verificará el

funcionamiento de las políticas creadas.

Primero colgará el equipo con Windows XP al dominio senatinos.edu.pe.

Ahora ingresará al equipo utilizando un usuario de RRHH, para este caso

utilizará el usuario “Carlos vega” que tiene la cuenta de inicio de sesión

“cvega”:



Al ingresar con este usuario, intentará acceder al panel de control pero notará

que este acceso está restringido, es decir que este usuario no tiene esos

privilegios.

En este caso habrá definido restricciones, pero también puede definir permisos

y privilegios dependiendo de las directivas que se habiliten.

Además, Windows Server al contar con el active directory, le permite crear

cuentas de usuario, pero también cuentas de equipos, y a estas últimas

también le pueden asignar diversas GPO.

Ahora realizará otro ejemplo:

Crear GPO de despliegue de software.

Imagine que tenemos el siguiente escenario: Se requiere que los usuarios de

cierta area puedan utilizar un programa determinado y los demás usuarios no.

Para esto realizará los siguientes pasos:

o Se ubicará en la consola “Administración de directivas de grupo”:



o Creará una GPO, llamada “GPO_Instalacion software”:

o Al ingresar ha esta GPO deberá ubicarse en “Configuración de usuario

/Directivas/ Configuración de software/ Instalación de software”.

o Hará clic secundario en “Instalación de software” y escogerá “Nuevo…/

Paquete… y ubicará la aplicación deseada, en este caso la aplicación será:

firefox-15.0.1-es-ES.msi (El instructor proporcionará el programa al alumno ó

el alumno lo puede descargar de Internet).



OBSERVACIÓN: Para esto, el archivo firefox-15.0.1-es-ES.msi debe estar en

una carpeta compartida para que pueda ser accedido por los usuarios.

o Escogerá en “Implementar software” la opción “Avanzada”:

o Ahora escogerá las opciones de Implementación mostrada en la imagen y

hacemos clic en “Aceptar”.

o Ahora se creará un paquete de instalación:



o Asignamos esta GPO a la Unidad organizativa soporte:

o Actualizará la directiva utilizando el comando gpupdate/force desde la

ventana de comandos.

o Verificará que las cuentas de los usuarios se encuentren en la Unidad

organizativa “Soporte”:

o Ahora, comprobará el funcionamiento de esta GPO, para este fín, ingresará

utilizando un usuario de soporte:



o Una vez que se ingrese, verificará que aparesca el programa:

o Ahora, procedererá a ingresar con un usuario que pertenece a una diferente

area.

o Ya no aparecerá la aplicación.




Como sabrá, existen técnicas y herramientas de ingeniería social que son

utilizadas por los hacker’s, entre estas tenemos:

Invasivas o Directas o Físicas.

Seductivas y/o Inadvertidas.

Invasivas o Directas o Físicas.

Utilizando el Teléfono:

o Tretas Engañosas: Amenazas, Confusiones Falsas.

o Falsos Reportes de Problemas.

o Personificación Falsa en llamadas a HelpDesks y Sistemas CRM

(Customer Relationship Management).

o Uso fraudulento de líneas telefónicas.

El Sitio de Trabajo:

o Acceso Físico no Autorizado.

o Robar, fotografiar o copiar documentos sensibles.

o Pasearse por los pasillos buscando oficinas abiertas.

o Intentos de ganar acceso al cuarto de PBX y/o

servidores para:

Conseguir acceso a los sistemas.

Instalar analizadores de protocolo escondidos, sniffers, etc.

Remover o robar pequeños equipos con o sin datos.

El tachito de basura: Aquí se puede encontrar:

o Listados Telefónicos.

o Organigramas.

o Memorandos Internos.

o Manuales de Políticas de la Compañía.

o Agendas en Papel de Ejecutivos con Eventos y Vacaciones.

o Manuales de Sistemas.

o Impresiones de Datos Sensibles y Confidenciales.

o “Logins”, “Logons” y a veces... contraseñas.



o Listados de Programas (código fuente).

o Disquettes y Cintas.

o Papel Membretado y Formatos Varios.

o Hardware Obsoleto.

Internet-Intranet:

o Password Guessing (Adivinar las contraseñas en función de datos

personales del usuario).

o Encuestas, Concursos, Falsas actualizaciones de Datos.

o Anexos con Troyanos, Exploits, Spyware, Software de Navegación

remota, Keyloggers, KeyGrabbers y Screen Rendering.

Fuera de la Oficina:

o Almuerzos “De Negocios” de fin de semana, que terminan en sesiones de

confesión de contraseñas, extensiones, direcciones de correo electrónico.

Al otro día, la víctima no se acuerda.

Seductivas y/o Inadvertidas.

Autoridad:

o Intimidante.

o Amenazante.

o Urgente.

Carisma:

o Se usan modales amistosos, agradables.

o Se conversa sobre intereses comunes.

o Puede usar la adulación para ganar información del contexto sobre una

persona, grupo o producto.

Reciprocidad:

o Se ofrece o promete ayuda, información u objetos que no necesariamente

han sido requeridos, esto construye confianza, da la sensación de

autenticidad y confiabilidad.

Consistencia:



o Se usa el contacto repetido durante un cierto período de tiempo para

establecer familiaridad con la “identidad” del atacante y probar su

confiabilidad.

Validación Social:

o Se puede tomar ventaja de esta tendencia al actuar como un compañero

de trabajo necesitando información, contraseñas o documentos para su

trabajo.

o La victima usualmente es una persona con cierto potencial de ser

segregada dentro de su grupo, o que necesita “ser tomada en cuenta”.

Ingeniería Social Reversa:

o El Hacker sabotea una red o sistema, ocasionando un problema.

Este Hacker entonces promueve que él es el contacto apropiado para

solucionar el problema, y entonces, cuando comienza a dar asistencia en el

arreglo el problema, requiere pedacitos de información de los empleados y de

esa manera obtiene lo que realmente quería cuando llegó.

Los empleados nunca supieron que él era un hacker, porque su problema se

desvaneció, él lo arreglo y todo el mundo está contento.

Ahora, deberá saber cómo defenderse ante este problema.

Para esto, el instructor con los alumnos analizarán posibles soluciones para los

diversos problemas indicados.

Como posibles soluciones podrán estar los siguientes puntos:

Mantenga una actitud cautelosa y revise constantemente sus tendencias de

ayudar a personas que no conoce.

Verifique con quien habla, especialmente si le están preguntando por

contraseñas, datos de empleado u otra información importante.

Cuando utilice el teléfono, obtenga nombres e identidades de los que le

llamaron y pidieron cierta información, corrobórelos y llámelos a su

pretendida extensión.

No se deje intimidar o adular para terminar ofreciendo información

importante.

No responder los mensajes en cadena.

Destruya datos sensibles en papel, borre y destruya medios magnéticos y

raye los medios ópticos (CD-ROMS, DVD´s).



Borre los discos de equipos obsoletos.

Utilice contraseñas fuertes.


En esta tarea los alumnos con ayuda del instructor, realizarán un análisis de las

superficies más propensas a recibir ataques, tales como:

Redes inalámbricas (802.11, Bluetooth, etc…).

Redes cableadas.

Redes de celulares.

Interfaces para periféricos (Firewire, USB, SCSI, PCMCIA, etc.).

Sistemas operativos desprotegidos.

Aplicaciones inseguras, etc…

Dispositivos portátiles de almacenamiento, etc.

FUNDAMENTO TEÓRICO:

PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y

RESTRICCIONES.

Es muy importante que se cuente con una

política de seguridad de red bien definida y

efectiva que pueda establecer el otorgamiento

de privilegios, para proteger la inversión y los

recursos de información de la empresa. Siempre

será necesaria una política de seguridad si los

recursos y la información que la organización tiene en sus redes merecen

protegerse. La mayoría de las organizaciones tienen en sus redes información

delicada y secretos importantes; esto debe protegerse del acceso indebido del

mismo modo que otros bienes valiosos como la propiedad corporativa y los

edificios de oficinas se protegen, actualmente algunas empresas no tienen

claro este punto.

Comúnmente, los diseñadores de redes por lo general empiezan a implementar

soluciones de firewall a nivel de hardware o software antes de que se hayan

identificado los problemas de seguridad de red, lo cual no está mal pero

necesitamos realizar un análisis más profundo. Podemos empezar

haciéndonos las preguntas acerca de los tipos de servicios de red y recursos



cuyo acceso se permitirá a los usuarios, y cuales tendrán que restringirse

debido a los riesgos de seguridad.

Debe tomar en cuenta que la política de seguridad que usted debe usar es tal

que no disminuirá la capacidad productiva de su organización. Una política de

red que impide que los usuarios cumplan efectivamente con sus tareas, puede

traer consecuencias desastrosas para la empresa.

PLANTEAMIENTO DE LA POLITICA DE SEGURIDAD.

Definir una política de seguridad de red significa elaborar procedimientos y

planes que protejan los recursos de la red. Uno de los enfoques posibles para

elaborar dicha política es tomando en consideración los siguientes ítems:

1. ¿Qué recursos está usted tratando de proteger?

2. ¿De quiénes necesita proteger los recursos?

3. ¿Qué tan posibles son las amenazas?

4. ¿Qué tan importante es el recurso?

5. ¿Qué medidas se pueden implementar para proteger sus bienes de forma

económica y oportuna?

También se debe tener en consideración que el costo de proteger las redes de

una amenaza debe ser menor que el de recuperación.

Es importante que en el diseño de la política de seguridad participen la gente

más idónea.

CÓMO ASEGURAR LA RESPONSABILIDAD HACIA LA POLITICA DE

SEGURIDAD.

Un aspecto importante de la política de seguridad de red es asegurar que todos

conozcan su propia responsabilidad para mantener la seguridad. Es difícil que

una política de seguridad se anticipe a todas las amenazas posibles. Sin

embargo, las políticas pueden asegurar que para cada tipo de problema haya

alguien que lo pueda manejar de manera responsable.

ANALISIS DE RIESGO.

Cuando usted crea una política de seguridad de red, es importante que

comprenda que la razón para crear una política es asegurar que los esfuerzos

dedicados a la seguridad impliquen un costo razonable.

El análisis de riesgo implica determinar los siguientes puntos:



1. ¿Qué necesita proteger?

2. ¿De qué necesita protegerlo?

3. ¿Cómo protegerlo?

Los riesgos deben clasificarse por nivel de importancia y gravedad de la

perdida. No debe terminar en una situación en la que gaste más en proteger

algo que es de menor valor para usted. En el análisis de riesgo hay que

determinar los siguientes dos factores:

1. Estimación del riesgo de perder el recurso.

2. Estimación de la importancia del recurso.

La evaluación de la amenaza y los riesgos no debe ser una actividad de una

sola vez; debe realizarse con regularidad, como se defina en la política de

seguridad del lugar.

IDENTIFICACION DE RECURSOS.

Al realizar el análisis de riesgo, usted debe identificar todos los recursos que

corran el riesgo de sufrir un problema de seguridad. Los recursos como el

hardware son bastante obvios para incluirlos en este cálculo, pero en muchas

ocasiones se ignoran recursos tales como las personas que en realidad utilizan

los sistemas. Es importante identificar a todos los recursos de la red que

puedan ser afectados por un problema de seguridad.

La RFC 1244 enlista los siguientes recursos de red que usted debe considerar

al calcular las amenazas a la seguridad general:

1. HARDWARE: Tarjetas, terminales, estaciones de trabajo, computadoras

personales, impresoras, unidades de disco, líneas de comunicación,

servidores, routers, etc.

2. SOFTWARE: Programas fuente, programas objeto, utileras, programas de

diagnóstico, sistemas operativos, programas de comunicaciones.

3. DATOS: Durante la ejecución, almacenados en línea, archivados fuera dé

línea, respaldos, registros de auditoría, bases de datos, en tránsito a través

de medios de comunicación.

4. PERSONAS: Usuarios, personas necesarias para operar los sistemas.

5. DOCUMENTACIÓN: Sobre programas, hardware, sistemas, procedimientos

administrativos locales.

6. SUMINISTROS: Papel, formularios, cintas, medios magnéticos.



IDENTIFICACION DE LAS AMENAZAS.

Una vez que se han identificado los recursos que requieren protección, usted

debe identificar las amenazas a las que están expuestos. Pueden examinarse

las amenazas para determinar qué posibilidad de pérdida existe. También debe

identificar de qué amenazas está usted tratando de proteger a sus recursos.

En la siguiente sección se describen unas cuantas de las posibles amenazas.

DEFINICION DEL ACCESO NO AUTORIZADO.

El acceso a los recursos de la red debe estar permitido solo a los usuarios

autorizados. Una amenaza común que afecta a muchos sitios es el acceso no

autorizado a las instalaciones de cómputo, pero aparece otro problema

también, que consiste en que algunas personas han ingresado con usuarios y

contraseñas de otros.

RIESGO DE REVELACION DE INFORMACIÓN.

La revelación de información, ya sea voluntaria o involuntaria, es otro tipo de

amenaza. Usted debe determinar el valor y delicadeza de la información

guardada en sus computadoras.

Los hospitales, laboratorios farmacéuticos, compañías de seguros y las

instituciones financieras mantienen información confidencial, cuya revelación

puede ser perjudicial para los clientes y la reputación de la empresa.

La gente supone que los accesos no autorizados de terceros a las redes y

computadoras son realizadas por individuos que trabajan por su cuenta pero en

la mayoría de casos no es así, ya que se puede tratar de espionajes

sistemáticos.

NEGACION DEL SERVICIO DE RED:

Las redes vinculan recursos valiosos, como computadoras y bases de datos, y

proporcionan servicios de los cuales depende la organización. La mayoría de

los usuarios depende de estos servicios para realizar su trabajo con eficacia. Si

no están disponibles estos servicios, hay una pérdida correspondiente de

productividad.

Es complicado predecir la forma en que se produzca la negación del servicio.

Los siguientes son algunos ejemplos de cómo la negación de servicios puede

afectar una red:



1. La red puede volverse inservible por problemas de paquetes extraviados.

2. La red puede volverse inservible por inundación de tráfico, por ejemplo al

realizarse grandes envíos de broadcast.

3. La red puede ser fraccionada al desactivar un componente importante, como

el router o el switch.

4. Un virus puede hacer lento o invalidar un sistema de cómputo al consumir

los recursos del sistema.

Usted debe determinar qué servicios son absolutamente esenciales y, para

cada uno de ellos, determinar el efecto de su perdida. También debe contar

con políticas de contingencia para recuperarse de tales perdidas y así atenuar

sus consecuencias.

USO Y RESPONSABILIDADES DE LA RED.

Existen numerosas cuestiones que deben abordarse al elaborar una política de

seguridad, tales como:

1. ¿Quién está autorizado para usar los diferentes recursos en los equipos y en

la red?

2. ¿Cuál es el uso adecuado que se debe dar a los recursos?

3. ¿Quién está autorizado para conceder los permisos de acceso y aprobar el

uso de los recursos?

4. ¿Quién puede tener los privilegios para la administración del sistema?

5. ¿Cuáles son los derechos y las responsabilidades de cada usuario, en la

empresa?

6. ¿Cuáles son los derechos y las responsabilidades del administrador del

sistema, en comparación con los de los usuarios de la red?

7. ¿Qué se debe hacer con la información delicada?

8. ¿Qué se debe hacer en caso de desastres o situaciones imprevistas?

IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL.

Con el término “ingeniería social” se define el conjunto de técnicas psicológicas

y habilidades sociales utilizadas de forma consciente y muchas veces

premeditada para la obtención de información de terceros.

No existe una limitación en cuanto al tipo de información y tampoco en la

utilización posterior de la información obtenida. Puede ser ingeniería social el

obtener de un profesor las preguntas de una evaluación antes que se tome, el

usuario y la clave para acceder a un servidor, etc. Sin embargo, el origen del



término tiene que ver con las actividades de obtención de información de tipo

técnico utilizadas por hackers.

Un hecho importante es que el acto de ingeniería social acaba en el momento

en que se ha conseguido la información buscada. Las acciones que esa

información pueda facilitar o favorecer no se enmarcan bajo este término. En

muchos casos los ingenieros sociales no tocan un ordenador ni acceden a

sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.

Las personas que trabajan en la empresa, los usuarios, son el eslabón más

débil en la cadena de seguridad que al romperse puede traer consecuencias

terribles. La ingeniería social se basa en que de manera artesanal y

prácticamente indetectable, nos roban información útil para sus proyectos sin

que nos demos por sabidos.

Kevin Mitnick, consultor de seguridad informática, ingeniero social y ex–hacker

comento lo siguiente: “El factor determinante de la seguridad de las empresas

es la capacidad de los usuarios de interpretar correctamente las políticas de

seguridad y hacerlas cumplir”

VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES

DE DATOS.

Usted debe entender el procedimiento que habitualmente utiliza un atacante

para acceder a la información en la empresa, con el objetivo que se encuentre

preparado, a esto llamamos el vector de ataque:

Reconocimiento:

Obtención de información de la víctima.

Aquí utiliza en algunos casos la ingeniería social.



Exploración:

Selecciona la información y trata de obtener datos de interés sobre el

objetivo (IP, hostname, datos de autenticación, etc.).

Se pueden utilizar diversas herramientas de software como: network

mappers, portmappers, network scanners, port scanners y vulnerability

Scanners.

Obtener acceso:

Explotación de vulnerabilidades del sistema descubiertas durante las fases

de reconocimiento y exploración.

Se pueden utilizar métodos tales como: Buffer Overflow, Denial of Service

(DoS), Distributed Denial of Service (DDos), Password filteringy

Sessionhijacking.

Mantener el acceso:

Una vez que se ha conseguido acceder al objetivo, se busca implantar

“herramientas” para volver a acceder en otra oportunidad.

Se pueden utilizar herramientas tales como: backdoors, rootkitsy troyanos.

Borrar huellas:

Borrar todas las huellas que se dejaron durante la intrusión para evitar el

rastreo.

Se pueden utilizar diversas técnicas tales como: Eliminar los archivos de

registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).

SUPERFICIES DE ATAQUE UTILIZADAS POR LOS INTRUSOS.

Redes inalámbricas (802.11, Bluetooth, etc…).

Redes cableadas.

Redes de celulares.

Interfaces para periféricos (Firewire, USB, SCSI, PCMCIA, etc.).

Sistemas operativos desprotegidos.

Aplicaciones inseguras, etc…

Dispositivos de almacenamiento portátiles.

Para minimizar los problemas con estas diversas superficies de ataques, puede

usted utilizar la “Triada de Seguridad CID” que recomiendan diferentes

empresas como Microsoft:



Confidencialidad.

Integridad.

Disponibilidad

Debe realizar una “Defensa en profundidad”, que consiste en dividir los

diferentes procedimientos de seguridad en función de lo que necesita proteger.

Ahora visualizará las diferentes opciones que puede utilizar para protegerse de

los intrusos:

I. Para la protección de datos:

1. Listas de control de acceso:

Debe tomar en cuenta que al momento de compartir los datos en la

empresa, a través de los servidores de archivos (File Server), se deben

definir las listas de control de acceso que incluya a los usuarios que

tienen la verdadera necesidad de acceder a estos.

Para el caso de infraestructuras de red que utilicen servidores y clientes

Microsoft, se recomendaría el uso de los controladores de dominio para

definir las cuentas de usuario.



2. Encriptación de datos:

Como sabe, la confidencialidad de la información de los usuarios que

utilizan la red de la empresa e Internet es fundamental. Por ejemplo, la

realización de compras electrónicas, el ingreso de una tarjeta de crédito,

la publicación de información confidencial de una empresa en Internet

para que usuarios habilitados puedan accederla, el compartir

información estratégica, el ingreso en sitios web de antecedentes

personales y muchos más, le obligan a contar con las medidas de

seguridad adecuadas para evitar problemas y no perder la privacidad y

confianza.

Es importante que aquellos lugares, sucursales, sitios web, correos

electrónicos en donde los usuarios deban ingresar información crítica,

garanticen esta confidencialidad.

Es común que en los sitios web, de ingreso de información estratégica,

tales como bancos, pagos en línea, registro de antecedentes, entre

otros, la información es protegida a través de diversos protocolos de

seguridad.

Con respecto a la encriptación, corresponde a una tecnología que

permite la transmisión segura de información, al codificar los datos

transmitidos usando una fórmula matemática que "desmenuza" los

datos. Sin el decodificador o llave para desencriptar, el contenido

enviado luciría como un conjunto de caracteres extraños, sin ningún

sentido y lógica de lectura. Esta codificación de la información puede ser

efectuada en diferentes niveles de encriptación. Por lo general en los



sitios web se utiliza el protocolo “SSL”, con cifrado de 128 bits e

intercambio de 1024 bits.

Esto quiere decir que si el contenido es interceptado por alguien

indebido, no podrá ser decodificado, o más aún la decodificación duraría

tanto tiempo en realizarse, que de ser efectiva, la información ya no

sería de utilidad.

El protocolo SSL, protege los datos transferidos mediante conexión http,

es decir navegación web, utilizando encriptación provista por un Servidor

Web de Seguridad.

Una llave pública es empleada para encriptar los datos, y una llave

privada se utiliza para descifrar o desencriptar la información.

Principales algoritmos de encriptación de datos:

En estos tiempos, la seguridad es un aspecto de nuestras redes

informáticas que avanza día a día, y que requiere cada vez más

atención y consecuentemente conocimiento de nuestra parte.

La seguridad de las redes de datos es una tarea vital e inmensamente

amplia que considera desde la estructura y materiales de la sala en la

que se ubica el equipamiento, hasta la implementación de las

herramientas de detección de ataques más sofisticadas. Uno de los

elementos que Ud. debe considerar son los algoritmos de encriptación o

cifrado de datos que se utilizan.

Utilizamos este tipo de algoritmos en diferentes casos e

implementaciones: en la seguridad de redes WLAN, en las VPNs con

IPSec, en las VPNs con SSL, etc.



Tenemos diferentes tipos de algoritmos de encriptación:

Algoritmos de encriptación simétricos:

Denominamos algoritmos de encriptación simétricos aquellos que

utilizan la misma clave de cifrado en el extremo de la conexión que

encripta la comunicación y en el extremo en el que se desencripta. Son

los algoritmos de encriptación más utilizados debido a su robustez,

simplicidad y consecuente bajo requerimiento de procesamiento.

Principales características:

Utilizan algoritmos matemáticos relativamente simples.

Requieren menos procesamiento que los algoritmos simétricos.

En términos generales utilizan claves de cifrado de entre 40 y 256 bits

de longitud.

Su debilidad reside en la necesidad de establecer un método seguro

para el intercambio de claves entre origen y destino.

Dentro de los algoritmos de encriptación simétrica podemos encontrar

los siguientes, donde algunos son más seguros que otros:

DES (Digital Encryption Standard): Creado en 1975 con ayuda de la

NSA (National Security Agency), en 1982 se convirtió en un estándar.

Utiliza una llave de 56 bit. En 1999 logró ser quebrado (violado) en

menos de 24 horas por un servidor dedicado a eso. Esto lo calificó

como un algoritmo inseguro y con falencias reconocidas.

3DES (Three DES o Triple DES): Antes de ser quebrado DES, ya se

trabajaba en un nuevo algoritmo basado en el anterior. Este funciona

aplicando tres veces el proceso con tres llaves diferentes de 56 bits.

La importancia de esto es que si alguien puede descifrar una llave, es

casi imposible poder descifrar las tres y utilizarlas en el orden

adecuado. Hoy en día es uno de los algoritmos simétricos más

seguros.

IDEA (International Data Encryption Algorithm): Más conocido como

un componente de PGP (encriptación de mails), trabaja con llaves de

128 bits. Realiza procesos de shift y copiado y pegado de los 128 bits,

dejando un total de 52 sub llaves de 16 bits cada una. Es un algoritmo

más rápido que DES, pero al ser nuevo, aun no es aceptado como un

estándar, aunque no se le han encontrado debilidades aún.



AES (Advanced Encryption Standard): Éste fue el ganador del primer

concurso de algoritmos de encriptación realizado por la NIST

(National Institute of Standards and Technology) en 1997. Después de

3 años de estudio y habiendo descartado a 14 candidatos, este

algoritmo, también conocido como Rijndael por Vincent Rijmen y Joan

Daemen, fue elegido como ganador. Aun no es un estándar, pero es

de amplia aceptación a nivel mundial. Junto a 3DES es de los más

seguros.

RC4 (Rivest Cipher 4): Dentro de la criptografía RC4 o ARC4 es el

sistema de cifrado de flujo Stream cipher más utilizado y se usa en

algunos de los protocolos más populares como Transport Layer

Security (TLS/SSL) (para proteger el tráfico de Internet) y Wired

Equivalent Privacy (WEP) (para añadir seguridad en las redes

inalámbricas). RC4 fue excluido enseguida de los estándares de alta

seguridad por los criptógrafos y algunos modos de usar el algoritmo

de criptografía RC4 lo han llevado a ser un sistema de criptografía

muy inseguro, incluyendo su uso WEP. No está recomendado su uso

en los nuevos sistemas, sin embargo, algunos sistemas basados en

RC4 son lo suficientemente seguros para un uso común.

Otros: SEAL, RC6, Blowfish, etc.

Cualquiera de estos algoritmos utiliza los siguientes dos

elementos:(Ninguno de los dos debe pasarse por alto ni subestimar su

importancia).

IV (Vector de inicialización): Ésta cadena se utiliza para empezar cada

proceso de encriptación. Un error común es utilizar la misma

cadena de inicialización en todas las encriptaciones. En ese caso,

el resultado de las encriptaciones es similar, pudiendo ahorrarle

mucho trabajo a un hacker en el desciframiento de los datos. Tiene 16

bytes de largo.

Key (llave): Esta es la principal información para encriptar y

desencriptar en los algoritmos simétricos. Toda la seguridad del

sistema depende de donde esté esta llave, como esté compuesta y

quien tiene acceso. El largo de las llaves depende del algoritmo.

Algoritmos de encriptación asimétricos.

La criptografía de clave asimétrica también es conocida como cable

pública, emplea dos llaves diferentes en cada uno de los extremos de la

comunicación.



Cada usuario tendrá una clave pública y otra privada. La clave privada

tendrá que ser protegida y guardada por el propio usuario, será secreta y

no la deberá conocer nadie. La clave pública será accesible a todos los

usuarios del sistema de comunicación.

Los algoritmos asimétricos están basados en funciones matemáticas

fáciles de resolver en un sentido, pero muy complicadas realizarlo en

sentido inverso a menos que se conozca la llave.

Las claves públicas y privadas se generan simultáneamente y están

ligadas la una a la otra. Esta relación debe ser muy compleja para que

resulte muy difícil que obtengamos una a partir de la otra.

Las parejas de claves tienen funciones diversas y muy importantes,

entre las que destacan:

Cifrar la información.

Asegurar la integridad de los datos transmitidos.

Garantizar la autenticidad del emisor.

Principales características:

Utilizan algoritmos matemáticos complejos.

Requieren alta capacidad de procesamiento.

Implementan sistemas de clave pública y clave privada. Ambas se

requieren para encriptar y desencriptar.

Ambos extremos de una comunicación sólo intercambian claves

públicas. Esto soluciona el problema de asegurar el intercambio de

claves.

Utilizan claves de mayor longitud para lograr igual grado de robustez.

Típicamente entre 512 y 4096 bits.

En la actualidad se considera robusta una clave de al menos 1024

bits de longitud.

Algoritmos de clave asimétrica más comunes.

RSA (Rivest, Shamir y Adleman):

Algoritmo de cifrado por bloques.

Utiliza claves de cifrado de longitud variable de entre 512 y 2048 bits.

Es notoriamente más lento que DES.

Usualmente utilizado para encriptar bajos volúmenes de información.

Diffie-Hellman:



Utilizado en general para asegurar el intercambio de claves sobre

canales no seguros, por lo tanto se lo utiliza en combinación con

algoritmos de clave simétrica para generar la clave de cifrado que

utilizarán esos algoritmos.

Otros: ElGamal, Elliptic curves, etc.

Encriptación en WLAN.

Algunos de los algoritmos de cifrado simétricos se utilizan en los

estándares de seguridad para redes 802.11. WEP, WPA y WPA2:

WEP

Definido en el estándar IEEE 802.11.

Implementa RC4 como algoritmo de cifrado, con claves de cifrado de 64

o 128 bits de longitud.

WPA

Protocolo de seguridad extendido para redes wireless elaborado por la

Alianza Wi-Fi.

Implementa RC4 como algoritmo de cifrado.

Al utilizar WPA hay dos opciones para el cifrado de datos: AES y TKIP.

IEEE 802.11i

Protocolo de seguridad extendida para redes IEEE 802.11.

Implementa AES como algoritmo de cifrado, con claves de 256 bits de

longitud.

WPA2

Versión comercial de IEEE 802.11i elaborada por la Alianza Wi-Fi.

EFS:

El Sistema de Archivos Encriptado (Encrypted File System, EFS)

proporciona la tecnología principal de encriptación de archivos para

almacenar archivos del sistema de archivos NTFS de Windows

encriptados en disco. EFS pretende resolver las preocupaciones de

seguridad que surgen en relación con herramientas disponibles en otros

sistemas operativos que permiten a los usuarios acceder a archivos

desde un volumen NTFS sin una verificación de acceso.

Con EFS, los datos en archivos NTFS están encriptados en disco. La

tecnología de encriptación utilizada está basada en clave pública y se

ejecuta como un servicio integrado con el sistema lo que facilita su

gestión, hace difícil los ataques y es transparente para el usuario. Si un



usuario que intenta acceder a un archivo NTFS encriptado dispone de la

clave privada de ese archivo, podrá abrirlo y trabajar con él

transparentemente como un documento normal. Un usuario sin la clave

privada del archivo tiene denegado el acceso.

3. Backup de datos:

También debe Ud. Tener presente que si una persona no autorizada

accede a la información, dependiendo con qué nivel de acceso haya

ingresado, puede borrar la información o corromperla.

En el sentido general, sea cual fuere la posible causa de perdida de

información, es un hecho que ésta siempre debe tener un respaldo.

En una empresa debe existir un plan de contingencia que contemplará

una política de backup, es decir, nos dirá qué hay que guardar, cuándo y

dónde hay que guardarlo, dónde tenemos que almacenar las copias y de

cara a una eventual recuperación de datos, cómo llevar a cabo la

restauración de los mismos.

Entre los motivos más comunes que producen una pérdida de datos

están:

http://blogs.msmvps.com/juansa/files/2011/10/cifrado04.jpg



• Mal funcionamiento de los sistemas utilizados en la empresa.

• Error humano.

• Mal funcionamiento del software.

• Virus informáticos.

• Desastres naturales, etc.

Por todos estos posibles inconvenientes debe efectuar copias de

resguardo o backups y así estar preparado para cualquier desastre. Hay

casos documentados de empresas que han desaparecido junto con sus

datos. De hecho, hay empresas que sus datos son vitales, imagine cuál

sería el resultado si un banco pierde todos los datos de las cuentas de

los ahorristas.

Como se indicó al principio, no siempre es necesario hacer una copia de

todo nuestro disco duro. De hecho, en caso de usuarios hogareños,

quizás el volumen de información a resguardar sea solamente el 1% de

lo almacenado. En una empresa, muy posiblemente los archivos de

datos (de los clientes, operaciones financieras, documentos, fotografías,

etc.) tengan un volumen que supere varias veces al ocupado por las

aplicaciones.

En todo caso, debe resguardar la información que sus actividades van

generando, que es la que no podrá recuperar de ninguna manera si la

perdiese.

La forma en que hacemos el backup debe ser pensada cuidadosamente,

teniendo en cuenta varios factores. El medio elegido debe ser diferente

al medio del cual estamos tomando los datos originales (no sirve de

mucho almacenar el backup de un disco rígido en ese mismo disco). La

copia no debe residir en el mismo lugar físico que el medio origen, para

evitar que un siniestro o robo en dicho lugar haga inútil el backup. Si el

presupuesto lo permite, y la sensibilidad de los datos lo amerita, lo ideal

es generar varias copias y guardarlas en diferentes ubicaciones físicas

dispersas.

El backup debe guardarse en un lugar seguro, seco y fresco, teniendo

en cuenta a su vez las condiciones del ambiente que requiere el medio

para mantener los datos libres de peligro. No deben exponerse al calor,

la humedad ni a campos electromagnéticos ya que se podrían dañar. Se

deben etiquetar en forma ordenada y clara, incluyendo la fecha, el tipo



de backup efectuado, la especificación del origen del backup, el número

del soporte de almacenamiento y la cantidad utilizada en total para ese

backup (por ejemplo “1 de 3”).

Otro tema fundamental es verificar que los datos almacenados en el

mismo son los correctos y se puede acceder a ellos sin inconvenientes.

Debe tener en cuenta que el medio destino también puede presentar

fallas a la hora de restaurar los archivos.

Por supuesto, una tarea tan importante como realizar una copia de

seguridad presenta diferentes métodos o tipos de backup.

Básicamente, puede hacer una primera división entre copias “en línea” o

“fuera de línea”. La primera de ellas consiste en duplicar la

infraestructura de almacenamiento principal en una infraestructura

secundaria. Es decir, los discos duros principales se replican

generalmente en un centro de respaldo. Los datos afectados se copian

inmediatamente en la infraestructura secundaria en cuanto son creados

o modificados en la infraestructura principal. Se trata de la solución más

cara porque utiliza discos magnéticos de alto rendimiento. No obstante,

la recuperación de los datos es prácticamente inmediata (pensemos en

un sistema RAID de varios discos intercambiables en caliente, por

ejemplo). Para conseguir un mejor equilibrio en costes es posible

habilitar un segundo nivel de almacenamiento compuesto por discos

más baratos (generalmente ATA o SATA). Los datos más antiguos o

menos utilizados se mueven a este segundo nivel liberando espacio de

los discos más caros.

En el segundo caso, cuando se utilizan medios de almacenamiento fuera

de línea existen tres políticas posibles:

Copia completa: Es la alternativa más simple desde el punto de vista de

la planificación, consiste en realizar una copia completa de todos los

datos del disco duro en algún soporte externo (CD-ROMs, DVD,

unidades de cinta, etc.). Como desventaja, se requiere un mayor espacio

de almacenamiento y “ventana de backup”, que es como se denomina al

tiempo necesario para realizar las tareas de respaldo, tiempo en el que

puede ser imposible acceder a los datos originales.



Copia diferencial: Consiste en copiar únicamente aquellos datos que

hayan sido modificados respecto a una copia total anterior. Requiere

menor espacio de almacenamiento y ventana de backup. Como para

restaurar una copia diferencial es necesario restaurar previamente la

copia total en la que se basa, se requiere mayor tiempo de restauración.

A veces, una copia diferencial puede sustituir a otra copia diferencial

más antigua sobre la misma copia total.

Copia incremental: Consiste en copiar solamente aquellos ficheros de

datos que hayan sido modificados respecto a otra copia incremental

anterior, o bien, una copia total si ésta no existe. Un punto muy

importante es que una copia incremental no sustituye a las copias

incrementales anteriores. Para restaurar una copia incremental es

necesario restaurar la copia total y todas las copias incrementales por

orden cronológico que estén implicadas. Si se pierde una de las copias

incrementales, no es posible restaurar una copia exacta de los datos

originales. La ventaja de este sistema es que las copias incrementales

individuales son más pequeñas que el total, ya que solo contienen los

datos que han sufrido modificaciones desde el último backup.

Cualquiera de los casos mencionados se pueden combinar con algún

sistema de compresión (por software o por hardware) para reducir el

volumen de los datos. En general, se pueden lograr tasas de compresión

de 2:1, lo que permiten ahorrar un 50% del espacio necesario para las

copias de seguridad.

Al elegir un método de backup, debe también pensar en el medio de

destino. Generalmente, se debe tomar en cuenta tanto del equipo

necesario (hardware) para hacer la copia de seguridad, como el soporte

de los datos en sí mismo. Diversos factores, como el costo de las

unidades, de los soportes de datos, la velocidad de escritura de los

mismos, etc. tienen peso en el momento de decidir.

Al tomar la decisión de un sistema de copia, se debe tener en cuenta

cual será el tiempo necesario para la restauración de esos datos. En

muchas aplicaciones el tiempo es crítico, y no se puede esperar horas

mientras se restaura un backup incremental. Generalmente, los backup

realizados con la modalidad “en línea” son los más costosos, pero los

que ponen los datos a disposición en menos tiempo.



Por último, es posible combinar diferentes medios y sistemas para crear

rutinas y mecanismos de backup que brinden el rendimiento necesario

para nuestro caso particular, a un costo razonable y sin perder

seguridad. Se puede, por ejemplo, tener una copia en línea de los datos

más críticos (por ejemplo, las cuentas corrientes de nuestros clientes) y

en DVD’s los menos indispensables (las fotos de sus legajos).

Últimamente, se ha puesto a disposición de las empresas sistemas de

respaldo basados en Internet, es decir, empresas de seguridad tienen

servidores en línea, a los que podemos acceder mediante un abono, y

guardar en ellos nuestras copias de seguridad. De esta manera

aseguramos que los datos respaldados se encuentran físicamente en un

sitio diferente. Para el usuario hogareño, existe la posibilidad de utilizar

una cuenta de correo que brinde el espacio suficiente para almacenar

datos.

Evidentemente, con tantos sistemas disponibles es muy difícil encontrar

excusas para no realizar una copia de nuestros valiosos datos. Un error

bastante común es descuidar la realización de backups dado que “nunca

nos pasó nada”. Pero no perdamos de vista que el único capital de

nuestra empresa que no podemos recuperar comprándolo nuevamente

es la información que generamos con el trabajo diario, y un evento tan

simple como un corte de luz puede echar por tierra meses de trabajo. Es

única e irrecuperable. Salvo claro que contemos con una copia de

seguridad a mano.

II. Para la protección de las aplicaciones:

1. Aseguramiento de las App:

Debe proteger la ejecución de aplicaciones, en algunos casos por

contraseña, esto es útil cuando necesitemos bloquear el acceso a

programas que manejan información importante y programas privados.



Existen diferentes programas, por ejemplo “Empathy”, “Program

Protector”, etc.

Otra manera es gestionar las aplicaciones utilizando directivas de grupo

dentro de un dominio con Windows Server y Active Directory.

En Windows Server 2003/2008/2012, se pueden utilizar directivas de

grupo para administrar el proceso de implementación de software de

forma centralizada o desde una ubicación. Puede aplicar la configuración

de directivas de grupo a usuarios o equipos de un sitio, dominio o unidad

organizativa para poder instalar, actualizar y eliminar software de forma

automática. Al aplicar la configuración de directivas de grupo a un

software, podrá administrar las distintas fases de implementación de

software sin necesidad de implementar el software equipo por equipo.

III. Para la protección de los Servidores:

1. Actualización de los sistemas operativos:

Las actualizaciones del sistema operativo consisten en mejoras que

permitirán mantener tu equipo actualizado.

Como ejemplos de actualizaciones tienes:

Service Packs – recopilación de actualizaciones en un único archivo

descargable e instalable.

Actualizaciones de Versión.

Actualizaciones de Seguridad.

Actualizaciones de controladoras.



Las actualizaciones son vitales para la salud de tu equipo y debes no

sólo instalar las actualizaciones del sistema operativo sino también de

las aplicaciones que utilices, como Navegadores web, Correo, Antivirus,

Firewall, etc.

Ahora, con respecto a la compatibilidad de las actualizaciones con las

aplicaciones que tengas instaladas en tu PC, la mayoría de veces no

deberían presentarse problemas pero de todos modos primero se

recomienda que se actualicen los sistemas en algunos equipos de

prueba antes de actualizar todos los equipos en la empresa.

2. Uso de antivirus:

Es un programa creado para prevenir o evitar la activación de los virus,

así como su propagación y contagio. Cuenta además con rutinas de

detención, eliminación y reconstrucción de los archivos y las áreas

infectadas del sistema.

Un antivirus tiene tres principales funciones y componentes:

VACUNA es un programa que instalado reside en la memoria, actúa

como "filtro" de los programas que son ejecutados, abiertos para ser

leídos o copiados, en tiempo real.

DETECTOR, que es el programa que examina todos los archivos

existentes en el disco o a los que se les indique en una determinada

ruta o PATH. Tiene instrucciones de control y reconocimiento exacto

de los códigos virales que permiten capturar sus pares, debidamente

registrados y en forma sumamente rápida desarman su estructura.

ELIMINADOR es el programa que una vez desactivada la estructura

del virus procede a eliminarlo e inmediatamente después a reparar o

reconstruir los archivos y áreas afectadas.

Es importante aclarar que todo antivirus es un programa y que, como

todo programa, sólo funcionará correctamente si está bien configurado.

Además, no será eficaz para el 100% de los casos y nunca será una

protección total ni definitiva.

La función de un programa antivirus es detectar, de alguna manera, la

presencia o el accionar de un virus informático en una computadora.

Este es el aspecto más importante de un antivirus, independientemente

de las prestaciones adicionales que pueda ofrecer, puesto que el hecho

de detectar la posible presencia de un virus informático, detener el



trabajo y tomar las medidas necesarias, es suficiente para acotar un

buen porcentaje de los daños posibles. Adicionalmente, un antivirus

puede dar la opción de erradicar un virus informático de una entidad

infectada.

El modelo más primario de las funciones de un programa antivirus es la

detección de su presencia y, en lo posible, su identificación. La primera

técnica que se popularizó para la detección de virus informáticos, y que

todavía se sigue utilizando (aunque cada vez con menos eficiencia), es

la técnica de scanning. Esta técnica consiste en revisar el código de

todos los archivos contenidos en la unidad de almacenamiento -

fundamentalmente los archivos ejecutables- en busca de pequeñas

porciones de código que puedan pertenecer a un virus informático. Este

procedimiento, denominado escaneo, se realiza a partir de una base de

datos que contiene trozos de código representativos de cada virus

conocido, agregando el empleo de determinados algoritmos que agilizan

los procesos de búsqueda.

La técnica de scanning fue bastante eficaz en los primeros tiempos de

los virus informáticos, cuando había pocos y su producción era pequeña.

Este relativamente pequeño volumen de virus informáticos permitía que

los desarrolladores de antivirus escaneadores tuvieran tiempo de

analizar el virus, extraer el pequeño trozo de código que lo iba a

identificar y agregarlo a la base de datos del programa para lanzar una

nueva versión. Sin embargo, la obsolescencia de este mecanismo de

identificación como una solución antivirus completa se encontró en su

mismo modelo.

El primer punto grave de este sistema radica en que siempre brinda una

solución a posteriori: es necesario que un virus informático alcance un

grado de dispersión considerable para que sea enviado (por usuarios

capacitados, especialistas o distribuidores del producto) a los

desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de

código que lo identificará, y lo incluirán en la próxima versión de su

programa antivirus. Este proceso puede demorar meses a partir del

momento en que el virus comienza a tener una dispersión considerable,

lapso en el cual puede causar graves daños sin que pueda ser

identificado.



Además, este modelo consiste en una sucesión infinita de soluciones

parciales y momentáneas (cuya sumatoria jamás constituirá una

solución definitiva), que deben actualizarse periódicamente debido a la

aparición de nuevos virus.

En síntesis, la técnica de scanning es altamente ineficiente, pero se

sigue utilizando debido a que permite identificar rápidamente la

presencia de los virus más conocidos y, como son estos los de mayor

dispersión, permite una importante gama de posibilidades. Un ejemplo

típico de un antivirus de esta clase es el Viruscan de McAfee.

En virtud del pronto agotamiento técnico de la técnica de scanning, los

desarrolladores de programas antivirus han dotado a sus creaciones de

métodos para búsquedas de virus informáticos (y de sus actividades),

que no identifican específicamente al virus sino a algunas de sus

características generales y comportamientos universalizados.

Este tipo de método rastrea rutinas de alteración de información que no

puedan ser controladas por el usuario, modificación de sectores críticos

de las unidades de almacenamiento (master boot record, boot sector,

FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que

utiliza algoritmos heurísticos.

De hecho, esta naturaleza de procedimientos busca, de manera

bastante eficiente, códigos de instrucciones potencialmente

pertenecientes a un virus informático. Resulta eficaz para la detección

de virus conocidos y es una de las soluciones utilizadas por los antivirus

para la detección de nuevos virus. El inconveniente que presenta este

tipo de algoritmo radica en que puede llegar a sospecharse de

muchísimas cosas que no son virus en realidad. Esto hace necesario

que el usuario que lo utiliza conozca un poco acerca de la estructura del

sistema operativo, a fin de poseer herramientas que le faciliten una

discriminación de cualquier falsa alarma generada por un método

heurístico.



Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y

Dr. Solomon's Toolkit. Ahora bien, otra

forma de detectar la presencia de un virus

informático en un sistema consiste en

monitorear las actividades de la PC

señalando si algún proceso intenta

modificar los sectores críticos de los

dispositivos de almacenamiento o los

archivos ejecutables. Los programas que

realizan esta tarea se denominan

chequeadores de integridad. Sobre la base

de estas consideraciones, podemos

consignar que un buen sistema antivirus

debe estar compuesto por un programa

detector de virus, que siempre esté

residente en memoria y un programa que

verifique la integridad de los sectores

críticos del disco rígido y sus archivos

ejecutables. Existen productos antivirus

que cubren los dos aspectos, o bien

pueden combinarse productos diferentes

configurados de forma que no se

produzcan conflictos entre ellos.

Modelo Antivirus

La estructura de un programa antivirus,

está compuesta por dos módulos

principales: el primero denominado de control y el segundo denominado

de respuesta. A su vez, cada uno de ellos se divide en varias partes:

Módulo de control: Posee la técnica verificación de integridad que

posibilita el registro de cambios en los archivos ejecutables y las zonas

críticas de un disco rígido. Se trata, en definitiva, de una herramienta

preventiva para mantener y controlar los componentes de información de

un disco rígido que no son modificados a menos que el usuario lo

requiera. Otra opción dentro de este módulo es la identificación de virus,

que incluye diversas técnicas para la detección de virus informáticos.

Las formas más comunes de detección son el scanning y los algoritmos,

como por ejemplo, los heurísticos. Asimismo, la identificación de código



dañino es otra de las herramientas de detección que, en este caso,

busca instrucciones peligrosas incluidas en programas, para la

integridad de la información del disco rígido. Esto implica descompilar (o

desensamblar) en forma automática los archivos almacenados y ubicar

sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo

de control también posee una administración de recursos para efectuar

un monitoreo de las rutinas a través de las cuales se accede al hardware

de la computadora (acceso a disco, etc.). De esta manera puede

limitarse la acción de un programa restringiéndole el uso de estos

recursos, como por ejemplo impedir el acceso a la escritura de zonas

críticas del disco o evitar que se ejecuten funciones de formato del

mismo.

Módulo de respuesta: La función alarma se encuentra incluida en todos

los programas antivirus y consiste en detener la acción del sistema ante

la sospecha de la presencia de un virus informático, e informar la

situación a través de un aviso en pantalla. Algunos programas antivirus

ofrecen, una vez detectado un virus informático, la posibilidad de

erradicarlo. Por consiguiente, la función reparar se utiliza como una

solución momentánea para mantener la operatividad del sistema hasta

que pueda instrumentarse una solución adecuada. Por otra parte,

existen dos técnicas para evitar el contagio de entidades ejecutables:

evitar que se contagie todo el programa o prevenir que la infección se

expanda más allá de un ámbito fijo. Aunque la primera opción es la más

adecuada, plantea grandes problemas de implementación.

La A.V.P.D. (Antivirus Product Developers, Desarrolladores de

Productos Antivirus) es una asociación formada por las principales

empresas informáticas del sector, entre las que se cuentan:

- Cheyenne Software.

- Intel.

- McAfee Associates.

- ON Technology.

- Stiller Research Inc.

- S&S International.

- Symantec Corp.

- Thunder Byte, etc.



IV. Para la protección de la red interna:

1. Segmentación de la red:

Una de las cuestiones a la que las empresas no suelen prestar especial

atención es a la red de comunicaciones interna. Segmentar y

dimensionar tu red LAN de comunicaciones puede ayudar a resolver

muchos de los problemas que se producen a nivel de comunicaciones y

seguridad en las empresas. Para ello es imprescindible identificar que

departamentos requieren un mayor ancho de banda para trabajar, medir

el flujo de datos de la red interna y definir el acceso de los equipos

solamente a los equipos de la misma área.

Tener las redes separadas es algo muy importante para tener una

infraestructura segura y así evitar tráfico no deseado a determinadas

zonas de nuestra red.

Esto se puede llevar a cabo de varias maneras, bien sea haciendo una

distinción física, es decir, que no exista ningún tipo de conexión

cableada o inalámbrica entre nuestras redes, o bien mediante la ayuda

de un switch que permita crear redes LAN Virtuales (VLAN).

Otra manera es utilizando subredes con VLSM (Máscaras de subred de

tamaño variable).



2. IP SEC:

(Internet Protocol security) es un conjunto de protocolos cuya función es

asegurar las comunicaciones sobre el Protocolo de Internet (IP)

autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec

también incluye protocolos para el establecimiento de claves de cifrado.

IPsec está implementado por un conjunto de protocolos criptográficos

para:

Asegurar el flujo de paquetes.

Garantizar la autenticación mutua.

Establecer parámetros criptográficos.

La arquitectura de seguridad IP utiliza el concepto de asociación de

seguridad (SA) como base para construir funciones de seguridad en IP.

Una asociación de seguridad es simplemente el paquete de algoritmos y

parámetros (tales como las claves) que se está usando para cifrar y

autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico

normal bidireccional, los flujos son asegurados por un par de

asociaciones de seguridad. La decisión final de los algoritmos de cifrado

y autenticación (de una lista definida) le corresponde al administrador de

IPsec.

Para decidir qué protección se va a proporcionar a un paquete saliente,

IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la

base de datos de asociaciones de seguridad (SADB), junto con la

dirección de destino de la cabecera del paquete, que juntos identifican

de forma única una asociación de seguridad para dicho paquete. Para

un paquete entrante se realiza un procedimiento similar; en este caso



IPsec coge las claves de verificación y descifrado de la base de datos de

asociaciones de seguridad.

En el caso de multicast, se proporciona una asociación de seguridad al

grupo, y se duplica para todos los receptores autorizados del grupo.

Puede haber más de una asociación de seguridad para un grupo,

utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y

conjuntos de seguridad dentro de un grupo. De hecho, cada remitente

puede tener múltiples asociaciones de seguridad, permitiendo

autenticación, ya que un receptor sólo puede saber que alguien que

conoce las claves ha enviado los datos. Hay que observar que el

estándar pertinente no describe cómo se elige y duplica la asociación a

través del grupo; se asume que un interesado responsable habrá hecho

la elección.

3. Sistema para detección de intrusos de red:

Un sistema de detección de intrusos (o IDS de sus siglas en inglés

Intrusion Detection System) es un programa usado para detectar

accesos no autorizados a un computador o a una red. Estos accesos

pueden ser ataques de habilidosos hackers, o de Script Kiddies que

usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con

los que el núcleo del IDS puede obtener datos externos (generalmente

sobre el tráfico de red). El IDS detecta, gracias a dichos sensores,

anomalías que pueden ser indicio de la presencia de ataques o falsas

alarmas.

Existen dos tipos de sistemas de detección de intrusos:

HIDS (HostIDS): el principio

de funcionamiento de un

HIDS, depende del éxito de

los intrusos, que

generalmente dejaran rastros

de sus actividades en el

equipo atacado, cuando

intentan adueñarse del

mismo, con propósito de llevar a cabo otras actividades. El HIDS

intenta detectar tales modificaciones en el equipo afectado, y hacer un

reporte de sus conclusiones.



NIDS (NetworkIDS): un IDS basado en red, detectando ataques a

todo el segmento de la red. Su interfaz debe funcionar en modo

promiscuo capturando así todo el tráfico de la red.

Un IDS, difiere de un cortafuego, en que este último generalmente

examina exteriormente por intrusiones para evitar que estas ocurran. Un

cortafuego limita el acceso entre redes, para prevenir una intrusión, pero

no determina un ataque que pueda estar ocurriendo internamente en la

red. Un IDS, evalúa una intrusión cuando esta toma lugar, y genera una

alarma. Un IDS además observa ataques que se originan dentro del

sistema. Este normalmente se consigue examinando comunicaciones, e

identificando mediante heurística, o patrones (conocidos como firmas),

ataques comunes ya clasificados, y toma una acción para alertar a un

operador.

Snort es un sniffer de paquetes y un detector de intrusos basado en red

(se monitoriza todo un dominio de colisión). Es un software muy flexible

que ofrece capacidades de almacenamiento de sus bitácoras tanto en

archivos de texto como en bases de datos abiertas como lo es MySQL.

Implementa un motor de detección de ataques y barrido de puertos que

permite registrar, alertar y responder ante cualquier anomalía

previamente definida. Así mismo existen herramientas de terceros para

mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema

Detector y Preventor de Intrusos.

Este IDS implementa un lenguaje de creación de reglas flexibles,

potentes y sencillas. Durante su instalación ya nos provee de cientos de

filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI,

Nmap...

V. Para la protección de la red perimetral:

Firewall perimetral:

Quizás uno de los elementos más publicitados a la hora de establecer

seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a

los que más se debe prestar atención, distan mucho de ser la solución final

a los problemas de seguridad.

De hecho, los Firewalls no tienen nada que hacer contra técnicas como la

Ingeniería Social y el ataque de Insiders.



Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y

que ejerce la una política de seguridad establecida. Es el mecanismo

encargado de proteger una red confiable de una que no lo es (por ejemplo

Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes

objetivos:

Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a

través de él.

Sólo el tráfico autorizado, definido por la política local de seguridad, es

permitido.

Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa

perimetral de las redes, no defienden de ataques o errores provenientes del

interior, como tampoco puede ofrecer protección una vez que el intruso lo

traspasa.

Algunos Firewalls aprovechan esta capacidad de que toda la información

entrante y saliente debe pasar a través de ellos para proveer servicios de

seguridad adicionales como la encriptación del tráfico de la red. Se

entiende que si dos Firewalls están conectados, ambos deben "hablar" el

mismo método de encriptación-desencriptación para entablar la

comunicación.

Conceptualmente, hay dos tipos de firewalls:

Nivel de red.

Nivel de aplicación

Las firewalls a nivel de red generalmente, toman las decisiones basándose

en la fuente, dirección de destino y puertos, todo ello en paquetes

individuales IP. Un simple router es un "tradicional" firewall a nivel de red,

particularmente, desde el momento que no puede tomar decisiones

sofisticadas en relación con quién está hablando un paquete ahora o desde

donde está llegando en este momento. Las modernas firewall a nivel de red

se han sofisticado ampliamente, y ahora mantienen información interna

sobre el estado de las conexiones que están pasando a través de ellas, los

contenidos de algunos datagramas y más cosas. Un aspecto importante

que distingue a las firewall a nivel de red es que ellas enrutan el tráfico

directamente a través de ellas, de forma que un usuario cualquiera necesita

tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red

tienden a ser más veloces y más transparentes a los usuarios.



Las Firewalls a nivel de aplicación son generalmente, hosts que corren bajo

servidores proxy, que no permiten tráfico directo entre redes y que realizan

logines elaborados y auditan el tráfico que pasa a través de ellas. Las

firewall a nivel de aplicación se pueden usar como traductoras de

direcciones de red, desde que el tráfico entra por un extremo hasta que

sale por el otro. Las primeras firewalls a nivel de aplicación eran poco

transparentes a los usuarios finales, pero las modernas firewalls a nivel de

aplicación son bastante transparentes. Las firewalls a nivel de aplicación,

tienden a proporcionar mayor detalle en los informes auditados e

implementan modelos de conservación de la seguridad. Esto las hace

diferenciarse de las firewalls a nivel de red.

VI. Seguridad física:

Para esto se recomendaría que la

ubicación donde estén los

servidores deba estar bien

protegida con respecto a accesos

físicos restringidos y que el lugar

sea a prueba de posibles

desastres.

Además se recomendará el uso

de un sistema de monitoreo con

cámaras IP.



1. ¿En qué consiste el otorgamiento de privilegios y restricciones a través de

directivas (GPO)? – Explique al detalle.

2. Realizar un análisis de riesgo de la empresa en donde se encuentra

realizando sus estudios de complementación práctica.

3. ¿Cómo identificarías el uso de la ingeniería social? – Explique al detalle.

4. ¿Qué algoritmos de encriptación de datos conoce? – explique.

5. ¿Qué formas conoce para realizar un adecuado backup de datos?

6. ¿Qué entiende por copia incremental al realizar el backup de datos?

7. ¿Cuáles son las causas más comunes de perdida de datos en las

empresas?

8. ¿Qué antivirus utilizan en la empresa donde realiza sus prácticas? –

Ejercicios y tareas de investigación



Explique al detalle.

9. ¿De qué forma las Vlan y las subredes con VLSM ayudan con la seguridad

y desempeño de la red? – explique al detalle.

10. ¿Qué entiende usted por el término “Firewall perimetral”?– Explique.

11. ¿Utilizan en la empresa en la cual está realizando sus prácticas un firewall

perimetral?

12. ¿Cómo puede usted aportar mejoras al sistema de seguridad que se

implementa en la empresa en la cual usted realiza sus prácticas?



TAREA 02.

IMPLEMENTAR LA SEGURIDAD INFORMÁTICA A NIVEL

FÍSICO.

En esta tarea realizará las siguientes Operaciones:

Realizar políticas de seguridad con respecto al uso de dispositivos

extraíbles, unidades de disco y dispositivos móviles.





siguientes:




Software de captura de paquetes.


Realizar políticas de seguridad con respecto al uso de dispositivos

extraíbles, unidades de disco y dispositivos móviles.

Para cambiar es necesario saber; para saber hay que

aprender; y para aprender hay que hacer grandes sacrificios.

(Samael Aun Weor)

02



OPERACIÓN:

REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE

DISPOSITIVOS EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS

MÓVILES.

Para este ejercicio puede utilizar un equipo con sistema operativo “Windows 7”

y realizará los siguientes pasos:

1. Primero ingresará al regedit desde “ejecutar”.

2. Ingresará al editor de registro y luego a la siguiente ruta:

hkey_local_machine/system/currentcontrolset/control/storagedevicepolic es.

3. Si la clave storage device policies no existe, la tendrá que crear.

4. Creará el valor de tipo dword con el siguiente nombre: writeprotect y

establecemos su valor a 1 para activarla.



5. Ahora conecte su memoria USB y podrá ver que no se pueden grabar

archivos.

6. A partir de ese momento la memoria USB se establecerá como de sólo

lectura.


REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE

DISPOSITIVOS EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS

MÓVILES.

RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DEL

REGISTRO:

Primero verá brevemente que es el editor de registros:

El Editor del Registro es una herramienta que sirve para ver y cambiar la

configuración del Registro del sistema, que contiene información acerca de

cómo se ejecuta el sistema. Windows consulta esta información y la actualiza

cuando se hacen cambios en el equipo; por ejemplo, cuando se instala un

nuevo programa, se crea un perfil de usuario o se agrega hardware. El Editor

del Registro permite ver carpetas y archivos del Registro y la configuración de

cada archivo del Registro.

El Registro contiene información compleja del sistema, fundamental para el

equipo, por lo que un cambio incorrecto en el Registro del equipo podría hacer

que el equipo dejara de estar operativo. No obstante, un archivo del Registro

dañado podría requerir cambios. Se recomienda hacer una copia de seguridad

del Registro antes de realizar cambios. También se recomienda cambiar

únicamente los valores del Registro que se comprendan o cuando se le haya

solicitado.

El uso del registro puede ser de gran utilidad y su conocimiento nos dará más

control sobre lo que está sucediendo en nuestro ordenador, ya que a partir de



él podemos modificar todas aquellas variables que influyen en su

funcionamiento.

Por ejemplo, en él puede modificar los archivos que se inician al encender

nuestro PC.

Las aplicaciones que se ejecutan en el ordenador se encuentran reflejadas en

las siguientes claves:

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

En esta clave se verán reflejados los archivos del sistema que se inician al

encender el ordenador.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

En esta clave se verán reflejados las aplicaciones y DLLs creadas a partir de

programas que se instalan en el ordenador, las cuales se inician al encender el

ordenador.

Claves principales del registro:

Estas claves son:

HKEY_CLASSES_ROOT: La información que se almacena aquí garantiza que

cuando abra una carpeta mediante el Explorador de Windows, se abrirá el

programa correcto. Es una subclave de HKEY_LOCAL_MACHINE\Software.

Esta clave a veces aparece abreviada como “HKCR”.

HKEY_CURRENT_USER: Contiene la raíz de la información de configuración

del usuario que ha iniciado sesión. Las carpetas del usuario, los colores de la

pantalla y la configuración del Panel de Control se almacenan aquí. Esta

información está asociada al perfil del usuario. Esta clave a veces aparece

abreviada como “HKCU“.



HKEY_LOCAL_MACHINE: Contiene información de configuración específica

del equipo (para cualquier usuario). Esta clave a veces aparece abreviada

como “HKLM“.

HKEY_USERS: Contiene todos los perfiles de usuario cargados activamente

en el equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS.

HKEY_USERS puede aparecer abreviada como “HKU“.

HKEY_CURRENT_CONFIG: Contiene información acerca del perfil de

hardware que utiliza el equipo local cuando se inicia el sistema.

En esta operación, creará una nueva entrada en el registro:

El objetivo de esta entrada en el registro es poder hacer que los usuarios no

puedan sacar información de las computadoras, pero si ingresarlas, esto se

hace para que de algún modo se proteja o evite la “fuga” de información.

Cuando usted desee que se pueda copiar archivos desde la memoria flash

USB a la PC pero no que se copien archivos desde la PC a la memoria flash

USB, puede realizar el siguiente procedimiento:

1. Ingresar a regedit desde “ejecutar”.

2. Ingresará a la siguiente ruta:

hkey_local_machine/system/currentcontrolset/control/storagedevicepolicies

3. Si la clave storagedevicepolicies no

existe, la tendrá que crear.

4. Creará el valor de tipo dword con el

siguiente nombre: writeprotect y

establecerá su valor a 1 para

activarla.

5. Conecte su memoria USB y podrá

ver que no se pueden grabar

archivos.

6. A partir de ese momento la memoria USB se establecerá como de sólo

lectura.



RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DE LAS

GPO (OBJETOS DE POLÍTICAS DE GRUPO) CON ACTIVE DIRECTORY:

En este caso, se requiere que la empresa tenga un dominio local con un

controlador de dominio que tenga instalado Windows Server 2008 r2.

En este caso, se debe crear una unidad organizativa en donde se incluirá a

todos los usuarios que no deben poder copiar información en las memorias

Flash USB.

Luego se debe aplicar a ésta UO una directiva de grupo (GPO) y definir una

plantilla administrativa para configuración de usuario, la directiva se denomina

”Discos extraíbles: denegar acceso de escritura”.

Los equipos clientes deben disponer de Windows 7.

1. ¿Qué tareas se pueden realizar desde el editor de registros? – Explique al

detalle.

2. ¿Qué entiende por claves de registro? – Explique.

3. ¿Qué cambios se pueden realizar en el registro para optimizar el sistema?


TAREA


TAREA 03.

REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD

EN LOS NAVEGADORES MÁS IMPORTANTES DE INTERNET.

En esta tarea realizará las siguientesOperaciones:

Realizar la correcta configuración del navegador, las zonas y sitios Web

seguros.



Sistema operativo Windows 7.

Navegadores instalados: Interner explorer, Chrome y Firefox.


Realizar la correcta configuración del navegador, las zonas y sitios Web

seguros.

Jamás desesperes, aun estando en las más sombrías

aflicciones, pues de las nubes negras cae agua limpia y

fecundante. (Miguel de Unamuno)

03



OPERACIÓN:

REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS

ZONAS Y SITIOS WEB SEGUROS.

En esta operación realizará la configuración recomendada en Internet explorer

9 para obtener un mejor nivel de seguridad.


1. Para empezar, abrirá el navegador y hará clic en “Herramientas” , luego

escogerá “Seguridad”.

2. Empezará por la eliminación de la información

guardada en el equipo luego de navegar.

3. Para esto hará clic en “Eliminar el historial de

exploración…”, con lo cual aparecerá el

siguiente cuadro de dialogo:

4. Marcará los elementos que se desean borrar,

para este caso borrará toda la información.

5. Al final se mostrará un aviso indicando que la

información fue borrada:

6. Si desea navegar en un sitio web de tal manera que no queden rastros,

podrá utilizar “Exploración de InPrivate” con lo cual se abrirá una nueva

ventana y al utilizar esta ventana durante la navegación se evitará que

Internet Explorer almacene datos sobre su sesión de exploración, esto

Incluye cookies, archivos temporales de Internet, historial y otros datos. Las



barras de herramientas y las extensiones están deshabilitadas de forma

predeterminada.

7. También podrá utilizar “Protección de rastreo…” con lo cual se abrirá el

cuadro de diálogo “ Administrador de complementos”:

8. Al hacer clic en “Obtener una lista de protección de rastreo en línea…” podrá

ubicar algunos enlaces para utilizar productos de distintas empresas que lo

pueden ayudar a lograr una mejor seguridad y privacidad durante la

navegación, ya que hay sitios web que envían información sobre su

navegación a proveedores de contenido:



9. Luego, también deberá considerar el hecho que existen componentes

ActiveX que pueden ser peligrosos.

ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido

clasificada de peligrosa en cuestión de seguridad, si bien es cierto la

mayoría de ActiveX son útiles, se tiene un riesgo con algunos.

Un ActiveX, tiene vía libre para acceder al sistema con los permisos del

usuario que lo ejecute. Tiene el mismo efecto que ejecutar un programa

cualquiera

Internet Explorer cuenta con un filtrado de ActiveX y opciones de seguridad

más específicas.

10. Ahora vaya a la opción “Comprobar este sitio WEB” que se encuentra en el

menú de seguridad.

Gracias a esta opción podrá verificar la autenticidad del sitio en el que

estamos navegando.

11. Si fuera el caso, también tendrá la opción de notificar si el sitio WEB no es

seguro.

12. Con respecto a las “opciones de Internet”, ficha “Seguridad” deberá tomar

en cuenta las configuraciones por defecto salvo que se requieran mayores

niveles de seguridad, lo cual lleva a mayores restricciones de contenido.



13. En la configuración de “sitios de confianza” agregará el sitio:

www.senati.edu.pe, para indicar que este sitio cuenta con la confianza para

poder navegar en el sin problemas.

En la siguiente operación implementará la configuración recomendada en

Firefox 15.0.1 para obtener un mejor nivel de seguridad.


1. Para empezar, abrirá el navegador y hará clic en Tools y luego en Options:

http://www.senati.edu.pe/



2. Luego hará clic en el botón “Security” desde donde se puede apreciar las

opciones básicas de seguridad.

3. La primera opción: “Warn me when sites try to install add-ons” le permite

recibir un aviso o notificación cuando un sitio web desee instalar un

complemento.

Por ejemplo, ingrese a la página web de Hotmail e ingrese a su cuenta de

correo, en este caso veremos una barra de notificación (esto puede variar

dependiendo si ya ha sido agregado el complemento respectivo).



4. Si desea permitir que se instalen los complementos directamente desde un

site, puede agregar el site en “Exceptions”.

5. La opción “Block reported attack sites” permite bloquear los sitios

reportados como atacantes, marca esta opción si deseas que Firefox

compruebe que el sitio que estás visitando puede intentar interferir en las

funciones normales de tu equipo o enviar a través de Internet tus datos

personales.

También es importante indicar que la ausencia de un aviso no te garantiza al

100% que puedas confiar en un sitio.

6. La opción “Block reported web forgeries” permite que Firefox bloquee sitios

reportados como falsificados.(esto se conoce como phishing o suplantación

de identidad).

7. La opción “Remember passwords for sites” permite que Firefox recuerde las

contraseñas de los sitios, las cuales se escriben en los formularios web para

facilitarte el ingreso o el inicio de sesión en los sitios web.

Lo recomendado es que esta opción no esté marcada, pero para este

ejercicio lo mantendremos activada con el objetivo de comprobar su

funcionamiento.

Aun así, si estuviese marcada esta opción, Firefox preguntará, cuando

ingresas una clave, si esta se guardará o no, si tu escoges que nunca se

guarde la contraseña de ese sitio, este se agregará en “Exceptions…”

desde donde después podrás administrar este listado.

Para esta operación, ingrese a una página de redes sociales (por ejemplo

Facebook o alguna equivalente) e ingrese su usuario y contraseña:



Hace clic en “Remember Password”.

Ahora, cerrará el navegador y volverá a realizar el procedimiento, pero en

esta ocasión, cuando Firefox consulte si se desea recordar la contraseña,

escogerá: “Never Remember password for this site”:

Luego de esto, nos ubicamos en las opciones de Firefox y verificamos si en

efecto se ha agregado a la lista de excepciones el site de Facebook:

Desde aquí se puede borrar si se desea que no esté como excepción.

Para esta oportunidad borrará este site de la lista.

8. La siguiente opción “Use master password” hará que Firefox pueda proteger

la información sensible, como las contraseñas guardadas y los certificados, a

través del cifrado de una contraseña maestra. Si creas una contraseña

maestra, cada vez que inicies Firefox se te pedirá que escribas la contraseña

la primera vez que tengas que acceder a un certificado o contraseña

guardada.

Para esta oportunidad colocaremos una contraseña, de preferencia una que

sea compleja:



Ahora, cerrará el navegador y volverá a abrirlo e ingresará nuevamente al

sitio de redes sociales, en este caso por ejemplo “Facebook”.

Al ingresar el usuario y la clave, les pedirá si desea grabar la contraseña, al

escoger “Remember Password”, aparecerá la ventana de “Password

Required” en donde deberá agregar la contraseña ingresada anteriormente:

Ahora, ingresará nuevamente a opciones de Firefox y en “Security” hacemos

clic en el botón “Saved Passwords” y veremos el sitio de Facebook en la

lista.



Aquí aparece el botón “Show Password”

que es el que hace peligroso este

procedimiento, ya que haciendo clic en

este botón y colocando la contraseña de

seguridad “Master Password” nos

permite ver la contraseña.

En esta operación implementará la

configuración recomendada en Google

Chrome 22.0.1229.94 para obtener un

mejor nivel de seguridad.

Para esto debe seguir los pasos que se indican a continuación:

1. Primero ubíquese en el menú de Chrome, para esto haga clic en el control:

.

2. Selecciona Configuración (Settings).

3. Haz clic en “Mostrar configuración avanzada” (Show advanced settings).

4. Estos son los diversos tipos de configuración que realizaremos:



a. Primero cambiará el idioma, para esto se ubicará en la sección

“Languages” y escogerá el idioma Español.

b. Ahora, ubíquese en la sección “Privacidad” y verificará que la opción

“Habilitar protección contra phishing y software malicioso” se encuentre

habilitado.

c. Haga un clic en el botón “Configuración de contenido…” y en la sección

“Cookies” haga clic en “Todas las cookies y los datos de sitios…” y podrá

ver la información de los sitios y los cookies.

d. Elimine los cookies de sitios como youtube.com, twitter.com y

faceebook.com:

e. Ubíquese en la sección Pop-ups y verifique que este habilitada la opción

“No permitir que ningún sitio muestre pop-ups” pero en “Administrar

excepciones” agregue a Senati.edu.pe.



f. Vuelva a “Configuración” y ubíquese en la sección “Contraseñas y

formularios” y deshabilitará las dos opciones que aparecen:

i. Habilitar la función Autocompletar para rellenar formularios web con un

solo clic.

ii. Preguntar si quiero guardar las contraseñas que he introducido en la

Web.


REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS

ZONAS Y SITIOS WEB SEGUROS.

INTERNET EXPLORER:

Esta información corresponde a Windows

Internet Explorer 7 y Windows Internet Explorer

8.

Para proteger su privacidad, la seguridad del

equipo o para que Internet Explorer funcione del

modo en que desee, puede cambiar la

configuración y las preferencias. A continuación

se muestran algunos procedimientos útiles para

cambiar la configuración de Internet Explorer y

trabajar de manera más óptima.

Configuración de seguridad de Internet Explorer.

La ficha Seguridad de Internet Explorer se usa para establecer y cambiar

opciones que pueden ayudarle a proteger el equipo de contenido en línea que

puede ser perjudicial.

Internet Explorer asigna todos los sitios web a una de las cuatro zonas de

seguridad que existen: Internet, intranet local, sitios de confianza o sitios



restringidos. La zona a la que se asigna un sitio web define la configuración de

seguridad que se usa en ese sitio.

En la siguiente tabla se describen las cuatro zonas de seguridad de Internet

Explorer.

Zona Descripción

Internet

El nivel de seguridad de la zona de Internet

se aplica a todos los sitios web de forma

predeterminada. El nivel de seguridad de

esta zona se establece en medio alto por

defecto (pero puede cambiarlo a medio o

alto). Los únicos sitios web para los que no

se usa esta configuración de seguridad son

los que se encuentran en la zona de la

intranet local o los que asigne

específicamente a las zonas denominadas

“sitios de confianza” o “Sitios restringidos”.

También se puede aplicar un Nivel

personalizado.

Intranet local

El nivel de seguridad establecido para la

zona de la intranet local se aplica a los

sitios web y al contenido que se

almacena en una red corporativa o

empresarial. El nivel de seguridad de la

zona de intranet local se establece en

medio por defecto, pero se puede

cambiar a otros niveles o inclusive se

puede personalizar.

Sitios de

confianza

El nivel de seguridad establecido para los

sitios de confianza se aplica a los sitios

que han sido indicados específicamente

que son de confianza y que, por lo tanto,

no dañarán el equipo o la información. El

nivel de seguridad de los sitios de

confianza se establece en medio (pero

puede cambiarse a cualquier nivel).

También se puede personalizar.



Sitios

restringidos

El nivel de seguridad establecido para los

sitios restringidos se aplica a los sitios que

podrían dañar el equipo o la información. Al

agregar sitios a la zona restringida, no se

los bloquea sino que se les impide usar

scripts o cualquier contenido activo. El nivel

de seguridad de los sitios restringidos se

establece en alto.

También se puede personalizar.

Configuración de privacidad de Internet Explorer.

Para cambiar la configuración de privacidad de Internet

Explorer deberá ubicarse en la ficha “Privacidad”:

En esta ficha podrá apreciar diferentes opciones, tales

como los niveles para permitir o no la presencia de

cookies.

También podrá bloquear elementos emergentes los

cuales en algunos casos son un poco molestosos.

Además aparece una opción muy interesante, que define

el uso de la opción “InPrivate”.

El filtrado InPrivate de Internet Explorer 8 ayuda a evitar que los sitios web

visitados compartan detalles, de manera automática, sobre su visita con otros

sitios web.

Si selecciona la casilla No recopilar datos para uso de Filtrado InPrivate, los

sitios web ya no evitarán compartir detalles sobre su visita con otros sitios web.

La exploración de InPrivate le permite navegar por Internet sin dejar rastros en

Internet Explorer. Esto ayuda a impedir que cualquier otra persona que use su

equipo pueda ver qué sitios de Internet visitó. Puede comenzar la Exploración

de InPrivate desde la página de la nueva pestaña o desde el botón Seguridad.



Cuando inicia la exploración de InPrivate, Internet Explorer abre una nueva

ventana del explorador. La protección que proporciona la exploración de

InPrivate sólo tiene efecto mientras siga usando esa ventana. Puede abrir

tantas pestañas como desee en esa ventana, y todas estarán protegidas por la

función de exploración de InPrivate. No obstante, si abre otra ventana del

explorador, ésta no estará protegida por la función de exploración de InPrivate.

Para finalizar su sesión de exploración de InPrivate, cierre la ventana del

explorador.

Mientras explora mediante la exploración de InPrivate, Internet Explorer

almacena información, como cookies y archivos temporales de Internet, de

modo que las páginas web que visita funcionarán correctamente. No obstante,

al finalizar la sesión de exploración de InPrivate, esta información se

descartará. En la siguiente tabla se describe qué información descarta la

exploración de InPrivate cuando se cierra el explorador, y cómo se ve afectada

durante la sesión de exploración:

Información Cómo se ve afectada por la exploración de

InPrivate

Cookies Se guardan en la memoria a fin de que las páginas funcionen

correctamente, pero se descartan al cerrar el explorador.

Archivos temporales de

Internet

Se almacenan en el disco a fin de que las páginas funcionen

correctamente, pero se eliminan al cerrar el explorador.

Historial de páginas web Esta información no se almacena.

Datos de formularios y

contraseñas Esta información no se almacena.

Caché de protección contra

suplantación de identidad

(anti-phishing)

Se cifra y almacena información temporal a fin de que las

páginas funcionen correctamente.

Barra de direcciones e

información de

Autocompletar de las

búsquedas

Esta información no se almacena.

Restauración automática tras

bloqueo (ACR)

ACR puede restaurar cuando se bloquea una pestaña de la

sesión, pero si se bloquea la ventana completa, se eliminan

los datos y no es posible restaurar la ventana.



Almacenamiento de Modelo

de objetos de documentos

(DOM)

El almacenamiento de DOM es una especie de "super

cookie" que los desarrolladores web pueden usar para

retener información. Al igual que las cookies normales, no se

conservan después de cerrar la ventana.

CARACTERÍSTICAS DE SEGURIDAD Y PRIVACIDAD EN INTERNET

EXPLORER 9.

Internet Explorer 9 incluye las siguientes características de seguridad y

privacidad:

Filtrado ActiveX, que bloquea los controles ActiveX para todos los sitios y

permite que, después, usted pueda volver a activarlos sólo para los sitios en

los que confíe.

Resaltado de dominios, que muestra claramente la dirección web real de los

sitios web que visita. Esto ayuda a evitar los sitios web que usan direcciones

web engañosas, como los sitios web de suplantación de identidad (phishing).

El verdadero dominio que visita aparece resaltado en la barra de

direcciones.

Filtro SmartScreen, que puede ayudar a proteger contra los ataques de

suplantación de identidad (phishing) en línea, los fraudes y los sitios web

simulados o malintencionados. También examina descargas y le advierte

acerca de posible malware (software malintencionado).

El filtro SmartScreen ayuda a combatir estas amenazas mediante una serie de

sofisticadas herramientas:

o Protección contra la suplantación de identidad (phishing): filtra las amenazas

de sitios web fraudulentos que intentan obtener datos personales (como

nombres de usuario, contraseñas y datos de facturación).

o Reputación de la aplicación: permite quitar todas las advertencias

innecesarias sobre archivos conocidos, así como mostrar advertencias

graves para descargas de alto riesgo.

o Protección contra el hardware malicioso (malware): ayuda a evitar la

infiltración de software potencialmente perjudicial en el equipo.

Al detectar un sitio web malintencionado, Internet Explorer 9 lo bloqueará en su

totalidad. También puede efectuar un bloqueo selectivo del malware o de los

ataques de suplantación de identidad (phishing) procedentes de sitios web

legítimos, rechazando únicamente páginas malintencionadas sin que ello afecte

al resto del sitio.



El filtro Smartscreen también funciona con el Administrador de descargas para

protegerte contra descargas malintencionadas. Las descargas potencialmente

peligrosas se bloquean inmediatamente. El Administrador de descargas

identifica claramente los programas con mayor riesgo, de manera que puedas

tomar una decisión fundada para eliminar, ejecutar o guardar la descarga.

El filtro de scripts de sitios (XSS), que evita ataques de sitios fraudulentos

que podrían intentar robar su información personal y financiera.

El filtro XSS analiza cómo interactúan los sitios web y cuando reconoce un

posible ataque, automáticamente impide que se ejecute dicho código de script.

Cuando esto ocurre, aparece un mensaje en la barra de notificación que le

notifica que la página fue modificada para proteger su privacidad y su

seguridad.

Si la página web modificada no funciona correctamente, en una nueva ventana

del explorador, vaya a la página principal del sitio web y navegue directamente

hacia la página web. Si aun así la página no funciona correctamente,

comuníquese con el administrador del sitio web.

Una conexión de Capa de sockets seguros (SSL) de 128 bits para usar sitios

web seguros. Esto ayuda a Internet Explorer a crear una conexión cifrada

con los sitios web de bancos, tiendas en línea, sitios médicos u otras

organizaciones que manejan información personal.

Notificaciones que le advierten si la configuración de seguridad se encuentra

por debajo de los niveles recomendados.

Protección de rastreo, que limita la

comunicación del explorador con ciertos

sitios web, determinada por una Lista de

protección de rastreo para ayudar a que

su información siga siendo privada.

Exploración de InPrivate, que se puede

usar para explorar la web sin guardar

datos relacionados, como cookies y

archivos temporales de Internet.

Configuración de privacidad que

especifica cómo el equipo debe tratar las

cookies.



OBSERVACIÒN:

Aún se está probando la versión de Internet explorer 10, aunque ya se comenta

que hará grandes cambios.

NAVEGADOR CHROME.

Google Chrome dispone de medidas de seguridad que te protegen durante tus visitas

en la Web. Sigue los pasos descritos a continuación para ajustar esta configuración:

1. Haz clic en el icono con forma de llave inglesa situado en la barra de

herramientas del navegador.

2. Selecciona Configuración.

3. Haz clic en la opción para mostrar la configuración avanzada.

4. A continuación, se indican varias opciones que puedes modificar.

Entre las opciones que podemos configurar, tenemos:

Protección contra phishing y

software malintencionado.

Esta opción está habilitada de forma

predeterminada en la sección

"Privacidad". Al habilitarla, recibirás

una advertencia de Google Chrome si

se detecta que el sitio al que intentas

acceder puede contener software

malintencionado o hacer phishing.

Configuración y certificados SSL.

Accede a la sección "HTTPS/SSL"

para administrar la configuración y los

certificados SSL.

Configuración de contenido web.

Haz clic en Configuración de contenido en la sección "Privacidad" para ajustar

los permisos de las cookies, de las imágenes, de JavaScript, de los

complementos, de los pop-ups y de la opción de compartir la ubicación. Todo el

contenido web, salvo los pop-ups, está habilitado de forma predeterminada.



Google Chrome incluye funciones que te ayudan a proteger tu ordenador de

sitios web malintencionados cuando navegas por la Web. Chrome utiliza varias

tecnologías para ayudar a proteger tu ordenador ante ataques de suplantación

de identidad (también conocida como "phishing") y de software

malintencionado, entre las que se incluyen la navegación segura, la zona de

pruebas y las actualizaciones automáticas.

Navegación segura.

Chrome mostrará un mensaje de advertencia antes de que visites un sitio que

pueda contener software malintencionado o que pueda estar afectado por una

acción de suplantación de identidad.

Un ataque de suplantación de identidad se produce cuando alguien se hace

pasar por otra persona para conseguir que un tercero revele información

personal o confidencial, normalmente a través de un sitio web falso. En cambio,

el software malintencionado es software instalado en el equipo de un usuario,

con frecuencia sin su conocimiento, con el fin de dañar su equipo o tratar de

robar información.

Con la tecnología de navegación segura habilitada en Chrome, si accedes a un

sitio web que pueda estar afectado por una acción de suplantación de identidad

o que pueda contener software malintencionado al navegar por la Web,

aparecerá una página de advertencia como la que se muestra a continuación.

Si ha activado la protección de phishing y malware, a continuación, Google

Chrome se pone en contacto con los servidores de Google, para descargar las

listas actualizadas de ataque por phishing y sitios web maliciosos. Estas listas

se almacenan en su ordenador, de forma que al navegar por la Web, cada

página se puede comprobar con la lista de sospechoso de phishing y sitios web

maliciosos a nivel local, sin tener que enviar la dirección de cada página web

que visitas a Google. Esto está diseñado para ofrecer el rendimiento (por no

tener que esperar a una petición de ida y vuelta a los servidores de Google) y

privacidad (por no enviar un registro de su sesión de navegación a Google).

Como las listas son grandes (cientos de miles de

entradas), se buscaron formas de reducir la

cantidad de información que tuvo que ser

enviada y almacenada en las computadoras de

los usuarios, para reducir la cantidad de ancho

de banda y espacio de almacenamiento

consumido. Una manera de lograrlo es mediante

el uso de hashes parciales de direcciones URL

en las listas descargadas por la computadora.



Los valores Hash son el resultado de aplicar funciones de un sólo sentido

(denominadas funciones Hash) a un bloque de datos. Las funciones Hash

transforman este bloque de datos en una cadena de longitud fija, por lo que

pequeñas modificaciones en los datos alteran significativamente el resultado

obtenido. De ahí que no sea posible que dos conjuntos de datos distintos

generen el mismo resultado

Al navegar por la web usando Google Chrome, el hash de cada URL se

calcula, y los primeros 32 bits de la dirección URL hash que se compara con la

lista de sospechoso de phishing y sitios web maliciosos. Esto incluye la

dirección URL de la página web que está visitando, así como la URL de los

recursos incluidos (por ejemplo, incluye JavaScript o películas de Adobe Flash).

Si los primeros 32 bits del hash coinciden con una entrada en la lista, lo más

probable es que la URL está en la lista de sospechoso de phishing o sitios web

maliciosos. En este punto, sólo podemos decir probable, porque todavía hay

una posibilidad razonable de que las hash en el espacio de 32 bits coincidan

pero no sus valores hash de 256 bits. Para confirmar que la dirección en

realidad es un intento de phishing o sitio web malicioso, y no sólo una similitud

hash de 32 bits, el hash de 32 bits se envía a Google. A continuación, Google

devuelve los 256-bit hash completos de los sospechosos de phishing o

malware. El total de 256-bit hash de la URL en cuestión se puede comparar

con el hash de 256-bit (s) devueltos por Google, para hacer una determinación

de si, de hecho, la URL en cuestión está o no en la lista de sospechoso de

phishing o malware sitios Web. Utilizando este esquema, Google Chrome es

capaz de comprobar rápidamente el sitio web y sus recursos en contra de una

base de datos local, y sólo envía información a Google cuando el sitio coincide

con una entrada en las listas almacenadas localmente.

Zona de pruebas.

La zona de pruebas ayuda a evitar que el software malintencionado se instale

en el equipo o utilice lo que ocurre en una pestaña del navegador para afectar

a otra. La zona de pruebas añade una capa adicional de protección a tu

navegador al proteger contra páginas web malintencionadas que intentan dejar

programas en el equipo, controlar las actividades en la Web o robar

información privada del disco duro.

Actualizaciones automáticas.

Chrome busca actualizaciones regularmente para garantizarte que tu equipo

esté protegido permanentemente por las últimas actualizaciones de seguridad.

La comprobación de actualizaciones te asegura que tu versión de Chrome se

actualizará automáticamente con las funciones y con los parches de seguridad

más recientes sin que tengas que hacer nada.



NAVEGADOR FIREFOX.

La última versión de Firefox, versión 4, fue lanzada con una serie de nuevas

funciones de seguridad, como un mecanismo para la prevención de ataques

basados en web.

Una de las nuevas características de seguridad, llamada Content Security

Policy (CSP), está habilitada de forma predeterminada y diseñada para detener

ataques comunes basados en web, como Cross-site scripting (XSS) y la

inyección de datos, proporcionando un mecanismo para que los sitios le digan

expresamente al navegador que el contenido es legítimo, según Mozilla.

La última versión de Firefox también incluye una característica de privacidad

que permite a los usuarios hacer un mecanismo de “opt-out” para que su hábito

de navegación no sea utilizado para publicidad.

Seguridad avanzada.

Estas nuevas opciones de seguridad permiten:

Identificación del sitio web de forma instantánea.

Política de seguridad del contenido.

Opciones de seguridad personalizadas.

Controles parentales.

Actualizaciones seguras.

Detección de plugins obsoletos.

Navegación privada.

Integración con antivirus.

Protección frente a suplantación de identidad (antiphishing).

Protección frente a software malintencionado.

No rastrear.

Olvidar este sitio.

Conexiones seguras a sitios web.

Actualizaciones automáticas.



1. En la empresa donde usted está realizando sus estudios de

complementación práctica, ¿Qué navegadores son más utilizados?

2. Para usted, ¿Cuáles el navegador que brinda mejores opciones de

seguridad?

3. ¿En qué consiste la navegación en “InPrivate”?.

4. ¿Qué diferencia hay entre http y https? – Explique.

5. ¿En qué consiste el Filtro SmartScreen?

6. ¿En qué consiste el Filtrado ActiveX? – Explique.


TAREA


TAREA 04.

REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD

INALÁMBRICA.


Configurar los protocolos más importantes de seguridad en redes

inalámbricas.

Configurar los filtros MAC.


Computadora con microprocesadores Core 2 Duo o de mayor capacidad

con conexión inalámbrica.

Sistema operativo Windows 7 o equivalente.

Access Point.


Configurar los protocolos más importantes de seguridad en redes

inalámbricas.

Configurar los filtros MAC.

Los que aprendieron en su momento, pero no se han actualizado, están

equipados para vivir en un mundo que ya no existe. (Eric Hoffer).

04



OPERACIÓN:

CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD

EN REDES INALÁMBRICAS.

Desde la PC, accederá a la interfaz colocando en el navegador la dirección:

http://192.168.1.254 (para esto, la PC debe tener un IP perteneciente a la

misma red), el usuario será: admin y la contraseña: admin (consultar al

instructor si se está utilizando una contraseña diferente).

Luego accederá a la interfaz Status:

Se ubicará en el menú del lado izquierdo y hará clic en “Wireless” y luego en

“Security Settings”, en esta parte, escogerá la opción: “WPA-PSK/WPA2-PSK”

que permitirá obtener un mejor nivel de seguridad.

Colocará la contraseña deseada, en “PSK Passphrase” y grabará los cambios

haciendo clic en “Save”.

Además, colocaremos un SSID en el

Access point:

Finalmente, se ubicará en un equipo

con conexión inalámbrica y ubicaremos

el SSID respectivo:

http://192.168.1.254/



Colocará la clave correcta y nos conectaremos a la red:

CONFIGURAR LOS FILTROS MAC.

Para realizar esta operación, usted realizará el procedimiento siguiente:

1. Ingresará al dispositivo inalámbrico (en este caso utilizaremos un

Accesspoint de la marca y modelo que el instructor indique) desde un

navegador, colocando el IP adecuado, ejemplo: Para los D’link normalmente

es el 192.168.0.50, por lo tanto usted colocará en el navegador:

http://192.168.0.50.

2. Ahora le pedirá un usuario y clave, el usuario es normalmente: admin y la

contraseña está en blanco.

3. Luego ingresará a la configuración de seguridad del dispositivo y

activaremos el filtro por MAC.

4. Agregará la dirección MAC de las tarjetas inalámbricas de tres equipos de la

red e indicaremos que ha estos se le permita la navegación.

http://192.168.0.50/



5. Grabará los cambios.

6. Comprobará la navegación desde estos equipos.

7. Los demás equipos no deben navegar.


CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD

EN REDES INALÁMBRICAS.

MEDIOS INALÁMBRICOS:

Los medios inalámbricos transportan señales electromagnéticas mediante

frecuencias de microondas y radiofrecuencias. Como medio de red, el sistema

inalámbrico no se limita a conductores o canaletas, como en el caso de los

medios de fibra o de cobre.

Las tecnologías inalámbricas de comunicación de datos funcionan bien en

entornos abiertos. Sin embargo, existen determinados materiales de

construcción utilizados en edificios y estructuras, además del terreno local, que

limitan la cobertura efectiva. El medio inalámbrico también es susceptible a la

interferencia y puede distorsionarse por

dispositivos comunes como teléfonos

inalámbricos domésticos, algunos tipos

de luces fluorescentes, hornos

microondas y otras comunicaciones

inalámbricas.

Los dispositivos y usuarios que no están

autorizados a ingresar a la red pueden

obtener acceso a la transmisión, ya que

la cobertura de la comunicación

inalámbrica no requiere el acceso a una conexión física de los medios. Por lo

tanto, la seguridad de la red es el componente principal de la administración de

redes inalámbricas.

Tipos de redes inalámbricas

Los estándares de IEEE y de la industria de las telecomunicaciones sobre las

comunicaciones inalámbricas de datos abarcan la capa física y de Enlace de

datos. Los cuatro estándares comunes de comunicación de datos que se

aplican a los medios inalámbricos son:

IEEE estándar 802.11: Comúnmente denominada Wi-Fi, se trata de una

tecnología LAN inalámbrica (Red de área local inalámbrica, WLAN) que utiliza

una contención o sistema no determinista con un proceso de acceso a los



medios de Acceso múltiple con detección de portadora/Prevención de

colisiones (CSMA/CA).

IEEE estándar 802.15: Red de área

personal inalámbrica (WPAN) estándar,

comúnmente denominada "Bluetooth",

utiliza un proceso de emparejamiento de

dispositivos para comunicarse a través de

una distancia de 1 a 100 metros.

IEEE estándar 802.16: Comúnmente

conocida como WiMAX (Interoperabilidad

mundial para el acceso por microondas),

utiliza una topología punto a multipunto

para proporcionar un acceso de ancho de

banda inalámbrico.

Sistema global para comunicaciones

móviles (GSM): Incluye las

especificaciones de la capa física que

habilitan la implementación del protocolo

Servicio general de radio por paquetes (GPRS) de capa 2 para proporcionar la

transferencia de datos a través de redes de telefonía celular móvil.

Otros tipos de tecnologías inalámbricas, como las comunicaciones satelitales,

ofrecen una conectividad de red de datos para ubicaciones sin contar con otros

medios de conexión. Los protocolos, incluso

GPRS, permiten la transferencia de datos entre

estaciones terrestres y enlaces satelitales.

LAN inalámbrica.

Una implementación común de transmisión

inalámbrica de datos permite a los dispositivos

conectarse en forma inalámbrica a través de

una LAN. En general, una LAN inalámbrica requiere los siguientes dispositivos

de red:

Punto de acceso inalámbrico (AP): Concentra las señales inalámbricas de los

usuarios y se conecta, generalmente a través de un cable de cobre, a la

infraestructura de red existente basada en cobre, como Ethernet.

Adaptadores NIC inalámbricos: Proporcionan capacidad de comunicación

inalámbrica a cada host de la red.



A medida que la tecnología ha evolucionado, ha surgido una gran cantidad de

estándares WLAN basados en Ethernet. Se debe tener precaución al comprar

dispositivos inalámbricos para garantizar compatibilidad e interoperabilidad.

Los estándares incluyen:

IEEE 802.11a: opera en una banda de frecuencia de 5 GHz y ofrece

velocidades de hasta 54 Mbps. Posee un área de cobertura menor y es

menos efectivo al penetrar estructuras edilicias ya que opera en frecuencias

superiores. Los dispositivos que operan conforme a este estándar no son

interoperables con los estándares 802.11b y 802.11g descritos a

continuación.

IEEE 802.11b: opera en una banda de frecuencia de 2.4 GHz y ofrece

velocidades de hasta 11 Mbps. Los dispositivos que implementan este

estándar tienen un mayor alcance y pueden penetrar mejor las estructuras

edilicias que los dispositivos basados en 802.11a.

IEEE 802.11g: opera en una frecuencia de banda de 2.4 GHz y ofrece

velocidades de hasta 54 Mbps. Por lo tanto, los dispositivos que

implementan este estándar operan en la misma radiofrecuencia y tienen un

alcance de hasta 802.11b pero con un ancho de banda de 802.11a.

IEEE 802.11n: El estándar IEEE 802.11n define la frecuencia de 2.4 Ghz o 5

GHz. La velocidad típica de transmisión de datos que se espera es de 600

Mbps con un alcance de distancia de hasta 70 metros.IEEE 802.11n está

construido basándose en estándares previos de la familia 802.11, agregando

Multiple-Input Multiple-Output (MIMO) y unión de interfaces de red

(ChannelBonding), además de agregar tramas a la capa MAC.

MIMO es una tecnología que usa múltiples antenas transmisoras y receptoras

para mejorar el desempeño del sistema, permitiendo manejar más información

(cuidando la coherencia) que al utilizar una sola antena. Dos beneficios

importantes que provee a 802.11n, son la diversidad de antenas y el

multiplexado espacial.



Protocolos de seguridad en redes inalámbricas:

WEP

Características y funcionamiento:

WEP (Wired Equivalent Privacy, privacidad equivalente al cable) es el algoritmo

opcional de seguridad incluido en la norma IEEE 802.11. Los objetivos de

WEP, según el estándar, son proporcionar confidencialidad, autentificación y

control de acceso en redes WLAN. Las principales características de WEP son:

WEP utiliza una misma clave simétrica y estática en las estaciones y el

punto de acceso. El estándar no contempla ningún mecanismo de

distribución automática de claves, lo que obliga a escribir la clave

manualmente en cada uno de los elementos de red. Esto genera varios

inconvenientes. Por un lado, la clave está almacenada en todas las

estaciones, aumentando las posibilidades de que sea comprometida. Y por

otro, la distribución manual de claves provoca un aumento de mantenimiento

por parte del administrador de la red, lo que conlleva, en la mayoría de

ocasiones, que la clave se cambie poco o nunca.

El algoritmo de encriptación utilizado es RC4 conclaves (seed), según el

estándar, de 64 bits. Estos 64bits están formados por 24 bits

correspondientes al vector de inicialización más 40 bits de la clave secreta.

Los 40 bits son los que se deben distribuir manualmente. El vector de



inicialización (IV), en cambio, es generado dinámicamente y debería ser

diferente para cada trama. El objetivo perseguido con el IV es cifrar con

claves diferentes para impedir que un posible atacante pueda capturar

suficiente tráfico cifrado con la misma clave y terminar finalmente

deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto

la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto

que está almacenado en la configuración de cada elemento de red. El IV, en

cambio, se genera en un extremo y se envía en la propia trama al otro

extremo, por lo que también será conocido. Observemos que al viajar el IV

en cada trama es sencillo de interceptar por un posible atacante.

El algoritmo de encriptación de WEP es el siguiente:

1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que

propone WEP para garantizar la integridad de los mensajes (ICV, Integrity

Check Value).

2. Se concatena la clave secreta a continuación del IV formado el seed.

3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una

secuencia de caracteres pseudoaleatorios (keystream), a partir del seed, de

la misma longitud que los bits obtenidos en el punto 1.

4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del

punto 3. El resultado es el mensaje cifrado.

5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos

(frame body) de la trama IEEE 802.11.El algoritmo para descifrar es similar

al anterior. Debido a que el otro extremo conocerá el IV y la clave secreta,

tendrá entonces el seed y con ello podrá generar el key stream. Realizando

el XOR entre los datos recibidos y el key stream se obtendrá el mensajes in

cifrar (datos y CRC-32). A continuación se comprobara que el CRC-32 es

correcto.



Debilidad del vector de inicialización.

La implementación del vector de inicialización (IV)en el algoritmo WEP tiene

varios problemas de seguridad. Recordemos que el IV es la parte que varía

dela clave (seed) para impedir que un posible atacante recopile suficiente

información cifrada con una misma clave.

Sin embargo, el estándar 802.11 no especifica cómo manejar el IV. Según se

indica que debería cambiarse en cada trama para mejorar la privacidad, pero

no obliga a ello. Queda abierta a los fabricantes la cuestión de cómo variar el IV

en sus productos. La consecuencia de esto es que buena parte de las

implementaciones optan por una solución sencilla: cada vez que arranca la

tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Y esto

ocasiona que las primeras combinaciones de IVs y clave secreta se repitan

muy frecuentemente. Más aún si tenemos en cuenta que cada estación utiliza

la misma clave secreta, por lo que las tramas con igual clave se multiplican en

el medio.

Por otro lado, el número de IVs diferentes no es demasiado elevado

(2^24=16777216), por lo que terminarán repitiéndose en cuestión de minutos u

horas.

WEP también adolece de otros problemas además de los relacionados con el

vector de inicialización y la forma de utilizar el algoritmo RC4.

Entre los objetivos de WEP, como se indicó anteriormente, se encuentra

proporcionar un mecanismo que garantice la integridad de los mensajes. Con

este fin, WEP incluye un CRC-32 que viaja cifrado. Sin embargo, se ha

demostrado que este mecanismo no es válido y es posible modificar una parte

del mensaje y a su vez el CRC, sin necesidad de conocer el resto. Esto

permitiría, por ejemplo, modificar algún número de la trama sin que el destino

se percatara de ello.

Además, el estándar IEEE 802.11 incluye un mecanismo de autentificación de

las estaciones basado en un secreto compartido.

El estándar es consciente de esta debilidad y aconseja no utilizar el mismo IV

para el resto de transmisiones. Sin embargo, tanto si las implementaciones

repiten ese IV como si no, el mecanismo ofrece información que podría ser



aprovechada para romper la clave WEP utilizando las debilidades del vector de

inicialización.

Otro problema es que WEP no incluye autentificación de usuarios. Lo más que

incluye es la autentificación de estaciones descrita (podrán entrar aquellas

estaciones que en su configuración tengan almacenada la clave WEP).

Entre la larga lista de problemas de seguridad de WEP se encuentra también la

ausencia de mecanismos de protección contra mensajes repetidos (replay).

Esto permite que se capture un mensaje y se introduzca en la red en un

momento posterior. El paquete podría ser, por ejemplo, el que contiene la

contraseña de un usuario para utilizar un determinado servicio.

Todos los problemas comentados unidos a las características propias de WEP

como es la distribución manual de claves y la utilización de claves simétricas,

hacen que este sistema no sea apropiado para asegurar una red inalámbrica.

WPA

WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la

asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que

WEP no puede proporcionar.

Características:

Las principales características de WPA son la distribución dinámica de claves,

utilización más robusta del vector de inicialización (mejora de la

confidencialidad) y nuevas técnicas de integridad y autentificación.

WPA incluye las siguientes tecnologías:

IEEE 802.1X. Es un estándar del IEEE para proporcionar un control de

acceso en redes basadas en puertos. El concepto de puerto, en un principio

pensado para las ramas de un switch, también se puede aplicar a las

distintas conexiones de un punto de acceso con las estaciones. Las

estaciones tratarán entonces de conectarse a un puerto del punto de acceso.

El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se

autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA

(Authentication Authorization Accounting) como puede ser RADIUS (Remote



Authentication Dial-In User Service). Si la autorización es positiva, entonces

el punto de acceso abre el puerto. El servidor RADIUS puede contener

políticas para ese usuario concreto que podría aplicar el punto de acceso

(como priorizar ciertos tráficos o descartar otros).

EAP. EAP, fue definido en la RFC 2284 y es el protocolo de autentificación

extensible para llevar a cabo las tareas de autentificación, autorización y

contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-

to-Point Protocol), aunque WPA lo utiliza entre la estación y el servidor

RADIUS.

Esta forma de encapsulación de EAP está definida en el estándar 802.1X

bajo el nombre de EAPOL (EAP over LAN).

TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo

encargado de la generación de la clave para cada trama.

MIC (Message Integrity Code) o Michael. Código que verifica la integridad de

los datos de las tramas.

Modos de funcionamiento de WPA.

WPA puede funcionar en dos modos:

Con servidor AAA, RADIUS normalmente:

Este es el modo indicado para las empresas.

Requiere un servidor configurado para desempeñar las tareas de

autentificación, autorización y contabilidad.

Con clave inicial compartida (PSK):

Este modo está orientado para usuarios domésticos o pequeñas redes. No

requiere un servidor AAA, sino que se utiliza una clave compartida en las

estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se

utiliza como punto de inicio para la autentificación, pero no para el cifrado

delos datos.

WPA2 (IEEE 802.11i)

802.11i es el estándar del IEEE para proporcionar seguridad en redes WLAN.



WPA2 (Wi-Fi Protected Access 2 - Acceso Protegido Wi-Fi 2) es un sistema

para proteger las redes inalámbricas (Wi-Fi); creado para corregir las

vulnerabilidades detectadas en WPA

WPA2 está basada en el nuevo estándar 802.11i. WPA, por ser una versión

previa, que se podría considerar de "migración", no incluye todas las

características del IEEE 802.11i, mientras que WPA2 se puede inferir que es la

versión certificada del estándar 802.11i.

El estándar 802.11i fue ratificado en junio de 2004.

La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y

WPA2-Personal y a la versión con autenticación 802.1x/EAP como WPA-

Enterprise y WPA2-Enterprise.

Los fabricantes comenzaron a producir la nueva generación de puntos de

accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES

(Advanced Encryption Standard). Con este algoritmo será posible cumplir con

los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 está

idealmente pensado para empresas tanto del sector privado cómo del público.

Si bien parte de las organizaciones estaban aguardando esta nueva generación

de productos basados en AES es importante resaltar que los productos

certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el

estándar 802.11i.

OBSERVACIÓN:

Actualmente están saliendo aplicaciones que son utilizadas por personas de

poca ética que desean vulnerar la seguridad en las redes inalámbricas.

Algunas aplicaciones peligrosas son: BackTrack, NetStumbler, Vistumbler,

Wifislax, chapcrack, etc.

OPERACIÓN:

CONFIGURAR LOS FILTROS MAC.

Normalmente se tienen las redes Wifi protegidas mediante WEP o WPA, que

son protocolos teóricamente seguros. Pero estos protocolos siempre pueden

ser burlados de una u otra manera, aunque WPA sea bastante más seguro que

WEP.



Siempre podemos tener un vecino espabilado que consiga averiguar la clave

de nuestra red y se beneficie de nuestra conexión a Internet en vez de pagar la

suya propia.

También puede darse un caso más preocupante, en el cual se pueda ingresar

a información confidencial de una empresa.

Para evitar este tipo de cosas usaremos en nuestra red un filtrado de Mac

Address.

El Mac Address se conoce también como dirección física. Es un número de 48

bytes que está formado por 6 números en hexadecimal. La llevan grabada

todas las tarjetas de red. Sirve, básicamente, para diferenciar unas de otras

dentro de una misma red. Un ejemplo de Mac Address sería 00-09-75-5C-9F-

1E.

En teoría una dirección Mac es única y no es posible cambiarla. Pero en la

práctica es posible cambiarla por software o configuración.

Lo que vamos a hacer para protegernos de los intrusos es poner un filtrado de

Mac para que si se produce un intento de conexión al router desde una tarjeta

de red con una dirección Mac que no está permitida, este sea denegado.

El filtrado de Mac se configura desde el panel de configuración del router, el

cual es distinto dependiendo de la marca y el modelo.



1. Indique los protocolos más importantes de seguridad para redes

inalámbricas.

2. ¿Qué entiende por filtrado MAC? – Explique.

3. ¿Qué entiende usted por servidor Radius?- Explique.

4. ¿Qué programas se utilizan para romper contraseñas de redes

inalámbricas y como protegerse contra estos programas?

5. ¿Qué protocolo de seguridad es el más utilizado actualmente, en redes

inalámbricas?


TAREA


TAREA 05: SELECCIONAR LOS PERMISOS ADECUADOS AL

COMPARTIR LOS RECURSOS.

En esta tarea ralizará las siguientes operaciones:

Compartir recursos en sistemas de archivos NTFS, aplicando permisos

básicos y avanzados.

Compartir recursos utilizando un servidor de archivos y el Active Directory.


Computadoras con microprocesadores Core 2 Duo o de mayor capacidad.

Sistema operativo Windows 7 ó equivalente.

Una máquina virtual con un servidor, que podría ser cualquiera de los

siguientes:




Compartir recursos en sistemas de archivos NTFS, aplicando permisos

básicos y avanzados.

Compartir recursos utilizando un servidor de archivos y el Active Directory.

Una persona exitosa es aquella que decidió tener éxito

y trabajó. Una persona fracasada es aquella que decidió

tener éxito y solo lo deseó. (William A. Ward)

.

05



OPERACIÓN:

COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS,

APLICANDO PERMISOS BÁSICOS Y AVANZADOS.

Para esta operación ejecutará los siguientes procedimientos en un equipo con

Windows 7:

Primero creará los usuarios:

o Acceso1 y acceso2 con las

contraseñas 123456 y 12345678

respectivamente.

o Los usuarios deben ser de tipo

estándar.

o Además creará dos recursos (dos

carpetas con archivos a compartir).

o Las carpetas se denominarán

recursos1 y recursos2 respectiva-

mente.

o Primero trabajará con la carpeta

recursos1.

o En compartir definirá los siguientes permisos para recursos1: Grupo

Todos con control total.

o En seguridad definiremos el siguiente listado de control de acceso para

recursos1:

Para acceso1: Este usuario tendrá control total.



Para acceso2: Este usuario tendrá los permisos para lectura:

o Ahora trabajaremos con la carpeta recursos2.

o En compartir definiremos los siguientes permisos para recursos2:

grupo todos tendrá control total.



o En seguridad definiremos el siguiente listado de control de acceso

para recursos2:

Para acceso1: Este usuario tendrá los permisos que le permitan

leer el recurso.

Para acceso2: Este usuario tendrá los permisos que le permitan

modificar el contenido.

Para comprobar si los accesos son correctos, ingresará desde otro equipo en la

red (en este equipo deberían estar también creados los usuarios acceso1 y

acceso2 con las contraseñas respectivas para agilizar el acceso).

Se Iniciará sesión con el usuario acceso1 y verificará si la configuración es

correcta al ingresar a recursos1 y recursos2.

Para esto debemos poder ingresar a recurso1 y borrar archivos, además

utilizando el usuario acceso1 cambiará los permisos para que el usuario

acceso2 pueda modificar el contenido en esta carpeta.

Luego se accederá a recursos2 y se tratará de borrar archivos.



Ahora cerrará sesión con acceso1 e ingresaremos con el usuario acceso2 y

comprobará los permisos.

COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL

ACTIVE DIRECTORY.

Para esta operación deberá realizar los siguientes procedimientos:

1. Debe tener un servidor con Windows Server 2008 o equivalente, el cual

tendrá instalado el directorio activo (Active Directory).

2. El dominio será senatinos.edu.pe y la unidad organizativa en la cual creará

los usuarios se denominará “logística”.

3. Se crearán los usuarios: log01 y log02

con las contraseñas: Senati01 y Senati02

respectivamente (en otra tarea se verá el

tema de la seguridad de contraseñas y

como cambiar la complejidad de las

contraseñas).

4. Ahora creará en la unidad “d” del servidor la carpeta “Datos_Logistica” y en

esta creará los recursos logistica01, logistica02 y recursos Compartidos.

5. En estas carpetas guardará información que desea compartir.

6. Ahora definirá los permisos asignados a cada usuario sobre cada recurso.



7. El usuario log01 podrá acceder a la carpeta logistica01 con permiso de

control total y a la carpeta recursos Compartidos con permiso de modificar.

8. El usuario log02 podrá acceder a la carpeta logistica02 con permiso de

control total y a la carpeta recursos Compartidos con permiso de modificar.

9. Para esto realizará los siguientes pasos:

a. Primero compartirá la carpeta “Datos_Logistica” con control total (ir a la

ficha compartir):

b. Luego se ubicará en las propiedades de la

carpeta “Logistica01”, en la ficha seguridad y

realizará la configuración para que el usuario

log01 tenga el control total.

c. Luego se ubicará en las propiedades de la

carpeta “Logistica02”, en la ficha seguridad y

realizará la configuración para que el usuario

log02 tenga el control total:



d. Finalmente se ubicará en las propiedades de la carpeta “recursos

Compartidos” y en la ficha seguridad agregará a los dos usuarios log01 y

log02 y dará los permisos respectivos:

10. Ahora, adicionalmente realizará el procedimiento por el cual, al iniciar

sesión el usuario, aparezca como una unidad de red automáticamente.


a. Ingresará a las propiedades de la cuenta del usuario desde la consola

“Usuarios y equipos de active Directory”.

b. En este caso entrará a las propiedades del usuario log01 y se ubicará en

la ficha “perfil”.

c. En la sección “Carpeta particular” especificará la unidad y la ruta,

siguiendo la notación:

\\Nombre_del_server\Nombre_del_recurso:

d. Haga clic en “Aceptar” y ahora lo verificará desde el equipo cliente.

e. Ingrese desde el equipo cliente con el usuario log01.



f. Ahora, ubíquese en las unidades del equipo y veremos en efecto como

aparecerá la nueva unidad de red:


COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS,

APLICANDO PERMISOS BÁSICOS Y AVANZADOS.

Para entender mejor este punto, mostraremos algunos conceptos previos:

¿Qué son los permisos?

Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo

para un objeto.

Los permisos se aplican a los objetos como archivos, carpetas e impresoras.

Los permisos se asignan a los usuarios y grupos de Active Directory o de un

equipo local.



Puede conceder permisos para objetos a:

Grupos, usuarios e identidades especiales del dominio.

Grupos y usuarios de cualquier dominio de confianza.

Grupos y usuarios locales del equipo en el que reside el objeto.

Tipos de permisos:

Al establecer permisos, se especifica el nivel de acceso de los grupos y

usuarios. Los permisos adjuntos a un objeto dependen del tipo de objeto. Por

ejemplo, los permisos que se adjuntan a un archivo son diferentes de los que

se adjuntan a una clave de registro. Sin embargo, algunos permisos, son

comunes a la mayoría de los tipos de objeto. Los permisos siguientes son

permisos comunes:

Permisos de lectura.

Permisos de escritura.

Permisos de eliminación.

Permisos estándar y especiales:

Puede conceder permisos estándar y especiales para objetos. Los permisos

estándar son los que se asignan con mayor frecuencia. Los permisos

especiales ofrecen un grado de control más preciso para asignar acceso a

objetos.

Permisos estándar:

El sistema tiene un nivel de configuración de seguridad predeterminado para un

determinado objeto. Esta configuración constituye el conjunto de permisos más

habituales que suele utilizar diariamente un administrador de sistema. La lista

de permisos estándar disponibles varía en función del tipo de objeto para el

que se está modificando la seguridad.

Permisos especiales:

Los permisos especiales conforman una lista más detallada. Un permiso NFTS

de lectura estándar está relacionado con los siguientes permisos especiales:

Mostrar lista de carpetas/leer datos.

Leer atributos.

Leer atributos extendidos.

Leer permisos.



Si el administrador del sistema elimina un permiso especial relacionado con un

permiso estándar, la casilla de verificación del permiso estándar deja de estar

activada. En su lugar, se activa la casilla de verificación del permiso especial

incluido en la lista de permisos estándar.

Acceso a carpetas compartidas.

La familia Windows Server organiza los archivos en directorios, representados

gráficamente como carpetas. Estas carpetas contienen todo tipo de archivos y

pueden incluir subcarpetas. Algunas de estas carpetas se reservan para los

archivos del sistema operativo y los archivos de programa. Los usuarios no

deberían introducir datos en las carpetas del sistema operativo o de los

archivos de programa.

Las carpetas compartidas proporcionan acceso a archivos y carpetas a través

de una red. Los usuarios pueden conectarse a la carpeta compartida a través

de la red para obtener acceso a los archivos y las carpetas que contiene. Las

carpetas compartidas pueden contener aplicaciones, datos públicos o datos

personales del usuario. Mediante la utilización de carpetas de aplicaciones

compartidas, se centraliza la administración, permitiendo así la instalación y

mantenimiento de las aplicaciones en un servidor en lugar de utilizar equipos

clientes. La utilización de carpetas de datos compartidas ofrece una ubicación

central desde la que los usuarios pueden obtener acceso a los archivos

comunes.

De este modo, se simplifica el almacenamiento y la seguridad de los datos que

contienen estos archivos.

A continuación, se enumeran algunas de

las características más comunes de las

carpetas compartidas:

Una carpeta compartida se distingue en

el Explorador de Windows por un icono

de una mano que sostiene una carpeta.

Sólo se pueden compartir carpetas, no

archivos individuales. Si varios usuarios

necesitan obtener acceso al mismo

archivo, debe introducirlo en una

carpeta y compartir ésta a continuación.

Cuando se comparte una carpeta, se

concede un permiso de lectura al grupo.



Todos de forma predeterminada. Elimine el permiso predeterminado y

conceda permiso de cambio o de lectura a los grupos según sea necesario.

Cuando se agregan usuarios o grupos a una carpeta compartida, el permiso

predeterminado es el de lectura.

Al copiar una carpeta compartida, se sigue compartiendo la carpeta

compartida original, pero no así su copia.

Cuando una carpeta compartida se mueve a otra ubicación, deja de estar

compartida.

Puede ocultar una carpeta compartida si pone un signo de dólar ($) al final

del nombre de la carpeta. El usuario no puede ver la carpeta compartida en

la interfaz de usuario, pero puede obtener acceso a ella escribiendo el

nombre UNC (Universal Naming Convention, Convención de nomenclatura

universal). Por ejemplo \\servidorxyz\datossecretos$.

Carpetas compartidas administrativas.

Windows Server comparte automáticamente carpetas que permiten realizar

tareas administrativas. Se caracterizan por incluir un signo de dólar ($) al final

del nombre de carpeta. El signo de dólar permite ocultar la carpeta compartida

a los usuarios que examinan el equipo en Mis sitios de red. Los

administradores pueden administrar de forma rápida archivos y carpetas en

servidores remotos utilizando estas carpetas compartidas ocultas.

Los miembros del grupo Administradores tienen, de manera predeterminada,

permiso de control total en las carpetas compartidas administrativas. No se

pueden modificar los permisos de las carpetas compartidas administrativas. La

siguiente tabla describe la finalidad de las carpetas compartidas administrativas

que ofrece automáticamente Windows Server.

Finalidad de las Carpetas compartidas administrativas.

C$, D$, E$:

Utilice estas carpetas compartidas para conectarse de forma remota a un

equipo y realizar tareas administrativas. La raíz de cada partición (que tenga

una letra de unidad asignada) del disco duro se comparte automáticamente. Al

conectarse a esta carpeta, tiene acceso a toda la partición.



Admin$:

Ésta es la carpeta raíz del sistema, que se encuentra de forma predeterminada

en C:\WINDOWS. Los administradores pueden obtener acceso a esta carpeta

compartida para administrar Windows Server sin necesidad de conocer en qué

carpeta está instalada esta aplicación.

Print$:

Esta carpeta ofrece acceso a los archivos de controladores de impresora de los

equipos clientes. Al instalar la primera impresora compartida, la carpeta

ubicada en Systemroot\System32\Spool\Drivers se comparte con el nombre

Print$. Sólo los miembros de los grupos Administradores, Operadores de

servidor y Operadores de impresión tienen permiso de control total para esta

carpeta. El grupo Todos tiene permiso de lectura para esta carpeta.

IPC$:

Se utiliza durante la administración remota de un equipo y al ver sus recursos

compartidos.

FAX$:

Esta carpeta compartida se utiliza para almacenar temporalmente archivos en

caché y para obtener acceso a las portadas del servidor.

Al crear una carpeta compartida, se debe asignar un nombre a la carpeta y

proporcionar un comentario que ofrezca una descripción de la carpeta y su

contenido. También se puede limitar el número de usuarios que pueden

obtener acceso a la carpeta, conceder permisos y compartir varias veces la

misma carpeta.



Los permisos de las carpetas compartidas sólo se aplican a los usuarios que se

conectan a la carpeta a través de la red. No restringen el acceso de los

usuarios a la carpeta del equipo en el que está almacenada. Puede conceder

permisos de carpeta compartida a cuentas de usuario, grupos y cuentas de

equipo.

Entre los permisos de carpeta compartida, se incluyen:

Lectura: El permiso de lectura es el permiso de carpeta compartida

predeterminado y se aplica al grupo Todos. El permiso de lectura le permite:

o Ver datos de archivos y atributos.

o Ver los nombres de archivos y subcarpetas.

o Ejecutar archivos de programa.

Cambio: El permiso de cambio incluye todos los permisos de lectura y

también le permite:

o Agregar archivos y subcarpetas.

o Cambiar datos en archivos.

o Eliminar subcarpetas y archivos.

Control total: El permiso de control total incluye todos los permisos de lectura

y cambio y, además, le permite cambiar los permisos de los archivos y las

carpetas NTFS.

Una vez creada una carpeta compartida, los usuarios pueden obtener acceso a

ella a través de la red. Los usuarios pueden obtener acceso a una carpeta

compartida en otro equipo mediante Mis sitios de red, la función Conectar a

unidad de red o el comando Ejecutar del menú Inicio.



Acceso a archivos y carpetas mediante permisos NTFS.

NTFS es un sistema de archivos disponible en Windows. NTFS ofrece un

rendimiento y unas funciones que no se encuentran en FAT (file allocation

table, Tabla de asignación de archivos) o FAT32.

NTFS ofrece las siguientes ventajas:

Fiabilidad: NTFS utiliza el archivo de registro y la información de punto de

comprobación para restaurar la integridad del sistema de archivos al reiniciar

el equipo. Si se produce un error de sector defectuoso, NTFS vuelve a

asignar de forma dinámica el clúster que contiene este sector defectuoso y

asigna un nuevo clúster para los datos. NTFS también marca el clúster como

inservible.

Seguridad a nivel de archivos y de carpetas: Los archivos NTFS utilizan el

Sistema de archivos de cifrado (EFS, Encrypting File System) para proteger

los archivos y las carpetas. Si EFS está activado, pueden cifrarse los

archivos y las carpetas para uno o varios usuarios. Este cifrado ofrece como

ventaja la confidencialidad e integridad de los datos. En otras palabras, los

datos están protegidos frente a una modificación accidental o no autorizada.

NTFS también le permite establecer permisos de acceso a un archivo o una

carpeta. Se pueden establecer permisos de lectura, de lectura y escritura, o

permisos para denegar el acceso. NTFS también almacena una lista de

control de acceso (ACL, Access control list) con todos los archivos y

carpetas de una partición NTFS. ACL contiene una lista de todas las cuentas

de usuarios, grupos y equipos a los que se les concede acceso al archivo o

carpeta y el tipo de acceso concedido.

Para un usuario que desea obtener acceso a un archivo o carpeta, ACL

debe contener una entrada, denominada ACE, para la cuenta de usuario,

grupo o equipo a la que está asociado el usuario. ACE debe permitir de

forma específica el tipo de acceso que solicita el usuario para poder obtener

acceso al archivo o carpeta. Si no existe una entrada ACE en ACL, Windows

deniega el acceso del usuario al recurso.

Administración mejorada del aumento de almacenamiento: NTFS admite

cuotas de disco, que permiten especificar la cantidad de espacio en disco

disponible para un usuario. Mediante las cuotas de disco, se puede realizar

un seguimiento y controlar el uso del espacio en disco y establecer si se

permite a los usuarios superar un nivel de advertencia o el límite de cuota de

almacenamiento.



NTFS admite archivos de mayor tamaño y un mayor número de archivos por

volumen que FAT o FAT32. NTFS también administra el espacio en disco de

forma eficaz utilizando tamaños de clústeres reducidos. Por ejemplo, un

volumen NTFS de 30 gigabytes (GB) utiliza clústeres de cuatro kilobytes

(KB). El mismo volumen con formato FAT32 utiliza clústeres de16 KB. Al

utilizar clústeres de menor tamaño, se reduce el desaprovechamiento de

espacio en los discos duros.

Permisos a varios usuarios: Si se conceden permisos NTFS a una cuenta de

usuario individual y a un grupo al que pertenezca el usuario, se le conceden

también varios permisos al usuario. Existen reglas para determinar cómo

NTFS puede combinar estos permisos múltiples con el fin de producir los

permisos efectivos del usuario.

Permisos de archivo y carpeta NTFS.

Los permisos NTFS se utilizan para especificar qué usuarios, grupos y equipos

pueden obtener acceso a los archivos y las carpetas. Los permisos NTFS

también establecen las acciones que pueden realizar los usuarios, grupos y

equipos con el contenido de los archivos o carpetas.

La siguiente tabla enumera los permisos de archivo NTFS estándar que se

pueden conceder y el tipo de acceso que brinda cada permiso.

Permiso de archivo.

Control total: Cambiar permisos, tomar posesión de objetos y realizar las

acciones autorizadas por otros permisos de archivo NTFS.

Modificar: Modificar y eliminar el archivo y realizar las acciones autorizadas

por el permiso de escritura y el permiso de lectura y ejecución.

Leer y ejecutar: Ejecutar aplicaciones y realizar las acciones autorizadas por

el permiso de lectura.

Escritura: Sobrescribir el archivo, cambiar los atributos de archivo y ver sus

permisos y posesión.

Lectura: Leer el archivo y ver sus atributos, permisos y posesión.

Permiso de carpetas.

Los permisos controlan el acceso a las carpetas y a los archivos y subcarpetas

incluidos en estas carpetas. La siguiente tabla enumera los permisos de

carpeta NTFS estándar que se pueden conceder y el tipo de acceso que brinda

cada permiso.



Permiso de carpeta NTFS:

Control total: Cambiar permisos, tomar posesión de objetos, eliminar

archivos y subcarpetas y realizar las acciones autorizadas por otros

permisos de carpeta NTFS.

Modificar: Eliminar la carpeta y realizar las acciones autorizadas por el

permiso de escritura y el permiso de lectura y ejecución.

Leer y ejecutar: Recorrer carpetas y realizar las acciones autorizadas por el

permiso de lectura y el permiso Mostrar el contenido de la carpeta.

Escritura: Crear nuevos archivos y subcarpetas en la carpeta, cambiar los

atributos de carpeta y ver sus permisos y posesión.

Lectura: Ver los archivos y subcarpetas de la carpeta y sus atributos,

permisos y posesión.

Mostrar el contenido de la Carpeta: Ver los nombres de los archivos y

subcarpetas de la carpeta.

Los permisos que se conceden a una carpeta principal son heredados de forma

predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear

archivos y carpetas, y al formatear una partición con NTFS, Windows asigna

automáticamente permisos NTFS predeterminados.

Al administrar el acceso a archivos y carpetas, tenga en cuenta las siguientes

prácticas recomendadas si concede permisos NTFS:

Conceder permisos a grupos en lugar de a usuarios. Como no es eficaz

mantener cuentas de usuario directamente, evite conceder permisos a

usuarios individuales.

Utilizar permisos Denegar en las siguientes situaciones:

o Para excluir a un subconjunto de un grupo que tiene permisos Permitir.

o Para excluir un permiso cuando ya se han concedido permisos de control

total a un usuario o grupo.

Si es posible, no cambiar las

entradas de permisos

predeterminadas de los objetos del

sistema de archivos, sobre todo,

en las capetas del sistema y las

carpetas raíz. Si se cambian los

permisos predeterminados, pueden

producirse problemas de acceso

inesperados o se puede reducir la

velocidad.

No denegar nunca el acceso del



grupo Todos a un objeto. Si deniega el acceso de todos a un objeto, también

se lo deniega a los administradores. En su lugar, es recomendable que se

elimine el grupo Todos, siempre y cuando se concedan permisos para el

objeto a otros usuarios, grupos o equipos.

Conceder permisos a un objeto ubicado en el nivel más alto posible del árbol

para que la configuración de seguridad se propague por todo éste.

Puede conceder de forma rápida y eficaz permisos a todos los objetos

secundarios o a un subárbol de un objeto principal. Mediante esta acción,

puede conceder permisos a la mayor parte de los objetos con el menor

esfuerzo. Conceda permisos adecuados para la mayoría de los usuarios,

grupos y equipos.

Compartir recursos utilizando un servidor de archivos y el Active

Directory.

Tipo de servidor en una red de ordenadores cuya función es permitir el acceso

remoto a archivos almacenados en él o directamente accesibles por este. En

principio, cualquier ordenador conectado a una red con un software apropiado,

puede funcionar como servidor de archivos. Desde el punto de vista del cliente

de un servidor de archivos, la localización de los archivos compartidos es

compartida y transparente. O sea, normalmente no hay diferencias perceptibles

si un archivo está almacenado en un servidor de archivos remoto o en el disco

de la propia máquina.

Algunos protocolos comúnmente utilizados en servidores de archivos:

SMB/CIFS (Windows, Samba en Unix).

NFS (Unix).

El rol de Servidor de Archivos de Windows Server 2008/2012 proporciona todas

las tecnologías necesarias para gestionar el almacenamiento, replicación de

archivos y carpetas compartidas, y garantiza un proceso de búsquedas rápido y

eficiente, así como acceso para sistemas clientes basados en UNIX.



Los cambios más importantes introducidos en la funcionalidad de Servicios de

Archivo dentro de Windows Server 2008 se resumen en las siguientes

secciones:

Distributed File System (DFS).

Es un servicio que se compone de dos tecnologías básicas: Espacio de

Nombres de DFS (Distributed File System Namespaces) y Replicación DFS,

que permiten el acceso a los archivos de forma sencilla, compartir la carga

de trabajo entre servidores y establecer mecanismos de replicación a través

de la WAN. En Windows Server 2003 R2 se revisó y se cambió el nombre de

DNS Namespaces (que antes se llamaba DFS), y se sustituyó el snap-in de

Distributed File System con el de DFS Management (Gestión de DFS),

introduciéndose además la funcionalidad de Replicación de DFS. En

Windows Server 2008, Microsoft ha añadido el modo Windows Server 2008

de espacio de nombres basados en dominios y se han añadido una serie de

mejoras en el rendimiento y facilidad de uso.

Entre las mejoras introducidas sobre Espacio de Nombres DFS destacan,

por ejemplo, el soporte para cluster y las nuevas funciones de búsqueda. En

el caso de Replicación DFS, toda una serie de mejoras en el proceso de

recuperación ante fallos, optimización del tráfico WAN o la replicación de

SYSVOL entre otros.

Gestor de Recursos del Servidor de Archivos (FSRM).

El FSRM se introdujo ya en el sistema operativo Windows Server 2003 R2, y

consiste en una suite de herramientas que permiten establecer límites de

espacio de almacenamiento en volúmenes y carpetas, evitar que los



usuarios puedan guardar ciertos tipos de archivos en el servidor y generar

una serie de informes de almacenamiento muy completos. FSRM no

solamente ayuda a gestionar y monitorizar los recursos de almacenamiento

actuales desde un lugar central, sino que facilita la planificación e

implementación de cambios dentro de la infraestructura de almacenamiento.

Con el complemento del File Server Resource Manager para la consola

MMC se pueden realizar tres tipos de actividades de gestión de los recursos

de almacenamiento sobre servidores locales o remotos:

o Gestión de cuotas: para establecer límites de espacio sobre un volumen o

árbol de directorios. Permite crear plantillas de cuotas con propiedades

estándar.

o Restricciones para ciertos tipos de archivos ("file screening"): para definir

reglas que facilitan la monitorización y el bloqueo, en el caso de que los

usuarios intenten guardar tipos de archivos concretos en un volumen. El

screening también se puede aplicar en forma de plantilla con exclusiones

de tipos de archivos determinados.

o Gestión de informes de almacenamiento: sobre el nivel de consumo de

recursos, actividad relacionada con el screening de archivos y detección

de patrones de uso.

Además se pueden aplicar políticas de cuota y restricción de tipos de

archivos cuando se aprovisiona una carpeta compartida o a través de la

interfaz de línea de comandos.

Backup de Windows Server.

La funcionalidad de backup permite disponer de una solución de copia de

seguridad y restauración en el servidor donde se instala. En Windows Server

2008 se introduce una nueva tecnología de backup y restauración, que

sustituye a la antigua utilidad NTBackup disponible en las versiones

anteriores del sistema operativo Windows Server. Este nuevo entorno

permite proteger todo el servidor de manera eficiente y fiable sin tener que

entrar en los complejos detalles de la propia tecnología del backup. Sus

sencillos asistentes guían al usuario para diseñar un plan de backup

automático, crear procesos manuales de backup en caso necesario y

recuperar elementos, desde archivos individuales a volúmenes enteros.

El Backup de Windows Server 2008 es un elemento clave en las estrategias

de alta disponibilidad y los planes de Recuperación frente a Desastres,



haciendo más sencillo y rápido el proceso de protección de los datos en

todos los servidores de la red.

Servicios para NFS (Network File System).

Es una solución de archivos compartidos específicamente diseñada para

empresas que cuentan con entornos mixtos con Windows y UNIX. Con

Services for NFS se pueden transferir archivos entre máquinas con sistema

operativo Windows Server 2008 y sistemas UNIX o Linux utilizando el

protocolo NFS.

Entre las mejoras y novedades que incorpora este servicio en Windows

Server 2008 podemos destacar, por ejemplo, el soporte para plataformas de

64 bits, soporte para gestión de identidades en entornos UNIX basado en la

extensión del Directorio Activo para UNIX, soporte para nuevas plataformas

UNIX como Sun Microsystems Solaris V.9, Red Hat Linux versión 9, IBM AIX

versión 5L 5.2, y Hewlett Packard HP-UX versión 11i.

NTFS Transaccional.

El NTFS Transaccional permite que las operaciones de archivo sobre

volúmenes con sistemas de archivo NTFS se hagan de forma transaccional,

con soporte pleno para semánticas de transacciones atómicas, consistentes,

aisladas y perdurables ("ACID", en sus iniciales en inglés).

Por ejemplo, se pueden agrupar conjuntos enteros de operaciones de

archivo y registro dentro de una misma transacción de forma que, o bien se

completan todas correctamente o no se realiza ninguna. Mientras la

transacción está activa, los cambios no son visibles a los procesos de lectura

externos a la propia transacción. Aunque ocurra un fallo en el sistema, el

trabajo que ha empezado a ejecutarse se escribe en disco y la operatoria

transaccional incompleta se retrocede ("roll-back").

Las transacciones utilizadas sobre el sistema de archivos o el registro

pueden coordinarse con cualquier otro recurso transaccional, como puede

ser SQL Server o MSMQ (Microsoft Message Queue). El entorno de línea de

comandos se ha ampliado también, para poder utilizar el comando Transact,

permitiendo así el empleo de lógica transaccional dentro del scripting de

línea de comandos.

Automantenimiento de NTFS ("self-healing").



Tradicionalmente se ha venido empleando la herramienta Chkdsk.exe para

reparar los errores y corrupciones dentro de los volúmenes NTFS de los

discos. Este proceso es intrusivo y afecta notablemente a la disponibilidad

de los sistemas Windows. En Windows Server 2008 se puede utilizar ahora

la funcionalidad de "automantenimiento" ("Self-healing") de NTFS para

proteger todo el sistema de archivos de forma eficiente y fiable, sin tener que

preocuparse por los detalles de la tecnología del propio sistema de archivos.

Puesto que la mayor parte del proceso de automantenimiento se activa por

defecto, el administrador puede orientar su actividad a otras tareas más

productivas y, en caso de que surja una incidencia grave con el sistema de

archivos, se le informará de ella y se aportarán posibles soluciones.

El automantenimiento de NTFS intenta corregir por sí mismo las

corrupciones detectadas en el sistema de archivos NTFS sin ejecutar el

comando Chkdsk.exe. Las mejoras introducidas en el código de base de

NTFS contribuyen a corregir cualquier inconsistencia en el disco y hacen

posible que esta reparación se efectúe sin generar impactos negativos sobre

el sistema.

Enlaces simbólicos ("symbolic links").

El "enlace simbólico" es un objeto del sistema de archivos que apunta a otro

objeto del sistema de archivos. El objeto al cual se apunta se denomina

"objeto de destino". Los enlaces simbólicos son transparentes para el

usuario, y tienen el aspecto de archivos y carpetas normales, pudiendo

utilizarse tanto desde aplicaciones como desde la interfaz de usuario de la

misma forma.

Los enlaces simbólicos se han introducido en Windows Server 2008 como

forma de facilitar la migración y la compatibilidad de aplicaciones con los

sistemas operativos UNIX. Gracias a los enlaces simbólicos se pueden

compartir datos de forma transparente a través de volúmenes por medio de

sus distintas variantes de enlace: absolutos (el link refleja una ruta absoluta

de una carpeta o archivo, p.ej. "c:\windows"), relativos (el link refleja una ruta

relativa con respecto a su propia ubicación, p.ej. "..\..\file.txt") y las "uniones

de directorio" ("directory junctions"), que permiten, por ejemplo, que una

carpeta aparezca como subcarpeta "hija" de más de una carpeta "padre" de

nivel superior.



1. ¿Qué diferencia en el nivel de seguridad se puede observar entre los

sistemas de archivos FAT 32, NTFS, Ext4, etc.?

2. Explique la diferencia que existe entre la configuración en la ficha

compartir y la ficha seguridad en las propiedades de una carpeta creada

en una unidad NTFS.

3. ¿Cómo se reconoce una carpeta compartida administrativa?.

4. Teniendo en cuenta la seguridad de las carpetas y archivos, ¿Qué

entiende usted por “ACL”?


TAREA


TAREA 06: IMPLEMENTAR POLÍTICAS DE CONTRASEÑA.


Configurar las políticas de seguridad de contraseñas a través de directivas

de grupo:

o Complejidad de las contraseñas.

o Longitud de la contraseña.

o Historial de contraseñas.





siguientes:



MS office.


Configurar las políticas de seguridad de contraseñas a través de directivas

de grupo:

o Complejidad de las contraseñas.

o Longitud de la contraseña.

o Historial de contraseñas.

El sufrimiento y la felicidad no están en el mundo, sino dentro de cada uno de nosotros. (DALAI – LAMA).

06



OPERACIÓN:

CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A

TRAVÉS DE DIRECTIVAS DE GRUPO:

Para esta operación necesitará un servidor con Windows Server 2008 ó

equivalente en el cual debe estar instalado el Active Directory.

Ahora, seguirá los siguientes pasos:

1. Ingresará a la consola “administración de directivas de grupo” y se

desplazará hasta el dominio, en este caso el dominio es: “senatinos.edu.pe”,

se ubicará sobre la directiva “Default Domain Policy”:

2. Debe hacer clic secundario en la directiva “Default Domain Policy” y hacer

clic en “Editar”.

3. Aparecerá el “editor de administración de directivas de grupo”.

4. En el editor se ubicará en “configuración del equipo/directivas/ configuración

de Windows/ configuración de seguridad/ directivas de cuenta”:



5. Aquí configurará las siguientes opciones:

a. Exigir historial de contraseñas: Se definirá en 4 contraseñas recordadas.

b. La contraseña debe cumplir los requisitos de complejidad: Se

deshabilitará.

c. Longitud mínima de la contraseña: Definirla en 5 caracteres.

6. Ahora, entraremos a la ventana de comandos y ejecutaremos el comando:

gpupdate/ force:

7. Finalmente, para comprobar que el procedimiento se realizó en forma

adecuada, se ubicará en la unidad organizativa RRHH y creará un nuevo

usuario llamado: user01 con la contraseña: 123456.

FUNDAMENTO TEÓRICO.

CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A

TRAVÉS DE DIRECTIVAS DE GRUPO.

Complejidad de las contraseñas.

Longitud de la contraseña.

Historial de contraseñas.

Debe ser muy cuidadoso a la hora de elegir sus contraseñas, tanto en el

ordenador del trabajo, como en el propio ordenador del hogar, ya que en estos

existe información y se realizan operaciones cuya repercusión económica y



personal es muy importante. Esto afecta a los sistemas de las empresas y

equipos informáticos, así como a la privacidad del usuario. A ninguno se nos

ocurriría dejarle la llave de nuestro hogar a cualquier desconocido que nos la

pidiera, incluso al perderla se procede a cambiarla inmediatamente. Algo

parecido sucede con nuestras contraseñas.

Por ejemplo, si la contraseña correspondiente a la de uno de sus servicios

bancarios ha sido sustraída, podrían sustraerle dinero de la cuenta o efectuar

otras operaciones con un gran perjuicio económico.

Si la contraseña pertenece al ordenador de su hogar, podrían tomar su control

o robar toda la información que tiene contenida como otras contraseñas,

listados de usuarios, correos electrónicos o archivos personales y documentos.

Otra consecuencia podría ser el borrado completo de toda la información allí

incluida.

En el ámbito laboral, las consecuencias pueden llegar a ser catastróficas si un

tercero suplanta nuestra identidad utilizando nuestro usuario y contraseña. Así,

podría acceder a los sistemas corporativos con nuestro usuario y, bien sustraer

todo tipo de información del trabajador y/o la empresa, o bien utilizar esta

entrada para modificar o incluso eliminar archivos, con las consecuencias

económicas, de responsabilidad jurídica y pérdidas de imagen que ello

supondría.

Los métodos para descubrir las contraseñas de un usuario son variados. En

primer lugar, se basan en la utilización de la “ingeniería social”, por ejemplo

utilizando el teléfono o un correo electrónico para engañar al usuario para que

éste revele sus contraseñas. Dentro de este grupo destaca el fraude conocido

como “phishing”. En este tipo de estafa online el objetivo consiste en obtener

las contraseñas o número de la tarjeta de un usuario, mediante un e-mail, sms,

fax, etc. que suplanta la personalidad de una entidad de confianza y donde se

le insta al usuario que introduzca sus contraseñas de acceso.

También es posible que el usuario se la comunique o ceda a un tercero y, por

accidente o descuido, quede expuesta al delincuente, por ejemplo, al teclearla

delante de otras personas. Puede ser que el atacante conozca los hábitos del

usuario y deduzca el sistema que éste tiene para crear contraseñas (por

ejemplo, que elige nombres de familiares, personajes de su libro favorito, etc)

o que asigne la misma contraseña a varios servicios (correo electrónico,



código PIN de las tarjetas de crédito o teléfono móvil, contraseña de usuario en

su ordenador, etc.).

Otro método, consiste en que el atacante pruebe contraseñas sucesivas hasta

encontrar la que abre el sistema, lo que comúnmente se conoce por “ataque

de fuerza bruta”. Hoy en día un atacante, con un equipo informático medio de

los que hay en el mercado, podría probar hasta 10.000.000 de contraseñas por

segundo. Esto significa que una contraseña creada con sólo letras minúsculas

del alfabeto y con una longitud de 6 caracteres, tardaría en ser descubierta,

aproximadamente, unos 30 segundos.

Igualmente, se aplican técnicas más sofisticadas para realizar la intrusión. Se

trata de métodos avanzados que en consiguen averiguar la contraseña cifrada

atacándola con un programa informático (“crackeador”) que la descodifica y

deja al descubierto.

Un último grupo de técnicas se basan en la previa infección del equipo

mediante código malicioso: con programas “sniffer” o “keylogger”. Un

programa “sniffer” o “monitor de red” espía las comunicaciones del ordenador

que tiene residente dicho malware, a través de la red, y de ellas obtiene los

datos de las claves. El “keylogger” o “capturador de pulsaciones de teclado”

consiste en un programa que se instala en el ordenador del usuario de modo

fraudulento, y almacena en un archivo toda aquella información que se teclea

en el ordenador. Más adelante dicho archivo puede ser enviado al atacante sin

conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener

las distintas contraseñas que el usuario ha utilizado en el acceso a los

servicios online o que ha podido incluir en correos electrónicos.

Política y acciones para construir contraseñas seguras.

Se deben utilizar al menos 8 caracteres para crear la clave.

Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres

especiales.

Es recomendable que las letras alternen aleatoriamente mayúsculas y

minúsculas.

Hay que tener presente el recordar qué letras van en mayúscula y cuáles en

minúscula.



Elegir una contraseña que pueda recordarse fácilmente y es deseable que

pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar

el teclado.

Las contraseñas hay que cambiarlas con una cierta regularidad y a la vez,

hay que procurar no generar reglas secuenciales de cambio.

Utilizar signos de puntuación y símbolos si el sistema lo permite.

Directivas de contraseñas.

Por defecto windows server 2008 trae un nivel de complejidad predeterminado

para las contraseñas que van a ser utilizadas en un dominio.

Para esto realizaremos el siguiente procedimiento:

1. Vamos a abrir el “Administrador de directiva de grupo” desde el inicio o

podemos usar el acceso rápido de inicio, y en iniciar búsqueda colocamos

gpmc.msc.

2. Desplegamos el dominio donde vamos a aplicar la política y vamos a

modificar la GPO que está por defecto, “Default Domain Policy”, haciendo

clic secundario con el botón derecho escogemos “editar”:



3. Vamos a “Configuración de Equipo”—” Directivas”—”Configuración de

Windows”—”Configuración de Seguridad”—”Directivas de cuenta”—

”Directiva de contraseñas”.

4. La opción para quitar el nivel de complejidad mínimo es la tercer opción “La

contraseña debe cumplir los requisitos de complejidad”, podemos colocar un

mínimo de caracteres y establecer la duración de las claves, se recomienda

cambiar la clave cada 3 o 6 meses.

Explicaremos un poco más al detalle cada una de estas directivas:

La contraseña debe cumplir los requisitos de complejidad:

Esta opción de configuración determina si las contraseñas deben cumplir los

requerimientos de complejidad.

Si está habilitada esta directiva, las contraseñas deben cumplir los requisitos

mínimos siguientes:

o No deben contener partes significativas del nombre de cuenta del usuario

o nombre completo.

o Tener seis caracteres de longitud, como mínimo.

o Estar compuesta por caracteres de tres de las siguientes cuatro

categorías:

Letras mayúsculas, de la A a la Z.

Letras minúsculas, de la a a la z.

Dígitos en base 10, de 0 a 9.

Caracteres no alfabéticos (por ejemplo, !, $, #, %).

Al cambiar o crear las contraseñas debe aplicarse cierta complejidad.

Longitud mínima de la contraseña:

Esta configuración de seguridad determina el número mínimo de caracteres

que puede contener la contraseña de un usuario. Puede establecer un valor



entre 1 y 14 caracteres, o que no se requiere contraseña si establece el

número de caracteres como 0.

Valor predeterminado:

o 7 en controladores de dominio.

o 0 en servidores independientes.

Nota: De forma predeterminada, los equipos miembro siguen la

configuración de sus controladores de dominio.

Exigir historial de contraseñas:

Esta configuración de seguridad determina el número de nuevas

contraseñas únicas que hay que asociar con una cuenta de usuario para que

se pueda volver a utilizar una contraseña antigua. El valor debe estar

comprendido entre 0 y 24 contraseñas.

Esta directiva permite a los administradores mejorar la seguridad, al

garantizar que las contraseñas antiguas no se vuelven a utilizar

continuamente.

Valor predeterminado:

o 24 en controladores de dominio.

o 0 en servidores independientes.

1. ¿Cuáles son las condiciones necesarias para

que una contraseña sea definida como

compleja? – Explique.

2. ¿Qué entiende usted por historial de

contraseñas?

3. Indique los pasos para que a través de una GPO

(objeto de directiva de grupo) se puedan definir

contraseñas simples.

4. ¿Qué métodos utilizan algunas personas para

conseguir contraseñas que no les pertenecen y como protegerse contra

ese problema?




TAREA 07.

IMPLEMENTAR POLÍTICAS DE AUDITORÍA EN LOS SISTEMAS

DE CÓMPUTO.


Habilitar y configurar diversos tipos de auditoría en el sistema.





siguientes:




Habilitar y configurar diversos tipos de auditoría en el sistema.

Una máquina puede hacer el trabajo de cincuenta hombres

corrientes, pero no existe máquina que pueda hacer el trabajo de

un hombre extraordinario.

(Elbert Green Hubbard)

07



OPERACIÓN:

HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL

SISTEMA.

Para realizar esta tarea debe llevar a cabo los siguientes pasos:

1. Primero debe crear la unidad organizativa: Contabilidad, en esta creará 2

usuarios: Amelia Cárdenas ([email protected]) y Ana Perales

([email protected]) :

2. Creará una carpeta llamada “Contabilidad” y le daremos permisos de

modificar a los dos usuarios creados en el paso anterior, para lo cual debo

modificar las opciones en la ficha compartir y seguridad como ya en tareas

anteriores se ha indicado:

mailto:[email protected]



3. Ahora, lo que debe hacer es ir a las propiedades de la carpeta

“Contabilidad”, ir a la ficha “seguridad”, luego hacer clic en “opciones

avanzadas”, luego hará clic en la ficha “Auditoria”:

4. Ahora, hará clic en el botón editar, y agregará a los dos usuarios (Ana

Perales y Amelia Cárdenas), para este caso se le dará todo en tipo de

auditoria, al final acepte todos los cambios.

5. Ahora, debe ubicarse en el “administrador de directivas de grupo” y editar la

directiva del dominio “Default Domain Policy”.

6. Al editar esta directiva, debe dirigirse a la siguiente ubicación: “configuración

del equipo/ directivas/ Configuración de Windows / Configuración de

seguridad / Directivas locales/ Directiva de auditoria”:



7. Ahora, hacemos clic en la directiva “Auditar el acceso a objetos” y lo

definimos en las dos opciones: correcto y error.

8. Desde una ventana de comandos, actualizará las directivas con el comando:

gpupdate/force.

9. Ahora, para comprobar el funcionamiento de la auditoria, ingresará desde el

equipo cliente, con la cuenta administrador local.

10. Desde ejecutar ingresará a los recursos compartidos en el servidor, para

esto colocaremos uno de los usuarios, por ejemplo: aperales:



11. Ingresará al recurso “Contabilidad”.

12. Luego, se ubicará en el visor de sucesos en el servidor (desde las

herramientas administrativas), en los registros de Windows, en “Seguridad”

y visualizará el evento de auditoria, que nos indica el acceso a la carpeta

“Contabilidad” por parte de aperales, además, el día, la hora, si fue

correcto o fallado el acceso, etc.


HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL

SISTEMA:

Primero revisaremos algunos conceptos muy

importantes:

LOS PROCESOS DE UNA AUDITORIA DE

SEGURIDAD INFORMATICA

La auditoría de seguridad informática consiste en la

evaluación, análisis y generación de soluciones para

el recurso computacional de la organización.



Los procesos cubren cuatro frentes específicos:

1. Auditoría desde Internet, identificando las vulnerabilidades a las que se ve

expuesto el recurso computacional y el sitio Web de la organización desde

Internet por parte de delincuentes informáticos. Claramente los ataques

desde Internet crecen cada día y aunque para muchos usuarios no es muy

importante porque consideran que nadie va a estar interesado en su

información, estar expuestos a ataques desde cualquier rincón del mundo

no debería ser una opción.

2. Auditoría desde la red interna (LAN) de la organización para la identificación

de las vulnerabilidades generadas desde el interior de la organización

aprovechando los beneficios de la red de área local. Las estadísticas

demuestran que un considerable número de ataques informáticos a

organizaciones en todas partes del mundo son provenientes del interior de la

misma organización. En muchos casos han sido por trabajadores ofendidos,

descuidados o por empleados graciosos pero todos han causado grandes

daños. Es por esto que no se debe subestimar la seguridad del interior de la

red.

3. Trabajo sobre los equipos, ejecutando herramientas de software de

identificación de vulnerabilidades, identificación de tipos de archivos,

contenidos con software espía, virus informáticos y análisis personales del

estado físico, lógico y locativo de cada uno de los equipos. Existe un número

tan elevado de software potencialmente dañino alcanzable por cualquier

usuario que es muy importante la evaluación del software de cada equipo.

4. Ejecución de entrevistas sobre el manejo de las políticas de seguridad física,

lógica y locativa de los miembros de la organización. Un proceso

fundamental en la seguridad delos sistemas es la evaluación del manejo del

equipo y este manejo se debe referir no solo al componente lógico sino

también al manejo físico y locativo. En este punto es importante hace la

diferencia entre la seguridad física y locativa.

La seguridad locativa se refiere a las instalaciones y la física al manejo del

hardware del equipo.

Los procesos o fases de la auditoria se complementan mutuamente y si se

llegara a desarrollar solo algunos de estos el aumento de la seguridad de la

organización no sería considerable. Es como cerrar la puerta de su casa con

varias cerraduras y dejar abierta una gran ventana hacia la calle.



Cuando se hace la revisión o evaluación de cada equipo sea estación de

trabajo o servidor se deben considerar elementos como:

Los permisos de los usuarios que pueden iniciar sesión en el equipo o que

tienen acceso a él. El rendimiento de la máquina y la cantidad de carga del

procesador para limitar aún más ataques de denegación de los servicios.

Los procesos presentes en los servicios se deben conocer en forma muy

detallada para poder identificar la presencia de procesos no deseados o que

tenga algún tipo de bug.

En este caso nos centraremos en las directivas que permiten realizar auditorías

para las diferentes actividades que realizan los usuarios en sistemas operativos

Windows.

Para realizar una óptima auditoría debe tomar en consideración los siguientes

ítems en directiva de auditoría:

1. Auditar el acceso a objetos:

Esta configuración de seguridad determina si el sistema operativo audita los

intentos de usuario de obtener acceso a objetos que no son de Active

Directory. Sólo se generan eventos de auditoría para objetos que tienen

listas de control de acceso del sistema (SACL) especificadas, y sólo si el tipo

de acceso solicitado (como Escritura, Lectura o Modificar) y la cuenta que

realiza la solicitud tienen la misma configuración en la lista SACL.

El administrador puede especificar si se auditan sólo los intentos correctos,

los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni

incorrectos).

Si se habilita la auditoría de los intentos correctos, se genera una entrada de

auditoría cada vez que una cuenta obtiene acceso correctamente a un objeto

que no es de Active Directory y que tiene especificada una lista SACL

coincidente.

Si se habilita la auditoría de los intentos incorrectos, se genera una entrada

de auditoría cada vez que algún usuario intenta sin éxito obtener acceso a

un objeto que no es de Active Directory y que tiene especificada una lista

SACL coincidente.

Tenga en cuenta que puede establecer una lista SACL en un objeto del

sistema de archivos mediante la ficha Seguridad del cuadro de diálogo

Propiedades de dicho objeto.



2. Auditar el acceso al servicio de directorio:


intentos de usuario de obtener acceso a objetos de Active Directory. Sólo se

generan eventos de auditoría para objetos que tienen listas de control de

acceso del sistema (SACL) especificadas, y sólo si el tipo de acceso

solicitado (como Escritura, Lectura o Modificar) y la cuenta que realiza la

solicitud tienen la misma configuración en la lista SACL.

El administrador puede especificar si se auditan sólo los intentos correctos,

los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni

incorrectos).

Si se habilita la auditoría de los intentos correctos, se genera una entrada de

auditoría cada vez que una cuenta obtiene acceso correctamente a un objeto

de Active Directory que tiene especificada una lista SACL coincidente.

Si se habilita la auditoría de los intentos incorrectos, se genera una entrada

de auditoría cada vez que algún usuario intenta sin éxito obtener acceso a

un objeto de Active Directory que tenga especificada una lista SACL

coincidente.

3. Auditar el cambio de directivas:

Esta configuración de seguridad determina si el sistema operativo audita

cada instancia de intentos de cambiar la directiva de asignación de derechos

de usuario, la directiva de auditoría, la directiva de cuentas o la directiva de

confianza.

El administrador puede especificar si auditar sólo los intentos correctos, los

incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni

incorrectos).

Si está habilitada la auditoría de eventos correctos, se genera una entrada

de auditoría cuando se realiza correctamente un cambio en la directiva de

asignación de derechos de usuario, en la directiva de auditoría o en la

directiva de confianza.

Si está habilitada la auditoría de eventos incorrectos, se genera una entrada

de auditoría cada vez que una cuenta no autorizada para realizar el cambio

de directiva solicitado intenta cambiar la directiva de asignación de derechos

de usuario, la directiva de auditoría o la directiva de confianza.



4. Auditar el seguimiento de procesos:


eventos relacionados con procesos como la creación de un proceso, la

finalización de un proceso, identificadores duplicados y acceso indirecto a

objetos.

Si se define esta configuración de directiva, el administrador puede

especificar si auditar sólo los eventos correctos, los incorrectos, ambos o

ninguno de estos eventos (es decir, ni correctos ni incorrectos).

Si se habilita la auditoría de eventos correctos, se genera una entrada de

auditoría cada vez que el sistema operativo realiza alguna de estas

actividades relacionadas con procesos.

Si se habilita la auditoría de eventos incorrectos, se genera una entrada de

auditoría cada vez que el sistema operativo no consigue realizar alguna de

estas actividades.

5. Auditar el uso de privilegios:

Esta configuración de seguridad determina si debe auditarse cada instancia

de un usuario que ejerce un derecho de usuario.

Si define esta configuración de directiva, puede especificar si auditar los

aciertos, los errores o no auditar este tipo de evento. Las auditorías de

aciertos generan una entrada de auditoría cuando se realiza correctamente

el ejercicio de un derecho de usuario. Las auditorías de errores generan una

entrada de auditoría cuando no se realiza correctamente el ejercicio de un

derecho de usuario.

Para establecer este valor en Sin auditoría, en el cuadro de diálogo

Propiedades de esta configuración de directiva, active la casilla Definir esta

configuración de directiva y desactive las casillas Correcto y Error.

6. Auditar eventos de inicio de sesión:


cada instancia de un intento de usuario de iniciar o cerrar sesión en este

equipo.

Se generan eventos de cierre de sesión cuando finaliza la sesión de inicio de

una cuenta de usuario que inició sesión. Si se define esta configuración de



directiva, el administrador puede especificar si se auditan sólo los inicios de

sesión correctos, los incorrectos, ambos o ninguno de estos eventos (es

decir, ni correctos ni incorrectos).

7. Auditar eventos de inicio de sesión de cuenta:


cada vez que el equipo valida las credenciales de una cuenta.

Los eventos de inicio de sesión de cuenta se generan siempre que un

equipo valide las credenciales de una cuenta para la que es autoritativo. Los

miembros del dominio y los equipos no unidos al dominio son autoritativos

de sus cuentas locales; los controladores de dominio son todos autoritativos

de todas las cuentas del dominio. La validación de credenciales puede

usarse para un inicio de sesión local o, en el caso de una cuenta de dominio

de Active Directory en un controlador de dominio, para el inicio de sesión en

otro equipo. La validación de credenciales es independiente del estado, por

lo que no hay un evento de cierre de sesión correspondiente para los

eventos de inicio de sesión de cuenta.


especificar si se auditan sólo los inicios de sesión correctos, los incorrectos,

ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos).

8. Auditar eventos del sistema:


siguientes eventos:

Intento de cambio de hora del sistema.

Intento de inicio o cierre del sistema de seguridad.

Intento de carga de componentes de autenticación extensible.

Pérdida de eventos auditados debido a errores del sistema de auditoría.

Tamaño del registro de seguridad que excede un umbral de advertencia

configurable.


especificar si auditar sólo los eventos correctos, los incorrectos, ambos o

ninguno de estos eventos (es decir, ni correctos ni incorrectos).



Si se habilita la auditoría de eventos correctos, se genera una entrada de

auditoría cada vez que el sistema operativo realiza alguna de estas

actividades correctamente.

Si se habilita la auditoría de eventos incorrectos, se genera una entrada de

auditoría cada vez que el sistema operativo intenta y no consigue realizar

alguna de estas actividades.

9. Auditar la administración de cuentas:

Esta configuración de seguridad determina si debe auditarse cada evento de

administración de cuentas en un equipo. Ejemplos de eventos de

administración de cuentas:

Se crea, cambia o elimina un grupo o una cuenta de usuario.

Se cambia el nombre de una cuenta de usuario, se deshabilita o se

habilita.

Se establece o se cambia una contraseña.

Si define esta configuración de directiva, puede especificar si auditar los

aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de

aciertos generan una entrada de auditoría cuando se produce un evento de

administración de cuentas correcto. Las auditorías de errores generan una

entrada de auditoría cuando se produce un evento de administración de

cuentas incorrecto. Para establecer este valor en Sin auditoría, en el cuadro

de diálogo Propiedades de esta configuración de directiva, active la casilla

Definir esta configuración de directiva y desactive las casillas Correcto y

Error.



1. ¿Qué entiende usted por el concepto “Auditoría”? – Explique.

2. ¿En la empresa en la cual está usted realizando sus estudios de

complementación práctica, realizan algún tipo de auditoría? – Explique.

3. Explique en qué consiste el “Auditar eventos de inicio de sesión”.?

4. Explique en qué consiste el “Auditar el acceso a objetos”?.


TAREA


Tarea 08: Realizar el óptimo cifrado de la información.


Utilizar diversos mecanismos para el cifrado.



Software para virtualizar equipos.

Sistema operativo Windows server.

Sistema operativo Windows para el equipo cliente.


Utilizar diversos mecanismos para el cifrado.

“Un fracasado es un hombre que ha cometido un error que

no es capaz de convertirlo en experiencia.”

(Hubrard).

08



OPERACIÓN:

UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO.

Para realizar esta operación deberá seguir los siguientes pasos:

1. Para empezar, debe tener un servidor para conexiones remotas, con el cual

se podrá establecer una conexión vía VPN desde el equipo cliente utilizando

mecanismos de cifrado.

2. En efecto, debe disponer de un servidor que tenga Active Directory y

además tenga instalado los “servicios de acceso y directivas de redes”:

3. Una vez instalado el servicio de acceso remoto y el enrutamiento, procederá

a iniciar el servicio, para esto haremos clic en la consola: “Enrutamiento y

acceso remoto”:

4. Una vez ubicados en esta consola, podrá inicializar el servicio haciendo clic

secundario en el servidor y haciendo clic en “Configurar y habilitar

enrutamiento y acceso remoto”:



5. Habilitará algunos servicios, entre los cuales está “Acceso a VPN” que es el

más importante para este ejercicio:

6. Ahora, iniciará el servicio:

7. Al ubicarse en los puertos que se utilizarán para las conexiones VPN, podrá

ver minipuertos que utilizan diversos protocolos, entre los cuales tenemos:

SSTP, PPTP, L2TP y PPPoE.

Dónde:

SSTP: El protocolo de túnel de sockets seguros (SSTP) es un nuevo

protocolo de túnel que usa el protocolo HTTPS a través del puerto TCP



443 para hacer pasar el tráfico a través de firewalls y proxies web que

podrían bloquear el tráfico PPTP y L2TP/IPsec. SSTP proporciona un

mecanismo para encapsular el tráfico PPP a través de un canal SSL

(capa de sockets seguros) del protocolo HTTPS.

PPTP permite que el tráfico multiprotocolo se cifre y se encapsule en un

encabezado IP para que, de este modo, se envíe a través de una red IP o

una red IP pública, como Internet. PPTP puede utilizarse para el acceso

remoto y las conexiones VPN entre sitios.

L2TP: L2TP permite cifrar el tráfico multiprotocolo y enviarlo a través de

cualquier medio compatible con la entrega de datagramas punto a punto,

como IP o ATM (modo de transferencia asincrónico). L2TP es una

combinación de PPTP y L2F (reenvío de nivel 2), una tecnología

desarrollada por Cisco Systems, Inc. L2TP presenta las mejores

características de PPTP y L2F.

A diferencia de PPTP, la implementación de Microsoft de L2TP no usa

MPPE para cifrar los datagramas PPP. L2TP se basa en IPsec (protocolo

de seguridad de Internet) en modo de transporte para los servicios de

cifrado. La combinación de L2TP e IPsec se denomina L2TP/IPsec.

PPPoE:(Point-to-Point Protocol over Ethernet o Protocolo Punto a Punto

sobre Ethernet) es un protocolo de red para la encapsulación PPP sobre

una capa de Ethernet. Es utilizada mayoritariamente para proveer

conexión de banda ancha mediante servicios de cable módem y xDSL.



Este ofrece las ventajas del protocolo PPP como son la autenticación,

cifrado, mantención y compresión.

8. Ahora, se ubicará en la consola “usuarios y equipos de active directory” y en

las propiedades del usuario que accederá vía VPN, deberá ir a la ficha

marcado e indicar la opción “Permitir acceso”:

9. Ahora verificará la conexión desde el equipo cliente, para esto debe seguir

los pasos que a continuación se indican:

a. Desde el equipo cliente, que en este caso tendrá Windows 7 (o algún otro

sistema operativo equivalente) se ubicará en el “Centro de redes y

recursos compartidos”.

b. Hará clic en “Configurar una nueva conexión o red”:

c. Escogerá “Conectarse a un área de trabajo”.

d. En el siguiente cuadro de dialogo, se le pide indicar como se conectará,

escogerá “Usar mi conexión a Internet (VPN)”.



e. Aparecerá el cuadro de dialogo para establecer la conexión VPN, en el

cual ingresará el nombre de host o el IP del servidor de conexiones

remotas.

f. Una vez creada la conexión VPN, al ingresar en esta se le pedirá un

usuario y contraseña, en este caso se utilizará el usuario: ltorres y la

contraseña respectiva.

g. Ahora debe aparecer habilitada la conexión VPN.


UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO:

Como recordará, el cifrado garantiza que la

información no es inteligible para individuos,

entidades o procesos no autorizados

(confidencialidad). Consiste en transformar

un texto en claro en un texto cifrado, gracias

a una información secreta o clave de cifrado.

Cuando se emplea la misma clave en las

operaciones de cifrado y descifrado, se dice

que el cripto sistema es simétrico. Estos



sistemas son mucho más rápidos que los de clave pública, resultando

apropiados para funciones de cifrado de grandes volúmenes de datos. Se

pueden dividir en dos categorías: cifradores de bloque, que cifran los datos en

bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en flujo,

que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja de

claves para separar los procesos de cifrado y descifrado, se dice que el

criptosistema es asimétrico o de clave pública. Una clave, la privada, se

mantiene secreta, mientras que la segunda clave, la pública, puede ser

conocida por todos. De forma general, las claves públicas se utilizan para cifrar

y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del

conocimiento de la clave pública no es posible determinar la clave privada. Los

criptosistemas de clave pública, aunque más lentos que los simétricos, resultan

adecuados para las funciones de autenticación, distribución de claves y firmas

digitales.

CRIPTOGRAFÍA,

La Criptografía es una ciencia que utiliza las matemáticas para cifrar y descifrar

datos, la criptografía permite almacenar información sensible, o transmitirla a

través de canales inseguros (como Internet) de tal forma que no pueda ser

leída por nadie que no sea la persona a la que va dirigida, o que tiene los

permisos para hacerlo. El Criptoanálisis es la ciencia encargada de analizar, y

romper la comunicación segura, las técnicas clásicas de criptoanálisis

involucran una combinación de razonamiento analítico, la aplicación de

herramientas matemáticas, búsqueda de patrones, paciencia y determinación.

La Criptología involucra tanto a la Criptografía como al Criptoanálisis, mientras

que un criptosistema está formado por un algoritmo criptográfico, más todas las

posibles llaves y los protocolos.

Algoritmo criptográfico o cifrador.

Es una función matemática utilizada en el proceso de cifrar y descifrar. Un

algoritmo criptográfico trabaja en combinación con una llave secreta, que

puede ser una palabra, número o frase, la cual será utilizada para el cifrado del

texto plano. Es necesario recalcar, que el texto cifrado resultante va a ser

diferente cuando las llaves de cifrado son diferentes, por lo que la seguridad de

los datos cifrados depende completamente de dos cosas: dela robustez del

algoritmo de cifrado y la secrecía de la llave.



Llaves.

Una llave es un valor que trabaja con un algoritmo criptográfico para producir

un texto cifrado específico; las llaves son básicamente números muy grandes, y

su tamaño se mide en bits, y entre más grande es la llave, más seguro es el

texto cifrado.

Las llaves más largas, serán criptográficamente seguras por un periodo de

tiempo más largo, éstas deben ser almacenadas en forma cifrada también,

para evitar que algún intruso pueda tener acceso a nuestro disco duro y

obtener la llave.

Funciones hash de un sentido.

Una función hash toma una entrada de longitud variable, un mensaje de

cualquier tamaño, incluso de algunos miles de millones de bits, y produce una

salida de longitud fija, con la condición de que si alguno de los bits del mensaje

original es modificado, la salida producida por la función de hash, va a ser

completamente diferente, a esta salida se le conoce como la firma o resumen

del mensaje, (message digest). Actualmente los algoritmos hash más utilizados

son el MD5 (sucesor del algoritmo MD4) y SHA en sus versiones SHA-1, SHA-

224, SHA-256 y SHA-512, no obstante se han documentado algunas

vulnerabilidades en algunos de ellos.

Las funciones de hash tienen dos propiedades básicas, la primera es que son

de un solo sentido, esto significa que es relativamente muy fácil tomar un

mensaje y calcular su valor de hash, pero es casi imposible tomar un valor de

hash y obtener a partir de él, el valor del mensaje original (actualmente, no

puede ser hecho en una cantidad razonable de tiempo); la segunda propiedad,

es que los algoritmos de hash son libres de colisiones, esto significa que es

casi imposible encontrar dos mensajes que tengan el mismo valor del hash.

Vulnerar un algoritmo de hash, implica que alguna o ambas no se cumpla.

Criptografía simétrica.

La criptografía simétrica o convencional, utiliza únicamente una sola llave, la

cual es utilizada tanto para cifrar como para descifrar, DES (Data Encryption

Standard) es un ejemplo de un criptosistema simétrico que utiliza llaves de 56

bits, definido como estándar por la Secretaría de Comercio de los Estados

Unidos y posteriormente reemplazado por AES (Advanced Encryption

Standard), el cual utiliza llaves de 128,192 ó 256 bits.



El cifrado convencional (criptografía simétrica) tiene como principal ventaja, que

es muy rápido de ejecutar, es muy útil cuando se tienen que cifrar una gran

cantidad de datos, sin embargo tiene la desventaja que se tiene que transmitir

la llave por un canal seguro. Cuando un emisor y un receptor se tienen que

comunicar de forma segura utilizando criptografía simétrica, entonces ellos

tienen que quedar de acuerdo en la llave que han de utilizar, y mantenerla en

secreto, pero si ellos se encuentran en diferentes lugares, entonces ellos

necesitan un mecanismo seguro para poder intercambiar la llave secreta, ya

que cualquier persona que pueda interceptar el mensaje que contiene la llave,

podrá descifrar toda la comunicación entre las dos personas.

Criptografía asimétrica.

El concepto de criptografía asimétrica fue introducido por Whitfield Diffie y

Martin Hellman en 1975, aunque hay evidencia de que el servicio secreto

británico lo había inventado algunos años antes, solo que lo mantienen como

secreto militar. La criptografía asimétrica utiliza un par de llaves, una llave que

puede ser pública, utilizada generalmente para cifrar, y la correspondiente llave

privada, utilizada para descifrar la información cifrada con la pública.

Si A desea enviar un mensaje cifrado a B, entonces A obtiene la llave pública

de B y cifra el mensaje con ella, únicamente B con su llave privada puede

descifrar lo que A le escribió.

Computacionalmente hablando, es imposible deducir la llave privada a partir de

la pública, esto implica que cualquiera que tenga la llave pública puede

únicamente cifrar, no descifrar el texto.

El beneficio principal de la criptografía asimétrica, es que permite que personas

que no tienen un acuerdo de seguridad previo, puedan intercambiar

información de forma segura, y por lo tanto la necesidad de enviar y recibir las

llaves secretas únicamente a través de algún canal seguro es eliminada,

puesto que todas las comunicaciones involucran únicamente llaves públicas, y

ninguna llave privada es transmitida o compartida. Algunos ejemplos de

criptosistemas de llave pública son Elgamal, RSA, Diffie-Hellman y DSA (Digital

Signature Algorithm).

Firmas Digitales.

Las firmas digitales son un mecanismo que le permite al receptor de un

mensaje, verificar la autenticidad del origen de la información, así como

verificar la integridad de la información recibida. Una firma digital ofrece así



mismo, el esquema de “no repudio”, lo que significa que una persona que ha

firmado un documento, no puede negar el hecho de haberlo firmado.

La forma de crear las firmas digitales es la siguiente: primero se calcula el

digest o resumen del mensaje que se desea firmar, ese resumen es cifrado con

la llave privada de la persona que firma el mensaje, y dicha firma es adjuntada

al mensaje original.

Para verificar la firma digital contenida en un documento, el procedimiento es el

siguiente: el receptor que desea verificar la firma digital del emisor descifra la

firma contenida en el mensaje utilizando la llave pública del emisor, después

vuelve a calcular el resumen (hash) del documento recibido y compara estos

dos valores, si coinciden, se puede garantizar que el emisor firmó digitalmente

el documento, y que el documento no fue modificado durante su recorrido

desde el emisor hacia el receptor.

Certificados Digitales.

Un problema que tienen los criptosistemas de llave pública, es que los usuarios

deben de estar completamente seguros de que están cifrando información con

la llave pública de la persona correcta, en un ambiente en donde es

relativamente muy fácil intercambiar llaves por medio de servidores públicos, es

muy probable que los ataques de -hombre en el medio- se presenten, es decir

que cuando algún atacante suplanta la llave de la persona a la que se le quiere

enviar un mensaje cifrado, con otra llave con la cual él conoce la respectiva

llave privada, toda la información dirigida hacia el verdadero receptor es

entonces interceptada por el atacante, el cual al conocer la verdadera llave

pública del receptor, reenvía el mensaje cifrándolo con su verdadera llave

pública, actuando el atacante como un punto intermedio en la comunicación

entre emisor y receptor.

En un ambiente de llave pública, a veces es necesario intercambiar información

con gente que nunca se ha conocido, es entonces cuando surge la necesidad

de utilizar los certificados digitales, que se pueden definir como una credencial

de identidad, la cual contiene información certificada acerca de la persona

propietaria, contiene una llave pública y la(s) firma(s) digital(es) de la(s)

Autoridad(es) Certificadora(s) que emitió o emitieron dicho Certificado Digital.



Mecanismos de seguridad en aplicaciones.

Para las aplicaciones en general, hay diversos procedimientos, pero aquí

abarcaré lo referente a las aplicaciones WEB que son las más utilizadas:

Para lograr las medidas de seguridad necesarias en una aplicación Web, se

deben implementar como mínimo, los mecanismos siguientes:

1. Seguridad en la transmisión de la información, mediante el uso de protocolos

de comunicación seguros: Para esto se utilizan diversos protocolos, tales

como:

SSH (Secure Shell). Utilizado como reemplazo del comando telnet para

establecer sesiones remotas.

SSL (Secure Socket Layer). Utilizado en comunicaciones hipertexto

principalmente, pero con aplicaciones en otros protocolos.

TSL (Transport Layer Secure). Utilizado para establecer seguridad en la

capa de transporte del modelo OSI.

HTTPS (Hypertext Transfer Protocol Secure). Utilizado para establecer

seguridad en el protocolo HTTP habitual.

PGP (Pretty Good Privacy).- PGP es un criptosistema utilizado para

garantizar protegerla información distribuida a través de Internet,

mediante el uso de criptografía asimétrica, y facilitar la autenticación de

documentos a través de las firmas digitales, aunque también puede ser

utilizado para protección de datos almacenados en discos, copias de

seguridad, etc.

2. Seguridad en los servidores, mediante el uso de firewalls principalmente.

3. Seguridad de los datos almacenados en discos, bases de datos o

repositorios (información cifrada utilizando criptografía).



1. ¿Qué es la criptografía simétrica y asimétrica? Explique.

2. ¿Para qué se utilizan las firmas digitales?

–Explique.

3. ¿Qué tipos de cifrado son los más

recomendados actualmente?

4. ¿En qué consisten los algoritmos Hash y

cuáles son los más utilizados?


TAREA


TAREA 09.

REALIZAR UNA ÓPTIMA PROTECCIÓN DEL SISTEMA ANTE EL

MALWARE.

En esta tarea realizará los siguientes puntos:

Realizar procedimientos para evitar y eliminar los virus, desbordamiento de

buffer, gusanos, troyanos, spyware y otros.




Diferentes programas de antivirus.


Realizar procedimientos para evitar y eliminar los virus, desbordamiento de

buffer, gusanos, troyanos, spyware y otros.

El perezoso viaja tan despacio que la pobreza no tarda en alcanzarlo…

09



OPERACIÓN:


DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y

OTROS.

Para realizar esta operación ejecutará los siguientes pasos:

1. Para prevenir y eliminar los virus informáticos, instalará algunos de los

antivirus más importantes y gratuitos.

2. Empezará instalando el antivirus gratuito de Microsoft, llamado: “Microsoft

Security Essentials”, para esto podrá descargarlo desde la siguiente

dirección:

http://windows.microsoft.com/es-ES/windows/products/security-essentials.

3. Una vez instalado, realizará la configuración recomendada:

a. Primero deberá verificar que este actualizado, para esto observará las

fechas respectivas:

http://windows.microsoft.com/es-ES/windows/products/security-essentials



b. Para establecer la configuración, deberá ubicarse en la ficha

“Configuración” y escogerá “Examen programado” en el listado del lado

izquierdo y es aquí donde indicará el día y la hora en que se realizará el

examen del equipo.

c. Ahora hará clic en “Acciones predeterminadas” y escogerá las siguientes

opciones:

i. Para el caso de Nivel de alerta grave, el cual se activa ante

programas muy peligrosos, escogerá la opción “Quitar”.

ii. Para el caso de Nivel de alerta alto, el cual se activa ante programas

medianamente peligrosos, escogerá la opción “Quitar”.

iii. Para el caso de Nivel de alerta medio, el cual se activa ante

programas que pueden afectar su privacidad, escogerá la opción

“Cuarentena”.

iv. Para el caso de Nivel de alerta bajo, este se activa ante programas

que pueden estar recopilando información sobre usted o su PC o

puede cambiar cómo su

equipo funciona pero que

sin embargo, el software

está funcionando de

acuerdo con los términos de

licencia de software de

Microsoft que aparecen al

instalar el software.

En este caso escogerá la

opción “Cuarentena”.



d. Ahora hará clic en “Protección en tiempo real” y debe verificar que

siempre se encuentre activado.

e. Ahora hará clic en “Archivos y ubicaciones excluidos” y verificará que no

esté indicado ningún archivo ya que estos no se evaluarían durante el

examen del antivirus.

f. Ahora debe hacer clic en “Avanzada” y habilitará las siguientes opciones:

a. Examinar archivos de almacenamiento.

b. Examinar unidades extraíbles.

c. Permitir a todos los usuarios ver todos los resultados del historial.

d. Quitar archivos en cuarentena después de: 2 semanas.



g. Ahora hará clic en “MAPS” (Microsoft Active Protection Service) y

verificará que esté en la configuración: “Miembro básico”.

También cuenta con otros antivirus que tienen versiones gratuitas muy buenas,

que si bien es cierto no son tan completas como las versiones de paga, pero le

pueden proporcionar un buen nivel de protección.

Entre estas versiones gratuitas se pueden ver las siguientes:

Avast Free:

AVG gratuito 2013:



Avira:

También se tienen opciones gratuitas que se encuentran directamente en la

Nube (Internet) que hacen una verificación del equipo vía online, como por

ejemplo: Panda Cloud Antivirus.



DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y

OTROS:

Para empezar, el término virus informático es muy utilizado actualmente para

describir software de tipo malicioso.

VIRUS INFORMÁTICO.

Los virus informáticos son programas que utilizan técnicas sofisticadas,

diseñados por expertos programadores, los cuales tienen la capacidad de

reproducirse por sí mismos, unirse a otros programas, ejecutando acciones no

solicitadas por el usuario, la mayoría de estas acciones son hechas con mala

intención.

Un virus informático, ataca en cualquier momento, destruyendo toda la

información que no esté protegida con un antivirus actualizado.



La mayoría de los virus suelen ser programas residentes en las unidades de

disco, se van copiando dentro de nuestro software. De esta manera cada vez

que prestamos software a otras personas, también encontrarán en el interior

archivos con virus.

Un virus tiene la capacidad de dañar información, modificar los archivos y hasta

borrar la información de un disco duro, dependiendo de su programador o

creador.

En la actualidad los virus informáticos no solo afectan a los archivos

ejecutables de extensión .EXE y .COM, sino también a los procesadores de

texto, como los documentos de Word y hojas de cálculo como Excel, esta

nueva técnica de elaboración de virus informático se llama Macro Virus.

FASES DE ACCIÓN DEL VIRUS.

Primera Fase (Infección).

El virus pasa a las unidades de disco del computador, tomando el control del

mismo, después de intentar inicializar el sistema con una unidad de

almacenamiento infectada, o con el sector de arranque infectado o de ejecutar

un archivo infectado.

El virus pasa a las unidades de disco y el sistema se ejecuta, el programa

funciona aparentemente con normalidad, de esta forma el usuario no se da

cuenta de que su sistema está siendo infectado.

Segunda Fase (Latencia).

Durante esta fase el virus, intenta replicarse infectando otros archivos del

sistema cuando son ejecutados o atacando el sector de arranque del disco

duro.

De esta forma el virus toma el control del sistema siempre que se encienda el

computador, ya que intervendrá el sector de arranque del disco, y los archivos

del sistema. Si durante esta fase utilizamos unidades extraíbles no protegidos

contra escritura, dichas unidades quedan infectadas y listas para pasar el virus

a otro computador e infectar el sistema.

Tercera Fase (Activación).

Esta es la última fase de la vida de un virus y es la fase en donde el virus se

hace presente.



La activación del virus trae como consecuencia el despliegue de todo su

potencial destructivo, y se puede producir por muchos motivos, dependiendo de

cómo lo creó su autor y de la versión de virus que se trate, debido a que en

estos tiempos encontramos diversas mutaciones de los virus.

Algunos virus se activan después de un cierto número de ejecuciones de un

programa infectado o de encender el sistema operativo; otros simplemente

esperan a que se cumpla una determinada condición.

Cómo funciona un antivirus.

El software antivirus es, básicamente, un conjunto de programas que protegen

su ordenador del daño que pueda causar cualquier software perjudicial. El

nombre, Antivirus, tiene su génesis en el hecho de que fue diseñada

originalmente para combatir los virus informáticos. Ahora se ha convertido en

algo más sofisticado.

El Software antivirus usa dos métodos para proteger su sistema:

1. Analizar los archivos comparándolos con la base de datos de software

maligno.

2. La monitorización contante del comportamiento de archivos informáticos

que pueden estar infectados.

ANALISIS DE ARCHIVOS.

El primer enfoque se puede entender por la analogía de la aplicación con una

rueda de reconocimiento policial o cuando se intenta identificar a un

delincuente con una foto: El antivirus compara cada archivo del disco duro con

un “diccionario” de virus conocidos. Si cualquier pieza de código en un archivo

del disco duro coincide con el virus conocido en el diccionario, el software

antivirus entra en acción, llevando a cabo una de las siguientes acciones

posibles:



Reparar el archivo: El software antivirus trata de reparar el archivo infectado

al eliminar el virus.

Poner en cuarentena: El software antivirus intentará proporcionar protección

contra el virus, haciendo inaccesibles los programas de archivo impidiendo

su propagación y ejecución.

Elimine el archivo: El software antivirus elimina el archivo, que es

posiblemente la forma más drástica de la protección antivirus.

OBSERVACIÓN:

El uso de firmas de virus requiere que los usuarios de ordenador descarguen

una actualización de “firmas de virus” ya que nuevos virus se están agregando

constantemente al diccionario y son precisamente las amenazas más nuevas

las más peligrosas.

ANÁLISIS DE CONDUCTA DE ARCHIVOS.

El segundo enfoque es el análisis de comportamientos sospechosos. En este

caso el software antivirus efectuará un seguimiento de todos los programas que

están en funcionamiento en un sistema. Por ejemplo, si un programa intenta

realizar una actividad sospechosa, como escribir datos en un programa

ejecutable, el software antivirus alerta al usuario de este hecho y le informa

sobre las medidas que debe tomar.

Una de las ventajas de la cita a menudo utilizando el enfoque de

comportamiento sospechoso para la protección antivirus es que ofrece

protección contra nuevos virus de los cuales aún no se dispone información y

no forman parte de la lista de “firmas”.

Usando la misma analogía policial que el caso anterior, este método es como

poner bajo vigilancia a un ciudadano y analizar su comportamiento para

comprobar si cumple las normas o su comportamiento es sospechoso y está

intentando realizar algo ilegal.

Síntomas de la presencia de virus.

Vamos a ver a continuación algunos síntomas que puede presentar nuestro

ordenador, con lo cual podríamos estar frente a la presencia de virus:

Ralentizamiento del ordenador: Este es un síntoma muy típico, sobre todo de

programas espías.



Pérdida injustificada de espacio en discos: Típico sobre todo ante la

presencia de algún tipo de worm (gusano), que se reproduce hasta bloquear

el sistema.

Funciones de Windows dejan de funcionar o se hacen inaccesibles.

Denegación de servicios.

Imposibilidad de ejecutar programas antivirus, anti espías y anti malware.

Pérdida de propiedades de imagen y sonido.

Pérdida de unidades.

Pérdida de archivos del sistema.

Tráfico en Internet no justificado.

Aparición de páginas web no solicitadas.

Programas que utilizan Internet dejan de funcionar o empiezan a funcionar

mal sin ningún motivo aparente.

No permite grabar ficheros descargados de Internet.

Bloqueos y reinicios en el ordenador.

No es posible iniciar Windows.

Nos pide una contraseña de usuario que no hemos puesto.

Desaparición de archivos, imposibilidad de acceso carpetas o incluso a

unidades.

Cambios en las propiedades de algunos archivos.

El sistema no nos permite ejecutar determinados programas.

Pérdida de acceso al disco duro: Aunque no son muchos los virus que

pueden provocar esta situación (y hablamos de imposibilidad de acceso, no

de que no arranque el sistema), sí que hay algunos que lo hacen. Esta

situación se soluciona afortunadamente restaurando el MBR (Master Boot

Record), lo que podemos hacer desde la Consola de recuperación de

Windows, ejecutando FIXMBR, iniciando desde el CD de instalación de

Windows.

Fallas no atribuibles a virus:

Vamos a ver los fallos del sistema que no son atribuibles a los virus, por

ejemplo, aquí están incluidos, para empezar, todos los fallos de arranque del

ordenador (OJO, no de inicio del sistema). En condiciones normales, un virus

no tiene forma de acceder a la BIOS y, por tanto, de infectarla. Para ello, el

virus tendría que entrar por medio de una actualización, para lo que se

necesita un programa específico. Hay que tener en cuenta que la BIOS trabaja

a nivel de hardware, antes de que se cargue el sistema operativo. A esto hay

que añadir los poquísimos virus que se han desarrollado para infectarla. Otra



cosa es que la BIOS se estropee, como se puede estropear cualquier elemento

del ordenador.

Tampoco es achacable a virus la falta de detección de unidades por parte de la

BIOS. En este caso se trata siempre de un problema físico (normalmente mala

conexión, placa del disco duro estropeada o fallo de la placa base).

OBSERVACIÓN:

También existen métodos por los cuales puedes eliminar un virus sin tener

instalado un antivirus, pero debemos tener mucho cuidado en realizar estos

procedimientos.

Entre algunas de las tareas que se pueden realizar en estos casos tenemos:

Vacunas para virus concretos: Sabiendo el nombre del virus que tenemos en

nuestro ordenador, puedes utilizar la información y buscar por Internet en

páginas especializadas en seguridad y software de desinfección como

Symantec, Bit Defender, Panda y otras.

Estas páginas generalmente, ofrecen de manera gratuita, vacunas contra

virus específicos, es decir, programas muy pequeños que han sido

desarrollados para realizar una tarea específica sobre un virus específico.

Eliminar un virus manualmente: Este método no funciona con la totalidad de

los virus existentes, ya que algunos virus utilizan otro servicio para regenerar

el virus cuando este ha sido borrado. En algunas ocasiones, el archivo

infectado no puede ser eliminado de forma tradicional, debido a que lleva

una protección especial. En este caso, podemos usar algún programa como

Unlocker, que está especializado en esta tarea.

Arrancar Windows en modo seguro, hace que Windows sólo ejecute los

complementos básicos e indispensables para poder funcionar, es más, ni tan

siquiera ejecuta los controladores gráficos, por lo que es un buen sistema

para eliminar un virus sin miedo a que se asocie a algún servicio abierto.

Quitar virus del arranque.

Cerrar proceso de Virus activo.

Los mejores antivirus y aplicaciones en general.

Actualmente, la competencia entre los antivirus ha llevado a considerar como

los mejores a los siguientes:



Avast! Rescue Disk.

AVG Antivirus Free 2012.

BitDefender Antivirus Plus 2012.

ESET NOD 32 Antivirus 5.

G Data Antivirus.

Kaspersky AntiVirus 2012.

Malware Bytes Antivirus Free 1.5.1.

Norman Malware Cleaner 2.1.

OutPost Antivirus Pro 7.5.

Norton Antivirus 2012.

Esto puede variar con el tiempo.

Existen también otras aplicaciones muy interesantes que ayudan a proteger los

equipos:

Hijackthis.

Combofix.

VundoFix.

Dr.Web, etc.



1. ¿Qué acciones considera apropiadas para evitar la propagación de los virus

informáticos? – Explique.

2. En la empresa donde usted se encuentra realizando la complementación se

sus estudios prácticos ¿Qué antivirus es el más utilizado? – Explique.

3. ¿Qué métodos de detección de

software malicioso, realizan los

antivirus? Explique al detalle.

4. Realice una tabla indicando los

mejores antivirus y sus respectivas

características.

5. Indique al detalle los tipos de

códigos maliciosos y las

características más resaltantes que

estos presentan.

6. ¿Cuáles son los tipos de virus más

comunes en las empresas y como protegernos en contra de este problema?


TAREA


TAREA 10: IMPLEMENTAR LA SEGURIDAD BÁSICA DE UNA

RED.


Configurar Objetos de Directivas de grupo (GPO) básicas en la red.

Verificar el funcionamiento de los diversos tipos de cortafuegos.

Diferencias entre firewall de hardware y de software.

Instalar y configurar en forma básica un ISA server.







Configurar Objetos de Directivas de grupo (GPO) básicas en la red.

Entender el funcionamiento de los diversos tipos de cortafuegos.


Instalar y configurar en forma básica un ISA server.

El que es bueno para argumentar excusas rara vez es bueno para otra cosa (Benjamín Franklin).

10



OPERACIÓN:

CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN

LA RED.

Para realizar esta operación deberá ejecutar los siguientes pasos:

1. Para esto debe contar con un servidor con Active Directory, en este caso

utilizará un sistema Windows Server 2008.

2. Definirá algunas GPO muy comunes que se deben tomar en consideración

para dar mayor seguridad y control en la red:

a. Primero, creará una GPO que establezca el proxy a utilizar y que no

permita que este sea cambiado (para el caso de Internet Explorer):

i. Ingresará a la consola “Administración de directivas de grupo”, creará

una nueva GPO para el área de Contabilidad, le pondrá de nombre

GPO_Contabilidad y la editará.

ii. En el editor de administración de directivas de grupo, se ubicará en

“Configuración de usuario/ configuración de Windows/ mantenimiento

de internet explorer/ Conexión / configuración de servidor proxy y en

esa política especificará la dirección del proxy.

iii. Para mantener esa configuración en el Internet Explorer y así evitar

que el usuario la cambie, debe seguir en el editor de administración de

directivas de grupo y ubicarse en: configuración de usuario/ directivas/

plantillas administrativas/ componentes de Windows/ Internet Explorer/

Deshabilitar el cambio de configuración de proxy.



b. Creará una GPO que desactive la reproducción automática de unidades

extraíbles:

i. Editará la GPO “Default domain policy” e ingresará a la política:

configuración del equipo/ directivas/ plantillas administrativas/ todos los

valores” y ubicará la política: “Desactivar reproducción automática” y la

habilitamos:



ENTENDER EL FUNCIONAMIENTO DE LOS DIVERSOS TIPOS DE

CORTAFUEGOS.

Para empezar, trabajará con el firewall personal.

Utilizará el firewall que trae el Windows 7 (pudo utilizarse otro sistema operativo

equivalente) y luego utilizaremos uno de otra empresa.

Para realizar esta operación debe ejecutar las siguientes tareas:

1. Ingresará al panel de control, luego a “Sistema y seguridad” y luego al

firewall de Windows.

2. Si desea activarlo o desactivarlo, simplemente debe ubicarse en “Activar o

desactivar Firewall de Windows” desde donde podrá definir las siguientes

opciones:

a. Activar el firewall: En esta opción tenemos:

i. Bloquear todas las conexiones entrantes, incluidas las de la lista de

programas permitidos.

ii. Notificarme cuando Firewall de Windows bloquee un nuevo programa.

b. Desactivar Firewall de Windows. Debe tener en cuenta que esto se repite

para el caso de Red doméstica o de trabajo (Privada) y red pública.

En este caso escogerá la opción “Notificarme cuando Firewall de

Windows bloquee un nuevo programa” en ambos casos.



3. Ahora escogerá la opción “Permitir un programa o una característica a través

de Firewall de Windows” del panel de la izquierda.

4. Aquí aparecen diversos programas y características a los cuales se les

puede permitir o no que pasen a través del firewall.

5. Para este caso, verificará desde un equipo diferente, la conectividad con su

equipo, por ejemplo, para este caso el IP del equipo es 172.16.2.157 y

desde un equipo diferente, probamos conectividad utilizando el comando

ping: ping 172.16.2.157 –t.

6. Veremos que hay conectividad:

7. Ahora, en el equipo con el IP: 172.16.2.157 desactivará en el firewall (en

Permitir que programas se comuniquen a través del firewall de Windows) la

opción: “Compartir archivos e impresoras” y hará clic en “Aceptar”.



8. Ahora, verá que ya no se recibe respuesta al comando ping.

9. Para continuar activará la opción anterior: “Compartir archivos e impresoras”

y hacemos clic en “Aceptar”.

Ahora configurará un firewall diferente, en este caso utilizará:

Firewall: Comodo (El instructor puede utilizar otro programa equivalente).

Una vez que se encuentra instalada la aplicación, procederá a configurarla,

para esto debemos indicar el tipo de red a utilizar:

En este caso escogerá “I am at Work”, y luego se ubicará en el panel principal

de la aplicación:



Debe ubicarse en la ficha “Firewall” y tendrá la opción para crear reglas que

definan la seguridad “Política de seguridad de la red”:

Una vez ubicado en “Política de Seguridad de la red” debe dirigirse a la ficha

“Conjunto de puertos” en donde podrá agregar más puertos, editarlos y

eliminarlos”.

En este caso agregará el puerto 21 para FTP:



Ahora, se ubicará en la ficha “Reglas predefinidas”, luego hará clic en

“Navegador Web” y luego hará clic en “Permitir solicitudes HTTP salientes”.

Ahora, usted verificará que tenga la configuración indicada en la imagen, pero

activará la casilla de verificación: “Registrar como evento si se ejecuta la regla.

DIFERENCIAS ENTRE FIREWALL DE HARDWARE Y DE SOFTWARE.

Firewall de Hardware.

El cortafuego por hardware, es un dispositivo específico instalado en una red

para levantar una defensa y proteger a la red del exterior.

Los firewall de hardware se utilizan más en empresas y grandes corporaciones.

Normalmente son dispositivos que se colocan entre el router y la conexión

telefónica. Como ventajas, podemos destacar, que al ser independientes del

PC, no es necesario configurarlos cada vez que reinstalamos el sistema

operativo, y no consumen recursos del sistema.

Su mayor inconveniente es el mantenimiento, ya que son difíciles de actualizar

y de configurar.



Firewall de software.

Estos programas son los más comunes en los hogares o en empresas

medianas, ya que además de resultar mucho más económicos que el de

hardware, su instalación y actualización es más sencilla. Eso sí, presentan

algunos problemas inherentes a su condición: consumen recursos del

ordenador, algunas veces no se ejecutan correctamente o pueden ocasionar

errores de compatibilidad con otro software instalado.

Hacer un breve listado de las diferencias entre estos tipos de firewall.

INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER.

Para esto, deberá tener un servidor con Windows 2003 server, versión

estándar o empresarial, en este caso se utilizará la empresarial, además debe

tener como mínimo 2 tarjetas de red (Puede ser un equipo real o virtual).

En este caso lo hará en un equipo virtual creado con Virtual PC 2007 y

tendremos dos conexiones de red, las cuales serán denominadas: Interna y

externa.

Ahora realizará los siguientes pasos:

1. Colocará en la red externa una configuración de IP que tenga salida hacia

Internet, en algunos casos se colocaría un IP público, en este caso no se

puede utilizar esta opción, así que colocará una configuración que tenga

salida a Internet (consulte al Instructor):



2. En la red Interna, colocará como IP la puerta de enlace que tendrá la red

Interna (Red a proteger):

3. Ahora, en la red externa deshabilitará la opción de cliente de redes Microsoft

y de compartición:

4. Luego, en conexiones de red, se dirige a opciones avanzadas/ configuración

avanzada:

5. Aquí definirá el orden mostrado en la ilustración:



6. Ahora, procederá a Instalar la aplicación, para esto ejecutará el archivo

isaautorun.exe.

7. Aparecerá una ventana en la cual hará clic en “Instalar Isa Server 2006”.

8. Aparecerá el asistente de instalación.

9. Haga clic en siguiente y luego indique que acepta los términos de la licencia.

10. Aparecerá la información del cliente (Nombre de usuario, Organización y

serial).

11. Escoja instalación Típica.

12. Ahora, escoja en “Direcciones” las del adaptador de la red “Interna”:

13. Una vez definida la red interna, haga clic en siguiente.



14. Luego aparecerá un cuadro de dialogo donde aparecerá el botón “Instalar”,

haga clic en ese botón y empezará la instalación:

15. Verá cómo avanza el proceso de instalación.

16. Al final aparecerá una ventana indicando la finalización de la instalación.

17. Haga clic en “Finalizar”:

18. Para verificar, simplemente debe entrar a la consola de administración del

ISA server:

19. Desde aquí podrá realizar las configuraciones de las reglas para permitir el

acceso a Internet o denegarlo.



20. Para permitir la navegación, bastará con crear la siguiente regla:

a. Haga clic secundario en “Directiva de firewall” / nuevo/ regla de

acceso….

b. Pondrá un nombre a la regla, en este caso: Permitir navegación.

c. Indicará que es una regla para “Permitir”.

d. Indicará que esta regla se aplica a los protocolos: http y https:

e. Luego, como origen indicará la red interna:

f. Como destino indicará la red Externa:



g. Indique que es para todos los usuarios y luego le da clic en “Finalizar”.

h. No se olvide de hacer clic en “Aplicar”:

21. Para comprobar su funcionamiento, debe configurar un equipo cliente, este

puede tener Windows xp, Windows 7 o Windows 8, con un IP

perteneciente a la red interna, en puerta de enlace debe colocar el IP del

servidor ISA:

22. Además, debe configurar como proxy: 192.168.1.1 puerto: 8080:

23. El equipo cliente debería navegar sin problemas.




CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN

LA RED.

Las directivas de grupo del servicio de directorio Active Directory se utilizan

para administrar de forma centralizada los usuarios y equipos de una empresa.

Se pueden centralizar las directivas configurando las directivas de grupo para

una organización completa en el dominio del sitio o en un nivel de unidad

organizativa.

Puede asegurarse de que los usuarios tengan los entornos de usuario que

necesitan para realizar sus trabajos e imponer las directivas de una

organización, incluidas las normas, metas y requisitos de seguridad de la

empresa. Además, controlando los entornos de usuario y equipo, se reduce el

nivel de soporte técnico que necesitan los usuarios y la pérdida de

productividad de los usuarios debida a errores de los mismos.

Se pueden configurar las directivas de grupo para definir las directivas que

afectan a usuarios y equipos. Aquí se describen los tipos de configuración que

se pueden establecer:



Plantillas administrativas: Configuración basada en el registro para

establecer la configuración de la aplicación y los entornos de estación de

trabajo del usuario.

Secuencias de comandos: Configuración para indicar cuándo Windows

Server ejecuta secuencias de comandos específicas.

Servicios de instalación remota: Configuración que controla las opciones

disponibles para los usuarios al ejecutar el Asistente para instalación de

clientes que utilizan los Servicios de instalación remota (RIS).

Mantenimiento de Internet Explorer: Configuración para administrar y

personalizar Microsoft Internet Explorer en equipos que ejecuten Windows.

Redireccionamiento de carpetas: Configuración para almacenar carpetas de

perfil de usuario específicas en un servidor de red.

Seguridad: Configuración para la seguridad del equipo, dominio y red

locales.

Instalación de software: Configuración para centralizar la administración de

instalaciones de software, actualizaciones y eliminaciones

Los GPO están vinculados a sitios, dominios y unidades organizativas. Se

pueden establecer directivas centralizadas que afecten a toda la organización y

directivas descentralizadas que afecten a un departamento en particular.

El orden en que Windows Server aplica los GPO se basa en el contenedor de

Active Directory al que están vinculados los GPO. Windows Server aplica los

GPO en primer lugar al sitio, luego a los dominios y, a continuación, a las

unidades organizativas dentro de los dominios.

Puede evitar que un contenedor secundario adquiera todos los GPO de

contenedores primarios habilitando Bloquear la herencia en el contenedor

secundario. El bloqueo de herencia resulta útil cuando un contenedor de Active

Directory requiere una configuración de directiva de grupo exclusiva.

La opción Forzada (denominada No reemplazar si la Consola de administración

de directivas de grupo no está instalada) es un atributo del vínculo, no del

GPO. Si el mismo GPO está vinculado a otro sitio, la opción Forzada no se

aplica a ese vínculo a menos que se modifique también.

Si tiene un GPO vinculado a varios contenedores, podrá configurar la opción

Forzada de forma individual para cada contenedor.



Administración de GPO.

Utilice la Consola de administración de directivas de grupo para administrarlos

GPO, que incluye tareas tales como crear el GPO, realizar la copia de un GPO

a otra ubicación, la realización de una copia de seguridad de GPO, la

restauración de un GPO desde la copia de seguridad y la importación de

configuraciones de un GPO.

Problemas habituales al implementar directivas de grupo.

El primer paso para solucionar los problemas de directivas de grupo consiste

en identificar los síntomas y las posibles causas.

En la siguiente tabla se muestran algunos síntomas comunes y sus posibles

métodos de resolución:

Síntoma Resolución

No puede abrir un GPO aunque tiene permiso

de lectura.

Ser miembro de un grupo de seguridad con

permiso de lectura y escritura para el GPO.

Cuando trata de editar un GPO aparece el

mensaje

No se puede abrir el objeto de directiva de

grupo.

Asegúrese de que DNS funciona

correctamente.

La directiva de grupo no se aplica a usuarios

y equipos en un grupo de seguridad que los

contiene, incluso cuando un GPO está

vinculado a una unidad organizativa que

contiene el grupo de seguridad.

Vincule los GPO sólo a sitios, dominios y

unidades organizativas.

La directiva de grupo no afecta a usuarios y

equipos en un contenedor de Active Directory.

Vincule un GPO a una unidad organizativa

que es primaria respecto al contenedor de

Active Directory. Esta configuración se aplica

de forma predeterminada a los usuarios y

equipos del contenedor mediante la herencia.

La directiva de grupo no afecta al equipo

cliente.

Determine los GPO que se están aplicando

mediante Active Directory y si estos GPO

tienen configuraciones que están en conflicto

con las configuraciones locales.



Uso de plantillas administrativas en Directiva de grupo para controlar

entornos de usuario.

Las plantillas administrativas pueden utilizarse para controlar los entornos de

usuario e impedir que los usuarios dañen su entorno o utilicen aplicaciones,

software o archivos que no necesiten.

Mediante la extensión Plantillas administrativas (Administrative Templates) de

Directiva de grupo, es posible configurar el entorno de varios usuarios y

equipos a la vez, y dejar que la familia de Windows Server continúe aplicando

dichas opciones de configuración.

La opción Plantillas administrativas está disponible tanto para cuentas de

usuario como para cuentas de equipo. El entorno de los usuarios se controla

mediante la configuración de opciones administrativas específicas que limiten

la capacidad de un usuario para cambiar la configuración de su escritorio y

restringir su acceso a los recursos de red y a herramientas administrativas y

aplicaciones.

El siguiente proceso ilustra la forma en que un equipo con un sistema de la

familia de Windows Server aplica la configuración de una plantilla

administrativa durante el proceso de inicio del sistema:

1. Cuando el equipo cliente se inicia, recupera la lista de objetos GPO que

contienen las opciones de configuración del equipo y determina el ordenen

que deben aplicarse.

2. El equipo cliente se conecta a la carpeta SYSVOL en el controlador de

dominio que realiza la autenticación. El equipo cliente busca entonces los

archivos Registry.pol en la carpeta Machine en la plantilla de Directiva de

grupo para cada GPO que contiene la configuración de la plantilla

administrativa que se aplica al equipo.

3. El equipo cliente graba las opciones de configuración del Registro y sus

valores en el archivo Registry.pol en el subárbol apropiado del Registro.

El equipo sigue inicializando el sistema operativo y aplica la configuración

del Registro.

4. Cuando la configuración del Registro se ha aplicado, aparece el cuadro de

diálogo Inicio de sesión.

El siguiente proceso ilustra la forma en que un equipo con un sistema de la

familia de Windows Server aplica la configuración de una plantilla

administrativa durante el proceso de inicio de sesión:



1. Una vez que el usuario ha iniciado el proceso de inicio de sesión, el equipo

cliente recupera la lista de objetos GPO que contienen las opciones de

configuración del usuario y determina el orden en que deben aplicarse.

2. El equipo cliente se conecta a la carpeta SYSVOL en el controlador de

dominio que realiza la autenticación. El equipo cliente busca entonces los

archivos Registry.pol en la carpeta User en la plantilla de Directiva de grupo

para cada GPO que contiene la configuración de la plantilla administrativa

que se aplica al usuario.

3. El equipo cliente graba las opciones de configuración del Registro y sus

valores en el archivo Registry.pol en el subárbol apropiado del Registro. El

equipo continúa el proceso de inicio de sesión y aplica la configuración del

Registro.

4. Una vez aplicada, en el equipo cliente se muestra el escritorio del usuario.

Tipos de opciones de configuración de plantillas administrativas.

En esta tabla podremos ver las diferentes opciones de configuración de

plantillas administrativas:

Tipo de opción Controla Disponible para

Componentes de Windows Acceso de usuario a los

componentes de Windows. Equipos o usuarios.

Sistema

Inicio y cierre de sesión,

directivas de grupo, intervalos de

actualización, cuotas de disco y

directiva de bucle invertido.

Equipos o usuarios.

Red Propiedades de las conexiones

de red y de acceso telefónico. Equipos o usuarios.

Impresoras

Características de publicación de

Active Directory y de impresión

basada en Web en impresoras.

Sólo equipos.

Menú Inicio y barra de tareas

Apariencia y acceso al menú

Inicio y la barra

de tareas.

Equipos o usuarios.



Escritorio

Active Desktop: lo que se

muestra en los escritorios y lo

que usuarios pueden hacer

con la carpeta Mis documentos.

Sólo usuarios.

Panel de

control

Uso de Agregar o quitar

programas,

Pantalla e Impresoras.

Sólo usuarios.

Carpetas compartidas

Si las carpetas compartidas o las

raíces DFS se publican en Active

Directory.

Sólo usuarios.

Cómo configurar una plantilla administrativa.

Para implementar la configuración de plantillas administrativas, establezca las

opciones en la extensión Plantillas administrativas, en Directiva de grupo.

Para configurar una opción, puede seleccionar uno de los tres estados

siguientes:

No configurada. La familia de Windows Server pasa por alto la opción y no

realiza cambios en el equipo. Este estado no especifica un cambio de valor

en el Registro.

Habilitada. La familia de Windows Server aplica la opción y agrega el cambio

al archivo Registry.pol correspondiente.

Deshabilitada. La familia de Windows Server 2003 evita que se aplique la

opción y agrega el cambio al archivo Registry.pol correspondiente.

Uso de plantillas de seguridad para proteger un equipo.

Las plantillas de seguridad se utilizan con el fin de crear y alterar directivas de

seguridad de modo que cumplan las necesidades de seguridad de una

organización. También pueden implementarse directivas de seguridad de

varias formas diferentes. El método que utilice dependerá del tamaño y de las

necesidades de seguridad de su organización. Las organizaciones de menor

tamaño o aquéllas que no utilicen Active Directory pueden configurar la

seguridad manualmente, de forma individualizada. Si la organización es grande

o requiere un alto nivel de seguridad, tenga en cuenta la posibilidad de utilizar

objetos de directiva de grupo para implementar directivas de seguridad.



Una directiva de seguridad es una combinación de opciones de configuración

que afectan a la seguridad de un equipo. Se utiliza para establecer directivas

de cuentas y directivas locales en un equipo local y en Active Directory.

Utilice la directiva de seguridad de un equipo local para modificar directamente

directivas de cuentas y locales, directivas de claves públicas y directivas de

Seguridad de Protocolo Internet (IPSec, Internet Protocol Security) en un

equipo local.

Con una directiva de seguridad local puede controlar:

Quién tiene acceso a un equipo.

Qué recursos están autorizados a utilizar los usuarios en un equipo.

Si las acciones de los usuarios o grupos se graban en el registro de sucesos.

Las directivas de seguridad en Active Directory tienen las mismas opciones de

configuración de seguridad que en un equipo local. Sin embargo, los

administradores de redes basadas en Active Directory pueden ahorrar mucho

tiempo en tareas administrativas si utilizan directivas de grupo para

implementarla directiva de seguridad. La configuración de seguridad puede

modificarse o importarse a un GPO para cualquier sitio, dominio o unidad

organizativa, y se implementará automáticamente en los equipos cuando se

inicien.

Estas plantillas son:

Plantilla Descripción

Seguridad predeterminada

(Setup security.inf) Especifica la configuración de seguridad predeterminada.

Seguridad predeterminada en

controladores de dominio

(DC security.inf)

Especifica la configuración de seguridad predeterminada

que se actualiza a partir de Setup security.inf para un

controlador de dominio.

Compatible (Compatws.inf)

Modifica los permisos y la configuración del Registro para

habilitar la mayor compatibilidad posible de las

aplicaciones.

Segura (Securedc.inf y

Securews.inf)

Mejora las opciones de configuración de seguridad que

probablemente afecten menos a la compatibilidad de las

aplicaciones.



Muy seguras (Hisecdc.inf e

Hisecws.inf)

Aumenta las restricciones de la configuración

de seguridad.

Seguridad en la raíz del

sistema (Rootsec.inf)

Especifica permisos para la raíz de la unidad

del sistema.

Entender el funcionamiento de los diversos tipos de cortafuegos

(Firewall).

Quizás uno de los elementos más publicitados a la hora de establecer

seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los

que más se debe prestar atención, distan mucho de ser la solución final a los

problemas de seguridad.

De hecho, los Firewalls no tienen nada que hacer contra técnicas como la

Ingeniería Social y el ataque de Insiders.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que

ejerce una política de seguridad establecida. Es el mecanismo encargado de

proteger una red confiable de una que no lo es (por ejemplo Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de

él.

Sólo el tráfico autorizado, definido por la política local de seguridad, es

permitido.

Como puede observarse, el Muro

Cortafuegos, sólo sirven de defensa

perimetral de las redes, no defienden

de ataques o errores provenientes del

interior, como tampoco puede ofrecer

protección una vez que el intruso lo

traspasa.

Algunos Firewalls aprovechan esta capacidad de que toda la información

entrante y saliente debe pasar a través de ellos para proveer servicios de

seguridad adicionales como la encriptación del tráfico de la red.



Tipos de Firewall.

1. Filtrado de Paquetes.

Se utilizan Routers con filtros y reglas basadas en políticas de control de

acceso. El Router es el encargado de filtrar los paquetes basados en

cualquiera de los siguientes criterios:

Protocolos utilizados.

Dirección IP de origen y de destino.

Puerto TCP-UDP de origen y de destino.

Estos criterios permiten gran flexibilidad en el tratamiento del tráfico.

Restringiendo las comunicaciones entre dos computadoras (mediante las

direcciones IP) se permite determinar entre cuales máquinas la

comunicación está permitida.

El filtrado de paquetes mediante puertos y protocolos permite establecer que

servicios estarán disponibles al usuario y por cuales puertos. Se puede

permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la

transferencia de archivos vía FTP (puerto 21 cerrado).

Debido a su funcionamiento y estructura basada en el filtrado de direcciones

y puertos este tipo de Firewalls trabajan en los niveles de Transporte y de

Red del Modelo OSI y están conectados a ambos perímetros (interior y

exterior) de la red.

Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y

son transparentes para los usuarios conectados a la red. Sin embargo

presenta debilidades como:

No protege las capas superiores a nivel OSI.

Las necesidades aplicativas son difíciles de traducir como filtros de

protocolos y puertos.

No son capaces de esconder la topología de redes privadas, por lo que

exponen la red al mundo exterior.

Sus capacidades de auditoría suelen ser limitadas, al igual que su

capacidad de registro de actividades.

No soportan políticas de seguridad complejas como autentificación de

usuarios y control de accesos con horarios prefijados.



2. Proxy-Gateways de Aplicaciones.

Para evitar las debilidades asociadas al filtrado de paquetes, los

desarrolladores crearon software de aplicación encargados de filtrar las

conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la

máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o

Bastion Host.

El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el

cliente y el servidor real de la aplicación, siendo transparente a ambas

partes.

Cuando un usuario desea un servicio, lo hace a través del Proxy. Este,

realiza el pedido al servidor real devuelve los resultados al cliente. Su

función es la de analizar el tráfico de red en busca de contenido que viole la

seguridad de la misma.

3. Dual-Homed Host.

Son dispositivos que están conectados a ambos perímetros (interior y

exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado

de Paquetes), por lo que se dice que actúan con el "IP-Forwarding

desactivado".

Un usuario interior que desee hacer uso de un servicio exterior, deberá

conectarse primero al Firewall, donde el Proxy atenderá su petición, y en

función de la configuración impuesta en dicho Firewall, se conectará al

servicio exterior solicitado y hará de puente entre este y el usuario interior.

Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta

el Firewall y el otro desde este hasta la máquina que albergue el servicio

exterior.

4. Screened Host.

En este caso se combina un Router con un host bastión y el principal nivel

de seguridad proviene del filtrado de paquetes. En el bastión, el único

sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en

el router se filtran los paquetes considerados peligrosos y sólo se permiten

un número reducido de servicios.

5. Screened Subnet.



En este diseño se intenta aislar la máquina más atacada y vulnerable del

Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada

(DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el

acceso total a la subred protegida.

En este esquema se utilizan dos Routers: uno exterior y otro interior. El

Router exterior tiene la misión de bloquear el tráfico no deseado en ambos

sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo

mismo con la red interna y la DMZ (zona entre el Router externo y el

interno).

Es posible definir varios niveles de DMZ agregando más Routers, pero

destacando que las reglas aplicadas a cada uno deben ser distintas ya que

en caso contrario los niveles se simplificarían a uno solo.

6. Inspección de Paquetes.

Este tipo de Firewalls se basa en el principio de que cada paquete que

circula por la red es inspeccionado, así como también su procedencia y

destino. Se aplican desde la capa de Red hasta la de Aplicaciones.

Generalmente son instalados cuando se requiere seguridad sensible al

contexto y en aplicaciones muy complejas.

7. Firewalls Personales.

Estos Firewalls son aplicaciones disponibles para usuarios finales que

desean conectarse a una red externa insegura y mantener su computadora a

salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o

infección de virus hasta la pérdida de toda su información almacenada.

Beneficios de un Firewall.

Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las

computadoras de la red estarían expuestas a ataques desde el exterior. Esto

significa que la seguridad de toda la red, estaría dependiendo de qué tan fácil

fuera violar la seguridad local de cada máquina interna.

El Firewall es el punto ideal para monitorear la seguridad de la red y generar

alarmas de intentos de ataque, el administrador será el responsable de la

revisión de estos monitoreos.

Otra causa que ha hecho que el uso de Firewalls sea casi imperativo es el

hecho que en los últimos años en Internet han entrado en crisis el número



disponible de direcciones IP, esto ha hecho que las intranets adopten

direcciones sin clase, las cuales salen a Internet por medio de un "traductor de

direcciones", el cual puede alojarse en el Firewall.

Los Firewalls también son importantes desde el punto de vista de llevar las

estadísticas del ancho de banda "consumido" por el tráfico de la red, y qué

procesos han influido más en ese tráfico, de esta manera el administrador de la

red puede restringir el uso de estos procesos y economizar o aprovechar mejor

el ancho de banda disponible.

Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para

dividir partes de un sitio que tienen distintas necesidades de seguridad o para

albergar los servicios WWW y FTP brindados.

Limitaciones de un Firewall.

La limitación más grande que tiene un Firewall sencillamente es el hueco que

no se tapa y que coincidentemente o no, es descubierto por un intruso. Los

Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros

introducidos por su diseñador, por ende si un paquete de información no se

encuentra dentro de estos parámetros como una amenaza de peligro

simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back

Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque

original.

Otra limitación es que el Firewall "NO es contra humanos", es decir que si un

intruso logra entrar a la organización y descubrir passwords o los huecos del

Firewall y difunde esta información, el Firewall no se dará cuenta.

El Firewall tampoco provee de herramientas contra la filtración de software o

archivos infectados con virus, aunque es posible dotar a la máquina, donde se

aloja el Firewall, de antivirus apropiados.

Finalmente, un Firewall es vulnerable, él NO protege de la gente que está

dentro de la red interna. El Firewall trabaja mejor si se complementa con una

defensa interna.




Firewalls de hardware. Son más caros y complejos de manejar en el

mantenimiento y actualización. Los firewalls de hardware son más indicados en

empresas y grandes corporaciones que tienen múltiples computadoras

conectadas. También suelen utilizarse en aquellas empresas que prestan

servicios de hosting y necesitan seguridad en los servidores.

Normalmente son dispositivos que se colocan entre el router y la conexión

telefónica. Como ventajas, podemos destacar, que al ser independientes del

PC, no es necesario configurarlos cada vez que reinstalamos el sistema

operativo, y no consumen recursos del sistema. Un ejemplo de ellos son los

UTM –(unidad para la Gestión unificada de amenazas) que protege la red de la

compañía de cualquier tipo de riesgo que pueda llegar a través de Internet,

dado que incluye todas las protecciones necesarias en un único dispositivo:

Firewall, IPS, VPN, Anti-malware, Content Filter, Anti-spam y Filtrado web, etc.

Firewalls de software. Tienen un costo menor a comparación con el de

hardware y son una buena elección cuando sólo se utilizan pocos equipos. Su

instalación y actualización es sencilla, pues se trata de una aplicación de

software de seguridad instalada en una computadora.

Estos firewall son muy flexibles pero también son más proclives a tener

problemas.



INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER.

Microsoft Internet Security and Acceleration (ISA) Server 2006 es una solución

de seguridad diseñada por Microsoft para ayudar a proteger a las empresas

contra amenazas informáticas al mismo tiempo que habilita a sus usuarios a

obtener el máximo provecho de su infraestructura y ancho de banda.

Entre sus principales características, tenemos:

Permite un acceso remoto seguro a servidores Microsoft internos.

Permite el Acceso remoto a Terminal Services con SSL.

Trabaja con Redes Privadas Virtuales (VPN).

Permite realizar un Filtro e inspección de contenidos para comunicaciones

establecidas a través de un tune VPN entre dos sites.

Tiene funciones de administración fáciles de usar.

Permite el almacenamiento centralizado de las políticas de firewall

(Configuration Storage server).

Permite realizar una óptima monitorización y genera informes detallados.

Realiza la verificación de conexiones.

Múltiples redes.

Permite balanceo de carga con NLB (Network Load Balancing).

ISA Server 2006 dispone de tres tipos de funcionalidad de firewall: filtrado de

paquetes (también conocido como capa de circuito), filtrado de contenidos y

filtrado de nivel de aplicación.

Realiza filtrado HTTP basado en reglas.

Permite una protección avanzada de firewall.

Realiza la publicación de servidores.

Mejora el Rendimiento.

Realiza la compresión HTTP.

Etc.

INSTALACIÓN DE ISA SERVER.

REQUISITOS DE INSTALACIÓN DE ISA SERVER ESTÁNDAR.

Una computadora personal con un procesador de 733-megahertz (MHz) o más

rápido.

Microsoft Windows Server ™ 2003 con Service Pack 1 (SP1) o Microsoft

Windows Server 2003 R2 como sistema operativo.

Tenga en cuenta lo siguiente:



No se puede instalar ISA Server 2006 en versiones de 64 bits de los sistemas

operativos Windows Server 2003.

Cuando ISA Server 2006 se instala como un miembro del dominio, ISA Server

Standard Edition sólo se puede instalar en un Windows 2003 Server o Windows

Server 2000 del dominio.

512 megabytes (MB) de memoria.

150 MB de espacio disponible en el disco duro. Esto es exclusivo de espacio

en el disco duro que desea utilizar para el almacenamiento en caché.

Un adaptador de red que sea compatible con el sistema operativo del

ordenador, para la comunicación con la red interna.

Un adaptador de red adicional para cada red conectada al equipo servidor ISA.

Una partición de disco duro local que está formateado con el sistema de

archivos NTFS.

Procedimiento de instalación:

Primero, verifiquemos que se encuentre actualizado nuestro sistema operativo

de servidor que puede ser Windows 2003 server sp2.

También se debe definir como mínimo dos tarjetas de red, una para la red

interna que se conectará con el switch de la red a la que se desea proteger y la

otra que se conectará al Router para establecer la conexión con la red externa.

Inserte el CD de ISA Server en la unidad de CD o ejecutar ISAAutorun.exe de

la unidad de red compartida.



Aparecerá una pantalla en donde escogerá la opción “Instalar ISA Server 2006

SP1”, luego cargará el asistente de instalación:

Después aparecerá el acuerdo de uso, seleccionará aceptar y damos clic en

siguiente (next).

En la siguiente pantalla se puede visualizar información relacionada al

producto, en caso de contar con un código de activación del producto, se debe

llenar con los datos correspondientes que le proporciono su proveedor, en caso

de no contar con alguno, se dejan los valores que están por defecto.



El siguiente paso es seleccionar el modo de instalación, si es la primera vez

que se va a instalar el ISA Server, debe seleccionar la opción 3, ya que

instalará el servidor de almacenamiento y los servicios de ISA Server.

En el siguiente panel seleccionará la primera opción para crear una nueva

empresa, ya que es el primer servidor ISA y damos “Siguiente”.

En la siguiente pantalla debe especificar una cuenta para Administrar el ISA, es

necesario que la cuenta que elijamos pertenezca al grupo de Administradores.

Haga clic en “siguiente”.

Ahora debe elegir el adaptador o los adaptadores de red, y especificar el rango

IP en que se encuentran los dispositivos que estarán detrás del Firewall del ISA

(red interna).



Por último haga clic en “Siguiente” y llegaremos a la parte final del wizard,

donde ya estará configurado el tipo de instalación que ejecutara, si todo está

correcto damos clic en Instalar.

Una vez completado el proceso de instalación, podrá acceder a la consola de

administración de este servicio:



1. Indique algunos ejemplos de directivas (GPO) que podrían ayudar a

implementar un mejor nivel de seguridad en la red corporativa.

2. ¿Qué entiende usted por el concepto de “Proxy” en una red corporativa?

– explique al detalle.

3. ¿Cuál es la función y los tipos de firewall? – explique.

4. ¿Cuál es el firewall personal que recomendaría? – Explique.

5. ¿Cuál es la función que cumple un servidor ISA en una empresa?

6. ¿Qué otras alternativas diferentes al ISA server se tienen en las

empresas?

7. ¿Qué es el NAT y porqué es tan necesario en la actualidad?


TAREA


TAREA 11.

REALIZAR LOS PROCEDIMIENTOS ASOCIADOS AL

AISLAMIENTO DE LA RED.


Utilizar VLANs.

Configurar subredes utilizando VLSM.








Utilizar VLANs.

Colocación de los Jack’s Rj45 en las rosetas.

11

“La mayor parte de los hombres tienen una capacidad intelectual

muy superior al ejercicio que hacen de ella”.

(José Ortega y Gasset).



OPERACIÓN:

UTILIZAR VLANS

Para esto utilizará un software de simulación de redes:

Crearemos la siguiente estructura:

En esta imagen podrá notar que en un mismo ambiente están conectados la

pc0, pc1, pc2 que pertenecen a logística, en el segundo ambiente tambien se

tienen 2 equipos que son de logística (pc6 y pc7) y 3 equipos de contabilidad

que son pc3, pc4, pc5.

Cada ambiente tiene su respectivo Switch, pero el problema se presenta en

que se requiere que las pc’s de una misma área se puedan comunicar, pero no

de áreas diferentes.

Para resolver este problema debe crear dos VLAN, una para cada área y luego

especificar que puertos de los switchs pertenecerán a dichas VLANs.

Eso se logrará siguiendo los pasos que a continuación se describen:

1. Primero debe asignar las direcciones IP a los equipos, en este caso utilizará

la red: 192.168.1.0/24.

2. Una vez que tengalos IPs configurados, probará conectividad entre los

equipos:



3. Ahora, ingresará a la configuración del primer switch, y colocará los

siguientes códigos en la interfaz de linea de comandos:

Switch>enable

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#vlan 2

Switch(config-vlan)#name Logistica

Switch(config-vlan)#exit


Switch(config-vlan)#name Contabilidad


Switch(config)#

4. Hasta aquí ha creado las 2 vlan: vlan2: Logistica y vlan3: Contabilidad.

5. En este switch estarán conectados solo equipos de Logistica, por lo tanto

debe definir que sus puertos pertenecerán a la Vlan: Logistica:

Switch(config)#interface FastEthernet0/1

Switch(config-if)#switchport access vlan 2

Switch(config-if)#exit



Switch(config-if)#




Switch(config-if)#




Switch(config-if)#






Switch(config-if)#

6. El puerto fa3/1 esta conectado hacia el otro switch, por consiguiente, tendrá

la siguiente configuración:


Switch(config-if)#

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/1,

changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/1,

changed state to up

Switch(config-if)#switchport mode trunk

Switch(config-if)#

7. Ahora se ubicará en el segundo Switch, y creará las dos Vlan, teniendo en

cuenta los mismos números y nombres de vlan que en el switch anterior:

Switch>enable

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.


Switch(config-vlan)#name Logistica



Switch(config-vlan)#name Contabilidad


Switch(config)#

8. El puerto fa0/1 esta conectado hacia el otro switch, por lo tanto colocará la

siguiente configuracion:


Switch(config-if)#

Switch(config-if)#switchport mode trunk

Switch(config-if)#



9. Las PCs de logistica están conectadas a los puertos fa1/1 y fa 2/1 y las otras

PCs pertenecen a contabilidad, por consiguiente se definirá a que VLAN

pertenece cada puerto:





Switch(config-if)#


Switch(config-if)#



Switch(config-if)#


Switch(config-if)#



Switch(config-if)#

Switch(config-if)#


Switch(config-if)#



Switch(config-if)#


Switch(config-if)#



Switch(config-if)#


Switch(config-if)#





Switch(config-if)#




Switch(config-if)#


Switch(config-if)#



Switch(config-if)#

Switch(config-if)#


Switch(config-if)#

10. Ahora probará conectividad y solo deben comunicarse entre equipos de la

misma area.

CONFIGURAR SUBREDES UTILIZANDO VLSM.

Teniendo muy claro el concepto de subredes, realizará las siguientes

operaciones:

1. Se dividirá la red: 172.16.0.0/16 de tal forma que se tenga sub redes de 510

host, y en el resultado se mostrará:

a. Las 5 primeras subredes y las 3 últimas.

b. Se indicarán los 5 primeros IP’s de host y la dirección de broadcast de la

quinta subred.

c. La nueva mascara.

2. Nos dan la dirección de Red 136.177.0.0/16. Necesitamos tener 70 subredes

como mínimo y500 hosts como mínimo por cada subred. ¿Qué máscara de

subred deberemos usar?:




UTILIZAR VLANS.

Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que

agrupa un conjunto de equipos de manera lógica y no física.

Efectivamente, la comunicación entre los diferentes equipos en una red de área

local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN),

es posible liberarse de las limitaciones de la arquitectura física (limitaciones

geográficas, limitaciones de dirección, etc.), ya que se define una

segmentación lógica basada en el agrupamiento de equipos según

determinados criterios tales como los números de puertos en el Switch.

Tipos de VLAN.

Se han definido diversos tipos de VLAN, según criterios de conmutación y el

nivel en el que se lleve a cabo:

La VLAN de nivel 1 (también denominada VLAN basada en puerto) define

una red virtual según los puertos de conexión del conmutador.

La VLAN de nivel 2 (también denominada VLAN basada en la dirección

MAC) define una red virtual según las direcciones MAC de las estaciones.

Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la

red es independiente de la ubicación de la estación.

La VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3:

o La VLAN basada en la dirección de red conecta subredes según la

dirección IP de origen de los datagramas. Este tipo de solución brinda

gran flexibilidad, en la medida en que la configuración de los

conmutadores cambia automáticamente cuando se mueve una estación.

En contrapartida, puede haber una ligera disminución del rendimiento, ya



que la información contenida en los paquetes debe analizarse

detenidamente.

o La VLAN basada en protocolo permite crear una red virtual por tipo de

protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se

pueden agrupar todos los equipos que utilizan el mismo protocolo en la

misma red.

La VLAN de Voz: Se necesita una VLAN separada para admitir la Voz sobre

IP(VoIP). Pongamos el caso de que está recibiendo una llamada de urgencia

y de repente la calidad de la transmisión se distorsiona tanto que no puede

escuchar bien lo que está diciendo la persona que llama. El tráfico de VoIP

requiere:

o Ancho de banda garantizado para asegurar la calidad de la voz.

o Prioridad de la transmisión sobre los tipos de tráfico de la red.

o Capacidad para ser enrutado en áreas congestionadas de la red.

Ventajas de la VLAN.

La VLAN permite definir una nueva red por encima de la red física y, por lo

tanto, ofrece las siguientes ventajas:

o Mayor flexibilidad en la administración y en los cambios de la red, ya que la

arquitectura puede cambiarse usando los parámetros de los conmutadores.

o Aumento de la seguridad, ya que la información se encapsula en un nivel

adicional.

o Disminución en la transmisión de tráfico en la red.

Configurar subredes utilizando VLSM.

Primero veremos algunos conceptos previos:

Direcciones IP vs4.

Como se mencionó anteriormente, a medida que las redes crecen, presentan

problemas que pueden reducirse al menos parcialmente dividiendo la red en

redes interconectadas más pequeñas.

Los problemas comunes con las redes grandes son:

Se presenta una degradación de rendimiento.

No se puede ejercer un adecuado nivel de seguridad.

No es posible una óptima Administración de direcciones IP.



Vamos a empezar realizando una explicación detallada de cómo se utilizan las

direcciones IP vs 4.

Estas direcciones poseen 2 partes:

1. network number.

2. host number

El número de host está definido por 4 octetos de bits.

La máscara de subred (subnetmask) determina la porción de red, cuyos bits

definen el número de red, y la porción de host.

Un bit “1” en la máscara de subred significa que la correspondiente dirección IP

debe leerse como un número de red.

Un bit “0” en la máscara de subred significa que la correspondiente dirección IP

debe leerse como un bit de host.



Anteriormente, se podían clasificar a las redes en clases en función del

direccionamiento y el uso de máscaras predefinidas.

Estas clases son:

Clase A:

• Existen 126 direcciones clase A (desde la dirección de red 1.0.0.0/8 hasta

126.0.0.0/8).

• 16,777,214 direcciones de host (224-2, se le quitan 2 debido a la IP de la red

y la IP de Broadcast).

• Solo se utilizaría para grandes organizaciones tales como militares, agencias

gubernamentales, universidades y corporaciones.



• Los números de red 0 y 127 quedan reservados y no se pueden utilizar

como direcciones de red.

• La red 127.0.0.0 se reserva para las

pruebas de loopback. Los Routers o

las máquinas locales pueden utilizar

esta dirección para enviar paquetes

nuevamente hacia ellos mismos. Por

lo tanto, no se puede asignar este

número a una red.

Clase B:

• Existen 16,384 (214) redesclase B.

• 65,534 direcciones de host (224-2, se le quitan 2 debido a la IP de la red y la

IP de Broadcast).

• Son asignados a grandes organizaciones corporativas.

Clase C:

• Existen 2,097,152 posibles redes clase C.

• 254 direcciones de host (28-2, se le quitan 2 debido a la IP de la red y la IP

de Broadcast).

• Las direcciones clase C se utilizan para redes pequeñas.



Direcciones Clase D.

• El primer octeto comienza con la cadena binaria 1110.

• El primer octeto está entre 224 y 239.

• Estas direcciones pueden ser utilizadas para representar un grupo de hosts

denominado host group o multicastgroup.

Direcciones Clase E.

• El primer octeto comienza con la cadena binaria 1111.

• Estas direcciones son reservadas para propósitos experimentales y de

investigación.

SUBNETTING (SUBREDES).

Subnetting es el proceso de

préstamo de bits de los bits de host,

de mayor significación, para poder

dividir una red grande en pequeñas

subredes.

Se pierde 2 direcciones IP de host por cada subred: uno para la dirección IP de

subred y el otro para la dirección IP de broadcast de la subred.

En estos casos se utiliza VLSM (variable length subnet mask), con lo cual la

máscara es modificada dependiendo de la cantidad de subredes o host por

subred que se requieren.

Ejemplo:

Tenemos la red: 172.16.0.0/16 y necesitamos dividirla en 256 subredes:

Solución:

Máscara de subred usando subredes: 255.255.255.0 o /24



También existe un concepto muy importante en el protocolo IP vs4, el cual va

asociado al ámbito de las direcciones, por consiguiente, también podemos

tener la siguiente clasificación:

Ip privado.

Las direcciones privadas pueden ser utilizadas por los hosts que usan

traducción de dirección de red (NAT) y traducción de direcciones de puerto

(PAT) para conectarse a una red pública (Internet) o por los hosts que no se

conectan a esta. En una misma red no pueden existir dos direcciones iguales,

pero sí se pueden repetir en dos redes privadas que no tengan conexión entre

sí o que se conecten mediante el protocolo NAT. Las direcciones privadas son:

Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts).

Clase B: 172.16.0.0 a 172.31.255.255 (16 bits red, 16 bits hosts). 16 redes

clase B contiguas, uso en universidades y grandes compañías.



Clase C: 192.168.0.0 a 192.168.255.255 (24 bits red, 8 bits hosts). 256 redes

clase C contiguas, uso de compañías medias y pequeñas además de

pequeños proveedores de internet (ISP).

Ip público.

Estas son direcciones utilizadas en Internet y las asignarán los proveedores de

servicios a Internet y estos proveedores la obtienen de la ICANN (Internet

Corporation for Assigned Names and Numbers - Corporación de Internet para

la Asignación de Nombres y Números). Organización sin fines de lucro creada

el 18 de septiembre de 1998 para encargarse de algunas tareas que realizaba

la IANA. Es manejada por el Departamento de Comercio de EE.UU.

Éstas tareas incluyen la gestión de la asignación de nombres de dominios de

primer nivel y direcciones IP.

Las direcciones IP pueden asignarse de manera estática o dinámica.

Asignación estática de direcciones.

Con una asignación estática, el administrador de red debe configurar

manualmente la información de red para un host. Como mínimo, esto implica

ingresar la dirección IP del host, la máscara de subred y el gateway por

defecto.

Las direcciones estáticas tienen algunas ventajas en comparación con las

direcciones dinámicas. Por ejemplo, resultan útiles para impresoras, servidores

y otros dispositivos de red que deben ser accesibles a los clientes de la red. Si

los hosts normalmente acceden a un servidor en una dirección IP en particular,

esto provocaría problemas si se cambiara esa dirección. Además, la asignación

estática de información de direccionamiento puede proporcionar un mayor

control de los recursos de red. Sin embargo, puede llevar mucho tiempo

ingresar la información en cada host.

Al utilizar direccionamiento IP estático, es necesario mantener una lista precisa

de las direcciones IP asignadas a cada dispositivo. Éstas son direcciones

permanentes y normalmente no vuelven a utilizarse.



Asignación dinámica de direcciones.

Debido a los desafíos asociados con la administración de direcciones estáticas,

los dispositivos de usuarios finales a menudo poseen direcciones

dinámicamente asignadas, utilizando el Protocolo de configuración dinámica de

host (DHCP).

El DHCP permite la asignación automática de información de direccionamiento

como la dirección IP, la máscara de subred, el gateway por defecto y otras

opciones de configuración. La configuración del servidor DHCP requiere que un

bloque de direcciones, llamado conjunto de direcciones (ámbito), que sea

definido para ser asignado a los clientes DHCP en una red. Las direcciones

asignadas a este pool deben ser planificadas de manera que se excluyan las

direcciones utilizadas para otros tipos de dispositivos.

Nota:

La seguridad que entregará la nueva versión de Protocolo IP: Protocolo IP

vs 6.0:



Primero veremos algunos conceptos del IP vs 6.0:

Protocolo IP vs 6.

A principios de los años noventa, el Grupo de trabajo de ingeniería de Internet

(IETF) centró su interés en el agotamiento de direcciones de red IPv4

(direcciones públicas) y comenzó a buscar un reemplazo para este protocolo.

Esta actividad produjo el desarrollo de lo que hoy se conoce como IPv6.

Crear mayores capacidades de direccionamiento fue la motivación inicial para

el desarrollo de este nuevo protocolo. También se consideraron otros temas

durante el desarrollo de IPv6, como:

Manejo mejorado de paquetes.

Escalabilidad y longevidad mejoradas.

Mecanismos QoS (Calidad del Servicio).

Seguridad integrada

Para proveer estas características, IPv6 ofrece:

Mayor espacio de direcciones. El tamaño de las direcciones IP cambia de

32 bits a 128 bits, para soportar: más niveles de jerarquías de

direccionamiento y más nodos direccionables.

Simplificación del formato del Header. Algunos campos del header IPv4 se

quitan o se hacen opcionales.

Paquetes IP eficientes y extensibles, sin que haya fragmentación en los

routers, alineados a 64 bits y con una cabecera de longitud fija, más simple,

que agiliza su procesado por parte del router.

Posibilidad de paquetes con carga útil (datos) de más de 65.355 bytes.

Seguridad en el núcleo del protocolo (IPsec). El soporte de IPsec es un

requerimiento del protocolo IPv6.

Capacidad de etiquetas de flujo. Puede ser usada por un nodo origen para

etiquetar paquetes pertenecientes a un flujo (flow) de tráfico particular, que

requieren manejo especial por los routers IPv6, tal como calidad de servicio

no por defecto o servicios de tiempo real. Por ejemplo video conferencia.

Autoconfiguración: la autoconfiguración de direcciones es más simple.

Especialmente en direcciones Aggregatable Global Unicast, los 64 bits

superiores son seteados por un mensaje desde el router (Router

Advertisement) y los 64 bits más bajos son seteados con la dirección MAC

(en formato EUI-64). En este caso, el largo del prefijo de la subred es 64, por

lo que no hay que preocuparse más por la máscara de red. Además el largo



del prefijo no depende en el número de los hosts por lo tanto la asignación

es más simple.

Renumeración y "multihoming": facilitando el cambio de proveedor de

servicios.

Características de movilidad, la posibilidad de que un nodo mantenga la

misma dirección IP, a pesar de su movilidad.

Ruteo más eficiente en el backbone de la red, debido a la jerarquía de

direccionamiento basada en aggregation.

Calidad de servicio (QoS) y clase de servicio (CoS).

Capacidades de autenticación y privacidad

IPv6 no es simplemente un nuevo protocolo de Capa 3: es un nuevo conjunto

de aplicaciones de protocolo. Se han tenido que desarrollar nuevos protocolos

en varias capas del modelo para admitir este nuevo protocolo. Hay un nuevo

protocolo de mensajería (ICMPv6) y nuevos protocolos de enrutamiento.

Debido al mayor tamaño del encabezado de IPv6, también repercute en la

infraestructura de red subyacente.

Transición a IPv6.

Como se puede ver IPv6 ha sido diseñado con escalabilidad para permitir años

de crecimiento de la internetwork. Sin embargo, IPv6 se está implementando

lentamente y en redes selectas. Debido a las mejores herramientas,

tecnologías y administración de direcciones en los últimos años, IPv4 todavía

se utiliza ampliamente y probablemente permanezca durante algún tiempo en

el futuro. Sin embargo, IPv6 podrá eventualmente reemplazar a IPv4 como

protocolo de Internet dominante.



¿Qué tan grande es el espacio de direcciones.

Habrían 2 ^ 128 direcciones IP diferentes, significa que si la población mundial

fuera de 10 billones habría 3.4 * 10 ^ 27 direcciones por persona. O visto de

otra forma habría un promedio de 2.2 * 10 ^ 20 direcciones por centímetro

cuadrado. Siendo así muy pequeña la posibilidad de que se agoten las nuevas

direcciones.

Direccionamiento.

Las direcciones son de 128 bits e identifican interfaces individuales o conjuntos

de interfaces. Al igual que en IPv4 en los nodos se asignan a interfaces.

Se clasifican en tres tipos:

Unicast: identifican a una sola interfaz. Un paquete enviado a una dirección

unicast es entregado sólo a la interfaz identificada con dicha dirección.

Anycast: identifican a un conjunto de interfaces. Un paquete enviado a una

dirección anycast, será entregado a alguna de las interfaces identificadas

con la dirección del conjunto al cual pertenece esa dirección anycast.



Multicast identifican un grupo de interfaces. Cuando un paquete es enviado a

una dirección multicast es entregado a todos las interfaces del grupo

identificadas con esa dirección.

En el IPv6 no existen direcciones broadcast, su funcionalidad ha sido mejorada

por las direcciones multicast.

Representación de las direcciones.

Existen tres formas de representar las direcciones IPv6 como strings de texto.

x:x:x:x:x:x:x:x donde cada x es el valor hexadecimal de 16 bits, de cada uno

de los 8 campos que definen la dirección. No es necesario escribir los ceros

a la izquierda de cada campo, pero al menos debe existir un número en cada

campo.

Ejemplos: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

1080:0:0:0:8:800:200C:417A

Como será común utilizar esquemas de direccionamiento con largas

cadenas de bits en cero, existe la posibilidad de usar sintácticamente :: para

representarlos. El uso de :: indica uno o más grupos de 16 bits de ceros.

Dicho símbolo podrá aparecer una sola vez en cada dirección.

Por ejemplo:

1080:0:0:0:8:800:200C:417A unicast address

FF01:0:0:0:0:0:0:101 multicast address

0:0:0:0:0:0:0:1 loopback address

0:0:0:0:0:0:0:0 unspecified addresses

podrán ser representadas como:

1080::8:800:200C:417A unicast address

FF01::101 multicast address

::1 loopback address

:: unspecified addresses

Para escenarios con nodos IPv4 e IPv6 es posible utilizar la siguiente

sintaxis:

x:x:x:x:x:x:d.d.d.d, donde x representan valores hexadecimales de las seis



partes más significativas (de 16 bits cada una) que componen la dirección y

las d, son valores decimales de los 4 partes menos significativas (de 8 bits

cada una), de la representación estándar del formato de direcciones IPv4.

Ejemplos: 0:0:0:0:0:0:13.1.68.3

0:0:0:0:0:FFFF:129.144.52.38

o en la forma comprimida: ::13.1.68.3

::FFFF:129.144.52.38

Además tenemos los diferentes tipos de direcciones IP vs6:

Dirección IPv6 Longitud del

Prefijo (Bits)

Descripción Notas

:: 128 bits sin especificar como 0.0.0.0 en Pv4

::1 128 bits dirección de bucle

local (loopback)

como las 127.0.0.1 en IPv4

::00:xx:xx:xx:xx 96 bits direcciones IPv6

compatibles con

IPv4

Los 32 bits más bajos

contienen una dirección

IPv4. También se

denominan direcciones

“empotradas.”

::ff:xx:xx:xx:xx 96 bits direcciones IPv6

mapeadas a IPv4

Los 32 bits más bajos

contienen una dirección

IPv4. Se usan para

representar direcciones

IPv4 mediante direcciones

IPv6.

fe80:: - feb:: 10 bits direcciones link-

local

Es una dirección link-local

autoconfigurada. Se

construye a partir de la

dirección MAC de la tarjeta

de red.

fec0:: - fef:: 10 bits direcciones site-

local

Equivalentes al

direccionamiento privado

de IPv4

ff:: 8 bits multicast

001 (base 2) 3 bits direcciones

unicast globales

Todas las direcciones IPv6

globales se asignan a partir

de este espacio. Los

primeros tres bits siempre

son “001”.



Por lo general las direcciones IPv6 están compuestas por dos partes lógicas:

un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de

interfaz, que casi siempre se genera automáticamente a partir de la dirección

MAC (Media Access Control address) de la interfaz a la que está asignada la

dirección.

Solución actual.

La utilización de IPv6 se ha frenado por la Traducción de Direcciones de Red

(NAT, Network Address Translation), temporalmente alivia la falta de estas

direcciones de red.

Este mecanismo consiste en usar una dirección IPv4 para que una red

completa pueda acceder a internet. Pero esta solución nos impide la utilización

de varias aplicaciones, ya que sus protocolos no son capaces de atravesar los

dispositivos NAT, por ejemplo P2P, juegos multiusuarios, entre otros.

¿Qué es un túnel IPv6 en IPv4?

Es un mecanismo de transición que permite a máquinas con IPv6 instalado

comunicarse entre sí a través de una red IPv4.

El mecanismo consiste en crear los paquetes IPv6 de forma normal e

introducirlos en un paquete IPv4. El proceso inverso se realiza en la máquina

destino, que recibe un paquete IPv6.



Tenemos algunos protocolos que cumplen esta función:

Teredo es un protocolo tunelizado multiplataforma diseñado para garantizar

conectividad IPv6 a nodos que están localizados en redes IPv4. Comparado

con otros protocolos similares, este protocolo también es capaz de realizar su

función en redes con dispositivos NAT.

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) es un mecanismo

de transición de IPv6 para transmitir paquetes de IPv6 entre nodos con doble

pila (dual-stack) sobre redes IPv4.

6over4 es un mecanismo de transición de IPv6 para transmitir paquetes IPv6

entre nodos con doble pila sobre una red IPv4 con multicast habilitado.

Uno de los mecanismos más comunes para realizar pruebas de Interconexión

de redes IPv6, son los túneles 6over4, los cuales son utilizados para

encapsular paquetes IPv6 , en una red IPv4 nativa, creando una red punto a

punto entre dos máquinas que estén comunicándose por este protocolo.



El cambio de IPv4 a IPv6 permite una mejora en la seguridad.

IPv6 fue diseñado para ser más seguro que IPv4, por ejemplo, IPsec está

integrado de forma nativa en IPv6 para autenticar y cifrar los paquetes de

datos, por lo tanto no es necesario integrarlo como pasa con IP vs4.

Recordemos que IPSec permite:

Confidencialidad.

El tráfico de IPSec está cifrado. El tráfico de IPSec capturado no se puede

descifrar si no se conoce la clave de cifrado.

Autenticación.

El tráfico de IPSec está firmado digitalmente con la clave de cifrado compartida

de manera que el destinatario pueda comprobar que lo envió el interlocutor

IPSec.

Integridad de los datos.

El tráfico de IPSec contiene una suma de comprobación criptográfica que

incorpora la clave de cifrado. El destinatario puede comprobar que el paquete

no se ha modificado durante la transmisión.

Además, la fragmentación de paquetes en IPv6 funciona de diferente manera

que en IPv4, ya que no permite la fragmentación/reensamblado en routers

intermedios, sólo se permite en los host finales por lo que los ataques de

fragmentación de paquetes ya no servirían de mucho como hasta ahora.

Algunas otras características:

Se realiza la eliminación de la suma de comprobación en IP, ya que se tiene

sumas de comprobación en la capa de transporte y en la capa de enlace y

esto permitirá acelerar el procesamiento de los paquetes IP.

Integración de la dirección anycast, que permite entregar un datagrama a un

host cualquiera, dentro de un grupo de host.

Creación de ICMPv6 para los nuevos mensajes relacionados con IPv6, el

nuevo ICMPv6 también integra IGMP (Protocolo de gestión de grupos de

internet), algo que no pasaba con el ICMP anterior.

Integración de IPsec, protocolo de seguridad de internet.



La mayoría de los Sistemas Operativos soportan IPv6 desde hace buen tiempo:

• Linux RedHat, Ubuntu, debian, …

• Solaris.

• Windows XP, Vista, 7, 8

• OpenVMS, AIX, …

Algunas características de IPTables no están soportadas.

Escaso soporte en aceleradores hardware a nivel de red.

Comparación entre IP vs 4 e IP vs 6:

IPv4 IPv6

232

direcciones IP ~ 4.2x109 2

128 direcciones IP ~ 3.4x10

34

Tipo de Servicio (ToS) Etiqueta de Flujo y

Clase de Tráfico (QoS)

Seguridad es algo opcional Seguridad extremo-a-extremo

en forma nativa (IPSec)

Configuración Manual

o dinámica (DHCP)

Configuración “Plug & Play”

Encabezado de 20 bytes. Encabezado de 40 bytes.

Fragmentación de paquetes se realiza en

Hosts y Routers.

Fragmentación de paquetes se

realiza sólo en Hosts.

Realiza Checksum de encabezado. Checksum de encabezado se

realiza en otras capas.



1. ¿Qué es una VLAN?

2. ¿En qué casos recomendaría usted la separación de la red utilizando

redes lan virtuales (VLAN)? – Explique.

3. Se requiere dividir la red: 173.15.0.0/16 en redes de 510 host cada una.

Indique las tres primeras subredes obtenidas y las tres últimas.

Además indique la nueva máscara de subred.

4. ¿Qué ventajas en seguridad nos brinda el IP vs 6 con respecto al IP vs

4.0? – Explique.


TAREA


TAREA 12:

CONFIGURAR LOS PROTOCOLOS DE SEGURIDAD MÁS

IMPORTANTES Y CONOCER LOS MÉTODOS MÁS COMUNES

DE PROTECCIÓN CONTRA ATAQUES INFORMÁTICOS.


Proteger los sistemas ante los métodos más comunes de ataque.

Utilizar software de seguridad para proteger los host en la red de datos.





Sistema operativo Windows para el equipo cliente Orden de Ejecución:

OPERACIÓN:

Proteger los sistemas ante los métodos más comunes de ataque.


"Aunque supiera que el mundo se va a acabar mañana yo hoy aún plantaría un árbol". …Martin Luther King

12



PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE

ATAQUE.

Debe tomar conciencia sobre los diversos tipos de ataque a los cuales están

expuestos los equipos de cómputo, debe U.D analizar los tipos de ataques más

comunes a los que se hace frente diariamente por la red y algunas

recomendaciones para evitarlos.

Las amenazas a la seguridad no se resuelven con un solo programa por

sofisticado y completo que nos parezca, aunque existen suites de seguridad

que aglutinan varios modos de protección para nuestro equipo como antivirus,

firewall, control de contenidos Web, antiespias, etc., esto no es suficiente, se

necesita también una gran disciplina al momento de utilizar nuestras

aplicaciones.

Aquí el factor humano (o sentido común) es tan importante como las

estrategias de seguridad que se implementan con los programas adecuados.

Entre las suites de seguridad más utilizadas y reconocidas se encuentran las

de Norton, Panda, Kaspersky y McAfee.

A continuación hará un listado de las diferentes formas de ataque y la solución

más recomendable.

Por ejemplo:

Problema (ataque) Posible solución

Escaneo (Búsqueda).

Ataques de autentificación.

Denial of service (DOS)

Explotación de errores de diseño,

implementación y operación

Programas maliciosos.

Identificación de respuestas ICMP.

Exploración de puertos.

Escuchas de red.

Suplantación de ARP

Deficiencias de programación




PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE

ATAQUE.

Aquí se describen algunas de las debilidades y los puntos de ingreso más

utilizados por intrusos, que pretenden acceder a los recursos de las

organizaciones a través de las redes de datos. La clave para defender estos

puntos son las explicaciones acerca de cómo se desarrollan, y cómo los

administradores pueden salvaguardar adecuadamente sus redes contra tales

ataques.

Entre estos problemas, podemos distinguir:

Contraseñas nulas o predeterminadas.

Se presentan problemas de seguridad muy graves al dejar las contraseñas

administrativas en blanco, o utilizando la contraseña predeterminada puesta

por el vendedor. Esto es lo más común en hardware como ruteadores,

switch administrables, acces point, cortafuegos, etc.

Además, los administradores, a veces crean apresuradamente cuentas de

usuarios privilegiados, y dejan la contraseña en blanco o la crean sin la

complejidad necesaria, creando un punto de entrada perfecto para usuarios

malintencionados que han descubierto la cuenta.

Imitación de IP.

Una máquina remota actúa como un nodo en su red local, busca debilidades

en sus servidores, e instala un programa de puerta trasera o troyano para

ganar el control de los recursos de la red.

La suplantación de identidad es difícil pero no imposible, este procedimiento

involucra la necesidad del atacante de tener que predecir los números de

secuencia de TCP/IP para coordinar una conexión a los sistemas remotos,

pero hay varias herramientas disponibles para asistir a los atacantes a

realizar esa tarea.

Depende del tipo de servicios que se estén ejecutando en el sistema de

destino (como por ejemplo rsh, telnet, FTP y demás).

Escuchas.



La escucha se realiza para la recolección de datos que pasan entre dos

nodos activos en una red.

Este tipo de ataque funciona principalmente con protocolos de transmisión

de texto plano tales como las transferencias Telnet, FTP y HTTP.

El atacante remoto debe tener acceso a un sistema comprometido en una

LAN para poder realizar el ataque; usualmente el atacante usó un ataque

activo (tal como la suplantación de IP o la del hombre en el medio) para

comprometer un sistema en la LAN.

Las medidas preventivas incluyen servicios con cambio de claves

criptográficas, contraseñas de un solo uso, o autenticación encriptada para

prevenir la adivinación de contraseñas; una fuerte encriptación durante la

transmisión también es recomendada.

Debilidades de servicios.

Un atacante encuentra una brecha o hueco en un servicio que corre a través

de Internet; a través de esta vulnerabilidad, el atacante compromete el

sistema entero y cualquier dato que pueda contener, y puede posiblemente

comprometer otros sistemas en la red.

Los servicios basados en HTTP como CGI son vulnerables a ejecuciones

desde comandos remotos, y aún a accesos desde consolas interactivas.

Incluso si el servicio HTTP lo ejecuta un usuario sin demasiados privilegios,

algunos datos pueden ser leídos, como por ejemplo, los archivos de

configuración y mapas de red. El atacante también puede iniciar un ataque

de denegación de servicio que agotará los recursos del sistema, o lo dejará

inutilizable por otros usuarios.

Los servicios algunas veces pueden presentar debilidades que no son

visibles a lo largo de los procesos de desarrollo o de prueba. Estas

vulnerabilidades pueden darle a un atacante un control administrativo total,

como es el caso de un desbordamiento del búfer: los atacantes destruyen un

sistema utilizando valores arbitrarios que agotan la memoria del búfer de una

determinada aplicación, y obteniendo así una consola desde la cual poder

ejecutar comandos.

Los administradores se deben asegurar que los servicios no corren

utilizando un usuario administrador, y deben vigilar los parches y



actualizaciones de las aplicaciones de vendedores u organizaciones de

seguridad.

NOTA:

CGI: Interfaz de entrada común (en inglés Common Gateway Interface,

abreviado CGI) es una importante tecnología de la World Wide Web que

permite a un cliente (navegador web) solicitar datos de un programa ejecutado

en un servidor web. CGI especifica un estándar para transferir datos entre el

cliente y el programa. Es un mecanismo de comunicación entre el servidor web

y una aplicación externa cuyo resultado final de la ejecución son objetos MIME.

Las aplicaciones que se ejecutan en el servidor reciben el nombre de CGIs.

Las aplicaciones CGI fueron una de las primeras prácticas de crear contenido

dinámico para las páginas web. En una aplicación CGI, el servidor web pasa

las solicitudes del cliente a un programa externo. Este programa puede estar

escrito en cualquier lenguaje que soporte el servidor, aunque por razones de

portabilidad se suelen usar lenguajes de script. La salida de dicho programa es

enviada al cliente en lugar del archivo estático tradicional.

CGI ha hecho posible la implementación de funciones nuevas y variadas en las

páginas web, de tal manera que esta interfaz rápidamente se volvió un

estándar, siendo implementada en todo tipo de servidores web.

Debilidades de aplicaciones.

Los atacantes encuentran fallas en las aplicaciones de un equipo de

escritorio o de una estación de trabajo (como puede ser por ejemplo un

cliente de correo electrónico), y ejecutan un código malicioso, colocan

troyanos para futuros daños, o simplemente destruyen el sistema. Pueden

ocurrir futuras catástrofes si la estación de trabajo vulnerada posee

privilegios administrativos sobre el resto de la red.

Las estaciones de trabajo y los equipos personales son ideales para ser

vulnerados dado que sus usuarios no tienen ni la experiencia ni el

conocimiento para prevenir o detectar irregularidades. Es de suma

importancia informar a los individuos del riesgo que corren cada vez que

instalan software no autorizado, o cuando abren archivos adjuntos de

correos electrónicos no solicitados.

Ataques de Negación de Servicio (DoS).



Consiste en que un atacante, o un grupo de atacantes coordinados actúa en

contra de la red o los recursos de red de alguna organización, enviando

paquetes no autorizados al equipo elegido (ya sea un servidor, un enrutador

o una estación de trabajo). Esto obliga al recurso atacado a quedar

inhabilitado para los usuarios legítimos.

Los avances en el filtrado de la entrada con iptables y con sistemas

detección de intrusos tales como snort ayudan a los administradores a

rastrear y prevenir ataques de DoS distribuido.

NOTA:

SNORT:

Snort es un sniffer de paquetes y un detector de intrusos basado en red

(monitorea todo un dominio de colisión). Es un software muy flexible que ofrece

capacidades de almacenamiento de sus bitácoras tanto en archivos de texto

como en bases de datos abiertas como en MySQL. Implementa un motor de

detección de ataques y barrido de puertos que permite registrar, alertar y

responder ante cualquier anomalía previamente definida. Así mismo existen

herramientas de terceros para mostrar informes en tiempo real (ACID) o para

convertirlo en un Sistema de detección y Prevención de ataques de Intrusos.

Existen ataques de diverso tipo, en la actualidad, los más utilizados son:

Keyloggers y Spyware. Dichos ataques permiten instalarse silenciosamente

en la PC con el fin de enviar datos sobre la información que la víctima teclea

o almacena en el sistema, incluso, sobre sus hábitos en Internet. Backdoor o

puerta trasera. Estas herramientas dan acceso remoto para controlar los

sistemas infectados y cuando son ejecutados, corren encubiertamente de tal

manera que el usuario no se pueda percatar del problema.

Inyección SQL. Es una técnica de ataque utilizada para explotar

vulnerabilidades en páginas Web que tienen una ruta de comunicación con

una base de datos ubicada en algún servidor en la empresa.

Acceso no autorizado con credenciales predeterminadas. Son los métodos a

través de los cuales los atacantes obtienen acceso a un dispositivo o

sistema protegido con contraseñas y nombres de usuario predeterminados o

estandarizados, por eso es que los administradores deben tomar las

precauciones necesarias.

Acceso no autorizado mediante “listas de control de acceso” débiles o mal

configuradas (ACL). Cuando se dan estas condiciones el atacante puede

acceder a recursos y llevar a cabo acciones sin que la víctima se dé por

enterada.



Sniffers. Estas herramientas monitorean y capturan información a través de

una red y junto con otros programas que permiten decodificar la información

se vuelven sumamente peligrosos.

Acceso no autorizado vía credenciales robadas. Para llegar a este punto, el

atacante se valió de otros métodos para ganar acceso válido a sistemas

protegidos sin ser detectado.

Ingeniería social. Con esta técnica el atacante crea una situación para

manipular las creencias o sentimientos de la víctima y persuadirla de llevar a

cabo una acción, como facilitarle información confidencial que podría poner

en peligro la seguridad de la información.

Evasión de los procedimientos de autenticación. Las técnicas para evitar o

evadir los mecanismos estandarizados de autenticación con el fin de obtener

acceso no autorizado a un sistema.

Robo físico de un valor. Las brechas de información podrían comenzar con

el robo de una laptop, un smartphone o incluso un servidor o una PC de

escritorio.

Ataque de fuerza bruta. Es un proceso que requiere un alto nivel de

automatización y rapidez para intentar averiguar luego de múltiples intentos,

la combinación de usuario y contraseña correcta para obtener acceso a un

sistema.

RAM scraper. Una nueva forma de diseño de malware para capturar

información que se encuentre en la memoria RAM del sistema.

Phishing y sus variantes. Una técnica de ingeniería social en la cual un

atacante utiliza comunicaciones electrónicas fraudulentas para provocar que

el destinatario facilite información.


Primero revisaremos algunos puntos referentes a la detección de intrusos:

Intrusiones en la red.

El objetivo de las aplicaciones conocidas como malware es violentar la

seguridad de cualquier equipo, algunas espían las pulsaciones del teclado y así

detectan los nombres de usuario y las contraseñas introducidas,

posteriormente esta misma aplicación (conocidas como Spyware) establece

una conexión con el sitio web del atacante y envía la información.



El objetivo de otras (Troyanos) es realizar acciones para facilitar el acceso

remoto de un usuario no autorizado al equipo.

En ocasiones estas pequeñas aplicaciones vienen en el interior de archivos

que descargamos de la red, como documentos, juegos, programas gratis, al

estar inertes y comprimidas, los antivirus pueden no detectarlas, pero en todos

los casos podemos conocer de su actividad, cuando establecen la conexión

con el sitio externo.

Para eso puedes hacer algunas sencillas pruebas:

Primero vamos a diagnosticar y conocer las conexiones entrantes, para ello

será necesario utilizar el comando “netstat –n 8”

Cualquier conexión establecida que notes extraña y no corresponde con nada

de lo que estés realizando en ese momento, puedes verificarla utilizando el IP

que aparece en la columna de Conexión remota desde:

http://whois.domaintools.com/ o utilizando el comando lookup.

http://whois.domaintools.com/



Esto puede ser muy útil para detectar la actividad de troyanos, spam y otras

intrusiones en nuestra PC, también indispensable para poder diagnosticar

cualquier conflicto de redes.

Ahora, para verificar los puertos de comunicaciones del sistema, son algo

parecido a las ventanas y puerta de una casa, a través de ellos se establecen

las conexiones y funciona internet, pero también penetra el malware y se

comunica con el sitio de su propietario.

Puedes conocer fácilmente los puertos abiertos en tu sistema en este momento

y a la escucha.

Para saber que puertos tienes abiertos de una forma sencilla, escribe en la

ventana de la consola:

NETSTAT -an |find /i "listening"



Se mostrará el listado de los puertos que tienes abiertos en este momento.

Un puerto abierto no es necesariamente peligroso, estas en riesgo solo si el

programa que usa el puerto tiene códigos dañinos. Un puerto no es abierto por

el sistema operativo, es abierto por un programa específico queriendo usarlo.

Para cerrar un puerto, usualmente solo es necesario cerrar el programa o

servicio que mantiene dicho puerto abierto. Así que no hay razón para cerrar

todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no

funcionaría Internet en el equipo.

La verificación de puertos debe ser realizada tanto en los servidores como

equipos clientes y debemos tener muy en cuenta las aplicaciones con las que

están trabajando.

Existen puertos peligrosos tales como:

Puertos 135, 137,138, 139, 445, 5000, 1900, etc.

Precauciones básicas para impedir las intrusiones en el equipo de

trabajo:

Deshabilitar Reproducción Automática de Medios Extraíbles.

Revisar regularmente el Archivo Hosts.

Tener activado el firewall de Windows.

Usar software de protección antivirus.

Instalar regularmente los últimos parches de seguridad activando las

actualizaciones automáticas.

Evitar la instalación innecesaria de software gratuito (no confundir con

programas de código abierto del proyecto GNU). La mayor parte del spyware



se instala a través del software gratuito que puedas descargar, creado

precisamente para eso, aunque a veces la infección de spyware se contrae

simplemente visitando un sitio web.

Utilizar navegadores confiables (puede ser Mozilla Firefox, Chrome o IE), ya

que hasta el momento estos han mostrado opciones de seguridad

importantes.

Verificar que los ficheros adjuntos que descarguemos no tenga doble

extensión, por ejemplo: (fichero.mp3.exe). Para eso es necesario ir a

Opciones de carpeta >Ver, desmarcar la casilla Ocultar las extensiones de

archivos.

Utilizar una cuenta de usuario estándar. Aunque la cuenta de usuario de

administrador ofrece un control completo sobre un equipo, el uso de una

cuenta estándar puede ayudar que el equipo sea más seguro. De este

modo, si otras personas obtienen acceso al equipo mientras haya iniciado la

sesión, no pueden alterar la configuración de seguridad del equipo ni

cambiar otras cuentas de usuario.

Luego de todas estas aclaraciones para lograr verificar una adecuada

protección de los host en la red de datos es muy importante disponer de un

software de seguridad, en la actualidad hay productos que unen la fuerza de un

gran antivirus y un gran firewall o también se pueden obtener por separado.

Entre algunos de los mejores productos en la actualidad, tenemos:

En el caso de firewall:

1. Comodo Firewall: Es la mejor elección para usuarios que buscan una suite

de seguridad llena de funcionalidades. Tiene elementos como un HIPS

(Host Intrusion Prevention System) robusto y muy activo o una función de

monitorización de aplicaciones llamada “Defense+”, cuyos resultados en

cuanto a seguridad igualan o superan a los de muchos productos de pago.

Comodo también trae un “firewall de memoria”, que ofrece, en sus propias

palabras, “protección de última generación contra los ataques de

desbordamiento de buffer más avanzados”. Comodo permite al usuario

bastantes posibilidades de control y personalización, con una multitud de

opciones adicionales para contentar por igual tanto a usuarios curiosos como

a paranoicos. La última versión de Comodo es adecuada tanto para usuarios

poco experimentados (que aún necesitan conocer mejor los programas

instalados) como para usuarios avanzados.



2. Online Armor Free. Tanto su test de brechas de seguridad como su

resultado HIPS son extraordinarios (HIPS es la característica principal de su

función “Guardia del Programa”). Tiene una función única llamada "ejecución

segura", que te permite seleccionar aplicaciones de riesgo (como

navegadores web, programas de oficina, lectores/visores, programas de

mensajería instantánea, e-mail o grupos de noticias, software multimedia,

gestores de descargas, etc.) y ejecutarlas como usuario limitado.

3. ESET Smart Security: Este firewall es de la misma compañía que fabrica el

antivirus NOD32, uno de los más populares. El ESET Smart Security incluye

el antivirus junto con un firewall y un filtro anti-spam. Sin embargo, no es

gratuito, pero es una herramienta muy recomendada.

4. ZoneAlarm: este firewall también es una herramienta gratuita (y bastante

popular por cierto); no sólo detecta tráfico de entrada relativo a intrusiones,

sino que te permite establecer límites por aplicación de conexiones de

salida.

5. Ashampoo Firewall 1.20: Representa una herramienta ideal para aquellos

usuarios que se están iniciando en este tipo de aplicaciones. Constituye un

intuitivo cortafuegos, fácil de usar y potente al mismo tiempo. Se caracteriza

por poseer una sencilla interfaz.

6. Jetico Personal Firewall: Permite proteger de ataques exteriores, evitando

que se establezcan conexiones con su PC. Establece un filtro entre su PC e

Internet, con diferentes niveles de seguridad, a fin de controlar las

aplicaciones y procesos que intentan acceder.

OBSERVACIÓN:

HIPS son las siglas de Host-based Intrusion Prevention System (sistema de

prevención de intrusión basada en host). HIPS ofrece otra capa de protección -

además de la de administración de parches, antivirus, antispyware, y

configuración de la barrera de seguridad - para evitar la intrusión de actividad

dañina en sus dispositivos administrados. HIPS supervisa de forma continua

los procesos, los archivos, las aplicaciones y las claves de registro

especificados con el fin de evitar comportamientos no autorizados. Usted

controla qué aplicaciones se ejecutan en los dispositivos y la forma en que se

permite su ejecución.

A diferencia de la detección y reparación de vulnerabilidades, la detección y

eliminación de spyware o el rastreo y la cuarentena de antivirus, la protección

de HIPS no requiere actualizaciones permanentes de archivos (tales como



archivos de revisiones, de definiciones y patrones o de bases de datos de

firmas).

HIPS protege los servidores y las estaciones de trabajo mediante la colocación

de agentes de software entre las aplicaciones y el kernel de sistema operativo.

Con las reglas predeterminadas que se basan en el comportamiento habitual

de los ataques de malware, estos sistemas evalúan actividades tales como

solicitudes de conexión de red, intentos de lectura o escritura en la memoria o

intentos de acceso a aplicaciones específicas. Se permite el comportamiento

que se sabe que es aceptable, el comportamiento conocido como inaceptable

se bloquea y el comportamiento sospechoso se marca para su posterior

evaluación.



1. ¿Cómo trataría usted de minimizar los ataques generados a partir de la

ingeniería social? – Explique.

2. ¿Cómo funcionan los Keyloggers a nivel de software y hardware y como

evitarlos?

3. ¿En qué consiste la inyección SQL? – bride información detallada.

4. ¿Qué son las listas de control de acceso y qué tan peligroso puede ser

su mala configuración?

5. ¿Qué recomendaría para evitar en lo posible los ataques denominados

“Ataque de fuerza bruta”?.



TAREA 13.

REALIZAR LAS CONFIGURACIONES MÁS IMPORTANTES

PARA LA PROTECCIÓN DE CORREO ELECTRÓNICO.


Acciones a tomar contra el spam, phishing, pharming, etc.


Computadoras con sistemas operativos Windows 7 ó equivalente.

Office 2010.



Abrid escuelas para cerrar prisiones.

(Víctor Hugo).

13



OPERACIÓN:

ACCIONES A TOMAR CONTRA EL SPAM, PHISHING, PHARMING, ETC:

El spam es un problema de muy difícil solución, uno de sus grandes

inconvenientes radica en que muy a menudo trasciende las fronteras de los

países, y dado que las legislaciones en estos son inadecuadas o simplemente

no existen, la persecución y sanción de los autores del spam se vuelve una

tarea casi imposible.

Debe tomar en cuenta algunas recomendaciones para no ser víctimas del

correo no deseado:

No dejar nuestra dirección principal en foros públicos o listas públicas.

No contestar al spam, ya que con ello solo logran confirmar que la dirección se

encuentra activa.

Utilizar la función de CCO o Con Copia Oculta cuando enviamos mails a varias

direcciones de nuestra libreta.

Dejar nuestra dirección de correo solo en sitios de confianza o que asumamos

que no la utilizarán para spam.

Si tenemos una actividad de correo intensa, podemos utilizar alguna cuenta

gratuita con servicio de detección de spam (P. Ej.: Hotmail, gmail, Yahoo, etc.).

No caer en la tentación, cuando prometen sumas de dinero por el solo hecho

de renviar un correo.

No renviar un correo cuando tratan de conmovernos con una historia muy triste.

Si, ya hemos sido víctimas recurrentes de algún spammer, podemos recurrir a

la función "reglas de mensajes" o al "bloqueo de remitente" existente en la

mayoría de los clientes de correo.

También podemos utilizar programas específicos contra el spam, tales

como:

• SPAMfighter.

• Spamihilator

• Spam Terrier

• SpamKiller

• Spam Buster



• Comodo AntiSpam

• BullGuard Spamfilter y otros…

El instructor hará el uso del programa adecuado para evitar el spam, phishing y

pharming.

En este caso utilizará SPAMfighter (el instructor puede utilizar otro software que

sea equivalente), para esto realizaremos los pasos que a continuación se

indican:

Instalará la aplicación: La instalación de este programa es muy sencilla, solo

escogerá las opciones por defecto.



Luego, en la aplicación cliente de correo (en este caso puede ser MS

Outlook) encontrará nuevas herramientas:

Hará clic en la herramienta “Más” y luego en “Opciones” y definirá las

opciones deseadas para implementar una adecuada protección.

OBSERVACIÒN:

SPAMfighter Standard es 100% gratis para usuarios privados pero también

tiene una versión de paga: SPAMfighter PRO para empresas.





En la legislación peruana, contamos con una ley anti spam:

LEY N° 28493

EL PRESIDENTE DE LA REPÚBLICA

POR CUANTO:

EL Congreso de la República;

Ha dado la Ley siguiente:

LEY QUE REGULA EL USO DEL CORREO ELECTRONICO COMERCIAL NO

SOLICITADO (SPAM)

Artículo 1°.- Objeto de la Ley

La presente Ley regula el envío de comunicaciones comerciales publicitarias o

promocionales no solicitadas, realizadas por correo electrónico, sin perjuicio de

la aplicación de las disposiciones vigentes en materia comercial sobre

publicidad y protección al consumidor.

Artículo 2°.- Definiciones

Para efectos de la presente Ley se entiende por:

Correo electrónico: Todo mensaje, archivo, dato u otra información electrónica

que se transmite a una o más personas por medio de una red de interconexión

entre computadoras o cualquier otro equipo de tecnología similar. También se

considera correo electrónico la información contenida en forma de remisión o

anexo accesible mediante enlace electrónico directo contenido dentro del

correo electrónico.

Correo electrónico comercial: Todo correo electrónico que contenga

información comercial publicitaria o promocional de bienes y servicios de una

empresa, organización, persona o cualquier otra con fines lucrativos.

Proveedor del servicio de correo electrónico: Toda persona natural o jurídica

que provea el servicio de correo electrónico y que actúa como intermediario en

el envío o recepción del mismo.

Dirección de correo electrónico: Serie de caracteres utilizado para identificar el

origen o el destino de un correo electrónico.



Artículo 3°.- Derechos de los usuarios

Son derechos de los usuarios de correo electrónico:

Rechazar o no la recepción de correos electrónicos comerciales.

Revocar la autorización de recepción, salvo cuando dicha autorización sea una

condición esencial para la provisión del servicio de correo electrónico.

Que su proveedor de servicio de correo electrónico cuente con sistemas o

programas que filtren los correos electrónicos no solicitados.

Artículo 4°.- Obligaciones del proveedor

Los proveedores de servicio de correo electrónico domiciliados en el país están

obligados a contar con sistemas o programas de bloqueo y/o filtro para la

recepción o la transmisión que se efectúe a través de su servidor, de los

correos electrónicos no solicitados por el usuario.

Artículo 5°.- Correo electrónico comercial no solicitado

Todo correo electrónico comercial, promocional o publicitario no solicitado,

originado en el país, debe contener:

La palabra “PUBLICIDAD”, en el campo del “asunto” (o subject) del mensaje.

Nombre o denominación social, domicilio completo y dirección de correo

electrónico de la persona natural o jurídica que emite el mensaje.

La inclusión de una dirección de correo electrónico válido y activo de respuesta

para que el receptor pueda enviar un mensaje para notificar su voluntad de no

recibir más correos no solicitados o la inclusión de otros mecanismos basados

en Internet que permita al receptor manifestar su voluntad de no recibir

mensajes adicionales.

Artículo 6°.- Correo electrónico comercial no solicitado considerado ilegal

El correo electrónico comercial no solicitado será considerado ilegal en los

siguientes casos:

Cuando no cumpla con alguno de los requisitos establecidos en el artículo 5°

de la presente Ley.

Contenga nombre falso o información falsa que se oriente a no identificar a la

persona natural o jurídica que transmite el mensaje.



Contenga información falsa o engañosa en el campo del “asunto” (o subject),

que no coincida con el contenido del mensaje.

Se envíe o transmita a un receptor que haya formulado el pedido para que no

se envíe dicha publicidad, luego del plazo de dos (2) días.

Artículo 7°.- Responsabilidad

Se considerarán responsables de las infracciones establecidas en el artículo 6°

de la presente Ley y deberán compensar al receptor de la comunicación:

Toda persona que envíe correos electrónicos no solicitados conteniendo

publicidad comercial.

Las empresas o personas beneficiarias de manera directa con la publicidad

difundida.

Los intermediarios de correos electrónicos no solicitados, tales como los

proveedores de servicios de correos electrónicos.

Artículo 8°.- Derecho a compensación pecuniaria

El receptor de correo electrónico ilegal podrá accionar por la vía del proceso

sumarísimo contra la persona que lo haya enviado, a fin de obtener una

compensación pecuniaria, la cual será equivalente al uno por ciento (1%) de la

Unidad Impositiva Tributaria por cada uno de los mensajes de correo

electrónico transmitidos en contravención de la presente Ley, con un máximo

de dos (2) Unidades Impositivas Tributarias.

Artículo 9°.- Autoridad competente

El Instituto Nacional de Defensa de la Competencia y de la Protección de la

Propiedad Intelectual - INDECOPI, a través de la Comisión de Protección al

Consumidor y de la Comisión de Represión de la Competencia Desleal, será la

autoridad competente para conocer las infracciones contempladas en el

artículo 6° de la presente Ley; cuyas multas se fijarán de acuerdo a lo

establecido en el Decreto Legislativo N° 716, Ley de Protección al Consumidor,

o en el Decreto Legislativo N° 691, Normas de la Publicidad en Defensa del

Consumidor, según corresponda.

Artículo 10°.- Reglamento



El Poder Ejecutivo mediante decreto supremo, refrendado por el Ministro de

Transportes y Comunicaciones, reglamentará la presente Ley en un plazo

máximo de noventa (90) días desde su vigencia.

Artículo 11°.- Vigencia

La presente Ley entrará en vigencia a los noventa (90) días de su publicación

en el Diario Oficial “El Peruano”.

Comuníquese al señor Presidente de la República para su promulgación.

Si bien es cierto, esta ley nos ayuda a tener cierta protección ante los correos

no deseados, nosotros debemos también poner de nuestra parte.

Para evitar fraudes, amenazas, spam, virus y demás problemas a los que

estamos expuestos a la hora de mantener contacto con nuestra familia, socios

de trabajo y amigos a través del correo electrónico, podemos tomar en cuenta

algunas acciones que nos pueden ayudar, tales como:

Utilice un antivirus completo para tener protegido su ordenador contra virus,

correo electrónico no deseado y cualquier software malicioso. También, su

antivirus deberá disponer una herramienta que pueda supervisar su

conexión a internet para poder detener las descargas no deseadas desde y

hacia su ordenador.

Otro consejo útil en relación a su correo electrónico es el saber con quién

compartir tu cuenta. Para esto, hay que ser cauteloso a la hora de dar tu

dirección de correo electrónico. Lo más inteligente sería sólo compartirla con

tu familia, contactos comerciales de confianza y amigos. No es

recomendable compartirla en salas de chat o en páginas web ya que estaría

expuesto a recibir spam (correo electrónico no deseado) o a que su dirección

fuera entregada a otros para diferentes finalidades. Si lo que desea es

suscribirse a un sitio web o a un boletín lo más recomendable sería usar

una dirección de correo electrónica genérica que no incluyera sus datos

personales.

A la hora de abrir archivos adjuntos, ya sean de sus familiares, amigos o de

cualquier otra persona de confianza, tenga cuidado antes de abrirlos y

observe si su software de seguridad está activado y si le muestra algún tipo

de advertencia.

Cuando utilice programas de mensajería instantánea tenga cuidado si envía

información personal. Es recomendable usar un apodo en la pantalla del

programa de mensajería instantánea. Además, tenga cuidado cuando use su

programa en el trabajo ya que su jefe podría ver sus mensajes personales.



Otro consejo bastante importante es el tener mucho cuidado con los fraudes

electrónicos. Las personas que se dedican a este tipo de fraudes utilizan

correos electrónicos y sitios web falsos para que las personas que entren a

estos sitios introduzcan información de cuentas personales privadas o de

inicio de sesión. Por esto, es muy importante prestar mucha atención a los

correos electrónicos que recibamos ya que si nos proporcionan un link hacia

una página web (por ejemplo, de un banco) es conveniente que abramos

una ventana nueva y que introduzcamos directamente la dirección de la

página web que queramos visitar, separadamente del correo electrónico.

Nunca envíe información privada mediante su correo electrónico

(información de tarjetas de crédito, datos personales…) porque aunque

usted disponga de un software de seguridad seguro, puede que sus

familiares y amigos no dispongan de ninguno o que no dispongan del mismo

nivel de protección.

Cuando se utilizan sistemas de correo web es necesario utilizar el método de

seguridad HTTPS que cifra tus datos si viajan por Internet, haciendo más

difícil que sean interceptados o caigan en malas manos.

Nunca hay que responder a un correo spam. Ni para cancelar una

suscripción, ya que podría dar lugar a más spam.

Invente contraseñas complejas y poco usuales para también evitar la

autogeneración de contraseñas de los hackers.

No escriba ningún tipo de información en una ventana emergente. Para

evitar este tipo de problema puede instalar un software que bloquee las

ventanas emergentes para evitar cualquier tipo de fraude.

Hay que tener cuidado con los enlaces mandados por correo, ya que pueden

contener virus o malware y sólo hay que abrir los mensajes para que sean

activados. Estos ataques pueden estar escondidos en mensajes de amigos o

compañeros, por lo que es recomendable preguntar al remitente qué hay en

los enlaces que envió, antes de abrirlos.

Si eres objeto de un ataque de phishing, aparecerá un email simulando fue

enviado por una fuente de confianza. Suelen emplear enlaces falsos para

dirigirte a webs que tratarán de convencerte de que incluyas información de

contacto, lo que le dará a los criminales acceso a tu cuenta real.

Existen aplicaciones que pueden ayudar a contrarrestar estos problemas, entre

los cuales tenemos:

SpamLock Security Wall es un excelente programa diseñado para proteger

completamente vuestro buzón de correo electrónico de cualquier correo

basura, virus adjuntos a correos electrónicos, etc. El programa funciona

como un muro entre vuestro ordenador e Internet y puede proteger de



correos entrantes y salientes. Gracias a su alto nivel de seguridad, sólo

recibirás los correos electrónicos que realmente queréis leer. Su interfaz es

atractiva y fácil de usar.

XoftSpy detectará y eliminará los spyware que puedan haberte invadido o

quieran hacerlo, cuando navegas por Internet.

Podrá determinar si estás contaminado con spyware, spybot, secuestradores

de browser, adware, malware y keyloggers.

SPAMfighter es una herramienta gratuita para filtrar automática y

eficientemente spam en Outlook and Outlook Express. Protege contra robo

de identidad y otro tipo de fraudes, protege todas las cuentas de correo de tu

Pc, detiene los correos de un idioma específico, protege de forma

automática los correos válidos, no solo realiza filtros basándose en palabras,

sino también en contenidos, es multilenguaje, e incluye otras útiles opciones.

Free Antispam Scanner es un completo antispam gratuito con buenas

características para el hogar o la oficina, que te ayudará a librarte de los

molestos mensajes indeseados. Basa su funcionalidad en la organización de

los mensajes en diferentes categorías que se almacenan en localidades

diferentes.

OBSERVACIÓN:

Lo que debemos tener en cuenta es que la llegada de estos correos

indeseados y de otros problemas a través de estas nuevas tecnologías nos

lleva a la idea de que debemos ser muy cuidadosos con la información

personal y confidencial.

Como usuarios que utilizamos aplicaciones cliente de correo electrónico,

debemos siempre estar atentos a estos problemas.

Los administradores de los servidores de correo también deben tener mucho

cuidado al configurar los filtros para correos o al escoger los programas

antispam para los servidores, tanto para servidores Microsoft Exchange que

trabajan sobre la plataforma Windows Server o para el caso de servidores

sendmail o Postfix que trabajan sobre Linux.

Un reporte elaborado, entre los meses enero y marzo de este año, por la firma

de seguridad en Internet Sophos, revela que la India es el país que más spam

envía, con un 9,3% de todo el tráfico basura que se manda en el mundo.

En segundo lugar, se encuentra Estados Unidos, con el 8,3%, seguido por

Corea del Sur, Indonesia, Rusia, Italia, Brasil, Polonia y Pakistán, en ese orden,

completan el infortunado ranking.



1. ¿Qué entiende usted por correo SPAM?

2. ¿Existe una ley para contrarrestar el uso del SPAM? – explique.

3. ¿De qué lugares proviene la mayor cantidad de SPAM?

4. ¿Qué procedimientos utilizaría usted para evitar el SPAM?

5. Actualmente, ¿Cuáles son las herramientas de software más utilizadas

para evitar el spam en las empresas?




6. ¿Cómo puede usted verificar si el servidor de correo de una empresa

está apareciendo en las llamadas “listas negras”?.

7. Si un servidor de correo aparece en las “listas negras” de correo

electrónico que consecuencias traerá para la empresa.

TAREA


TAREA 14.

IMPLEMENTAR DIRECTIVAS BÁSICAS DE PROTECCIÓN DE LA RED EN

SERVIDORES DE SEGURIDAD.


Crear Directivas básicas en aplicaciones firewall y proxy de red como: ISA,

Forefront o Netfilter.


Pc’s con Windows 7 ó equivalente.


Sistemas operativos para servidores.

Software para seguridad perimetral.


Crear Directivas básicas en aplicaciones firewall y proxy de red como: ISA,

Forefront o Netfilter.

Tanta prisa tenemos por hacer, escribir y dejar oír nuestra voz en el silencio de la eternidad, que olvidamos lo único realmente importante: vivir.

…..Robert Louis Stevenson

14



OPERACIÓN:

CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY

DE RED COMO ISA, FOREFRONT Ó NETFILTER:

Utilizando ISA server:

Para realizar esta operación, debe seguir las indicaciones siguientes:

1. Debe crear una regla que permita navegar en Internet excepto a ciertos

sitios WEB.

2. Para esto, primero realice el procedimiento de la tarea 10 (Instalar y

configurar en forma básica un ISA server).

3. Una vez que se tiene la directiva para permitir la navegación sin

restricciones, procederá a crear una nueva directiva pero que evite el acceso

a ciertos sitios web.

4. Para esto deberá seguir los pasos que a continuación se indican:

a. Primero creará una regla, haciendo clic secundario en “Directiva de

firewall”/ nuevo/ Regla de acceso…

b. Esta regla se llamará “acceso con restricciones”.



c. Esta regla de acceso será definida para “Denegar”.

d. Los protocolos utilizados serán: http y https.

e. Red origen: red Interna.

f. Destino: Para definir el destino, debe realizar el siguiente procedimiento:

i. Creará un nuevo elemento de regla de conjunto de direcciones URL,

esta se llamará “No permitidos” y en la lista de URL estará:

http://www.facebook.com y http://www.youtube.com.

ii. Hará clic en “Aceptar”.

iii. Ahora lo seleccionará como destino:

http://www.facebook.com/

http://www.youtube.com/



g. Ahora, termine de crear la regla indicando que es para todos los usuarios

y haga clic en “Finalizar”.

h. Finalmente haga clic en “Aplicar” y ahora, desde el equipo cliente

verifique, de tal forma que cuando desee entrar a estas páginas,

aparecerá la siguiente ventana:

Utilizando NETFILTER e IPTABLES(a nivel básico).

El procedimiento a seguir es el que a continuación se describe:

1. Debe contar con dos interfaces de red, una la externa (conectada a Internet)

y la interna (puerta de enlace de los equipos de la red a proteger).

Para este caso, las configuraciones de IP se han establecido de la siguiente

manera:



Interna: 192.168.5.1/24

Externa: 192.168.1.49/24 (con salida a Internet).

2. Si se realizan algunos cambios en estas interfaces, no debe olvidarse de

reiniciar el servicio de red:

3. Debemos instalar las iptables:

4. Verificaremos si la instalación es completa:



5. Reglas de destino: Las reglas de destino pueden ser, aceptar conexiones

(ACCEPT), descartar conexiones (DROP), rechazar conexiones (REJECT),

encaminamiento posterior (POSTROUTING), encaminamiento previo

(PREROUTING), SNAT, NAT, entre otras.

6. Ahora definirá algunos procedimientos básicos:

a. Para empezar, verificará las reglas que se tienen indicadas por defecto,

para esto utilizaremos el comando:

iptables --line-numbers -n –L

b. Además, debe iniciar el servicio, para eso colocaremos:

chkconfig iptables on

service iptables start

c. Puede agregar las directivas directamente en el terminal o desde el

archivo de configuración:

# vi /etc/sysconfig/iptables

d. En este archivo podrá ver la configuración general de las directivas:



e. Desde aquí se pueden colocar las directivas deseadas, por ejemplo, para

filtrar la navegación en Facebook:

El instructor explicará otros ejemplos diversos.



FUNDAMENTO TEÓRICO.

CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY

DE RED COMO ISA, FOREFRONT O NETFILTER.

Trabajando con ISA SERVER.

Es un firewall de stateful packet inspection (analiza el encabezado de los

paquetes IP) y de application ayer (analiza la trama de datos en busca de

tráfico sospechoso).

También es un firewall de red, VPN y web cache.

Se tienen dos ediciones, estándar y Enterprise.

Presenta algunas características importantes, tales como:

1. Permite el acceso remoto seguro a servidores Microsoft internos:

a. ISA Server 2006 puede generar los formularios utilizados por los sitios

Outlook Web Access para permitir la autenticación basada en formularios.

Esta posibilidad mejora la seguridad para el acceso remoto a sitios OWA,

evitando el que usuarios no autentificados puedan acceder al servidor

Outlook Web Access.

b. Los ordenadores que dispongan de sistema operativo Windows Server

2003 soportan RDP sobre SSL, permitiendo el establecimiento de

conexión protegida con cifrado SSL a un servidor de terminales Windows

Server 2003. Con ISA Server 2006 puede publicarlos servicios Terminal

Server de Windows Server 2003 con un alto nivel de seguridad, usando

tecnología SSL.

c. Un nuevo asistente publica múltiples sitios web de Windows SharePoint

Services simultáneamente y facilita la traducción automática de enlaces.

2. Redes Privadas Virtuales (VPN):

a. Tiene un asistente que configura automáticamente una conexión VPN

entre sitios distintos, para comunicar dos oficinas separadas.

b. Los clientes VPN se configuran como una zona de red independiente, lo

que permite crear políticas diferentes para ellos. El motor de reglas de

firewall comprueba de forma distinta las peticiones desde clientes VPN,

filtra los contenidos del paquete de datos e inspecciona estas peticiones,

y abre dinámicamente las conexiones basándose en las políticas de

acceso.



c. ISA Server 2006 dispone ya de funciones de filtrado e inspección para el

tráfico establecido en una conexión intersite VPN. Con esta característica

se pueden controlar los recursos a los que ciertos hosts o redes pueden

acceder en el lado opuesto del enlace. Se pueden aplicar políticas de

acceso a nivel de usuario o grupo para lograr un control granular sobre el

uso de recursos a través del enlace.

d. ISA Server 2006 mejora las posibilidades de enlace entre sites usando el

modo de túnel IPSec como protocolo de VPN. El soporte para túnel IPSec

mejora enormemente la interoperabilidad de ISA Server 2006 con una

gran variedad de soluciones VPN de terceros.

3. Permite una óptima Administración:

a. ISA Server 2006 incluye funciones de administración que permiten

mejorar, de forma sencilla, la seguridad de la red evitando configuraciones

erróneas. Entre las características de la interfaz de usuario están los

paneles de tareas, paneles de ayuda de contexto y asistente de

configuración inicial.

b. Se incorporan nuevos asistentes de configuración para publicar Windows

SharePoint Services, Exchange, y sitios Web de uso general. El nuevo

asistente de Conexión VPN para Redes de Oficinas le permite conectar

con gran facilidad dos sites independientes mediante VPN.

c. ISA Server 2006 permite importar y exportar la información de

configuración, pudiendo guardar los parámetros en un archivo XML que,

posteriormente, puede usarse como copia de seguridad o para configurar

otro servidor ISA Server 2006 distinto.

d. El Asistente de Delegación de la Administración le permite asignar roles

administrativos a ciertos usuarios o grupos. Estos roles predefinidos

permiten ceder el control de ciertas actividades administrativas sobre

servicios de ISA Server 2006 a los usuarios designados.

e. ISA Server 2006 dispone de un Kit de Desarrollo (SDK) muy amplio para

crear herramientas basadas en las características de firewall, cache y

gestión de ISA Server 2006.

4. Permite una óptima Monitorización y generación de informes:

a. ISA Server 2006 permite ver en tiempo real los logs de firewall, cache

Web y mensajería SMTP. El complemento de ISA Server visualiza las

entradas de log según se van incorporando al archivo de log del firewall.

b. ISA Server 2006 permite ver todas las conexiones activas del firewall.

Desde la vista de sesión se pueden clasificar o desconectar sesiones

concretas, o grupos enteros de ellas. Además se pueden filtrar sesiones



en la interfaz de sesión para centrarse en las que realmente interesan,

mediante la utilidad de filtrado.

c. Se pueden configurar las tareas de generación de informes en ISA Server

2006 para guardar copia de los informes en alguna carpeta local o de la

red. Esta carpeta o archivo de informe puede después mapearse a un

sitio Web o directorio virtual para permitir el acceso a otros usuarios.

También es posible publicar informes manualmente, para aquellos casos

en que no se haya configurado la publicación automática después de su

generación.

d. Se puede configurar una tarea de generación de informes para enviar una

notificación por correo electrónico una vez completo el proceso.

5. Permite trabajar con múltiples redes:

a. Es posible configurar una o más redes, cada una con diferentes

relaciones con las demás. Las políticas de acceso se definen en relación

con las redes, y no necesariamente a una red interna concreta. ISA

Server 2006 amplía las funcionalidades de firewall y seguridad para

aplicarlas al tráfico entre cualquier par de redes u objetos de red.

b. Las funcionalidades multirred de ISA Server 2006 le permiten proteger

mejor su red frente a amenazas internas y externas, limitando la

comunicación entre clientes, incluso dentro de su propia organización. Las

funcionalidades multirred soportan diseños de red perimetral complejas,

conocidas como DMZ o "zona desmilitarizada", o escenarios de subred

acotada, lo que permite configurar el modelo de acceso de los clientes a

la red perimetral desde distintas redes de origen. Las políticas de acceso

entre redes pueden basarse en la zona de seguridad única que

representa cada red.

c. Se puede utilizar ISA Server 2006 para definir relaciones de enrutamiento

entre redes, dependiendo del tipo de acceso y comunicación necesario

entre ellas. En ciertos casos puede ser necesario aplicar más seguridad,

con una comunicación menos transparente entre redes. Para estos

escenarios se puede definir una relación NAT. En otros casos,

simplemente bastaría con enrutar tráfico a través de ISA Server, y se

puede definir una relación de enrutamiento simple. Los paquetes que se

mueven entre rutas se exponen totalmente a los mecanismos de filtrado e

inspección interna de ISA Server 2006.

d. NLB es un mecanismo de balanceo de carga y recuperación frente a

fallos en tiempo real entre conexiones establecidas a través de un array

de ISA Server 2006 Ed. Enterprise. La recuperación ante fallos en tiempo

real es un mecanismo de alta disponibilidad para arrays corporativos,



mientras que el balanceo de carga distribuye de forma compensada las

conexiones entre los servidores del array de firewall para evitar caídas de

rendimiento de la red originadas por sistemas sobresaturados.

6. Otorga una eficiente protección avanzada de firewall:

a. ISA Server 2006 dispone de tres tipos de funcionalidad de firewall: filtrado

de paquetes (también conocido como capa de circuito), filtrado de

contenidos y filtrado de nivel de aplicación.

b. Las políticas HTTP de ISA Server 2006 permiten realizar una inspección

en detalle de paquetes HTTP (filtrado a nivel de aplicación). La

intensividad de la inspección se puede configurar mediante reglas. Con

esta funcionalidad se pueden aplicar restricciones de acceso entrante y

saliente para tráfico HTTP.

c. Las reglas para HTTP de ISA Server 2006 permiten definir políticas

dependiendo de la extensión del archivo, como "permitir todo excepto un

determinado grupo de extensiones", o "bloquear todas las extensiones

excepto un grupo determinado".

d. ISA Server 2006 permite controlar los métodos HTTP permitidos a través

del firewall configurando controles de acceso de los usuarios sobre los

diferentes métodos. Por ejemplo, se puede restringir el acceso al método

HTTP POST para impedir que los usuarios envíen datos a sitios Web

usando este método.

e. La mayoría de las aplicaciones de transmisión de contenidos multimedia o

vídeo exigen que el firewall gestione protocolos complejos. ISA Server

2006 puede gestionar estos protocolos y dispone de un Asistente de

Nuevo Protocolo muy fácil de usar que sirve para crear definiciones de

protocolo.

f. Con ISA Server 2006 se puede controlar el número de puerto de origen y

destino de cualquier protocolo para el que se desee establecer una regla

de firewall. Esta posibilidad supone un elevado nivel de control para el

administrador del firewall sobre los paquetes que pueden pasar a través

de él en cualquier sentido.

g. ISA Server 2006 permite crear grupos de firewall personalizados que se

componen de otros grupos existentes en la base de datos de Directorio

Activo del dominio. Con ello se aumenta la flexibilidad para el control de

acceso basado en el usuario o pertenencia a grupos, puesto que el

administrador del firewall puede crear grupos de seguridad específicos

para esta función a partir de los grupos existentes. Con ello se elimina el

requisito de que el administrador del firewall deba ser un administrador de



dominio para poder crear grupos de seguridad dedicados al control del

acceso en conexiones entrantes o salientes.

h. Con ISA Server 2006 se puede ampliar notablemente la capacidad de

definir objetos de red, pudiendo crear máquinas, redes, grupos de redes,

rangos de direcciones, subredes, grupos de máquinas y grupos de

nombres de dominio. Estos objetos de red se utilizan para definir los

parámetros de origen y destino en las reglas de firewall.

i. Gracias a las reglas de firewall avanzadas de ISA Server 2006 es posible

definir, para cada protocolo, el origen y destino de la conexión a la que un

usuario o grupo de usuarios puede acceder. Con ello se mejora

sensiblemente la flexibilidad para un máximo control del acceso entrante y

saliente.

7. Autentificación:

a. Los usuarios pueden autentificarse utilizando los métodos incluidos en

Windows, LDAP, RADIUS o RSA SecurID. La configuración de front-end y

back-end se hace por separado, lo que permite más flexibilidad y

granularidad. Dispone de soporte SSO (logon único) para autenticación

en sitios Web. Las reglas se aplican a usuarios o grupos de usuarios en

cualquier espacio de nombres. Los fabricantes de software pueden usar el

Kit de Desarrollo (SDK) para ampliar estos mecanismos propios de

autenticación.

b. ISA Server 2006 permite autenticar usuarios en el Directorio Activo y otras

bases de datos de identidad utilizando RADIUS para consultar el

Directorio Activo. Las reglas de publicación Web pueden utilizar también

RADIUS para autentificar conexiones de acceso remoto.

c. Los sitios Web publicados quedan protegidos frente a accesos no

autenticados haciendo que el firewall ISA Server 2006 valide el usuario

antes de que la conexión se establezca con el sitio Web publicado.

8. Publicación de servidores:

a. Con ISA Server se pueden situar servidores detrás del firewall, bien en la

red corporativa o en la red perimetral, y publicar sus servicios. Con un

Asistente para Publicación Web avanzado, puede crearse una regla que

permita a los usuarios establecer acceso remoto con SSL a los servidores

Web publicados.

b. ISA Server 2006 mejora notablemente la flexibilidad de la publicación

Web ya que permite redirigir el path enviado al firewall por el usuario a

cualquier otra ruta del sistema de archivos en el servidor de publicación

Web.



c. ISA Server 2006 da la posibilidad, a nivel de regla, de establecer si el

firewall debe sustituir la dirección IP original con su propia dirección o

conservar la IP original del cliente remoto al servidor Web.

d. A fin de protegerse frente a ataques introducidos a través de tráfico HTTP,

el puente SSL permite que los paquetes protegidos con SSL sean

descifrados por ISA Server 2006, inspeccionados y vueltos a cifrar.

9. Mejoras en el rendimiento:

a. El mecanismo de reglas de cache centralizadas de ISA Server permite

configurar la forma en que los objetos guardados en la cache se pueden

recuperar y servir en posteriores peticiones.

b. ISA Server 2006 realiza de forma automática un balanceo de carga de las

peticiones entrantes desde usuarios remotos hacia un array de servidores

publicados.

c. La compresión HTTP reduce el tamaño de archivo aplicando algoritmos

que eliminan los datos redundantes durante la transmisión de paquetes

HTTP.

Trabajando con ForeFront:

Esta aplicación presenta las siguientes presentaciones:

Microsoft Forefront Protection Suite. Microsoft Forefront Security Suite es

una solución integral de seguridad de infraestructura de TI que contiene

Forefront Client Security, Forefront Securitypara SharePoint, Forefront

Securitypara Exchange Server, Forefront Securitypara Office

Communications Server, y Exchange Hosted Mail Filtering.

Microsoft Forefront Endpoint Protection 2010. Microsoft Forefront Client

Security proporciona protección unificada contra malware para equipos de

escritorio, equipos portátiles y sistemas operativos de servidor empresarial

que ayudan a proteger contra amenazas nuevas, tales como spyware y

rootkits y contra amenazas tradicionales, como virus, gusanos y caballos de

Troya.

Microsoft Forefront Protection 2010 for Exchange Server. Microsoft Forefront

Protection 2010 para Exchange Server (FPE) proporciona protección contra

el malware y el correo no deseado, ya que incluye en una misma solución

varios motores de detección de socios de seguridad líderes en el sector.

FPE ofrece a los clientes una consola de administración sencilla con

opciones de configuración que admiten personalización, opciones de filtrado,



características de supervisión e informes, protección contra correo no

deseado e integración con el producto Forefront Online Protection for

Exchange (FOPE). Además, FPE admite Windows PowerShell, un shell de

línea de comandos con tecnología de scripting basada en tareas que permite

automatizar las tareas de administración del sistema.

Características:

- Compatibilidad agregada para Windows PowerShell, una consola de línea

de comandos de Windows que se puede utilizar para escribir comandos

directamente o crear scripts.

- La instalación del producto se realiza ahora con Windows Installer (MSI).

- Existe un nuevo trabajo de detección, denominado trabajo de detección

programada, que estaba separado del trabajo de detección en tiempo

real. También existe un nuevo trabajo de detección a petición.

- La interfaz de usuario se ha revisado e incluye estadísticas e informes de

supervisión de mantenimiento.

- La detección antispyware la ejecuta Microsoft Antimalware Engine.

- La funcionalidad contra el correo no deseado incluye una lista de DNS

bloqueados integrada, un nuevo motor contra el correo no deseado

(Cloudmark), la administración integrada de agentes contra el correo no

deseado de Exchange y el filtrado de retrodifusión (ayuda a impedir la

devolución de correos o las notificaciones de estado de entrega (DSN)

para el correo que no se envía desde direcciones de sus organizaciones).

- FPE se puede ejecutar en la plataforma virtual Hyper-V.

- FPE se puede implementar mediante System Center Configuration

Manager (SCCM).

- Se ha incorporado la compatibilidad para la administración de Forefront

Online Protection for Exchange (FOPE) Gateway desde un servidor FPE

independiente. Para obtener más información acerca de la integración de

FPE-FOPE.

Microsoft Forefront Security para Office Communications Server. La

mensajería instantánea (MI) es rápida y fácil de usar y permite a los usuarios

mantener "conversaciones" en directo con sus colegas e intercambiar

archivos de forma fácil y rápida. Desafortunadamente, su velocidad y

facilidad de uso también suponen un medio perfecto para la transferencia y

la proliferación de virus.

Los entornos de mensajería instantánea requieren una solución antivirus y

de filtrado de archivos y de contenido que pueda impedir la propagación de



virus mediante el examen de todas las transferencias de archivos y

mensajes en tiempo real, con un impacto mínimo en el rendimiento del

servidor o el tiempo de entrega de los mensajes.

Microsoft Forefront Security para Office Communications Server (FSOCS)

ofrece protección en tiempo real mediante el examen y el filtrado de los

mensajes instantáneos y los archivos transferidos a través de mensajería

instantánea.

FSOCS proporciona las siguientes características:

- Detección antivirus con varios motores de detección.

- Filtrado de archivos por nombre, tipo, extensión o tamaño.

- Notificaciones completas para el administrador, así como para el

remitente y el destinatario del mensaje.

- Contadores de rendimiento para la supervisión del estado y la actividad

de FSOCS.

- Filtrado de palabras del contenido de los mensajes instantáneos.

FSOCS ofrece protección eficaz para los servidores de mensajería

instantánea y es la solución antivirus para los entornos OCS 2007 y OCS

2007 R2.

Microsoft Forefront Protection 2010 para SharePoint. Microsoft Forefront

Protection 2010 for SharePoint evita que los usuarios carguen o descarguen

documentos que contengan malware, contenido que no se ajuste a las

directivas o información confidencial para las bibliotecas de SharePoint.

Requisitos mínimos de servidor de Forefront Protection 2010 for SharePoint:

Debido a una diferencia en los recursos del sistema, FPSP tiene un

rendimiento significativamente mejor en un sistema operativo de 64 bits que

en uno de 32 bits. Si su organización espera tener grandes requisitos de

capacidad en el servidor de SharePoint, se recomienda que instale el

sistema operativo de 64 bits y un servidor front-end de SharePoint de 64 bits

para instalar FPSP.

- Microsoft Windows Server 2003 SP2 (Standard, Enterprise, Datacenter o

Web Edition), Microsoft Windows Server 2008 o Microsoft Windows

Server 2008 R2.

- Microsoft .NET Framework 3.5.

- Microsoft XML Core Services (MSXML) 6.0 SP1.



- Internet Information Services (IIS) en modo de aislamiento de proceso de

trabajo de IIS 6.0.

- Controles de Microsoft Chart para Microsoft .NET Framework 3.5. Si estos

controles no están presentes, se instalarán durante el proceso de

instalación de FPSP.

- Windows PowerShell 1.0.

- Sistema de archivos NTFS.

- Microsoft Office SharePoint Server 2010, Microsoft Office SharePoint

Server 2007 SP1 o Microsoft SharePoint Foundation versión 3 SP1.

- Microsoft Filter Pack 2.0

- 2 gigabytes (GB) de memoria disponible** además de la requerida para

ejecutar el servidor SharePoint. Para obtener más información acerca de

los requisitos de memoria para ejecutar el servidor SharePoint, consulte la

documentación de la planeación del mismo.

- 2 GB de espacio disponible en disco. Este espacio debe sumarse al

espacio en disco necesario para el servidor de SharePoint. Si se usa un

servidor como servidor de redistribución para las actualizaciones, se

necesita espacio en disco adicional.

- Se recomienda un servidor de cuatro procesadores con 2,0 GHz o

superior. Se admiten servidores con menos capacidad, pero los tiempos

de latencia de archivos pueden aumentar.

Microsoft Forefront Threat Management Gateway 2010. Forefront TMG se

fundamenta en las capacidades básicas que proporciona Microsoft Internet

Security and Acceleration (ISA) Server para ofrecer una puerta de enlace de

seguridad de red completa e integrada. Las principales inversiones

realizadas en Forefront TMG brindan capacidades de protección adicionales

para ayudar a proteger la red corporativa frente a amenazas externas

basadas en Internet.

Están habilitadas las nuevas características siguientes:

- La protección contra código malintecionado web es parte de un servicio

de suscripción de Protección de web de Forefront TMG. La protección

contra código malintencionado web examina las páginas web en busca de

virus, código malintencionado y otras amenazas.

- Filtrado de URL permite o deniega el acceso a los sitios web según

categorías de direcciones URL (por ejemplo, pornografía, drogas, manías

o compras). Las organizaciones no solo pueden impedir que los

empleados visiten sitios con código malintencionado conocido, sino que

también pueden proteger la productividad de la empresa limitando o



bloqueando el acceso a los sitios que se consideran distracciones que la

perjudican. El filtrado de URL es una parte del servicio de suscripción de

Protección de web.

- El servicio de suscripción de protección del correo electrónico—Forefront

TMG proporciona un servicio de suscripción para la protección del correo

electrónico que se basa en la tecnología integrada de Forefront Protection

2010 for Exchange Server. Forefront TMG actúa como transmisor del

tráfico SMTP y examina el correo electrónico para comprobar si contiene

virus, código malintencionado, correo y contenido no deseado (como los

archivos ejecutables o cifrados) a medida que atraviesa la red.

- La inspección de HTTPS permite que las sesiones cifradas con HTTPS

sean inspeccionadas en busca de código malintencionado o

vulnerabilidades. Algunos grupos específicos de sitios, por ejemplo, los de

banca, pueden excluirse de la inspección por motivos de privacidad. A los

usuarios del Cliente de Forefront TMG se les puede notificar la

inspección.

- El Sistema de inspección de red (NIS) permite que el tráfico sea

inspeccionado en busca de vulnerabilidades de Microsoft. Según el

análisis de los protocolos, NIS puede bloquear algunos tipos de ataques

al tiempo que reduce los falsos positivos. Las protecciones se pueden

actualizar según sea necesario.

- La traducción de direcciones de red (NAT) mejorada permite especificar

servidores de correo individuales que se pueden publicar con NAT de uno

a uno.

- Voz sobre IP mejorada permite incluir SIP transversal, lo que facilita la

implementación de Voz sobre IP dentro de la red.

- Windows Server 2008 con compatibilidad para 64 bits—Forefront TMG se

instala en Windows Server 2008 con compatibilidad para 64 bits.

Microsoft Forefront Unified Access Gateway 2010. Microsoft Forefront

Unified Access Gateway (UAG) 2010 Service Pack 1 brinda una solución de

acceso remoto fácil y seguro que se centra en la inteligencia de aplicaciones

y en un control de acceso granular. Forefront UAG 2010 SP1 es la solución

que se ajusta a todas sus necesidades de acceso remoto, debido a que

brinda administración centralizada y control de directivas en todos los

usuarios, dispositivos y recursos de red.

Trabajando con NetFilter.

NetFilter es un programa cuya función principal es la optimización del uso del

internet, por medio del filtraje del contenido impropio (como sitios de violencia,



drogas, pornografía y otros), además de ofrecer una amplia gama de otras

funciones.

NetFilter está enfocada hacia la prestación de servicios en informática,

especialmente para la administración de accesos y del contenido de internet.

Netfilter es un framework disponible en el núcleo Linux que permite interceptar

y manipular paquetes de red. Dicho framework permite realizar el manejo de

paquetes en diferentes estados del procesamiento. Netfilter es también el

nombre que recibe el proyecto que se encarga de ofrecer herramientas libres

para cortafuegos basados en Linux.

El componente más popular construido sobre Netfilter es iptables, una

herramienta de cortafuegos que permite no solamente filtrar paquetes, sino

también realizar traducción de direcciones de red (NAT) para IPv4 o mantener

registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles

como módulos del núcleo sino que también ofrece herramientas de espacio de

usuario y librerías.

Iptables es el nombre de la herramienta de espacio de usuario mediante la cual

el administrador puede definir políticas de filtrado del tráfico que circula por la

red. El nombre iptables se utiliza frecuentemente de forma errónea para

referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo,

el proyecto ofrece otros subsistemas independientes de iptables tales como el

connection tracking system o sistema de seguimiento de conexiones, que

permite encolar paquetes para que sean tratados. iptables es un software

disponible en prácticamente todas las distribuciones de Linux actuales.

OBSERVACIÓN.

Honeypot. Es un Software o conjunto de computadores cuya intención es atraer

a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es

una herramienta de seguridad informática utilizada para recoger información

sobre los atacantes y las técnicas utilizadas durante el ataque. Los Honeypots

pueden distraer a los atacantes de las máquinas más importantes del sistema,

y advertir rápidamente al administrador del sistema de un ataque, además de

permitir un examen en profundidad del atacante, durante y después del ataque

al honeypot.



Algunos honeypots son programas que se limitan a simular sistemas operativos

no existentes en la realidad y se les conoce como honeypots de baja

interacción y son usados fundamentalmente como medida de seguridad. Otros

sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir

mucha más información del atacante; sus fines suelen ser de investigación y se

los conoce como honeypots de alta interacción.

Un Honeypot es un sistema

que está diseñado para

engañar a intrusos, y así

poder estudiar sus

comportamientos y aprender

de sus métodos, quizás la

mayor insignia es la de

“conoce a tu enemigo” y así

podrás combatirlo.

Un tipo especial de honeypot

de baja interacción son los

sticky honeypots (honeypots

pegajosos) cuya misión

fundamental es la de reducir

la velocidad de los ataques

automatizados y los rastreos.

En el grupo de los honeypot de alta interacción nos encontramos también con

los honeynet.

También se llama honeypot a un website o sala de chat, que se ha creado para

descubrir a otro tipo de usuarios con intenciones criminales, (e.j., pedofilia).



1. ¿Cuál es el objetivo de utilizar un servidor de seguridad en la red

corporativa?

2. ¿Qué entiende por red interna, externa, perimetral y DMZ? – Explique al

detalle.

3. ¿Cuáles son los programas más utilizados que permiten implementar

servidores de seguridad en la red corporativa? – Explique las

características de cada uno de estos programas.

4. ¿Cuál de estos programas sería recomendado por usted y bajo qué

circunstancias? – explique.

5. ¿Qué es Honeypot en el ámbito de la seguridad? -Investigue.


polÍticas de seguridad -...

Documents