[ut2 seguridad y alta disponibilidad. antonio 9 de ...9 de diciembre de 2011 [ut2 seguridad y alta...

9 de diciembre de 2011

[UT2 SEGURIDAD Y ALTA DISPONIBILIDAD. ANTONIO

QUEVEDO BUENO]

1

UT2:” Implantación de mecanismos de seguridad activa”



QUEVEDO BUENO]

2

Indice 1. HERRAMIENTAS PALIATIVAS. a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD c) En tu ordenador, realiza un análisis antimalware a fondo (msconfig, procesos dudosos ejecutándose, …etc) mediante el software de Microsoft : suite Sysinternals d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas gratuitas de Trend Micro USA. Documento dicho proceso. e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?. f) Investiga en Internet el término : Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?. g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. ¿Cómo se propaga?¿Qué efecto tiene? ¿A qué tipo de sistemas operativos afecta? ¿Qué medidas de seguridad puede tomar? ¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede realizar? ¿Para que sirve USB Vaccine?. ¿Qué programa podemos utilizar para realizar la desinfección?. 2. HERRAMIENTAS PREVENTIVAS. a) Configuración de contraseñas seguras: - En Windows: Políticas de directivas de cuentas. - En GNU/Linux: Módulo pam_cracklib. b) Peligros de distibuciones live: (Ultimate Boot CD – UBCD, Backtrack, Ophcrack, Slax, Wifiway, Wifislax). - Uso de DVD Live de Backtrack para acceder a los datos. c)Configurando contraseñas en la BIOS: - Asignar contraseña a la BIOS y observar su vulnerabilidad. d)Contraseñas en el gestor de arranque:



QUEVEDO BUENO]

3

- Práctica con GRUB e)Recuperación de contraseñas: - En Windows: Ophcrack. - En GNU/Linux: Aplicación John the Ripper. f)Modificación de contraseñas: - En Windows: Distribución Live UBCD. - En GNU/Linux: mediante el sistema, modificando /etc/shadow. g) Realizar una copias de seguridad de drivers - Utiliza el software “DriverMax” o similar. h)Control de acceso a datos y aplicaciones: - En Windows: Política de directivas de seguridad local. - En GNU/Linux: chmod, chown, chgrp, getfacl, setfacl. i) Utiliza el sotware “Windows SteadyState”, y crea un pequeño informe de las posibilidades del mismo, desde un punto de vista de seguridad informática j) Busca aplicaciones “congelador” disponibles para Windows y GNU/Linux como “DeepFreeze”. Indica que protección ofrecen. k)Utiliza el software “Keepass Passwrod Safe”, y crea un pequeño informe de las posibilidades del mismo, desde un punto de vista de seguridad informática. SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS: 3. TÉCNICAS DE CIFRADO: a) Cifrado simétrico : - Uso de PGP y GPG. b) Cifrado de datos y particiones: - En Windows: Uso de TrueCrypt. c) Funciones HASH - En Window: md5sum. - En GNU/Linux: md5sum. d) Cifrado asimétrico: - En GNU/Linux: gpg. 4. IDENTIDAD DIGITAL: a) Firma digital de un documento - En GNU/Linux: gpg.



QUEVEDO BUENO]

4

b) Certificados digitales. - Busca que Autoridades Certificadoras Admitidas de certificados digitales existen en España. Describe el proceso para la obtención del certificado digital. Visita la web www.fnmt.es ¿Es válido para todos los navegadores web? ¿Puede emplearse para firmar otro tipo de archivos? ¿Es posible exportarlo o solamente se puede emplear en un solo equipo? ¿Qué precauciones podemos tener con el certificado digital en cuanto a protección mediante contraseñas a la exportación? c) Certificados digitales.- Revisa en la web www.camerfirma.com , uno de los usos que tiene el certificado digital para la firma y el envío de correos electrónicos con certificado digital. Describe el proceso. ¿Qué garantiza?. ¿Qué es S-MIME?. d) Certificados digitales.- Realiza los trámites para la obtención de tu certificado digital. - ¿Dónde lo tienes que descargar? - ¿Dónde tienes que ir a recogerlo? - ¿Qué caducidad posee? - Instalarlo en Internet Explorer y Mozilla Firefox. - Una persona que acceda a nuestro equipo en el que tenemos instalado un certificado digital, ¿puede acceder a distintos sitios web de información personal de tipo legal?. e) Certificados digitales/ DNIe. – Realiza una búsqueda de los servicios de empresas como bancos, y de la administración pública (seguridad social, hacienda, etc) a los que se puede acceder de forma segura, mediante certificado digital y mediante DNIe. - Acceder a un organismo público en Internet utilizando el Dni-e. 5. AMENAZAS Y ATAQUES EN REDES CORPORATIVAS: a)Identidad digital.- ¿Qué diferencias existen entre la instalación de un certificado en un servidor web y un servidor de certificaciones?. Busca cómo se instala y qué opciones ofrece el servidor de certificados integrados en el servidor IIS de Microsoft. Realiza una petición por parte de un cliente de un certificado digital. b) Seguridad en redes corporativas: - Windows: Uso de Caín & Abel como Sniffing – MitM- ARP Spoofing – Pharming. - GNU/Linux: Uso de ArpWatch. c) Seguridad en redes corporativas: - Uso de netstat para análisis de puertos en Window y GNU/Linux.



QUEVEDO BUENO]

5

- Uso de un análisis de puertos on line: d)Uso de la distribución Backtrack de GNU/Linux con la finalidad de investigar sobre la inyección de código SQL (SQL Inyection) con la finalidad de obtener las tablas de usuarios y contraseñas de las bases de datos de sitios web. Prueba en un sitio web en el que sea necesario registrarse. ¿Qué tipo de precauciones tendrías como administrador web para evitar inyecciones SQL? 6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED: a) Configura en modo seguro un switch CISCO (Packet Tracer) b) Configura en modo seguro un router CISCO c) Elabora un documento que manifieste las vulnerabilidades en las capas enlace, red (IP), TCP-UDP y Aplicación (DHCP, DNS, ….) y como protegerse de las mismas. 7. MONITORIZACIÓN DEL TRÁFICO EN REDES: HERRAMIENTAS a) Descarga e instala Wireshark y realiza filtrado de servicios de red para monitorizar sólo el tráfico deseado. b) Descarga e instala Kismet o Network Stumbler para redes inalámbricas y realiza filtrados de red para monitorizar sólo el tráfico deseado 8. INTENTOS DE PENETRACIÓN: a) Honeypot. Instalación , configuración , ejecución y prueba en Windows o GNU/Linux de honeyd www.honeyd.org b) Sistema de detección de intrusos (IDS): HostIDS: - Linux: Integridad de un fichero: md5sum. - Linux: Integridad de un sistema de ficheros: trypwire - Windows: Integridad del sistema de ficheros mediante Xintegrity. c) Sistema de detección de intrusos (IDS): Net IDS: - Instala y configura Snort en GNU/Linux. 9. SEGURIDAD EN LAS COMUNICACIONES INALÁMBRICAS. a) Configuración de un punto de acceso inalámbrico seguro. http://www.tp-link.com/simulator/TL-WA501G/userRpm/index.htm b) Configuración de un router de acceso inalámbrico CISCO LINKSYS WRT54GL , utilizando un simulador. c) Configuración de un router de acceso inalámbrico CISCO Linksys seguro y un cliente de acceso inalámbrico en Windows y GNU/Linux. - Filtro MAC, WPA, Control parental. d) Configuración de un router de acceso inalámbrico TP-LINK, utilizando un simulador.



QUEVEDO BUENO]

6

NOTA: En algunas practicas se han utilizar las maquinas virtuales de compañero de clase y por eso tienen sus nombre de usuario, pero están hechas por el alumno. 1. HERRAMIENTAS PALIATIVAS. a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. Lo primero que sera instalarlo con la sentencia: Sudo apt-get install clamav

Ademas este programa incluye una versión grafica. Para instalarla escribimos: -sudo apt-get install clamtk

Una vez instalado, escribimos en el terminal “clamtk” y nos aparecerá el interfaz grafico. Ahora podemos configurar que fichero o ficheros queremos que analice. En nuestro caso se lo diremos que lo haga en todo el directorio.

Como podemos comprobar, no ha encontrado ningún tipo de virus.



QUEVEDO BUENO]

7

El programa también permite realizar escaneos en un tiempo y dia programados



QUEVEDO BUENO]

8

Ademas el programa consta con una salida en pantalla del análisis para poder guardarlo en un fichero.

b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD c) En tu ordenador, realiza un análisis antimalware a fondo (msconfig, procesos dudosos ejecutándose, …etc) mediante el software de Microsoft : suite Sysinternals autorun Una vez descargadas las herramientas (no necesitan instalación la mayoria), procederemos a probarlas.



QUEVEDO BUENO]

9

Seleccionamos la herramienta “autorun” y procedemos a probarla



QUEVEDO BUENO]

10

Esta herramienta lo que hace es reconocer todas las aplicaciones que tenemos instaladas.

BGINFO BGinfo es una aplicación que hace una captura en nuestro escritorio de todos los valores de nuestro sistema operativo.



QUEVEDO BUENO]

11

Procexp



QUEVEDO BUENO]

12

Esta aplicación nnos muestra todos los procexos en funcionamiento de nuestro sistema.

Para comprobar que añade nuevos elementos de procesos abrimos el Internet Explorer y comprobamos que aparece en el proceso



QUEVEDO BUENO]

13

d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas gratuitas de Trend Micro USA. Documento dicho proceso. Hijackthis Vamos a instalar las herramientas Hijackthis. Esta herramienta nos realiza un chequeo del registro del sistema.



QUEVEDO BUENO]

14

Aceptamos los términos de licencia.

Seleccionamos el fichero de instalación por defecto.



QUEVEDO BUENO]

15

Por ultimo le damos a “Instalar”

Una vez instalado, se ejecutara automaticamente y nos mostrara la siguiente pantalla. Una vez finalizado el análisis podremos observar una gran información en la que podremos observar el registro de nuestro sistema:



QUEVEDO BUENO]

16

Y un fichero de texto guardando el log



QUEVEDO BUENO]

17

Browser Guard, una solución de Trend Micro contra vulnerabilidades zero-day



QUEVEDO BUENO]

18

A estas alturas el hablar de la necesidad de un buen antivirus y antimalware ya resulta mucho más que una obviedad, pero como los problemas siguen apareciendo de manera casi permanente (como las que ayer vimos que afectan a IE) es bueno tener bien claro cuales son los programas que nos pueden ser de utilidad.

Browser Guard, de Trend Micro, es un software de seguridad freeware especializado en vulnerabilidades zero-day, que se integra perfectamente con Internet Explorer (como una barra de herramientas) y ofrece una buena dosis de seguridad adicional. Luego de instalado permanece en la bandeja del sistema y desde allí monitoriza la actividad de IE en búsqueda de código malicioso.

Pero además de vulnerabilidades zero-day, este programa también detecta los ataques de buffer-overflow y de heap-spray, protege contra la ejecución de código y contra código JavaScript malicioso.

La nueva versión de Browser Guard ha sido lanzada a principios de este mes, y además de agilizar el tiempo de inicio y de mejorar la velocidad de uso, ha mejorado la compatibilidad con otros productos de Trend Micro, principalmente con Smart Protection Network.

HOUSE CALL

Es una aplicación que nos analizar si tenemos software antimalware o antivirus.



QUEVEDO BUENO]

19

Una vez que lo tenemos instalado, seleccionamos la opción “Analizar Ahora”



QUEVEDO BUENO]

20

Una vez acabado de pasar el antivirus, comprobamos que nuestro sistema no tiene ningún tipo de Virus



QUEVEDO BUENO]

21

Rubboter

Este es un programa que nos indica si nuestro equipo esta infectado con algún programa malicioso relacionado con el spam.

Una vez que lo tenemos descargado e instalado, nos vamos a su acceso directo o Incio/Todos los programas/ Tren Micro Rubotted.



QUEVEDO BUENO]

22

Como podemos ver este programa está activo siempre, por lo que nos muestra si nuestro sistema está infectado o no.

e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?



QUEVEDO BUENO]

23

Una vez que lo tenemos descargado comenzamos con la instalación. Le damos a siguiente

Aceptamos los términos de licencia.

Finalizamos la instalación del programas y lo ejecutamos.



QUEVEDO BUENO]

24

Una vez ejecutado vamos a realizarle algunas pruebas

Podemos comprobar que podemos ocultar la vista del programa si pulsamos CTRL + ALT + F9



QUEVEDO BUENO]

25

Ahora podemos ver los ajustes generales, como la combinación de teclas para ocultar, y como queremos que funcione en los distintos servicios de red.

En la pesta Email, podemos ver que la información que recolecte la mande a un correo electrónico.



QUEVEDO BUENO]

26

Ahora vamos a ver como abriendo algunas aplicaciones y escribiendo, lo anota todo el programa.

f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?

Hijacking significa "secuestro" en inglés y en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere.

Algunos ejemplos de Hijacking



QUEVEDO BUENO]

27

• IP hijakers: secuestro de una conexión TCP/IP por ejemplo durante una sesión Telnet permitiendo a un atacante inyectar comandos o realizar un DoS durante dicha sesión.

• Page hijacking: secuestro de página web. Hace referencia a las modificaciones que un atacante realiza sobre una página web, normalmente haciendo uso de algún bug de seguridad del servidor o de programación del sitio web, también es conocido como defacement o desfiguración.

• Reverse domain hijacking o Domain hijacking: secuestro de dominio

• Session hijacking: secuestro de sesión

• Browser hijacking: (Secuestro de navegadores en español). Se llama así al efecto de apropiación que realizan algunos spyware sobre el navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es utilizado por un tipo de software malware el cual altera la configuración interna de los navegadores de internet de un ordenador. El término "secuestro" hace referencia a que éstas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son fáciles de eliminar del sistema, mientras que otros son extremadamente complicados de eliminar y revertir sus cambios.

• Home Page Browser hijacking: secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en la que navegamos es cambiada por otra a interés del secuestrador. Generalmente son páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté seguro y funcione correctamente. No cabe decir que es a cambio de un pago y que el origen del error y mal funcionamiento del equipo es debido a nuestro secuestrador

• Modem hijacking: secuestro del Modem. Esta expresión es en ocasiones utilizada para referirse a la estafa de los famosos dialers que tanta guerra dieron en su día (antes del auge del ADSL) y que configuran sin el consentimiento del usuario nuevas conexiones a números de cobro extraordinario.

• Thread hijacking: secuestro de un "tema" dentro de un foro de discusión de internet. Este termino hace referencia a la situación que ocurre cuando dentro de un tema de discusión en un foro alguien intenta dirigir el hilo de la conversación hacia asuntos que no tienen nada que ver con el tema inicial. Esto puede realizarse de manera



QUEVEDO BUENO]

28

intencionada para irritar al autor del tema o bien producirse de manera natural y no intencionada generalmente por usuarios sin mucho conocimiento en el asunto a tratar o que desconocen la dinámica de comportamiento de los foros.

Cómo puedes eliminar el “Browser hijacker”. 1.-

• Busca y elimina de tu Sistema la siguiente carpeta marcada en negrita (vaciar la papelera de reciclajes):

Cita:

C:\Archivos de programa\Fast Browser Search

2.-

• Descarga UsbFix By El Desaparecido C_XX y ejecutalo como allí se detalla en su opción "Supresión". Al finalizar pegas el reporte en tu próxima respuesta.

3.-

• Actualiza la base de datos de SUPERAntispyware y realiza un examen completo, eliminando todo lo que encuentre. Cualquier duda: Manual del SUPERAntiSpyware

4.-

• Ejecuta Ccleaner, utilizado sus opciones:

• Limpiador: para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos;

• Registro: para limpiar todo el Registro de Windows haciendo Copia de Seguridad.

• Genera un log de HijackThis v2.0.4. En tu próxima respuesta lo pegas, comentándonos como funciona el sistema.

¿Qué efectos tiene sobre el sistema?. windows no inicia y aparece "falta archivo ntldr" presionar ctrl+alt+supr para reiniciar, que puedo hacer no teniendo la consola de recuperacion ni el cd de windows.

Realiza lo siguiente:

• Descargue el siguiente archivo: NTD.rar



QUEVEDO BUENO]

29

• Descomprima su contenido en un "Dispositivo extraible" (Pendrive). Recomendable crear una carpeta aparte para ubicar más fácilmente los archivos. Puede que los archivos no se vean por estar ocultos (Ver tema: Ver archivos ocultos en todos los Windows)

Descargue "Ubuntu Desktop Edition". Luego grabe la imagen (archivo .iso) dentro de un CD nuevo. Para trabajar con el Livecd de Ubuntu, es necesario configurar la BIOS para que éste arranque desde el CD y no desde el disco duro. Para ello, es necesario tener en cuenta lo siguiente (Ver tema: Configuración de la BIOS (Setup))

Cita:

INGRESAR A LA BIOS La forma de ingresar en la BIOS o Setup puede variar dependiendo de la marca. Tiene que fijarse en la primera pantalla que aparece nada más encender el PC, ya que sólo tendrá unos segundos para pulsar la tecla o combinación de teclas que le permitirá ingresar en la misma. Normalmente la tecla de función es Supr, pero también puede ser Del (Supr), F2, F10, F1, F12, o combinaciones del tipo Ctrl+Alt+Esc, Ctrl+Supr, Ctrl+Esc, etc. Tendrá que comprobar si la secuencia de arranque del Boot de la Bios tiene al CDROM como primer dispositivo (¡OJO! En las Bios normalmente se señala como CDROM, aunque se trate de un soporte DVD, así que no se empeñe en buscar la palabra DVDROM), ya que si está el disco duro primero, la Bios pasará olímpicamente del CD/DVD y cargará el disco duro. Así que en este caso tendrá que cambiar la secuencia del Boot.

Una vez configurado la Bios para que arranque desde el CDROM y colocado el Livecd de Ubuntu en la lectora, deberá esperar a que éste cargue. Al finalizar podrá comprobar las opciones Probar Ubuntu / Instalar Ubuntu. Deberá optar por la primera "Probar Ubuntu" y aguardar.



QUEVEDO BUENO]

30

Conecte su Unidad extraible al Sistema. Luego, diríjase a la parte superior de la pantalla y pulse sobre "Lugares" desplegando una serie de opciones en la cual deberá escoger "Equipo".



QUEVEDO BUENO]

31

1. Ingrese al "Dispositivo extraible" y copie los archivos:

ntldr NTDETECT.COM



QUEVEDO BUENO]

32

2. Vuelva nuevamente a Equipo. Ubuntu asigna a las unidades el nombre predeterminado "Sistema de archivos", por lo que en el caso de tener varias unidades en el Sistema deberá conocer medianamente el tamaño y contenido de la unidad Raíz a utilizar. Una vez que sepa esto ingrese al "Disco Duro/Sistema de archivos xx GB" (donde xx es la cantidad de GB que almacena el disco), y pegue los archivos anteriormente mencionados.

En Windows los archivos deberían quedar en la siguiente ruta:



QUEVEDO BUENO]

33

Cita:

c:\ntldr c:\NTDETECT.COM

Apague Ubuntu pulsando sobre el margen izquierdo superior el icono:

Seleccione "Apagar".

Aguarde a que termine el procedimiento y cuando se le requiere pulse aceptar para apagar finalmente el Livecd de Ubuntu. Reinicie el Sistema y nos comenta como le ha ido y cómo funciona el ordenador.

g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo.

autorun.inf ¿Cómo se propaga? ¿Qué efecto tiene?

Normalmente, los archivos AUTORUN.INF, no son archivos maliciosos, y simplemente contienen información de los programas que pueden ejecutarse automáticamente cuando un dispositivo de almacenamiento removible (memorias USB, CDs, etc.), son insertados en la computadora. Método de Propagación

Propagación a través de unidades mapeadas:



QUEVEDO BUENO]

34

Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red.

En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.

Propagación a través de recursos compartidos de red:

Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.

Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.

Distribución de archivos infectados:

Autorun.INF no se propaga automáticamente por sus propios medios, sino que infecta archivos del siguiente tipo:

Llega a otros ordenadores cuando se distribuyen los archivos previamente infectados, que pueden entrar al ordenador a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.

Otros Detalles

Autorun.INF tiene las siguientes características adicionales:

• Tiene un tamaño de 128 Bytes.

IMPORTANTE: Tenga en cuenta que la existencia de un archivo AUTORUN.INF en su computadora, no implica necesariamente que la misma esté infectada por un archivo malicioso. ¿A qué tipo de sistemas operativos afecta? Afecta a todos los SO debido a que el archivo autorun.inf es una directiva de los sistemas operativos que lanze un autoarranque de los disco cd/dvd memorias flash…. ¿Qué medidas de seguridad puede tomar?

Como modificar en el registro los valores de la reproducción automática de forma manual.



QUEVEDO BUENO]

35

Los valores del registro para regular la reproducción automática se encuentran en la siguiente clave: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

En el lado derecho debe estar el valor DWORD NoDriveTypeAutoRun, si no existe créalo y asígnale el valor hexadecimal que puedes calcular mirando la siguiente lista y sumando los valores que necesites: 0x1 Deshabilita AutoPlay en dispositivos desconocidos. 0x4 Deshabilita AutoPlay en floppy. 0x8 Deshabilita AutoPlay on fixed drives. 0x10 Deshabilita AutoPlay en dispositivos de red. 0x20 Deshabilita AutoPlay en CD-ROM. 0x40 Deshabilita AutoPlay en medios extraíbles. 0xFF Deshabilita AutoPlay en todo tipo de dispositivos.

Los valores más comúnmente usados son: 28 (40 decimal) deshabilita los medios extraíbles (USB) 3c (60 decimal) deshabilita medios extraíbles y CDROM FF (255 decimal) deshabilita la reproducción automática En Windows XP el valor predeterminado es 0x95 (149) En Vista 0x91 (145) el mismo pero sin el floppy

Eliminando el valor NoDriveTypeAutoRun en la clave indicada se habilita todas las ejecuciones de forma automática. ¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede realizar?

1- Agregar entrada al registro de Windows indicándole interpretar los valores de los archivos autorun.inf de manera errónea. Para eso tienes que agregar una entrada en el registro con el siguiente valor:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"

¿Para que sirve USB Vaccine?.



QUEVEDO BUENO]

36

Panda USB Vaccine es una sencilla herramienta de Panda Security que tiene como objetivo evitar que nuestro ordenador se infecte por culpa de un CD/DVD o USB infectados.

En primer lugar, Panda USB Vaccine desactiva la opción de autoarranque de un disco óptico o de una memoria USB, opción que usan muchos virus para infectar ordenadores.

Y en segundo lugar, Panda USB Vaccine "vacuna" tu llave USB para que ningún virus o malware se aproveche de la función de autoarranque para propagarse.

Pros

• Fácil de usar y rápido

• No requiere instalación

• No necesita configuración

Contras

• No limpia memorias USB ya infectadas

¿Qué programa podemos utilizar para realizar la desinfección?.

El hecho de quitarle cualquier virus a sus USB es muy facil usando el comando que ktgoth uso en ese foro de inmunizar las memorias USB (Ojo ya hay virus que aunke el autorun tenga las propiedades s="system" h="hidden" r="readonly" lo reemplaza), Bueno vamos a la accion Pasos: 1-Una vez identificada la letra con la que se representa tu dispositivo (En mi caso I), nos posicionamos en la memoria, esribiendo en la consola de comandos "I:" y enseguida te aparece I:\> 2-Una vez aqui le das el comando "attrib" I:\>attrib y en seguida te muestra todos los archivos de la memoria, veras ke hay algunos que tienen SHR antes del nombre, si no son tuyos y no has sido tu



QUEVEDO BUENO]

37

quien le puso estas propiedades seguro que son los virus pues por lo general se copian con estas caracteristicas, incluyendo el autorun.inf (esto es lo que ejecuta el virus, sin el los virus solo se ejecutan si tu lo haces directamente) 3-ahora le quitaremos estas propiedades a estos archivos, para lo cual volveremos a usar el comando attrib en este caso le voy a quitar las propiedades al autorun.inf I:\>attrib -s -h -r autorun.inf 4-Y por ultimo borramos el archivo haciendo uso del comando "del" en este caso borrare el autorun.inf I:\>del autorun.inf 5- Si quieren hacen lo mismo con los otros archivos que tambien tenian estas propiedades, en caso contrario "OJO" "Cuidado no abran aun la memoria" retirenla normalmente y vuelvan la a poner ahora si ya la pueden abrir sin problema. Porque hay que retirarla?? Rta: El autorun.inf se carga como configuracion de acceso al dispositivo, asi ke aunque lo hayamos borrado de la memoria el equipo usara esa configuracion(hagan de cuenta que queda almacenada) al retirarla e insertarla de nuevo como el equipo no encuentra un autorun.inf no cargara ninguna configuracion y abrira la memoria directamente sin ejecutar nada raro.

2. HERRAMIENTAS PREVENTIVAS. a) Configuración de contraseñas seguras: - En Windows: Políticas de directivas de cuentas. Para modificar las directivas de cuenta tenemos que ir panel de control \herramientas administrativas\directivas de seguridad local



QUEVEDO BUENO]

38



QUEVEDO BUENO]

39

Una vez dentro podemos seleccionar las directivas de cuenta/ contraseña.



QUEVEDO BUENO]

40

- En GNU/Linux: Módulo pam_cracklib. Para instalar el programa debemos de escribir la sentencia:-sudo apt-get install pam_cracklib

Despues debemos de ir al fichero /etc/pam.d/common-password y habilitar las 2 lineas señaladas



QUEVEDO BUENO]

41

b) Peligros de distibuciones live: (Ultimate Boot CD – UBCD, Backtrack, Ophcrack, Slax, Wifiway, Wifislax). - Uso de DVD Live de Backtrack para acceder a los datos.

Finalidad: .- Ejecutar WifiWay sin particionar el disco duro, sin pendrives, sin CD, sin modificación del MBR… Es decir, evaluar el S.O. WifiWay de la forma más simple posible.

Limitaciones e inconvenientes: .- Es necesario modificar un archivo de sistema, boot.ini .- Se requieren permisos de administrador parar modificar boot.ini .- No es posible almacenar los cambios realizados .- Cada vez que ejecutemos WifiWay, es necesario introducir la disposición del teclado

Ventajas: .- Grub4dos permite arrancar casi cualquier sistema operativo desde la propia imagen ISO, sin necesidad de grabar CD, utilizar pendrives, y es capaz de ello aunque nuestro PC sea antiguo y la BIOS no permita el arranque desde pendrives, o incluso CD’s

Limitaciones de este manual y recomendaciones previas: .- Asegurarse de que la imagen ISO es correcta (verificar hash) .- Se toma Windows XP SP3, WifiWay 2.0.1 y grub4dos como referencia



QUEVEDO BUENO]

42

.- Se supone que la partición de arranque es c:

.- He intentado simplificar al máximo este post y centrarme en el arranque de WifiWay, pero el PC en el que estoy ahora mismo dispone de 6 entradas en boot.ini, y unas 40 en menu.lst desde el que se pueden arrancar unos 30 sistemas operativos distintos. Obviamente, explicar el significado de cada entrada y parámetro está fuera del ambito de este manual.

Una vez que hemos arrancado el SO desde los cds nos vamos a media y abra el programa konqueror. Dentro nos iremos al programa wifiway

Una vez hecho esto podemos comprobar que podemos acceder a todos los programas y sistemas de ficheros de nuestro disco duro.

c) Configurando contraseñas en la BIOS: - Asignar contraseña a la BIOS y observar su vulnerabilidad. Una vez que estamos dentro de la bios, nos iremos a la pestaña “Security”



QUEVEDO BUENO]

43

Dentro nos iremos a la opción “Set Supervisor Password” y le asignamos una contraseña.

Despues guardamos los cambios y salimos de la bios.



QUEVEDO BUENO]

44

d) Contraseñas en el gestor de arranque: - Práctica con GRUB Para modificar una vez el grupo simplemente debemos de escribir la siguiente sentencia: Grub-mkpasswd-pbkdf2 y le insertamos una nueva contraseña. Despues debemos de modificar el fichero /boot/grub/grub.cfg y almacenar la información de la contraseña que hemos recibido anteriormente para que este cifrada. Una vez hecho esto reiniciamos el sistema y nos pedira una cotraseña en el grub,



QUEVEDO BUENO]

45

e)Recuperación de contraseñas: - En Windows: Ophcrack. Una vez que tenemos el programa instalado seleccionamos las librerías que queremos añadir al sistema. EN nuestro caso seleccionaremos las viste free para que veamos la contraseña al momento.



QUEVEDO BUENO]

46

Una vez hecho esto debemos de irnos a Load/Local SAM y como podemos comprobar nos va apareciendo las contraseña de los distintos usuarios.

- En GNU/Linux: Aplicación John the Ripper. Para instalar el programa solo debemos de escribir la siguiente sentencia en la consola: -sudo apt-get install john

El siguiente paso sera reunir las contraseñas de los ficheros passwd y shadows en un único fichero.



QUEVEDO BUENO]

47

asdasd

Y lanzar la sentencia dentro del fichero que almacena las contraseñas

-John contraseñas

Si nos aparece el siguiente error: “No passwrod hashes loaded”



QUEVEDO BUENO]

48

Si nos ocurre este problema debemos de descargar la ultivar versión del software con la siguiente sentencia:

Wget http://openwall.info/wiki/_media/john/john-1.7.3.1-generic-crypt-1.diff.gz

Una vez que los descargamos, lo extrayemos.



QUEVEDO BUENO]

49

El paso siguiente meternos en su carpeta por el terminal

Ahora debemos de escribir la siguiente sentencia para que el parche actualize el programa:



QUEVEDO BUENO]

50

-gzip –dc ../John 1.7.3.1-generic-crypt-1.diff.gz | patch –p1

Por ultimo debemos de pasarle el programa a la carpeta mispasswords.

f)Modificación de contraseñas: - En Windows: Distribución Cia Commander. Es un programa que debemos de arrancar desde el disco. Despues de que arranque seleccionamos el fichero con las partición.



QUEVEDO BUENO]

51

Despues nos aparecerá un menú. Seleccionamos la opción USER MANAGER

Ahora seleccionamos el usuario al que queremos sacar la contraseña y pulsamos f3:

Ahora introducimos la contraseña deseada y pulsamos f10 para salir:



QUEVEDO BUENO]

52

- En GNU/Linux: mediante el sistema, modificando /etc/shadow. Lo primero que tenemos que hacer es escribir la siguiente sentencia que nos permitirá encriptar la contraseña seleccionada: -Mkpasswd –H md5 contraseña

Una vez hecho esto debemos de modificar el fichero /etc/shadow y añadirle el usuario con la contraseña



QUEVEDO BUENO]

53

Despues solo tenemos que intentar entrar con el usuario y la contraseña

g) Realizar una copias de seguridad de drivers - Utiliza el software “DriverMax” o similar.

Una vez que tenemos el programa descargado e instalado, lo ejecutamos



QUEVEDO BUENO]

54

Ahora seleccionamos la opción “backup drivers”

Ahora nos saltara un asistente para la descargar de drivers.



QUEVEDO BUENO]

55

Ahora nos saltara una pantalla que buscar los drivers de nuestro equipo

Poco después nos aparecerá que ha encontrado los siguientes driver. Nosotros le daremos a Siguiente.



QUEVEDO BUENO]

56

Despues nos pedira donde guardamos los drivers. En nuestro caso le diremos la carpeta default

Por ultimo nos saldrá una ventana que nos confirma que los drivers han sido instalados correctamente.



QUEVEDO BUENO]

57

h)Control de acceso a datos y aplicaciones: - En Windows: Política de directivas de seguridad local. Nos vamos a Inicio/Herramientas administrativas/usuarios y equipos de Active Directory



QUEVEDO BUENO]

58

Despues dentro del dominio botón derecho/propiedades y nos vmaos a la pestaña de Directivas de Grupo.

Ahora el siguiente paso sera añadir una directiva de grupo. En nuestro caso sera que no se ejecute el Messenger que se encuentra Configuracion de equipo/Plantillas Administrativas/Componentes de Windos/Windows Messenger



QUEVEDO BUENO]

59

Y le habilitamos dicha opcion

- En GNU/Linux: chmod, chown, chgrp, getfacl, setfacl. Chmod En un comando que nos permite dar permisos a una carpeta



QUEVEDO BUENO]

60

Chown El comando chown permite cambiar el propietario de un archivo o directorio en sistemas tipo UNIX. Puede especificarse tanto el nombre de un usuario, así como el identificador de usuario (UID) y elidentificador de grupo (GID). Opcionalmente, utilizando un signo de dos puntos (:), o bien un punto (.), sin espacios entre ellos, entonces se cambia el usuario y grupo al que pertenece cada archivo.

chgrp, El comando chgrp permite cambiar el grupo de usuarios de un archivo o directorio en sistemas tipo UNIX. Cada archivo de Unix tiene un identificador de usuario (UID) y un identificador de grupo (GID), que se corresponden con el usuario y el grupo de quien lo creó

getfacl, getfacl El comando getfacl nos permite mostrar los ACLs. · La opción -R permite ver los ACLs de forma recursiva



QUEVEDO BUENO]

61

· La opción -L para el enrutamiento de los enlaces simbólicos setfacl Existen dos tipos de ACLs: acceso ACLs y ACLs predeterminado. Un acceso a ACLs es la lista de control de acceso para un archivo o directorio específico. Un ACLs predeterminado sólo puede ser asociado con un directorio, si un archivo dentro del directorio no tiene un acceso ACL, utiliza las reglas del ACL predeterminado para el directorio. Los ACLs predeterminado son opcionales Utiliza el sotware “Windows SteadyState”, y crea un pequeño informe de las posibilidades del mismo, desde un punto de vista de seguridad informática Windows SteadyState es un programa que nos permite varios aspectos relacionados con la seguridad de nuestro equipo, en concreto estas configuraciones se pueden aplicar al equipo en concreto o a la cuenta del usuario.

Algunas de las restricciones mas importantes que apreciamos en el son las de quitar el nombre de usuario administrador de la pantalla de bienvenida, quitar la opción de apagar y suspender de la pantalla de bienvenida:



QUEVEDO BUENO]

62

También podremos activar las actualizaciones automáticas en nuestro sistema:

Este programa también nos permite proteger nuestro disco duro pudiendo conservar los cambios realizados en nuestro equipo durante un cierto tiempo o activar la opción de conservar los cambios permanentemente:



QUEVEDO BUENO]

63

j) Busca aplicaciones “congelador” disponibles para Windows y GNU/Linux como “DeepFreeze”. Indica que protección ofrecen. Antes de hablar de Wondershare Time Freeze, es conveniente que conozcamos la terminología "Congelar el sistema"; básicamente ésta se refiere a la instalación de un Software que tiene como tarea, guardar la configuración actual del sistema operativo (congelar). Esto significa que coloca el equipo en un estado en el cual, queda bloqueado e inmune ante cualquier cambio que en este se realice, por ejemplo: Si un virus infecta tu sistema, no tendrás de qué preocuparte, ya que con solo reiniciar el equipo éste volverá en un estado tal cual se encontraba anteriormente. Donde el virus por supuesto quedará eliminado ya que tan solo tuvo un paso fugaz por tu computador. ¡Ojo! no confundir con "Restaurar sistema", si bien pareciera similar son dos cosas muy distintas. ¿Cómo funciona el proceso de congelamiento del Sistema Operativo (S.O)? La instalación de un software congelador, comúnmente se la realiza en la unidad de disco duro donde se encuentra instalado el S.O (normalmente C:), aunque también dependiendo de la capacidad del programa es posible congelar todas las unidades, es por ello que "congelar el sistema" también es denominado "congelar el disco duro". Ahora bien, el usuario administrador tiene la potestad de decidir cuándo congelar



QUEVEDO BUENO]

64

y descongelar el sistema, en el caso de que por ejemplo necesitase instalar nuevos programas o bien desinstalarlos. En general el proceso es sumamente sencillo, seguro y efectivo amigos. En ese sentido, el programa más reconocido y utilizado para congelar el equipo es Deep Freeze, quizá habitualmente lo veas en los cibercafé, tiene el icono de un oso polar y se encuentra en el área de notificaciones o bandeja del sistema (junto al reloj). Este programa es muy bueno, pero es de pago, lamentablemente para nosotros que acostumbramos a utilizar freeware. Sin embargo, tenemos a nuestra disposición a Wondershare Time Freeze; una excelente alternativa gratuita para congelar el sistema la cual debes tomar muy en cuenta. Wondershare Time Freeze es grauito, lo único que necesitas es registrarte en su sitio oficial, ingresando tu e-mail para que allí te sea enviada la clave de registro de manera gratis. La peculiaridad de Wondershare Time Freeze además de solo congelar la unidad del sistema, está en que también nos permite congelar o proteger una carpeta cualquiera, todo esto con la seguridad de establecer una contraseña para la configuración del programa por si así lo necesitas. Como apreciamos en la captura, su interfaz está en ingles, mas eso no será un problema ya que utilizarlo resulta bastante intuitivo, donde solo es cuestión de deslizar el botón OFF y ON para cuando quieras descongelar o congelar el sistema. Al instante y sin necesidad de reiniciar el equipo, como lo es en el caso de Deep Freeze. Wondershare Time Freeze es compatible con Windows en sus versiones 7/Vista/XP y su archivo instalador tiene un agradable tamaño de 2, 14 MB, liviano en comparación del otro que sabemos.



QUEVEDO BUENO]

65

CleanSlate Clean Slate controla los cambios que los usuarios realizan en el PC de tal forma que el administrador pueda revertirlos o simplemente dejarlos sin efecto. El programa está diseñado para garantizar la integridad de un sistema operativo utilizado por varios usuarios inexpertos o malintencionados. En una serie de ventanas, el administrador puede controlar los privilegios y permisos. El principal se refiere a que la alteración de los archivos de sistema no es permanente. Cuando un usuario reinicie su sesión todo volverá a estar como estaba: ficheros borrados, programas instalados, descargas,virus, troyanos, carpetas, iconos, etc. De esta manera, no existe riesgo de que el ordenador se infecte, modifique su configuración de rendimiento óptimo o cambie la estructura de archivos. Suele ocurrir que en cada casa el más avezado en informática se ocupa de arreglar el ordenador cuando algo va mal y según éste, los demás se encargan de estropearlo. Clean Slate ofrece una solución definitiva para conflictos de este tipo porque los cambios sólo los autoriza el

administrador k)Utiliza el software “Keepass Passwrod Safe”, y crea un pequeño informe de las posibilidades del mismo, desde un punto de vista de seguridad informática. Lo primero que debemos hacer es crear un nuevo contenedor



QUEVEDO BUENO]

66

Lo primero nos pedira una contraseña

Una vez Creada, nos aparecerán distintas secciones donde le asignaremos usuarios y contraseñas para permitir/Denegar el acceso.



QUEVEDO BUENO]

67

SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS: 3. TÉCNICAS DE CIFRADO: a) Cifrado simétrico: - Uso de GPG.

Vamos a instalar el programa SeaHorse para realizar un cifrado en Linux/Unix. Lo 1º que haremos será instalarlo con la siguiente sentencia:



QUEVEDO BUENO]

68

-Sudo aptitude install Seahorse -Sudo ape-get install Seahorse Nota: Si entras en la consola Unix como administrador no es necesario utilizar la sentencia “Sudo”.

Crear las claves

Para crear claves con sea Horse seguiremos los siguientes pasos:

• Haz clic en Aplicaciones —> Accesorios —> Contraseñas y claves de cifrado para iniciar la aplicación Seahorse, que es usada para administrar las claves de cifrado en Ubuntu.



QUEVEDO BUENO]

69

• En la ventana que aparece, haz clic en el botón Nuevo. En el cuadro de diálogo que aparece, selecciona Clave PGP, y haz clic en el botón Continuar.

• En el cuadro de diálogo que aparece, llena los campos Nombre Completo y Dirección de Correo (puedes dejar el campo Comentario vacío). Para ser franco, el campo email es solamente usado cuando usamos las claves con propósitos de envío de correo cifrado; sin embargo son campos obligatorios.

• En el apartado Opciones avanzados de clave, puedes seleccionar un tipo diferente de cifrado, aunque la opción por defecto “DSA Elgamal y 2048 bits” es considerada bastante segura a la vez que flexible para todas las necesidades. Una vez hecho, clic en el botón Crear.

• Después de esto, te solicitará una contraseña. Esencialmente, esta es la contraseña que necesitarás para descifrar los archivos. Es importante que escojas una contraseña difícil de adivinar, pero a la vez fácil de recordar. La contraseña puede incluir letras, números, símbolos, y espacios. En nuestro caso será “inves”



QUEVEDO BUENO]

70

• Después de esto, la clave será generada. Dependiendo en la velocidad de tu computador, esto puede tomar algunos minutos. Una vez hecho esto, cierra la aplicación Seahorse.

b) Cifrado de datos y particiones: - En Windows: Uso de TrueCrypt. Una vez que tenemos instalado el software, lo primero que tenemos que hacer es crear un volumen nuevo. En nuestro caso sera la L



QUEVEDO BUENO]

71

Despues del volumen nos saltara un menú que debemos de seleccionar la opción de crear un nuevo contenedor

Luego en la siguiente ventana debemos de seleccionar el método standard



QUEVEDO BUENO]

72

Ahora debemos de seleccionar la dirección donde alojaremos la encriptación. En nuestro caso lo dejaremos por defecto

Ahora seleccionamos el tipo de Encriptacion, en nuestro caso sera AES



QUEVEDO BUENO]

73

Ahora debemos de asignar una contraseña

Por ultimo el tipo de Volumen. En nuestro caso sera NTFS



QUEVEDO BUENO]

74

Una vez hecho esto veremos que se ha creado una partición que nos pide una contraseña para acceder



QUEVEDO BUENO]

75

c) Funciones HASH - En GNU/Linux: md5sum. Para aplicar una función Hash solo basta con usar el sistema md5sum sobre un fichero.

d) Cifrado asimétrico: - En GNU/Linux: gpg. Los algoritmos de cifrado asimétrico utilizan dos claves para el cifrado y descifrado de mensajes. Cada persona involucrada (receptor y emisor) debe disponer, por tanto, de una pareja de claves pública y privada. Para acceder un cifrado asimétrico primero tenemos que hacer un cojunto de key con la siguiente sentencia: -gpg –gen -key



QUEVEDO BUENO]

76

Despues nos saldrá un asistente para configurar el tipo de datos.

Una vez configurado debemos de aplicárselo a un fichero con la siguiente sentencia: -gpg –r inves –encrypt fichero



QUEVEDO BUENO]

77

4. IDENTIDAD DIGITAL: a) Firma digital de un documento - En GNU/Linux: gpg. b) Certificados digitales. Autoridades Certificadoras: CERES (CERtificación Española) * AC Abogacía * ANCERT – Agencia Notarial de Certificación * ANF AC * Autoritat de Certificació de la Comunitat Valenciana – ACCV * Banesto CA * AC Camerfirma * CATCert * CERES Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (FNMT-RCM) * CertiVer



QUEVEDO BUENO]

78

* CICCP * Colegio Oficial de Arquitectos de Sevilla * Dirección General de la Policía y de la Guardia Civil – Cuerpo Nacional de Policía * EADTrust * EDICOM * Firmaprofesional * Gerencia de Informática de la Seguridad Social * Healthsign * ipsCA * Izenpe * Ministerio de Defensa de España * Registradores de España * Santander * Servicio de Salud de Castilla-La Mancha (SESCAM)

PROCESO DE OBTENCIÓN El proceso se divide en tres apartados que deben realizarse en el orden señalado.

ES IMPRESCINDIBLE: No formatear el ordenador. Se debe realizar todo el proceso de obtención desde el mismo equipo, con el mismo usuario y el mismo navegador. No realizar actualizaciones en el equipo mientras dure el proceso. Es importante leer atentamente la Declaración de Prácticas de Certificación previamente a la Solicitud del certificado. En ella se encuentran las condiciones bajo las cuales se prestan los servicios de Certificación. 1 Solicitud vía internet de su Certificado. Al final de este proceso obtendrá un código que deberá presentar al acreditar su identidad. 2 Acreditación de la identidad en una Oficina de Registro. Si usted ha solicitado un certificado de persona fisica, puede dirigirse a cualquiera de las Oficinas de Registro de los Organismos acreditados. Para su comodidad, puede usted hacer uso de nuestro servicio de localización de las OFICINAS MÁS CERCANAS. Tenga en cuenta que si usted ha solicitado un certificado de persona jurídica (o de entidad sin personalidad jurídica) para el ámbito tributario o para el ámbito de la Comisión Nacional del Mercado de Valores, debe dirigirse únicamente y según proceda a las Oficinas de Registro de dichos organismos.Para este tipo de Certificados el registro de usuario es exclusivamente presencial. 3. Descarga de su Certificado de Usuario. Unos minutos después de haber acreditado su identidad en una Oficina de Registro, haciendo uso del código de solicitud obtenido en el paso 1, podrá descargar su certificado desde esta página web entrando en el apartado Descarga del Certificado. .

¿Es válido para todos los navegadores web? NO solo es compatible con Internet explorer y firefox



QUEVEDO BUENO]

79

¿Puede emplearse para firmar otro tipo de archivos? Si además de documentos se pueden firmar email, documentos de texto y todo tipo de archivos.

¿Es posible exportarlo o solamente se puede emplear en un solo equipo? Si, es posible exportar la firma electrónica si se trata del certificado de DNI, porque haremos uso de el lector. Si se trata del usuario electrónico el certificado esta instalado en nuestro navegador, entonces no podemos explotarlo en diferentes equipos. Procese de exportación: Una vez obtenido el Certificado Digital (Firma Digital), ya puede hacer uso de éste a través del mismo equipo y navegador desde el que realizó el proceso. Sin embargo, es muy recomendable que el usuario realice una copia de seguridad de su certificado y su correspondiente clave privada. De esta forma no sólo puede instalarlo en otros navegadores, sino que además no lo perderá en caso de problemas con su equipo actual Exportar Para exportar la firma digital una vez instalada en el navegador (si usa Internet Explorer), debe ir a: Herramientas => Opciones de Internet => Contenido => Certificados => Personal Ahí se indican los certificados (las firmas digitales) que hay disponibles en este navegador. · Seleccione con el ratón la firma que desea Guardar, y pulse el botón Exportar. · Indique en el siguiente menú que desea exportar la clave privada, que es la que podrá instalar en otro navegador para firmar documentos. · Indique una contraseña que protegerá su firma, y que se le pedirá cada vez que opere con ella. · Guarde esta firma en un directorio y un archivo cuyo nombre vaya a recordar posteriormente. Normalmentre, se creará un fichero de tipo .pfx, que deberá guardar en un disquete o CD. También puede exportar su certificado sin clave privada, que es el que puede entregar a otros para que confirmen su identidad cuand les envíe datos o mensajes. Para exportar su certificado con clave pública haga lo siguiente: · Seleccione con el ratón la firma que desea Guardar, y pulse el botón Exportar. · Indique en el siguiente menú que desea exportar sin clave privada. · Seleccione el formato X.509 Base 64. Guarde este certificado en un directorio y un archivo cuyo nombre vaya a recordar posteriormente Normalmentre, se creará un fichero de tipo .cer, que deberá guardar en un disquete o CD



QUEVEDO BUENO]

80

Importar Si posteriormente formatea el disco duro o pierde la firma digital en el navegador, deberá importar la firma desde el CD o disquete donde la guardó. Para ello, debe abrir el navegador igual que ha hecho anteriormente (si usa Internet Explorer): Herramientas => Opciones de Internet => Contenido => Certificados => Personal · Seleccione el botón Importar y siga adelante hasta que en el menú le pidan el nombre del fichero que guarda la firma digital que quiere importar desde disquete o CD. · Seleccione el fichero de la firma con el botón Examinar, e introduzca la contraseña con la que protegió este fichero. · Seleccione "Habilitar protección segura de Claves" y "Marcar esta clave como exportable". · Siga adelante aceptando los menús de importación, y finalmente se le informará que la clave se ha importado con éxito. La firma digital que acaba de importar debe aparecee en la pestaña "Personal", que es la que contiene sus firmas personales. Si la firma digital que acaba de importar aparece en la pestaña "Otras Personas", esto indica que no exportó la firma correctamente (probablemente no seleccionó guardar la clave privada). Debe exportar nuevamente la firma desde el navegador donde la instaló correctamente o debe localizar de nuevo el fichero en el que guardó la firma con clave privada.

¿Qué precauciones podemos tener con el certificado digital en cuanto a protección mediante contraseñas a la exportación? Las precauciones que debemos utilizar es, tener contraseñas con mayúsculas minúsculas, números, caracteres especiales, la contraseña debe tener un mínimo de 8 dígitos, y se debe cambiar cada cierto tiempo para mayor seguridad. c) Certificados digitales El certificado también puede ser utilizado por algunos agentes de correo electrónico, como por ejemplo, MS Outlook. Para ello es necesario que la dirección de correo electrónico incluida en el certificado (proporcionada en el momento de la acreditación) coincida con la dirección de correo que queremos utilizar para enviar un correo firmado. Al igual que en los casos anteriores, el utilizar certificados con los agentes de correo electrónicos proporciona confidencialidad a la información e integridad y no repudio. De esta forma, si queremos cifrar nuestros mensajes con el certificado deberemos:



QUEVEDO BUENO]

81

1. Tener instalados los certificados de aquellos para los que queremos cifrar. Para ello aquellos a los que hayan querido establecer comunicaciones cifradas con nosotros, deberán haber exportado su certificado sin clave privada y habérnoslos proporcionado. 2. Una vez construido el mensaje buscaremos en la barra de herramientas una opción que es cifrar, lo pulsaremos, y aparecerá un símbolo (candado), indicando que el mensaje va a ser mandado cifrado. Por supuesto, deberemos seleccionar aquellas personas para las que queremos cifrar y que se corresponderán con los certificados de “Otras personas” que tengamos instalado en nuestro navegador (evidentemente, estos certificados no contienen la clave privada correspondiente) Si queremos firmar electrónicamente nuestros correos: 1. Componemos el mensaje que queremos firmar 2. Para firmarlo buscaremos en la barra de herramientas un botón que dice firmar, lo pulsaremos y automáticamente aparecerá un símbolo (distintivo) indicando que dicho mensaje es firmado por el emisor. Evidentemente, el mensaje será firmado con nuestra clave privada asociada a nuestro certificado y que está bajo nuestro exclusivo control, por eso se garantiza nuestra identidad como firmantes. Como corolario de este apartado, señalar que la dirección de correo electrónico es uno de los datos anejos al certificado y que va avalada con la firma del Prestador de Servicios de Certificación. Por este motivo, el cambio de dirección de correo electrónico, para que se vea reflejado en el propio certificado, ha de ser notificado en una nueva emisión de certificado. La propia firma electrónica que el prestador de servicios de certificación realiza al certificado, garantiza integridad en los datos de éste, por tanto y por definición, los datos no pueden ser variados sin que se “refirme” el certificado, esto es, sin que se emita uno nuevo. En otras palabras, los datos contenidos en un certificado están firmados electrónicamente por la autoridad de certificación o prestador de servicios de certificación, por tanto, no se pueden variar “alegremente” sino que el certificado en sí mismo ha de ser regenerado. El S/MIME (Secure MIME o Secure Multipurpose Mail Extension) es un proceso de seguridad utilizado para el intercambio de correo electrónico que hace posible garantizar la confidencialidad y el reconocimiento de autoría de los mensajes electrónicos. El S-MIME está basado en el estándar MIME, cuyo objetivo es permitir a los usuarios adjuntar a sus mensajes electrónicos archivos diferentes a los archivos de texto ASCII (American National Standard Code for Information Interchange). Por lo tanto, el estándar MIME hace posible que podamos adjuntar todo tipo de archivos a nuestros correos electrónicos.



QUEVEDO BUENO]

82

d) Certificados digitales.- Realiza los trámites para la obtención de tu certificado digital. - ¿Dónde lo tienes que descargar? IMPORTANTE La obtención del certificado de usuario solo podrá ser realizada desde el mismo equipo y navegador desde el que se realizó la solicitud. - ¿Dónde tienes que ir a recogerlo? Deberemos de ir a recogerlo a algún estamento oficial como es la seguridad social, una comisaría de policía. - ¿Qué caducidad posee? Eso depende de la entidad certificadora puede tener una validez de un año o de varios años. - Instalarlo en Internet Explorer y Mozilla Firefox. Internet Explorer Herramientas => Opciones de Internet => Contenido => Certificados => Personal · Seleccione el botón Importar y siga adelante hasta que en el menú le pidan el nombre del fichero que guarda la firma digital que quiere importar desde disquete o CD. · Seleccione el fichero de la firma con el botón Examinar, e introduzca la contraseña con la que protegió este fichero. · Seleccione "Habilitar protección segura de Claves" y "Marcar esta clave como exportable". · Siga adelante aceptando los menús de importación, y finalmente se le informará que la clave se ha importado con éxito. Mozilla Firefox -Abrimos la ventana Preferencias del navegador y seleccionamos la opción Avanzado y la pestaña cifrado. -Pulsamos sobre el botón Ver certificados y la pestaña Autoridades. En este punto pulsamos el botón importar y cargamos el fichero FNMTClase2CA.cer que nos hemos descargado de la FNMT. Se nos abrirá una ventana en la que seleccionaremos Confiar en esta CA para identificar sitios web -Ya nos aparecerá la FNMT como entidad certificadora válida. Esto habrá que repetirlo para todos los usuarios del sistema, ya que este cambio se realiza en las opciones de iceweasel de cada usuario. - Una persona que acceda a nuestro equipo en el que tenemos instalado un certificado digital, ¿puede acceder a distintos sitios web de información personal de tipo legal?. No podría hacer de forma legal.



QUEVEDO BUENO]

83

e) Certificados digitales/ DNIe. – Realiza una búsqueda de los servicios de empresas como bancos, y de la administración pública (seguridad social, hacienda, etc) a los que se puede acceder de forma segura, mediante certificado digital y mediante DNIe.



QUEVEDO BUENO]

84



QUEVEDO BUENO]

85

- Acceder a un organismo público en Internet utilizando el Dni-e. Windows Una vez que tenemos el programa descargado, comenzamos a instalarlo.

Seleccionamos la carpeta por defecto de instalacion



QUEVEDO BUENO]

86

Una vez que esta instalado, debemos aplicárselo al navegador. En nuestro caso el Mozilla Fox. Para hacerlo debemos de ir Opciones/Avanzado/Cifrado/Ver Certificados e importar el instalado.



QUEVEDO BUENO]

87

Una vez hecho nos vamos a una pagina web a comprobar que funciona.



QUEVEDO BUENO]

88

Si todo ha funcionado correctamente nos aparecerá la siguiente ventana.



QUEVEDO BUENO]

89

5. AMENAZAS Y ATAQUES EN REDES CORPORATIVAS: a)Identidad digital.- ¿Qué diferencias existen entre la instalación de un certificado en un servidor web y un servidor de certificaciones?. Busca cómo se instala y qué opciones ofrece el servidor de certificados integrados en el servidor IIS de Microsoft. Realiza una petición por parte de un cliente de un certificado digital. Un certificado digital de servidor es un componente que habilita las siguientes características de seguridad en un servidor WEB: · Cifrado de datos: Los datos intercambiados entre el navegador del usuario y el servidor se cifrarán, con lo que no serían directamente inteligibles en caso de intercepción en su tránsito por la red. Esta característica es muy útil si se utilizan formularios para que el usuario envíe datos críticos o personales, o si el contenido del web o parte del mismo es un área privada cuyos datos son confidenciales y deben ser únicamente accesibles por un grupo cerrado de personas. · Autenticación del servidor: El visitante podrá saber que el propietario de la web indicada en el certificado ha seguido un proceso de identificación ante un tercero (autoridad de certificación) que es quien emite el certificado. Este proceso de identificación varía según el emisor del certificado y el tipo de certificado, y puede ir desde la validación por correo electrónico del propietario del dominio hasta la validación documental de la existencia de la organización propietaria del dominio.



QUEVEDO BUENO]

90

Sin embargo un servidor de certificaciones genera a los certificados digitales a los equipos que se lo soliciten. Ejemplo: Id a Agregar o quitar programas y Agregar o quitar componentes de

Seleccionamos la opción Servicios de Centrificate Server

Ahora seleccionarmeos el tipo de emisora de certificados. En nuestro caso sera raíz indpendiente.



QUEVEDO BUENO]

91

Ahora le asignamos un nombre y el periodo de validez

Ahora donde lo vamos a guardar la base de datos y resto de configuración.



QUEVEDO BUENO]

92

b) Seguridad en redes corporativas: - Windows: Uso de Caín & Abel como Sniffing – MitM- ARP Spoofing – Pharming. Falta - GNU/Linux: Uso de ArpWatch.



QUEVEDO BUENO]

93

c) Seguridad en redes corporativas: - Uso de netstat para análisis de puertos en Window y GNU/Linux. En Windows:

En Ubuntu:



QUEVEDO BUENO]

94

- Uso de un análisis de puertos on line: Vamos a realizar un scaneo de puertos

Aquí podemos ver los puertos que tenemos abiertos y cerrados de nuestro equipo



QUEVEDO BUENO]

95

5. AMENAZAS Y ATAQUES EN REDES CORPORATIVAS: d)Uso de la distribución Backtrack de GNU/Linux con la finalidad de investigar sobre la inyección de código SQL (SQL Inyection) con la finalidad de obtener las tablas de usuarios y contraseñas de las bases de datos de sitios web.

Una vez arrancado el backtrack nos dirigimos a inicio/exploration tolos/database explore/mysqlexploration/sqlmap:



QUEVEDO BUENO]

96

Para realizar un ataque de deberemos de introducir el comando resaltado en la imagen

Ahora para finalizar intentaremos acceder a la base de datos y a la tabla de una página web específica, para ello introducimos el comando especificado en pantalla:



QUEVEDO BUENO]

97

Prueba en un sitio web en el que sea necesario registrarse. ¿Qué tipo de precauciones tendrías como administrador web para evitar inyecciones SQL? La principal protección frente a este tipo de situaciones es un buen diseño de la aplicación, protegerse de cross site scripting, de los ataques de inyección en general, y de los de SQL en particular y utilizar un enfoque de continua defensa cuando se desarrollan soluciones. Por ejemplo, utilizar consultas parametrízadas siempre nos evitará un motón de quebraderos de cabeza relacionados con las inyecciones de SQL (sean por URL o no y sea la aplicación Web o de escritorio). 6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED: a) Configura en modo seguro un switch CISCO (Packet Tracer) Crearemos una contraseña segura para nuestro switch para ello introducimos: Enable secret inves

Seguridad de puerto en switches Cisco Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación. Dirección MAC segura estática Introduciendo el siguiente comando solo la mac indicada podrá usar el puerto especificado: SwA(config-if)#int f0/1 SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

b) Configura en modo seguro un router CISCO



QUEVEDO BUENO]

98

c) Elabora un documento que manifieste las vulnerabilidades en las capas enlace, red (IP), TCP-UDP y Aplicación (DHCP, DNS, ….) y como protegerse de las mismas.

Vulnerabilidades en redes TCP/IP Capa "física" Vulnerabilidades en el acceso directo al medio físico Problemas de control de accesos confidencialidad Especialmente vulnerables las líneas punto a puntos, redes de difusión (bus) y redes inalámbricas

Capa de red -confidencialidad -autenticidad -integridad

Escucha y acceso a paquetes IP (snifing) Paquetes IP (vers. 4) van en claro y se pueden leer/modificar/falsificar Suplantación de mensajes/direcciones IP (IP spoofing) -Protocolo IP solo "sabe" de 2 direcciones IP (origen y destino) -Pueden falsificarse) no hay certeza sobre la autenticidad del origen - Posibilidad de reconstrucción de mensajes Capa de transporte Mismos problemas de red que protocolo IP -confidencialidad -autenticidad -integridad -Paquetes TCP y UDP van en claro ) posible acceso y modificación Además: -Deficiencias en diseño e implementación de TCP -Ataques de denegación de servicio (DoS) a nivel de transporte -Derivado de errores en algunas implementaciones de la pila TCP/IP -Debido a las esperas (time-outs) del protocolo de establecimiento de conexión de 3 pasos -Iniciar conexión (SYN) y no responder al asentimiento (SYN-ACK) dejando en espera al otro extremo



QUEVEDO BUENO]

99

Posibilidad de interceptar conexiones TCP abiertas (secuestro conexiones TCP) - Generar paquetes TCP con fines malignos que "encajen" en el flujo de una conexión ya establecida -Debido a la poca exigencia en cuanto a autenticación (e integridad de mensajes) de los equipos en comunicación Capa de aplicación Múltiples protocolos/aplicaciones) multitud de deficiencias de seguridad especificas de cada uno (y de cada implementación concreta) Ejemplos DNS: Suplantación de DNS -Atacante puede modificar la información almacenada en la BD del servidor DNS .Atacante puede reemplazarlo completamente (suplantación de IP) Telnet: Deficiencias en proceso de autenticación -Telnet autentica en sistema destino mediante login+passwrod -Login y password se transmiten en claro -Trivial capturar esa información mediante técnicas de snifing Solución: uso de SSH (cifra las conexiones)

FTP: - Mismas deficiencias que Telnet (toda la comunicación en claro) - Posibilidad de conexiones an_onimas ) punto de entrada para ataques que aprovechan agujeros del software del servidor FTP.

Seguridad en redes TCP/IP Dos aproximaciones complementarias. Filtrado y control de accesos a equipos/aplicaciones sensibles. -uso de Cortafuegos/Firewalls -Uso de protocolos seguros. Diferentes posibilidades para asegurar los protocolos de los distintos niveles

Seguridad en el nivel de red - Se busca garantiza que el trafico que envían los protocolos de nivel superior (TCP,UDP) se transmita protegido. Inconveniente: puede ser necesario adaptar/reconfigurar la infraestructura de red (routers) para gestionar la nueva información añadida al protocolo IP.

Seguridad en el nivel de transporte



QUEVEDO BUENO]

100

Ventaja: solo precisa actualizar las implementaciones de TCP y/o UDP en los extremos de la comunicación. -Supone un cambio a nivel de software (S.O. o librerías de sistema)

Seguridad en el nivel de aplicación Ventaja: mayor exibilidad -Se puede responder mejor a las necesidades especificas de protocolos concretos (HTTPS, SSH, SET) 7. MONITORIZACIÓN DEL TRÁFICO EN REDES: HERRAMIENTAS a) Descarga e instala Wireshark y realiza filtrado de servicios de red para monitorizar sólo el tráfico deseado. Una vez que tenemos el software instalado solo tenemos que seleccionar que tramas queremos ver:

udp

Arp



QUEVEDO BUENO]

101

b) Descarga e instala Kismet o Network Stumbler para redes inalámbricas y realiza filtrados de red para monitorizar sólo el tráfico deseado 8. INTENTOS DE PENETRACIÓN: a) Honeypot. Instalación, configuración , ejecución y prueba en Windows o GNU/Linux de honeyd www.honeyd.org Una vez que ya tenemos Descargado e Instalado el software solo tenemos que ejecutarlo. Una vez hecho, debemos seleccionar las opciones que queramos



QUEVEDO BUENO]

102

Aquí podemos ver el resultado.

Ubuntu En Ubuntu lo primero que tenemos que hacer es Instalarlo



QUEVEDO BUENO]

103

Una vez hecho esto. Debemos de modificar el fichero /etc/default/honeyd

Ahora dentro de la red debemos de añadir la siguiente sentencia para que reconozca a un router como la dirección ip del equipo.

Por ultimo debemos de arrancar el servicio para comprobar que la red funciona correctamente.

b) Sistema de detección de intrusos (IDS): HostIDS:



QUEVEDO BUENO]

104

- Linux: Integridad de un fichero: md5sum. Por defecto el Software md5sum viene instalado. Lo único que tenemos uqe hacer es crear un fichero

Y encritarlo con el sistema md5sum

- Linux: Integridad de un sistema de ficheros: trypwire Lo primero que tenemos que hacer es instalar el programa

Durante la instalación nos saltara un asistente de configuracion

En la siguiente ventana nos pedira si queremos crear una clave. Le diremos que si



QUEVEDO BUENO]

105

Escribiremos la contraseña deseada

En la siguiente ventana debemos de configurar el software por defecto



QUEVEDO BUENO]

106

Una vez terminado la configuración del software debemos de configurarlo por defecto con la siguiente sentencia:



QUEVEDO BUENO]

107

Una vez configurado solo queda usar la sentencia para comprobar la integridad de los ficheros.

- Windows: Integridad del sistema de ficheros mediante Xintegrity. Los servidores estaban caidos y no he podido descargar de ningún fichero c) Sistema de detección de intrusos (IDS): Net IDS: - Instala y configura Snort en GNU/Linux. 9. SEGURIDAD EN LAS COMUNICACIONES INALÁMBRICAS. a) Configuración de un punto de acceso inalámbrico seguro. http://www.tp-link.com/simulator/TL-WA501G/userRpm/index.htm b) Configuración de un router de acceso inalámbrico CISCO LINKSYS WRT54GL , utilizando un simulador. c) Configuración de un router de acceso inalámbrico CISCO Linksys seguro y un cliente de acceso inalámbrico en Windows y GNU/Linux.



QUEVEDO BUENO]

108

- Filtro MAC, WPA, Control parental. d) Configuración de un router de acceso inalámbrico TP-LINK, utilizando un simulador.

[ut2 seguridad y alta disponibilidad. antonio 9 de ...9 de diciembre de 2011 [ut2 seguridad y alta...

Documents