PRONTUARIO DE LA R.I.I.A.

L PARA TÉCNICOS
(Diseño y Seguridad en INTERNET)1

1.- Decálogo para la creación de una WEB

1) Realizar un índice previo o guión con todo aquello que se quiere ofrecer a los
usuarios de la Red.

2) Organizar y estructurar la información en forma de árbol para después poder

realizar cambios de una manera rápida y eficaz.

3) Seleccionar imágenes significativas de nuestra Institución para dotar de

personalidad y carácter a nuestra página sin caer en el exceso, además de emplear un mismo
fondo para ganar en velocidad.

4) Elegir un nombre sencillo pero explícito para la dirección de nuestra página WEB

Ejemplo: Archidiócesis de Madrid igual a "archimadrid.es"

5) Emplear sólo la tecnología que todos puedan ver. Las últimas innovaciones
limita el número usuarios a aquellos que disponen de mejor tecnología. Mejorar y ampliar
los servicios que se prestan es preferible a que estar a lo último en complementos que
"adornan" nuestra página.

6) No abusar de animaciones o sonidos. Ralentizan mucho la comunicación.

7) Servir a los usuarios desde la página de entrada acceso a todas las secciones de
nuestra WEB y en ellas introducir a los usuarios en los contenidos de las mismas.

8) Partir los documentos muy extensos en varias páginas enlazadas mediante una
página que tenga un índice para que los usuarios puedan ir directamente al apartado que les
interese y de esta manera ganar en velocidad de transferencia de información.

9) Cuidar los tamaños de las páginas es fundamental. No sólo los usuarios que
tengan monitores grandes tienen derecho a disfrutar de lo bien hecha que está nuestra página.
Sería bueno estandarizar nuestra presentación para un monitor de tipo medio de 14 pulgadas.

10) El noventa por ciento del éxito de nuestra página está en tener actualizada la
información que es de carácter temporal (como noticias o comunicados).

1
El apartado de seguridad ha sido realizado gracias al Departamento Técnico de la empresa de servicios
informáticos Plan Alfa.
2.- Seguridad en Internet

El tema de la seguridad en INTERNET es de una candente actualidad. Muchos

intereses están en juego y los fabricantes de medidas de seguridad como firewalls, proxys,
routers buscan afanosamente errores del sistema operativo o descuidos del administrador para
entrar en un sistema e inutilizarlo, dando por supuesto, la debida publicidad y ofreciendo
“desinteresadamente” sus servicios para solventar el desaguisado.

Como veremos más adelante es la conjunción de varios hechos los que hacen que un
sistema sea inseguro. No se trata pues de calificar de seguro o inseguro un determinado
sistema operativo, sino de que algunas configuraciones (instalación por defecto, por ejemplo)
no son seguras.

El problema de INTERNET no es tanto que existen infinidad de agujeros de seguridad

en los programas que suministran los servicios, sino que los atacantes potenciales son
millones. Deberemos pues clasificar los posibles ataques a nuestras máquinas según qué
causas son las que han permitido el fallo en la seguridad.

3.- Seguridad del sistema operativo

Una de las características importantes a la hora de elegir una plataforma para INTERNET
es que el sistema operativo sea seguro. Esto es, que ofrezca la posibilidad de definir políticas
de seguridad (perfiles, usuarios, servicios, administración etc...). Es necesario que el sistema
permita definir con facilidad y con robustez qué cosas puede hacer un determinado usuario.
Vamos a centrarnos en uno de ellos, en concreto Windows NT 4.0 ya que abarcar todos los
sitemas operativos supera con mucho los objetivos de este informe.

a. Derechos de usuarios: Una de las labores más importantes del administrador del sistema
es organizar la información en distintas carpetas y conceder privilegios de lectura,
escritura y/o ejecución sobre las carpetas y archivos para todos los usuarios. Por defecto
la instalación del Internet Information Server (en adelante IIS) crea un usuario de Internet
para permitir el acceso a las páginas. Los derechos de este usuario son mínimos y no
constituye un peligro en la seguridad a menos que el administrador revoque o modifique
los permisos originales de este usuario. Como veremos más adelante los fallos de
seguridad se producirán al suplantar la identidad de otros usuarios del sistema con
mayores privilegios (p.ej. el administrador).

b. Contraseñas: Casi nadie ignora que cada usuario definido de la red está provisto de una
palabra de paso que es secreta y que le permite el paso al sistema con todos los privilegios
que posee. Uno de los peligros que acechan al sistema es una inadecuada política a la hora
de establecer las passwords o palabras de paso. Es muy usual escribir palabras que puedan
ser recordadas por usuario fácilmente y es corriente que esta password no supere los 8
caracteres y mucho más frecuente que no se mezclen números y letras en mayúsculas y
minúsculas. Las posibilidades en estos casos se reducen extraordinariamente y uno de los
ataques mas conocidos es suplantar la identidad del administrador cuya cuenta existe en
un 99% de los sistemas en sus variantes “administrador”, “administrator” etc... Ya
conocemos la mitad de la incógnita, la otra mitad depende de lo cauto que haya sido el
 administrador a la hora de establecer la password; palabras de paso como “money”,
“admin”, o nombres como “jose” o “pepe” se verían descubiertas en cuanto se les aplique
un ataque masivo utilizando diccionarios. Estos diccionarios contienen del orden de
20.000 palabras de uso común y nombres propios y los hay que utilizan palabras de un
determinado ámbito (religioso, industria, naturaleza etc...). Si el hacker ya ha
determinado atacar tu sistema comenzará su ataque con un programa que intente entrar en
el sistema con cada una de las palabras del diccionario. Si una password está dentro de
este diccionario, será cuestión de tiempo que la descubran y a partir de este momento tu
sistema está en sus manos. Una password fuerte es aquella que contiene una mezcla de
números, letras en mayúsculas y minúsculas y signos de ortografía de una longitud
superior a los 8 caracteres. Variantes de este ataque son los famosos “sniffers” o
husmeadores de la red que pueden detectar los comandos de conexión de un usuario y
capturar su nombre que no va encriptado. Una vez obtenida la cuenta de usuario se aplica
el diccionario.

c. Usuario NULO: Windows NT permite que un usuario “” con pasword “” abra una sesión
en la red asignándole como permisos los asignados al grupo “todos”. Este usuario puede
visualizar los recursos compartidos y acceder a ellos si tiene permisos. También podría
acceder al registro del sistema y modificarlo o capturarlo con lo que tendría valiosa
información de los recursos del sistema etc... Este fallo de NT queda corregido si se
instala el correspondiente Service Pack 3.0 o superior. Estos dos últimos ataques son los
que mayor atención tienen para los hackers ya que en caso de éxito las posibilidades de
modificar a antojo la información contenida en el servidor o leerla o borrarla serían
totales. Por este motivo existen en la red varios programas que te indican el tipo de
sistema operativo que tiene un servidor, su versión, si tiene usuario nulo activo, los
recursos compartidos de la red etc... Otros programas se dedican, como hemos visto antes,
a la captura de inicio de sesión para conocer los usuarios del sistema.

d. Servicios de Internet: Es importante señalar que las configuraciones por defecto de

algunos servicios deben ser modificados. El IIS por defecto permite conexiones FTP
anónimas, por lo que cualquier usuario podría modificar las páginas WEB ubicadas en
wwwroot que es el directorio del que dependen las páginas principales

e. Filtrado de paquetes TCP/IP: Windows NT ofrece la posibilidad de filtrar paquetes para

que sólo los que tengan como destino alguno de los puertos utilizados por nuestras
aplicaciones (puerto 80 páginas web, puerto 21 correo electrónico, etc...). Cualquier
intento de acceso a través de otros puertos se verán rechazados.

4.- Problemas específicos del protocolo TCP/IP

Hasta este punto hemos analizado los problemas de seguridad que son provocados por
deficiencias en la configuración del sistema operativo. Hay otros problemas que podrían
definirse como propios de la definición del protocolo TCP/IP y sus reglas. Esto significa que
es posible atacar un ordenador de manera que el servicio que preste a otros usuarios sea nula o
muy lenta. Este ataque lo que produce es que el procesador esté ocupado respondiendo a una
petición que se repite continuamente. De esta manera los usuarios que están accediendo al
servicio no reciben la información esperada. Estos ataques no entrañan en realidad riesgos de
seguridad, sino que en todo caso pueden bloquear una máquina durante el tiempo que dure el
ataque. Veamos algunos tipos:

a. Inundación SYN: Siempre que un usuario desea acceder a un servicio, lo primero que se
establece es una petición de sincronización (SYN) que contiene la petición de acceso. La
máquina servidora responde a la petición con otra señal SYN a la que añade una señal de
que entra en conocimiento de la petición enviada (ACK) la señal de SYN+ACK recibida
por el usuario le permite empezar a enviar datos. El ataque consiste en enviar a un sistema
víctima muchas peticiones de conexión (SYN) pero enviando como dirección de retorno
una IP inexistente. El sistema al recibir los SYN comenzará a reservar recursos para las
comunicaciones y enviará paquetes SYN+ACK que no tendrán respuesta y el sistema
tardará en dar por finalizada la acción unos 3 minutos Es posible configurar NT para que
rebajar el numero de segundos en los que el sistema espera respuesta.

b. Falseo IP: Este ataque bastante refinado consiste en suplantar a una máquina ya conectada
en el sistema y con privilegios mediante el falseo de la dirección IP.

5.- Conclusiones.

Como resumen debemos señalar las acciones a seguir para conseguir un sistema seguro en
Internet:

a. Protección de ficheros y directorios

b. Limitar el acceso a los servicios y NetBios
c. Ocultar el administrador
d. Restringir el acceso anónimo
e. Restringir el acceso al registro
f. Establecer contraseñas fuertes
g. Control de compartición de recursos
h. Filtro de paquetes TCP/IP

Si seguimos estos consejos evitaremos que al menos con los sistemas de ataques
conocidos puedan vulnerar nuestra seguridad. Evidentemente para cada sistema operativo y
cada versión hay puntos débiles que un buen administrador debe conocer. De la misma
manera es necesario que las políticas de perfiles y seguridad se respeten en todo momento.

6.- Programas y Software

En Plan Alfa hemos probado aplicaciones de diversas casas con resultados desiguales.
Desde el acuerdo Select firmado con Microsoft hemos probado muy en profundidad toda la
gama de productos y servicios que esta multinacional ofrece. Lógicamente, uno de los
factores a tener en cuenta a la ahora de elegir las herramientas, es tener en cuenta la
plataforma sobre la que va a ejecutarse. Al elegir Windows NT 4.0 como plataforma la
decisión sobre las herramientas era más fácil. La integración y estabilidad de los productos
Microsoft podría garantizarse ya que ambos son productos de una misma casa. Por otra parte
algunas herramientas ya vienen en el paquete del sistema operativo (Ej. IIS).

La siguiente es una relación de los productos Microsoft utilizados por Plan Alfa:

Sistema Operativo: Windows NT 4.0 multi-tarea y multi-usuario castellano con Service

Pack 3.0 en castellano.
Servidor de páginas WEB: Internet Information Server IIS 4.0. Este Servicio permite la
publicación de páginas WEB en Internet. Además tiene otros servicios como un servidor de
FTP y servidor de Gopher.
Servidor de Correo Electrónico: Exchange Server 5.5. Con esta aplicación, además de la
gestión del correo elecrónico se puede crear y gestionar listas de correo. Este producto soporta
un número indefinido de dominios.
Servidor Proxy: Proxy Server 2.0 en castellano. Con este producto se pueden solucionar
varios problemas: a.) Caché de páginas WEB para mejorar el acceso a sitios muy visitados b.)
Interconexión de redes y accesos corporativos a internet c.) Firewall, cortafuegos como
medida de seguridad.
Servidor de Chat: Con esta aplicación se puede crear rooms para conversaciones vía teclado.
Servidor de NetMeeting: Este servicio, que se integra también en IIS, se puede crear un sitio
ILS para conexión con voz y/o vídeo.
Servidor de DNS del Windows NT 4.0: Este servidor permite dar de alta sitios WEB
locales o de INTERNET
Servidor de NetShow: Servidor de vídeos y sonido para páginas WEB
Index Server: Permite búsquedas de páginas WEB automáticas por palabras.
SQL Server 6.5: Motor de Base de Datos para aplicaciones en INTERNET.

Madrid, 26 de enero de 1999

Dpto. de Internet del Arzobispado de Madrid

& Task Force RIIAL