Ud 2 Juan Eduardo Toledo

2011
2 ASIR
Edu
[UD 2: IMPLANTACIN DE
MECANISMOS DE
SEGURIDAD ACTIVA]
Todo sobre el mundo de la seguridad
UD 2: Implantacin de mecanismos de seguridad activa

Tabla de contenido
Ataques y contramedidas en sistemas personales ............................................................... 4

Clasificacin de los ataques en sistemas personales: ..................................................... 4
Ataques pasivos ...................................................................................................................... 5
Ataques activos ...................................................................................................................... 5
Sistemas de Deteccin de intrusos (IDS). ........................................................................ 6
Anatoma de un ataque informtico...................................................................................... 7
Anlisis del software malicioso o malware: ........................................................................ 8
- Historia del malware. ......................................................................................................... 8
- Clasificacin del malware................................................................................................ 10
- Mtodos de infeccin: Explotacin de vunerabilidades, Ingeniera social, ...... 11
Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc. ................ 11
- Herramientas paliativas. Instalacin y configuracin. ............................................... 12
- Software antimalware: Antivirus (escritorio, on line, portables, Live),
Antispyware, .......................................................................................................................... 12
Herramientas de bloqueo web.......................................................................................... 13
Herramientas preventivas. Instalacin y configuracin. ............................................. 13
Control de acceso lgico .................................................................................................... 13
Seguridad en la conexin con redes pblicas....................................................................... 15
Tcnicas de Cifrado: ............................................................................................................... 15
-Criptografa simtrica. ..................................................................................................... 15
-Criptografa asimtrica. ................................................................................................... 16
Identificacin Digital: ............................................................................................................ 17
-Firma Electrnica y Firma Digital. ................................................................................ 17
-Certificado Digital, Autoridad certificadora (CA). ................................................. 17
- Documento Nacional de Identidad Electrnico (DNIe) ........................................ 19
- Buenas prcticas en el uso del certificado digital y DNIe. .................................20
Seguridad en la red corporativa: ............................................................................................. 21
- Amenazas y ataques en redes corporativas: ................................................................. 21
Amenaza interna o corporativa y Amenaza externa o de acceso remoto........... 21
Amenazas: Interrupcin, Intercepcin, Modificacin y Fabricacin. ..................22
Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming. .........................22
Riesgos potenciales en los servicios de red. ....................................................................23
Seguridad en los dispositivos de red : terminales, switch y router. ....................23
Juan Eduardo Toledo
Pgina 2

Seguridad en los servicios de red por niveles: ...........................................................25
Monitorizacin del trfico en redes: Herramientas. ....................................................27
Tcnicas de Deteccin de intrusos.....................................................................................28
Tipos de IDS: (Host IDS, Net IDS)..................................................................................28
Software libre y commercial ................................................................................................29
Seguridad en las comunicaciones inalmbricas. .............................................................. 31
Sistemas de seguridad en WLAN. .................................................................................. 31
Recomendaciones de seguridad en WLAN. ..................................................................32
Juan Eduardo Toledo
Pgina 3

Ataques y contramedidas en sistemas personales
Clasificacin de los ataques en sistemas personales:
Digamos que se entiende por amenaza una condicin del entorno del sistema de
informacin (persona, mquina, suceso o idea) que, dada una oportunidad, podra
dar lugar a que se produjese una violacin de la seguridad (confidencialidad,
integridad, disponibilidad o uso legtimo).
Las amenazas a la seguridad en una red pueden caracterizarse modelando el
sistema como un flujo de informacin desde una fuente, como por ejemplo un
fichero o una regin de la memoria principal, a un destino, como por ejemplo otro
fichero o un usuario.
Un ataque no es ms que la realizacin de una amenaza. Las cuatro categoras
generales de amenazas o ataques son las siguientes:
1. Interrupcin: un recurso del sistema es destruido o se vuelve no disponible.
Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la
destruccin de un elemento hardware, como un disco duro, cortar una lnea
de comunicacin o deshabilitar el sistema de gestin de ficheros.
2. Intercepcin: una entidad no autorizada consigue acceso a un recurso. Este
es un ataque contra la confidencialidad. La entidad no autorizada podra ser
una persona, un programa o un ordenador. Ejemplos de este ataque son
pinchar una lnea para hacerse con datos que circulen por la red y la copia
ilcita de ficheros o programas (intercepcin de datos), o bien la lectura de
las cabeceras de paquetes para desvelar la identidad de uno o ms de los
usuarios implicados en la comunicacin observada ilegalmente (intercepcin
de identidad).
3. Modificacin: una entidad no autorizada no slo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un archivo
de datos, alterar un programa para que funcione de forma diferente y
modificar el contenido de mensajes que estn siendo transferidos por la
red.
4. Fabricacin: una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque
son la insercin de mensajes espurios en una red o aadir registros a un
archivo. Estos ataques se pueden asimismo clasificar de forma til en
trminos de ataques pasivos y ataques activos.
Juan Eduardo Toledo
Pgina 4

Ataques pasivos
En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la
escucha o monitoriza, para obtener informacin que est siendo transmitida.
Sus objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms
sutil para obtener informacin de la comunicacin, que puede consistir en:
-
Obtencin del origen y destinatario de la comunicacin, leyendo las

cabeceras de los paquetes monitorizados.
Control del volumen de trfico intercambiado entre las entidades
monitorizadas, obteniendo as informacin acerca de actividad o inactividad
inusuales.
Control de las horas habituales de intercambio de datos entre las entidades
de la comunicacin, para extraer informacin acerca de los perodos de
actividad.
Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna
alteracin de los datos. Sin embargo, es posible evitar su xito mediante el
cifrado de la informacin y otros mecanismos que se vern ms adelante.
Ataques activos
Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o
la creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras:
a. Suplantacin de identidad: el intruso se hace pasar por una entidad
diferente. Normalmente incluye alguna de las otras formas de ataque
activo. Por ejemplo, secuencias de autenticacin pueden ser capturadas y
repetidas, permitiendo a una entidad no autorizada acceder a una serie de
recursos privilegiados suplantando a la entidad que posee esos privilegios,
como al robar la contrasea de acceso a una cuenta.
b. Repeticin: uno o varios mensajes legtimos son capturados y repetidos para
producir un efecto no deseado, como por ejemplo ingresar dinero repetidas
veces en una cuenta dada.
c. Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o
los mensajes son retardados o reordenados, para producir un efecto no
autorizado. Por ejemplo, el mensaje "Ingresa un milln de pesos en la cuenta
A" podra ser modificado para decir "Ingresa un milln de pesos en la
cuenta B".
d. Interrupcin: o degradacin fraudulenta del servicio, impide o inhibe el uso
normal o la gestin de recursos informticos y de comunicaciones. Por
ejemplo, el intruso podra suprimir todos los mensajes dirigidos a una
determinada entidad o se podra interrumpir el servicio de una red
inundndola con mensajes espurios. Entre estos ataques se encuentran los
de denegacin de servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.
Juan Eduardo Toledo
Pgina 5

Sistemas de Deteccin de intrusos (IDS).
Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion

Detection System) es un programa usado para detectar accesos no autorizados a
un computador o a una red. Estos accesos pueden ser ataques de
habilidosos hackers, o de Script Kiddies que usan herramientas automticas.
El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el trfico en la red para detectar
actividades anormales o sospechosas, y de este modo, reducir el riesgo de
intrusin.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la
seguridad dentro de la red.
El grupo H-IDS (Sistema de deteccin de intrusiones en el host), que garantiza la
seguridad en el host.
Un N-IDS necesita un hardware exclusivo. ste
forma un sistema que puede verificar paquetes de
informacin que viajan por una o ms lneas de la
red para descubrir si se ha producido alguna
actividad maliciosa o anormal. El N-IDS pone uno o
ms de los adaptadores de red exclusivos del
sistema en modo promiscuo.. Por lo general, se
colocan sondas fuera de la red para estudiar los
posibles ataques, as como tambin se colocan
sondas internas para analizar solicitudes que
hayan pasado a travs del firewall o que se han
realizado desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una
amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix,
etc.
El H-IDS acta como un daemon o servicio estndar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la informacin particular almacenada en
registros (como registros de sistema, mensajes, lastlogs y wtmp) y tambin
captura paquetes de la red que se introducen/salen del host para poder verificar
las seales de intrusin (como ataques por denegacin de servicio, puertas
traseras, troyanos, intentos de acceso no autorizado, ejecucin de cdigos
malignos o ataques de desbordamiento de bfer).
Juan Eduardo Toledo
Pgina 6

Anatoma de un ataque informtico
Conocer las diferentes etapas que conforman un ataque informtico brinda la

ventaja de aprender a pensar como los atacantes y a jams subestimar su
mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar
esas habilidades para comprender y analizar la forma en que los atacantes llevan a
cabo un ataque.
La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque
informtico al momento de ser ejecutado:
Bsicamente se compone de cinco etapas bien diferenciadas que permiten acceder

a un sistema de forma metdica y sistemtica.
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de
informacin (Information Gathering) con respecto a una potencial vctima que
puede ser una persona u organizacin, utilizando diferentes recursos.
. Algunas de las tcnicas utilizadas en este primer paso son: diferentes estrategias
de Ingeniera social como el Dumpster diving (buscar informacin del objetivo en
la basura), el sniffing (interceptar informacin).
Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin
obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre
el sistema vctima como direcciones IP, nombres de host, datos de autenticacin,
entre otros.
Entre las herramientas que un atacante puede emplear durante esta fase se
encuentran:
-
Network mappers
Port mappers
Network scanners
Port scanners
Vulnerability scanners
Juan Eduardo Toledo
Pgina 7

Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a
materializarse el ataque a travs de la explotacin de las vulnerabilidades y
defectos del sistema (Flaw exploitation) descubiertos durante las fases de
reconocimiento y exploracin.
Algunas de las tcnicas que el atacante puede utilizar son:
-
Buffer Overflow
Denial of Service (DoS)
Distributed Denial of Service (DDos)
Password filtering
Session hijacking
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha

conseguido acceder al sistema, buscar implantar herramientas que le permitan
volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.
Para ello, suelen recurrir a recursos como:
o Backdoors
o Rootkits
o Troyanos
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener
y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando
durante la intrusin para evitar ser detectado por el profesional de seguridad o los
administradores de la red. En consecuencia, buscar eliminar los archivos de
registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).
Anlisis del software malicioso o malware:

- Historia del malware.
1949
La dcada de los 70
1981
Juan Eduardo Toledo
Los trabajos preliminares a los virus de ordenador se

remontan al ao 1949. John von Neumann (1903-1957)
desarroll la teora de los autmatas autorreplicantes.
Pero entonces era impensable an la materializacin
tcnica.
En CoreWars batallan entre s programas escritos en
"Cdigo rojo". Luchan por sobrevivir en la memoria. Los
llamados "imps" trajinan por la memoria y borran
direcciones sin orden ni concierto. Tambin haba
algunas versiones capaces de autocopiarse. Aqu
tenemos las races de los virus informticos.
El profesor Leonard M. Adleman utiliza por primera vez
el concepto de "virus informtico" en una conversacin
con Fred Cohen.
Pgina 8

Los primeros virus para el ordenador Apple II pasan en
disquete de mano en mano en un crculo muy restringido.
Por un error, el virus causaba el bloqueo del programa.
Este error se solucion en las versiones posteriores.
1982
1983
1984
El virus "Elk Cloner" es el primer virus "en libertad" (in

the wild) que enfada a los usuarios de Apple / DOS 3.3
con rimas con mettesis, indicaciones invertidas o falsas
y ruidos de clic. Se propagaba por disquetes que se
hicieron inservibles (probablemente por equivocacin)
con otros sistemas operativos.
En el Xerox Alto Research Center, Jon Hepps y John
Shock programaron los primeros gusanos. Se utilizaban
para clculos repartidos y se propagaban en la red de
modo autnomo. Por un fallo de programacin, esta
difusin tuvo lugar sin control, lo que dej los
ordenadores fuera de combate al poco tiempo.
En noviembre, Fred Cohen present por primera vez el
concepto de virus en un seminario. Slo necesit 8 horas
para implementar el primer virus funcional en UNIX. A
los pocos minutos tena derechos de acceso sin
restricciones en todos los ordenadores.
Fred Cohen publica los primeros artculos acerca de
"Experimentos con virus informticos", que se
incorporan a su tesis doctoral "ComputerViruses Theory and Experiments", publicada en 1986. Su
definicin de virus, de orientacin ms bien matemtica,
an sigue siendo reconocida y no posee el matiz negativo
que se asocia en la actualidad al concepto de virus.
No tardan mucho en aparecer otros virus dejados a su
libre albedro. A menudo, slo se trata de programas
bromistas para molestar al usuario del ordenador.
1985
Verdaderamente maligno es el troyano Gotcha. Tras el

inicio del programa EGABTR, que aparentemente
permite una representacin grfica, se borran los datos
del disco duro y en la pantalla aparece "Arf, arf,
Gotcha" (te pill).
El programa escrito en BASIC "Surprise" borraba todos
los datos accesibles con la lnea de comando "kill *.*" .
Entonces apareca
Juan Eduardo Toledo
Pgina 9
- Clasificacin del malware

Virus Informtico
Es un programa informtico diseado para infectar archivos. Adems, algunos
podran ocasionar efectos molestos, destructivos e incluso irreparables en los
sistemas sin el consentimiento y/o conocimiento del usuario.
Cuando se introduce en un sistema normalmente se alojar dentro del cdigo de
otros programas. El virus no acta hasta que no se ejecuta el programa infectado.
Algunos de ellos, adems estn preparados para activarse cuando se cumple una
determinada condicin (una fecha concreta, una accin que realiza el usuario, etc.).
Los efectos de los virus pueden ser muy molestos para los usuarios ya que la
infeccin de un fichero puede provocar la ralentizacin del ordenador o la
modificacin en su comportamiento y funcionamiento, entre otras cosas.
Gusanos Informticos
Los "Gusanos Informticos" son programas que realizan copias de s mismos,
alojndolas en diferentes ubicaciones del ordenador. El objetivo de este malware
suele ser colapsar los ordenadores y las redes informticas, impidiendo as el
trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.
El principal objetivo de los gusanos es propagarse y afectar al mayor nmero de
ordenadores posible. Para ello, crean copias de s mismos en el ordenador afectado,
que distribuyen posteriormente a travs de diferentes medios, como el correo
electrnico, programas P2P o de mensajera instantnea, entre otros.
Los gusanos suelen utilizar tcnicas de ingeniera social para conseguir mayor
efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre
atractivo con el que camuflar el archivo malicioso. Los temas ms recurrentes son
los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o
software pirata.
Troyanos
El principal objetivo de este tipo de malware es introducir e instalar otras
aplicaciones en el equipo infectado, para permitir su control remoto desde otros
equipos.
Los troyanos no se propagan por s mismos, y su nombre deriva del parecido en su
forma de actuar con los astutos griegos de la mitologa, ya que los troyanos llegan
al equipo del usuario como un programa aparentemente inofensivo, pero, en
determinados casos, al ejecutarlo instalar en el equipo infectado un segundo
programa; el troyano en s. Este es un claro ejemplo de la familia de troyanos de
tipo downloader.
Actualmente y a nivel mundial, el porcentaje del trfico de Malware que
representan los troyanos es: Virus: 10.56%
Juan Eduardo Toledo
Pgina 10

Stealer
En espaol "ladrn de informacin" es el nombre genrico de programas
informticos maliciosos del tipo troyano, que se introducen a travs de internet en
un ordenador con el propsito de obtener de forma fraudulenta informacin
confidencial del propietario, tal como su nombre de acceso a sitios web, contrasea
o nmero de tarjeta de crdito.
Crimeware
Es un tipo de software que ha sido especficamente diseado para la ejecucin de
delitos financieros en entornos en lnea. El trmino fue creado por Peter Cassidy,
Secretario General del Anti-PhishingWorking para diferenciarlo de otros tipos de
software malicioso.
Grayware
Es un nuevo trmino que comienza a aparecer en las pantallas de radar de los
profesionales de informtica y de seguridad. Muchos usuarios finales solo conocen
vagamente acerca del "Grayware" y su impacto potencial en sus computadoras. Sin
embargo la probabilidad de sus sistemas estn infectados es extremadamente alta
y muchos usuarios han sufrido los sntomas producidos por estos programas.
Es un trmino abarcador aplicado a un amplio rango de programas que son
instalados en la computadora de un usuario para dar seguimiento o reportar cierta
informacin a un tercero. Estas aplicaciones son usualmente instaladas y corren
sin el permiso del usuario.
- Mtodos de infeccin: Explotacin de vunerabilidades, Ingeniera social,
Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc.
Las formas en que un programa puede llegar al ordenador son las siguientes:
Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una
vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en
el ordenador. Es posible que tengan alguna vulnerabilidad que sea aprovechada por
un atacante para introducir programas maliciosos. Para prevenir quedarse
infectado de esta forma, recomendamos tener siempre actualizado el software el
equipo.
Ingeniera social: apoyado en tcnicas de ingeniera social para apremiar al usuario
a que realice determinada accin. La ingeniera social se utiliza sobre todo en
correos de phishing, pero puede ser utilizada de ms formas, por ejemplo,
informando de una falsa noticia de gran impacto, un ejemplo puede ser alertar del
comienzo de una falsa guerra incluyendo un enlace en que se puede ver ms
detalles de la noticia; a donde realmente dirige el enlace es a una pgina Web con
contenido malicioso. Tanto para los correos de phishing como para el resto de
mensajes con contenido generado con ingeniera social, lo ms importante es no
hacer caso de correos recibidos de remitentes desconocidos y tener en cuenta que
su banco nunca le va a pedir sus datos bancarios por correo.
Juan Eduardo Toledo
Pgina 11

Por un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos de
llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por
redes P2P, como enlace a un fichero que se encuentre en Internet, a travs de
carpetas compartidas en las que el gusano haya dejado una copia de s mismoLa
mejor forma de prevenir la infeccin es analizar con un antivirus actualizado todos
los archivos antes de ejecutarlos, a parte de no descargar archivos de fuentes que
no sean fiables.
Dispositivos extrables: muchos gusanos suelen dejar copias de s mismos en
dispositivos extrables para que automticamente, cuando el dispositivo se conecte
a un ordenador, ejecutarse e infectar el nuevo equipo. La mejor forma de evitar
quedarse infectados de esta manera, es deshabilitar el autoarranque de los
dispositivos que se conecten al ordenador.
Cookies maliciosas: Existe un tipo de ficheros que segn el uso que tengan, pueden
o no ser peligrosos, son las cookies. Las cookies son pequeos ficheros de texto
que se crean en el navegador al visitar pginas Web; almacenan diversa informacin
que, por lo general, facilitan la navegacin del usuario por la pgina Web que se
est visitando y lo ms importante no tienen capacidad para consultar informacin
del ordenador en el que estn almacenadas. Sin embargo existen un tipo de cookies
llamadas cookies maliciosas que su cometido no es facilitar la navegacin por
determinadas pginas, sino monitorizar las actividades del usuario en Internet con
fines maliciosos, por ejemplo capturar los datos de usuario y contrasea de acceso
a determinadas pginas Web o vender los hbitos de navegacin a empresas de
publicidad.
- Herramientas paliativas. Instalacin y configuracin.

- Software antimalware: Antivirus (escritorio, on line, portables, Live), Antispyware,
Antivirus
En informtica los antivirus son programas cuyo objetivo es detectar y/o eliminar
virus informticos. Nacieron durante la dcada de 1980.
Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e
Internet, ha hecho que los antivirus hayan evolucionado hacia programas ms
avanzados que no slo buscan detectar virus informticos, sino bloquearlos,
desinfectarlos y prevenir una infeccin de los mismos, y actualmente ya son
capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. Estos
son los diferentes tipos.
Escritorio Es un software que se encuentra instalado en el pc controlado
en todo momento la actividad de los ficheros en busca de amenazas. En cualquier
momento se puede analizar el equipo a fondo.
Online Es un software que a travs del navegador analiza tu equipo sin
necesidad de instalar nada. No suelen ser fiables.
Juan Eduardo Toledo
Pgina 12

Portables Es un software que se encuentra normalmente en una unidad
porttil y que se puede ejecutar en cualquier equipo sin necesidad de instalacin
solamente enchufando o introduciendo la unidad portatil
Live Es software normalme intalado en un cd que nos sirve para analizar el
equipo sin necesidad de cargar el SO evitando asi el camuflamiento de algunos
virus.
Herramientas de bloqueo web.
Mediante un archivo robots.txt
Restringen el acceso de los robots de motores de bsqueda que rastrean la Web a
un sitio. Estos robots estn automatizados y, antes de acceder a las pginas de un
sitio, verifican si existe un archivo robots.txt que les impida el acceso a
determinadas pginas.
Editando el archivo host
Para ello hay que editar el archivo hosts, que en Windows98 est en el directorio
c:\Windows y en XP est en el directorio c:\Windows\system32\drivers\etc.
Aadimos la pagina que no que remos que se cargue y al lado la ip 127.0.0.1 y nunca
llegara a abrirse esa direccin.
Ejemplo:
www.xxx.com (Pulsacin de tabulacin) 127.0.0.1
En el propio navegador
Todos los navegadores tienen una opcion en la pestaa de seguridad que podemos
agregar sitios de los cuales no confiamos o no queremos que sean vistos.
Con el antivirus.
Todos los navegadores tienen una opcion para bloquear sitios web de echo cuando
los antivirus detectan alguna amenaza en un sitio concreto lo bloquean para siempre
y no podras acceder a ese sitio web nunca
Herramientas preventivas. Instalacin y configuracin.

Control de acceso lgico
Seguridad del BIOS y del gestor de arranque
La proteccin con contraseas para el BIOS (o equivalentes al BIOS) y el gestor
de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan
acceso fsico a sus sistemas, arranquen desde medios removibles u obtengan
acceso como root a travs del modo monousuario. Pero las medidas de seguridad
que uno debera tomar para protegerse contra tales ataques dependen tanto de la
confidencialidad de la informacin que las estaciones tengan como de la ubicacin
de la mquina.
Juan Eduardo Toledo
Pgina 13

CONTROL DE ACCESO AL SISTEMA OPERATIVO
Objetivo: evitar el acceso no autorizado a los sistemas operativos. Se recomienda
utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a
los sistemas operativos. Tales medios deberan tener la capacidad para:
a) autenticar usuarios autorizados, de acuerdo con una poltica definida de control
de acceso;
b) registrar intentos exitosos y fallidos de autenticacin del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir alarmas cuando se violan las polticas de seguridad del sistema;
e) suministrar medios adecuados para la autenticacin;
f) cuando sea apropiado, restringir el tiempo de conexin de los usuarios.
Configurar la seguridad de usuarios y grupos
Para proteger un equipo y sus recursos, debe decidir qu tareas y acciones pueden
realizar los usuarios o grupos de usuarios. Las tareas y acciones que un usuario o un
grupo de usuarios pueden realizar dependen de los derechos de usuario que les
asigne. Por ejemplo, si un miembro de confianza del grupo Usuarios necesita
supervisar el registro de seguridad, puede concederle el derecho "Administrar
auditora y registro de seguridad" en lugar de agregar el usuario a un grupo con
ms privilegios, como el grupo Administradores. De la misma forma, puede proteger
un objeto, como un archivo o una carpeta, si asigna permisos.
Algunas de las tareas ms comunes son asignar derechos de usuario en el equipo
local, asignar derechos de usuario en toda la organizacin y establecer permisos de
archivos y carpetas. Para obtener ms informacin acerca de otras tareas para
configurar la seguridad de usuarios y grupos, vea Procedimientos de control de
acceso.
ACTUALIZACIONES DE SW Y SO
Necesidad de las actualizaciones
Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma
anloga a como hara un ladrn al intentar entrar a robar a una casa desarrollan
software malicioso para aprovechar cualquier vulnerabilidad en el sistema a travs
del cual infectarlo. Suelen aprovechar las vulnerabilidades ms recientes que
tienen tanto el sistema operativo como los dems programas, y que requieren una
actualizacin inmediata de los sistemas.
Hay que tener en cuenta que cuanto ms tiempo tardemos en actualizar nuestros
equipos ms tiempo estaremos expuestos a que cualquier tipo de malware pueda
explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante.
Para facilitar esta tarea, la mayora de aplicaciones y sistemas operativos tienen la
opcin de actualizar el sistema automticamente, lo que permite tener los
programas actualizados sin la necesidad de comprobar manual y peridicamente si
la versin utilizada es la ltima disponible, y por tanto la ms segura.
Juan Eduardo Toledo
Pgina 14

Estas actualizaciones de software vienen justificadas por diferentes motivos:
Corregir las vulnerabilidades detectadas.
Proporcionar nuevas funcionalidades o mejoras respecto a las versiones

anteriores.
Aunque es posible hacer la actualizacin de forma manual, lo ms sencillo es

hacerlo de forma automtica. De esta forma el propio sistema busca las
actualizaciones, las descarga e instala sin que nosotros tengamos que intervenir en
el proceso.
-ACTUALIZACIONES EN LOS SO
Generalmente los sistemas operativos vienen configurados de forma
predeterminada con la opcin de Actualizaciones Automticas por lo que no es
necesario habilitarla manualmente
Seguridad en la conexin con redes pblicas

Tcnicas de Cifrado:
-Criptografa simtrica.
La criptografa simtrica se refiere al conjunto de mtodos que permiten tener
comunicacin segura entre las partes siempre y cuando anteriormente se hayan
intercambiado la clave correspondiente que llamaremos clave simtrica. La simetra
se refiere a que las partes tienen la misma llave tanto para cifrar como para
descifrar.
Este tipo de criptografa se conoce tambin como criptografa de clave privada
o criptografa de llave privada.
Existe una clasificacin de este tipo de criptografa en tres familias, la
criptografa simtrica de bloques (block cipher), la criptografa simtrica de
lluvia (stream cipher) y la criptografia simtrica de resumen (hash functions).
Aunque con ligeras modificaciones un sistema de criptografa simtrica de bloques
puede modificarse para convertirse en alguna de las otras dos formas, sin embargo
es importante verlas por separado dado que se usan en diferentes aplicaciones.
Aunque no existe un tipo de diseo estndar, quiz el ms popular es el de
Fiestel, que consiste esencialmente en aplicar un nmero finito de interacciones de
cierta forma, que finalmente da como resultado el mensaje cifrado. Este es el caso
del sistema criptogrfico simtrico ms conocido, DES.
Juan Eduardo Toledo
Pgina 15

-Criptografa asimtrica.
La criptografa de clave asimtrica o pblica fue inventada en 1976 por los
matemticos Whit Diffie y Martin Hellman y es la base de la moderna criptografa.
La criptografa asimtrica utiliza dos claves complementarias llamadas clave
privada y clave pblica. Lo que est codificado con una clave privada necesita su
correspondiente clave pblica para ser descodificado. Y viceversa, lo codificado
con una clave pblica slo puede ser descodificado con su clave privada.
Las claves privadas deben ser conocidas nicamente por su propietario, mientra
que la correspondiente clave pblica puede ser dada a conocer abiertamente.
Si Ana quiere enviar a Benito un mensaje de forma que slo l pueda entenderlo, lo
codificar con la clave pblica de Benito. Benito utilizar su clave privada, que solo
l tiene, para poder leerlo
La criptografa asimtrica est basada en la utilizacin de nmeros primos muy
grandes. Si multiplicamos entre s dos nmeros primos muy grandes, el resultado
obtenido no puede descomponerse eficazmente, es decir, utilizando los mtodos
aritmticos ms avanzados en los ordenadores ms avanzados sera necesario
utilizar durante miles de millones de aos tantos ordenadores como tomos existen
en el universo. El proceso ser ms seguro cuanto mayor sea el tamao de los
nmeros primos utilizados. Los protocolos modernos de encriptacin tales como
SET y PGP utilizan claves generadas con nmeros primos de un tamao tal que los
hace completamente inexpugnables.
-Criptografa hbrida.
La criptografa hbrida emplea el cifrado de clave pblica para compartir una clave
para el cifrado simtrico. El mensaje que se est enviando en el momento, se cifra
usando la clave y envindolo al destinatario. Ya que compartir una clave simtrica
no es seguro, la clave usada es diferente para cada sesin.
Un sistema de cifrado hbrido no es ms fuerte que el de cifrado asimtrico o el
de cifrado simtrico de los que hace uso, independientemente de cul sea ms
dbil. En PGP y GnuPG el sistema de clave pblica es probablemente la parte ms
dbil de la combinacin. Sin embargo, si un atacante pudiera descifrar una clave de
Juan Eduardo Toledo
Pgina 16

sesin, slo sera til para poder leer un mensaje, el cifrado con esa clave de
sesin. El atacante tendra que volver a empezar y descifrar otra clave de sesin
para poder leer cualquier otro mensaje.
Identificacin Digital:
-Firma Electrnica y Firma Digital.
Una firma electrnica es una firma digital que se ha almacenado en un soporte de
hardware; mientras que la firma digital se puede almacenar tanto en soportes de
hardware como de software. La firma electrnica reconocida tiene el mismo valor
legal que la firma manuscrita.
De hecho se podra decir que una firma electrnica es una firma digital contenida o
almacenada en un contenedor electrnico, normalmente un chip de ROM. Su
principal caracterstica diferenciadora con la firma digital es su cualidad de ser
inmodificable (que no inviolable). No se debe confundir el almacenamiento en
hardware, como por ejemplo, en un chip, con el almacenamiento de la firma digital
en soportes fsicos; es posible almacenar una firma digital en una memoria flash,
pero al ser esta del tipo RAM y no ROM, no se considerara una firma electrnica
si no una firma digital contenida en un soporte fsico.
Las caractersticas y usos de la Firma electrnica son exactamente los mismos que
los de la Firma digital con la nica diferenciacin del tipo de soporte en el que se
almacenan. Su condicin de inmodificable aporta un grado superior de seguridad, si
bien la ausencia habitual de contraseas de seguridad que protejan su uso
permitira que un portador ilegtimo pudiese suplantar al propietario con facilidad.
-Certificado Digital, Autoridad certificadora (CA).
Un certificado digital (tambin conocido como certificado de clave pblica o
certificado de identidad) es un documento digital mediante el cual un tercero
confiable (una autoridad de certificacin) garantiza la vinculacin entre la
identidad de un sujeto o entidad (por ejemplo: nombre, direccin y otros aspectos
de identificacin) y una clave pblica.
Juan Eduardo Toledo
Pgina 17

Este tipo de certificados se emplea para comprobar que una clave pblica
pertenece a un individuo o entidad. La existencia de firmas en los certificados
aseguran por parte del firmante del certificado (una autoridad de certificacin,
por ejemplo) que la informacin de identidad y la clave pblica perteneciente al
usuario o entidad referida en el certificado digital estn vinculadas.
Un aspecto fundamental que hay que entender es que el certificado para cumplir la
funcin de identificacin y autenticacin necesita del uso de la clave privada (que
slo el titular conoce). El certificado y la clave pblica se consideran informacin
no sensible que puede distribuirse perfectamente a terceros.
Por tanto el certificado sin ms no puede ser utilizado como medio de
identificacin, pero es pieza imprescindible en los protocolos usados para
autenticar a las partes de una
Si bien existen variados formatos para certificados digitales, los ms comnmente
empleados se rigen por el estndar UIT-T X.509. El certificado debe contener al
menos lo siguiente:
-
La identidad del propietario del certificado (identidad a certificar),

La clave pblica asociada a esa identidad,
La identidad de la entidad que expide y firma el certificado,
El algoritmo criptogrfico usado para firmar el certificado.
Autoridad certificadora (CA). Es una entidad de confianza, responsable de emitir

y revocar los certificados digitales o certificados, utilizados en la firma
electrnica, para lo cual se emplea la criptografa de clave pblica. Jurdicamente
es un caso particular de Prestador de Servicios de Certificacin.
por s misma o mediante la intervencin de una Autoridad de Registro, verifica la

identidad del solicitante de un certificado antes de su expedicin o, en caso de
certificados expedidos con la condicin de revocados, elimina la revocacin de los
certificados al comprobar dicha identidad. Los certificados son documentos que recogen
ciertos datos de su titular y su clave pblica y estn firmados electrnicamente por la
Autoridad de Certificacin utilizando su clave privada. La Autoridad de Certificacin es
un tipo particular de Prestador de Servicios de Certificacin que legitima ante los
terceros que confan en sus certificados la relacin entre la identidad de un usuario y su
clave pblica. La confianza de los usuarios en la CA es importante para el
funcionamiento del servicio y justifica la filosofa de su empleo, pero no existe un
procedimiento normalizado para demostrar que una CA merece dicha confianza.
Un certificado revocado es un certificado que no es vlido aunque se emplee dentro de
su perodo de vigencia. Un certificado revocado tiene la condicin de suspendido si su
vigencia puede restablecerse en determinadas condiciones.
Juan Eduardo Toledo
Pgina 18

- Documento Nacional de Identidad Electrnico (DNIe)
El Documento Nacional de Identidad (DNI), emitido por la Direccin General de la
Polica (Ministerio del Interior), es el documento que acredita, desde hace ms de
50 aos, la identidad, los datos personales que en l aparecen y la nacionalidad
espaola de su titular.
A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e
incorporando las innovaciones tecnolgicas disponibles en cada momento, con el fin
de aumentar tanto la seguridad del documento como su mbito de aplicacin.
Con la llegada de la Sociedad de la Informacin y la generalizacin del uso de
Internet se hace necesario adecuar los mecanismos de acreditacin de la
personalidad a la nueva realidad y disponer de un instrumento eficaz que traslade
al mundo digital las mismas certezas con las que operamos cada da en el mundo
fsico y que, esencialmente, son:
-
Acreditar electrnicamente y de forma indubitada la identidad de la

persona
Firmar digitalmente documentos electrnicos, otorgndoles una validez
jurdica equivalente a la que les proporciona la firma manuscrita
Para responder a estas nuevas necesidades nace el Documento Nacional de

Identidad electrnico (DNIe), similar al tradicional y cuya principal novedad es que
incorpora un pequeo circuito integrado (chip), capaz de guardar de forma segura
informacin y de procesarla internamente.
Para poder incorporar este chip, el Documento Nacional de Identidad cambia su
soporte tradicional (cartulina plastificada) por una tarjeta de material plstico,
dotada de nuevas y mayores medidas de seguridad. A esta nueva versin del
Documento Nacional de Identidad nos referimos como DNI electrnico nos
permitir, adems de su uso tradicional, acceder a los nuevos servicios de la
Sociedad de la Informacin, que ampliarn nuestras capacidades de actuar a
distancia con las Administraciones Pblicas, con las empresas y con otros
ciudadanos.
En la medida que el DNI electrnico vaya sustituyendo al DNI tradicional y se
implanten las nuevas aplicaciones, podremos utilizarlo para:
-
Realizar compras firmadas a travs de Internet

Hacer trmites completos con las Administraciones Pblicas a cualquier
hora y sin tener que desplazarse ni hacer colas
Realizar transacciones seguras con entidades bancarias
Acceder al edificio donde trabajamos
Utilizar de forma segura nuestro ordenador personal
Participar en un conversacin por Internet con la certeza de que nuestro
interlocutor es quien dice ser
Juan Eduardo Toledo
Pgina 19

- Buenas prcticas en el uso del certificado digital y DNIe.
Tal y como recoge la Declaracin de Prcticas de Certificacin del DNI
electrnico, los certificados electrnicos podrn utilizarse:
Como medio de Autenticacin de la Identidad.
El Certificado de Autenticacin (Digital Signature) asegura que la comunicacin
electrnica se realiza con la persona que dice que es. El titular podr, a travs de
su certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en
posesin del certificado de identidad y de la clave privada asociada al mismo.
Como medio de firma electrnica de documentos.

Mediante la utilizacin del Certificado de Firma (nonRepudition), el receptor de un
mensaje firmado electrnicamente puede verificar la autenticidad de esa firma,
pudiendo de esta forma demostrar la identidad del firmante sin que ste pueda
repudiarlo.
Como medio de certificacin de Integridad de un documento.

Permite comprobar que el documento no ha sido modificado por ningn agente
externo a la comunicacin. La garanta de la integridad del documento se lleva a
cabo mediante la utilizacin de funciones resumen (hash), utilizadas en combinacin
con la firma electrnica. Esto esquema permite comprobar si un mensaje firmado
ha sido alterado posteriormente a su envo.
Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del
documento ,de forma tal que cualquier alteracin posterior del documento dar
lugar a una alteracin del resumen.
El Certificado de Identidad Pblica espaol (DNI electrnico) contribuir,
necesariamente a la existencia de empresas prestadoras de servicios de valor
aadido ya que el DNI electrnico no facilitara en ningn caso los denominados
"sobres" (sistemas de cifrado, sellos de tiempo, etc.)
Juan Eduardo Toledo
Pgina 20
Seguridad en la red corporativa:

- Amenazas y ataques en redes corporativas:
Amenaza interna o corporativa y Amenaza externa o de acceso remoto.
- Amenaza interna o corporativa
Cualquier empleado puede convertirse en un punto de fuga de informacin. Lo nico
que necesita es acceso a la misma, ya que para extraerla hoy en dia en muy fcil a
travs de dispositivos portatitles (pendrives, discos duros, USB, etc) o incluso
directamente a un servidor via internet.
Lo mas lgico es aplicar una una poltica de gestin de usuarios, cada uno con sus
permisos correspondientes para acceder a determinadas aplicaciones. Tambin es
preciso definir en los procesos de baja de personal algn procedimiento que impida,
o al menos dificulte, que una persona pueda sacar informacin fuera de las
fronteras de la empresa.
Otra via interna son los despistes. Instalar una aplicacin que deje abierta una
puerta trasera o enviar un correo electrnico a multiples destinatarios incluyendo
las direcciones en un campo diferente al de copia oculta, es decir, dejndolas al
descubierto para cualquiera que lo reciba. Esta practica ha sido recientemente
sancionada por la AEPD . se trata errores que pueden salir caros, y no solo por la
sancin administrativa. La solucin pasa por controlar lo que instala cada usuario en
su equipo y, en el caso del correo, usar una herramienta profesional de marketing
via email, en lugar del csico cliente de correo electrnico.
Amenza externa o remota
Con la llegada de internet, las amenazas pueden venir desde el exterior. No se
necesita poner un pie en las instalaciones de la empresa para que alguien pueda
acceder a informacin propiedad de esta. Se necesita una proteccin del
permetro de la red informtica, asi como un control de los accesos de sus
usuarios Quin hace esto? Un experto en sistemas. Se le contrata para que
monte la red y su posterior mantenimiento peridico.
Las amenazas en el exterior tambin aparecen cuando alguien no autorizado se
hace con un equipo informatico de la empresa. Situaciones de extravio o robo de
un ordenador porttil, un telfono mvil o un disco duro usb o un uso indebido de
los mismos en el domicilio de algn empleado, pueden poner a disposicin de gente
no deseada informacin protegida. La solucin pasa por la encriptacin de los
datos en equipos porttiles y la educacin de los usuarios a la hora de usarlos
fuera de la red corporativa.
Juan Eduardo Toledo
Pgina 21

Amenazas: Interrupcin, Intercepcin, Modificacin y Fabricacin.
1. Interrupcin: un recurso del sistema es destruido o se vuelve no disponible.
Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la
destruccin de un elemento hardware, como un disco duro, cortar una lnea
de comunicacin o deshabilitar el sistema de gestin de ficheros.
2. Intercepcin: una entidad no autorizada consigue acceso a un recurso. Este
es un ataque contra la confidencialidad. La entidad no autorizada podra ser
una persona, un programa o un ordenador. Ejemplos de este ataque son
pinchar una lnea para hacerse con datos que circulen por la red y la copia
ilcita de ficheros o programas (intercepcin de datos), o bien la lectura de
las cabeceras de paquetes para desvelar la identidad de uno o ms de los
usuarios implicados en la comunicacin observada ilegalmente (intercepcin
de identidad).
3. Modificacin: una entidad no autorizada no slo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un archivo
de datos, alterar un programa para que funcione de forma diferente y
modificar el contenido de mensajes que estn siendo transferidos por la
red.
4. Fabricacin: una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque
son la insercin de mensajes espurios en una red o aadir registros a un
archivo. Estos ataques se pueden asimismo clasificar de forma til en
trminos de ataques pasivos y ataques activos.
Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
DoS: (negacion de servicios) el atacante utiliza un ordenador para quitar de
operacin un servicio u ordenador conectado a internet. Ejemplos de este tipo de
ataque: generar sobrecarga en el procesamiento de datos de un ordenador,
generar trafico de datos en la red ocupando todo el ancho de banda disponible,
eliminar servicios importantes de un ISP (proveedor de servicios de internet)
imposibilitando el acceso de los usuarios al correo electrnico a una pagina web.
Sniffing: conseguir capturar las tramas enviadas a travs de la red no enviadas a
el. Para conseguirlo pone la tarjeta de red en modo promiscuo en el cual en la capa
de enlace de datos no son descartadas las tramas no destinadas a la MAC address
dela tarjeta. De este modo podemos ver todo tipo de informacin de cualquier
aparato conectado a la red como contraseas, e-mail, etc.
Man in the middle: es un atacante en el que el enemigo adquiere la capacidad de
leer, inserter y modificar a vuoluntad, los mensajes entre dos partes sin que
ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe
ser capaz de observar e interceptar mensajes entre las dos victimas.
Juan Eduardo Toledo
Pgina 22

Spoofing: hace referencia al uso de tcnicas de suplantacin de identidad
generalmente con usos maliciosos o de investigacin. Se clasifican en funcin de la
tecnologa utilizada, entre ellos tenemos el IP soofing (posiblemente el mas
conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en
general se puede englobar dentro de spoofing cualquier tecnologa de red
susceptible de sufrir suplantaciones de identidad.
Pharming: consiste en la explotacin de una vulnerabilidad en el software de los
servidores DNS o en los equipos de los propios usuarios, que permite a un atacante
redirigir en nombre de dominio a otra maquina distinta.
Riesgos potenciales en los servicios de red.

Seguridad en los dispositivos de red : terminales, switch y router.
Seguridad en los terminales: instalaciones por defecto no pensadas para la
seguridad o la facilitacin a los usuarios son algunos de los motivos por los que
nuestros quipos no son seguros. algunas medidas que se pueden tomar son:
-
Conocimientos del sistema
Verificacin de la integridad
Protocolos cifrados
Revisin de los registros
Paranoia (evitar ejecucin de cdigo externo. Aplicaciones seguras)
Eliminacin de servicios innecesarios
Reglas de acceso (cotafuegos)
Proteccin de los switch: los puertos de entrada pueden ser un punto de entrada a
la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una
funcin que se conoce como seguridad de puertos. La seguridad de puertos limita la
cantidad de direcciones MAC validas que se permiten por puerto. El puerto no
reenvia paquetes con direcciones MAC de origen que se encuentran fuera del grupo
de direcciones definidas. Existen tres maneras de configurar la seguridad de
puertos:
Estatica: las direcciones MAC se configuran manualmente con el comando de
configuracin de interfaz switchport port-security mac-address. Las direcciones
MAC estaticas se almacenan en la tabla de direcciones y se agregan a la
configuracin.
Dinmica: las direcciones MAC se aprenden de manera dinmica y se almacenan en
la tabla de direcciones. Se puede controlar la cantidad de direcciones que se
aprenden. La cantidad mxima predeterminada de direcciones MAC que se
aprenden por puerto es una. Las direcciones que se aprenden se borran de la tabla
si el puerto se desconecta o si el switch se reinicia.
Juan Eduardo Toledo
Pgina 23

Sin modificacin: similar a la dinmica excepto que las direcciones tambin se
guardan en la configuracin en ejecucin.
Routers debemos tomar las siguientes polticas de seguridad:
-
Seguridad fsica
o
Designar al personal para actividades de instalacin y desinstalacin
Designar la persona para realizar actividades de mantenimiento
Designar al personal para realizar la conexin fsica
Definir controles de colocacin y usos de la consola y los puertos de

acceso
o
-
Definir procedimientos de resuperacion ante eventualidades fsicas
Seguridad de configuracin fsica

o
Designar las personas que acceden al router via consola o en forma

remota
Designar la persona con privilegios de administracin.
Definir procedimientos para realizar cambios a la configuracin.
Definir polticas de contraseas de usuario y administracin.
Definir protocolos, procedimientos y redes para acceso remoto.
Definir plan de recuperacin que incluya responsabilidades

individuales ante incidentes.
Definir polticas de revisin de bitcoras.
Definir procedimientos y limitaciones del monitoreo remoto (SNMP)
Seguridad deconfiguracionestatica
o
Definir directrices para la deteccin de ataques directos
Definir polticas de administracin en intercambio de informacin

(Protocolos de ruteo, RADIUS, SNMP, TACAS+, NTP).
Definir polticas de intercambio de llaves de encriptacin.
Juan Eduardo Toledo
Pgina 24

-
Seguridad de configuracin dinmica

o
Identificar los servicios de configuracin dinmica del router, y las

redes permitidas para accesar dichos servicios.
Identificar los protocolos de routeo a utilizar, y sus esquemos de

seguridad que proveen.
Designar mecanismos y polticas de actualizacin del reloj (manual o

por NTP)
Identificar los algoritmos criptogrficos autorizados para levantar

vpns.
Seguridad en servicios de red

o
Enumerar protocolos, pertos y servicios a ser permitidos o

filtrados en cada interface, asi como los procedimientos para su
autorizacin.
Describir procedimientos de seguridad y roles para interactuar con

proveedores externos.
Seguridad en los servicios de red por niveles:

Seguridad en el nivel de enlace:
- Ataques basados en MAC y ARP
o
CAM Table Overlow:consiste en el inundar la tabla de

direcciones MAC de un switch haciendo que el switch envie
todas las tramas de las direcciones MAC que no tiene en la
tabla a todos los equipos, haciendo que actue como HUB.
ARP Spoofing:es una tcnica usada para infiltrarse en una red

Ethernet conmutada que puede permitir al atacante husmear
paquetes de datos en la LAN, modificar trafico, o incluso
detenerlo.
Ataques que emplean ARP Spoofing:
Juan Eduardo Toledo
Switch Port Stealing: el atacante consigue que todas

las tramas dirigidas hacia otro puerto del switch
lleguen a puertos del atacante para luego re-enviarlos
hacia su destinatario y de esta manera poder ver el
trafico que viaja desde el remitente hacia el
destinatiario
Pgina 25
Man in the middle: utilizando ARP Spoofing el

atacacnte logra que todas las tramas que intercambian
las victimas pasen priemro por su equipo
Hijacking: el atacante puede lograr redirigir el flujo

de tramas entre dos dispositivos hacia su equipo. Asi
puede lograr colocarse en cualquera de los dos
extremos de la comunicacin
Denial of service (DoS): el atacante puede hacer que

un equipo critico de la red tenga una direccin MAC
inaccesible. Con esto se logra que las tramas dirigidas
a la IP de este dispositivo se pierdan
Ataques basados en VLAN

o
Dinamic trunking protocol: automatiza la configuracin de los

trunk 802.1Q. sincroniza el modo de trunking en los extremos
haciendo innecesaria la intervencin administrativa en ambos
extremos.
Vlan hopping attack: un equipo puede hacerse para coo un

switch con 80.2.1Q y DTP , o bien se puede emplear como un
Switch volviendo al equipo miembro de todas las VLAN.
Requiere que el puerto este configurado con trunking
automatico.
Doubl encapsulated VLAN Hopping Attack: una trama

802.1Q lleva otra trama 802.1Q, solo permiten trafico en una
sola direccin y solo funciona entre VLAN.
VLAN trunking Protocol:se emplea para distribuir

configuracin de VLAN a travs de multiples dispositivos.
Solo se emplea en puertos trunk y puede causar muchos
inconvenientes. Utiliza autentificacin MD5.
Ataques basados en STP: l atacante puede ver tramas que no

debera(esto permite ataques DoS,MIM, etc )
Seguridad a nivel de red:

- Filtrado de paquetes: permitir a los usuarios de la red local acceder
a los servicios, limitando asi el acceso a los del exterior. Esto se
hace en los filtros del router.
-
Monitorizacin de routers y equipos de acceso:controlar los accesos

mediante ficheros LOG
Separa las redes y filtros anti-sniffing: con esto conseguimos evitar

que una atacante pueda obtener calves de acceso mediante sniffers.
Juan Eduardo Toledo
Pgina 26

Seguridad en la capa de alicacion:
- Cifrado: nos da integridad, autenticidad, garanta de recepcin, y un
comprobante del envio
-
Certificados digitales:son contenedores de informacin que se

intercambian en trasacciones digitales. Un certificado puede
contener datos del emisor y su clave publica.estan firmados con
claves privadasde uno o mas entes certificadores.
SSL: es un protocolo de seguridad que provee privacia en las

comunicaciones a travs de internet. Sus objetivos son: dar
seguridad criptogrfica, interoperabilidad, extensibilidad y eficienca
relativa
TLS: este protocolo se basa en SSL 3.0 y presenta diferencias

menores
SET: propuesta de Visa y Mastercard ra permitir transacciones

elctronicas seguras. Utiliza certificados digitales para verificar la
identidad de las partes involucradas en la transaccin. La
verificacin se realiza mediante cifrado asimtrica
Monitorizacin del trfico en redes: Herramientas.
Network Manager agregado es una red de clase empresarial / aplicacin /

plataforma de supervisin del rendimiento. Se integra perfectamente con otros
sistemas inteligentes de gestin de edificios, tales como control de acceso fsico,
HVAC, iluminacin, y el tiempo / control de asistencia.
Airwave Gestin PlatformT (AMP) de red inalmbrica de software de gestin
permite un control centralizado para redes Wi-Fi. Las caractersticas incluyen:
punto de acceso de gestin de configuracin, presentacin de informes,
seguimiento de los usuarios, ayudar a puntos de vista escritorio, y rogue AP
descubrimiento.
akk @ da es un sistema de monitoreo de red simple diseado para redes de
ordenadores pequeos y medianos. Su objetivo es detectar rpido fallo del sistema
o de red y para mostrar informacin acerca de los problemas detectados por los
administradores. akk @ da est diseado como un monitor de red pro-activa
Andrisoft WANGuard plataforma ofrece soluciones para la monitorizacin de
enlaces WAN, deteccin y mitigacin de DDoS, lo que representa el trfico y la
representacin grfica.
Axence nVision supervisa la infraestructura de red: Windows, servicios TCP /
IP, servidores web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.)
Tambin supervisa routers y conmutadores: trfico de red, estado de la interfaz,
los ordenadores conectados. nVision recoge el inventario de la red y el uso de
licencias de auditora - puede alertar en caso de una instalacin de programas o
cualquier cambio de configuracin en un nodo remoto. Con el agente usted puede
supervisar la actividad del usuario y acceso remoto a los ordenadores.
Juan Eduardo Toledo
Pgina 27

Cymphonix Red Compositor supervisa el trfico de Internet por usuario,
aplicacin, y la amenaza. Incluye controles de forma de acceso a recursos de
Internet por usuario, grupo y / u hora del da. Tambin con el bloqueo de proxy
annimos, la gestin de polticas y la supervisin en tiempo real.
dopplerVUe proporciona la deteccin de redes, la cartografa y el sistema de
reglas permite el monitoreo de Ping, SNMP, syslog, y las mtricas de rendimiento
de WMI. Se puede utilizar para controlar los dispositivos IPv6. Monitores de
servicios tales como DNS, HTTP y correo electrnico.
Tcnicas de Deteccin de intrusos.
El trfico en la red (en todo caso, en Internet) generalmente est compuesto

por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a
travs de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una
lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede
aplicar las siguientes tcnicas para detectar intrusiones:
Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de
la muerte" y "escaneo silencioso TCP" utilizan violaciones de los
protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del
protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente
utilizada.
Verificacin de los protocolos de la capa de aplicacin: Algunas formas de
intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que
utiliza datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para
detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una
amplia variedad de protocolos de la capa de aplicacin, como NetBIOS, TCP/IP,
etc.
Tipos de IDS: (Host IDS, Net IDS).
Existen dos tipos de sistemas de deteccin de intrusos:

HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito
de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo
atacado, cuando intentan aduearse del mismo, con propsito de llevar a cabo otras
actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado,
y hacer un reporte de sus conclusiones.
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as
todo el trfico de la red.
Juan Eduardo Toledo
Pgina 28

Software libre y commercial
Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar,

distribuir, estudiar, cambiar y mejorar el software. De modo ms preciso, se
refiere a cuatro libertades de los usuarios del software:
-
La libertad de usar el programa, con cualquier propsito (libertad 0).

La libertad de estudiar cmo funciona el programa, y adaptarlo a tus
necesidades (libertad 1). El acceso al cdigo fuente es una condicin previa
para esto.
La libertad de distribuir copias, con lo que puedes ayudar a tu
vecino (libertad 2).
La libertad de mejorar el programa y hacer pblicas las mejoras a los
dems, de modo que toda la comunidad se beneficie. (libertad 3). El acceso
al cdigo fuente es un requisito previo para esto.
Software libre no significa no comercial. Un programa libre debe estar disponible

para uso comercial, desarrollo comercial y distribucin comercial. El desarrollo
comercial del software libre ha dejado de ser inusual; el software comercial libre
es muy importante.
Cuando se habla de software libre, es mejor evitar trminos como: `regalar' o
`gratis', porque esos tminos implican que lo importante es el precio, y no la
libertad.
El software comercial es el software, libre o no, que es comercializado, es decir,
que existen sectores de la economa que lo sostiene a travs de su produccin, su
distribucin o soporte.
El software comercial cuenta con las siguientes caractersticas:
-
Tienen licencias, las cuales estn limitadas por usuarios y son pagadas. Estas
licencias restringen las libertades de los usuarios a usar, modificar, copiar y
distribuir el software.
El desarrollo, programacin y actualizacin de este software slo lo hace la
empresa que tiene los derechos. Como sucede con los productos Microsoft
(Windows, Office, etc).
En el software comercial se suele esconder y mezquinar los avances y
descubrimientos tecnolgicos entre las empresas que lo desarrollan.
Muchas veces con estrategias comerciales se suele hacer que los usuarios
actualicen su software comercial, sin que exista una necesidad verdadera de
ello, consiguiendo de esta forma hacer que el usuario invierta en nuevas
licencias, la mayora de las veces innecesarias.
Ventajas
-
Las compaas productoras de software propietario, por lo general, tienen

departamentos de control de calidad que llevan a cabo muchas pruebas
sobre el software que producen.
Se destina una parte importante de los recursos a la investigacin sobre la
usabilidad del producto.
Juan Eduardo Toledo
Pgina 29

-
Se tienen contratados algunos programadores muy capaces y con mucha

experiencia.
El software propietario de marca conocida ha sido usado por muchas
personas y es relativamente fcil encontrar a alguien que lo sepa usar.
Existe software propietario diseado para aplicaciones muy especficas que
no existe en ningn otro lado ms que con la compaa que lo produce.
Los planes de estudios de la mayora de las universidades del pas tienen
tradicionalmente un marcado enfoque al uso de herramientas propietarias y
las compaas fabricantes ofrecen a las universidades planes educativos de
descuento muy atractivos.
Existen gran cantidad de publicaciones, ampliamente difundidas, que

documentan y facilitan el uso de las tecnologas provedas por compaas de
software propietario, aunque el nmero de publicaciones orientadas al
software libre va en aumento.
Desventajas
-
Es difcil aprender a utilizar eficientemente el software propietario sin

haber asistido a costosos cursos de capacitacin.
El funcionamiento del software propietario es un secreto que guarda
celosamente la compaa que lo produce.
En la mayora de los casos el soporte tcnico es insuficiente o tarda
demasiado tiempo en ofrecer una respuesta satisfactoria.
Es ilegal extender una pieza de software propietario para adaptarla a las
necesidades particulares de un problema especfico.
La innovacin es derecho exclusivo de la compaa fabricante.
Es ilegal hacer copias del software propietario sin antes haber contratado
las licencias necesarias.
Si una dependencia de gobierno tiene funcionando exitosamente un sistema
dependiente de tecnologa propietaria no lo puede compartir con otras
dependencias a menos que cada una de stas contrate todas las licencias
necesarias.
Si la compaa fabricante del software propietario se va a la banca rota el
soporte tcnico desaparece, la posibilidad de en un futuro tener versiones
mejoradas de dicho software desaparece y la posibilidad de corregir las
erratas de dicho software tambin desaparece
Si una compaa fabricante de software es comprada por otra ms
poderosa, es probable que esa lnea de software quede descontinuada y
nunca ms en la vida vuelva a tener una modificacin.
En la mayora de los casos el gobierno se hace dependiente de un solo
proveedor.
Juan Eduardo Toledo
Pgina 30

Seguridad en las comunicaciones inalmbricas.
Sistemas de seguridad en WLAN.
- Sistema Abierto.
Si nuestra instalacin est abierta, una persona con el equipo adecuado y

conocimientos bsicos podra no slo utilizar nuestra conexin a Internet,
sino tambin acceder a nuestra red interna o a nuestro equipo -donde
podramos tener carpetas compartidas- o analizar toda la informacin que
viaja por nuestra red -mediante sniffers- y obtener as contraseas de
nuestras cuentas de correo, el contenido de nuestras conversaciones por
MSN, etc.
Si la infiltracin no autorizada en redes inalmbricas de por s ya es grave
en una instalacin residencial (en casa), mucho ms peligroso es en una
instalacin corporativa. Y desgraciadamente, cuando analizamos el entorno
corporativo nos damos cuenta de que las redes cerradas son ms bien
escasas.
- WEP.
Es el sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para
redes Wireless que permite cifrar la informacin que se transmite. Proporciona un
cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64
bits (40 bits ms 24 bits del vector de iniciacin IV) o de 128 bits (104 bits ms
24 bits del IV). Los mensajes de difusin de las redes inalmbricas se transmiten
por ondas de radio, lo que los hace ms susceptibles, frente a las redes cableadas,
de ser captados con relativa facilidad.
- WPA.
Es un sistema para proteger las redes inalmbricas creado para corregir las
deficiencias del sistema previo WEP. Los investigadores han encontrado varias
debilidades en el algoritmo WEP (tales como la reutilizacin del vector de
inicializacin (IV), del cual se derivan ataques estadsticos que permiten recuperar
la clave WEP, entre otros). WPA implementa la mayora del estndar IEEE 802.11i,
y fue creado como una medida intermedia para ocupar el lugar de WEP mientras
802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza WiFi).
WPA adopta la autenticacin de usuarios mediante el uso de un servidor, donde se
almacenan las credenciales y contraseas de los usuarios de la red. Para no obligar
al uso de tal servidor para el despliegue de redes, WPA permite la autenticacin
mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al
WEP, requiere introducir la misma clave en todos los equipos de la red.
Juan Eduardo Toledo
Pgina 31

Recomendaciones de seguridad en WLAN.
- Instale el router en el ambiente ms alejado de la calle y las ventanas. Muchos
routers permiten controlar la intensidad de la seal, por esto, disminuya la
intensidad para restringir la propagacin fuera del edificio.
- Cambie la contrasea por default del router inalmbrico: en general, el nombre de
usuario es admin y la contrasea tambin es admin.
- Cambie el SSID por default del router inalmbrico y deshabilite el broadcast del
SSID. Si es posible, no hay que permitir acceder a la red local a travs de la red
inalmbrica sino solamente a travs de la red cableada conectada a uno de los
puertos LAN del router.
- Utilice WPA, en caso de que no estar disponible utilice WEP con una contrasea
de 128 bits, si es posible.
- Instale actualizaciones de firmware cuando estn disponibles por el fabricante.
- Desconecte el router o deshabilite la red inalmbrica cuando no la utilice.
- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall,
actualizando el antivirus, el sistema operativo y los programas.
Juan Eduardo Toledo
Pgina 32

Ud 2 Juan Eduardo Toledo

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ud 2 Juan Eduardo Toledo

Încărcat de

Drepturi de autor:

Formate disponibile

2011

UD 2: Implantacin de mecanismos de seguridad activa

Ataques y contramedidas en sistemas personales ............................................................... 4

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Obtencin del origen y destinatario de la comunicacin, leyendo las

UD 2: Implantacin de mecanismos de seguridad activa

Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Conocer las diferentes etapas que conforman un ataque informtico brinda la

Bsicamente se compone de cinco etapas bien diferenciadas que permiten acceder

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha

Anlisis del software malicioso o malware:

Juan Eduardo Toledo

Los trabajos preliminares a los virus de ordenador se

UD 2: Implantacin de mecanismos de seguridad activa

El virus "Elk Cloner" es el primer virus "en libertad" (in

Verdaderamente maligno es el troyano Gotcha. Tras el

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

- Clasificacin del malware

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

- Herramientas paliativas. Instalacin y configuracin.

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Herramientas preventivas. Instalacin y configuracin.

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Corregir las vulnerabilidades detectadas.

Proporcionar nuevas funcionalidades o mejoras respecto a las versiones

Aunque es posible hacer la actualizacin de forma manual, lo ms sencillo es

Seguridad en la conexin con redes pblicas

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

UD 2: Implantacin de mecanismos de seguridad activa

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

La identidad del propietario del certificado (identidad a certificar),

Autoridad certificadora (CA). Es una entidad de confianza, responsable de emitir

por s misma o mediante la intervencin de una Autoridad de Registro, verifica la

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Acreditar electrnicamente y de forma indubitada la identidad de la

Para responder a estas nuevas necesidades nace el Documento Nacional de

Realizar compras firmadas a travs de Internet

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Como medio de firma electrnica de documentos.

Como medio de certificacin de Integridad de un documento.

Juan Eduardo Toledo

UD 2: Implantacin de mecanismos de seguridad activa

Seguridad en la red corporativa: