proyecto fin de carrera - servidor de la biblioteca de...
TRANSCRIPT
Dpto. Ingeniería de Sistemas y Automática
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Autor: Fahd El Msejel
Tutor: Ángel Rodríguez Castaño
Análisis de Tecnologías Para La Protección de
Dispositivos Ante Accesos No Autorizados
Proyecto Fin de Carrera
Ingeniería de Telecomunicación
2 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
3 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Proyecto Fin de Carrera
Ingeniería de Telecomunicación
Análisis de Tecnologías Para La Protección de
Dispositivos Ante Accesos No Autorizados
Autor:
Fahd El msejel
Tutor:
Ángel Rodríguez Castaño
Profesor Ayudante Doctor Interino
Dpto. Ingeniería de Sistemas y Automática
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2018
4 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
5 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Proyecto Fin de Carrera: Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No
Autorizados
Autor: Fahd El Msejel Tutor: Ángel Rodríguez Castaño
El tribunal nombrado para juzgar el Proyecto arriba indicado, compuesto por los siguientes miembros:
Presidente:
Vocales:
Secretario:
Acuerdan otorgarle la calificación de:
6 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Sevilla, 2018
El Secretario del Tribunal
7 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
A mi padre Abdelmaoula El
Msejel que no pudo ver este día
por el cáncer.
A mi tutor Ángel Rodríguez
Castaño por su ayuda y tiempo.
Gracias.
8 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
9 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Agradecimientos
La verdad es que toda palabra se queda corta, para todas aquellas personas que me han ayudado a
trazar mi objetivo como ingeniero superior en telecomunicaciones, desde mis profesores de la ETSI hasta
mi familia, pasando por todos mis amigos y compañeros de piso a lo largo de los muchos años que llevo
en esta ciudad excepcional, os llevo en lo más profundo de mi alma.
Fahd El Msejel
Sevilla, 2018
10 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Resumen
Vivimos en la era de las tecnologías de la información y éstas han cambiado nuestra forma de interactuar con
el mundo que nos rodea. Todo se ha digitalizado, incluida la información. Esto conlleva la protección no solo
de la información sino del dispositivo que la almacena. Esta protección nos lleva a la implementación de
medidas de seguridad tanto a nivel lógico como físico, de seguridad pasiva, de encriptación, etc. Todas estas
medidas no deben de suponer ninguna restricción a su disponibilidad.
La proliferación de amenazas a los sistemas, me ha inclinado a elegir este proyecto fin de carrera, en el cual
expongo las distintas amenazas, y las posibles soluciones que se han adoptado a estas a lo largo de las últimas
décadas, y las novedades propuestas para el futuro.
11 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
12 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Abstract
We live in the era of information technologies and these have changed our way of interacting with the
world around us. Everything has been digitized, including information. This entails the protection not
only of the information but of the device that stores it. This protection leads us to the implementation
of security measures both at the logical and physical levels, passive security, encryption, etc. All these
measures should not imply any restriction on their availability.
The proliferation of threats to the systems, has inclined me to choose this final project, in which I expose
the different threats, and the possible solutions that have been adopted to these over the last decades,
and the proposed novelties for the future.
13 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Índice
Agradecimientos i
Resumen ii
Abstract iii
Índice iv
1 Introducción a La Información Protegida y Su Acceso Autorizado 19
1.1 Introducción 19
1.2 El panorama actual 20
1.3 Acciones contra la seguridad 20
1.3.1 El ataque interno 21
1.3.2 El ataque externo 21
1.3.3 El ataque 21
2 Los Centros de Daots 23
2.1 Repaso de la historia de los servidores 23
2.1.1 Introducción 23
2.1.2 El servidor 23
2.1.3 Ejemplos de servidores 24
2.1.4 El servidor Apache 24
2.1.5 Los crímenes cibernéticos 25
2.1.6 El hacker 26
2.1.7 Tecnologías de protección 27
2.1.8 políticas de seguridad 28
2.2 Comparativa de los servidores en la actualidad 29
2.2.1 Introducción 29
2.2.2 La filosofia del mercado 29
2.2.3 Por que Linux 30
2.2.4 Por que Windows 30
2.2.5 Características técnicas del servidor 31
2.3 Novedades para los servidores del futuro 31
2.3.1 Introducción 31
2.3.2 Como se opera en la nube 32
2.3.3 La seguridad en la nube 33
14 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
2.3.4 Tecnologías de vitalización 33
2.3.5 características técnicas en la nube 35
2.3.6 Ataques en la nube 36
2.3.7 Medidas requeridas para la seguridad en la nube 36
2.3.8 Soluciones tecnicas actuales 37
3 La Criptografía 39
3.1 Introducción 39
3.2 Principios de criptografía 39
3.3 El criptosistema 40
3.4 Tipos de criptosistema 40
3.5 El criptoanalisis 41
3.6 Ejemplos historicos 41
3.7 Clasificacion de los mtodos de criptografía 42
3.8 Algoritmos de cifrado 43
3.9 La importancia de los números primos en la seguridad informatica 43
4 La Seguridad Informatica 45
4.1 La seguridad en las redes 45
4.1.1 Introducción 45
4.1.2 Amenazas en una red corporativa 45
4.1.3 Sistemas de detección de intrusos 47
4.1.4 Riesgos de los servicios en la red 47
4.1.5 Comunicaciones seguras 48
4.2 La seguridad lógica 49
4.2.1 Introducción 49
4.2.2 El control de acceso lógico 50
4.2.3 Política para la contraseña 51
4.2.4 El control de acceso para el software 52
4.3 La seguridad pasiva 52
4.3.1 Introducción 52
4.3.2 La copia de seguridad 53
4.3.3 El cluster de servidores 53
4.4 La seguridad perimetral 55
4.4.1 Introducción 55
4.4.2 La seguridad según la ubicación 55
4.4.3 Cortafuegos 56
4.4.4 Tipo de firewall 56
4.5 La seguridad y la alta disponibilidad 57
15 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
4.5.1 Introducción 57
4.5.2 El balanceo de carga 58
4.5.3 El metodo Round Robin 59
4.5.4 La primera generacion del balanceo de carga 60
4.5.5 La segunda generacion del balanceo de carga 60
5 Medidas de Protección 61
5.1 El software anti malware 61
5.1.1 Introducción 61
5.1.2 Tipos de malware 61
5.2 Protección del equipo 63
5.2.1 Introducción 63
5.2.2 Amenazas físicas y catástrofes naturales 63
5.2.3 Ataques al servidor 64
5.2.4 Herramientas software 65
5.2.5 Instalación y configuración 65
5.2.6 Pautas a seguir 65
5.3 Protección del software del equipo 66
5.3.1 Introducción 66
5.3.2 Pautas para securizar el servidor 66
5.3.3 Políticas de auditoría 67
5.4 Protección del contenido 68
5.4.1 Introducción 68
5.4.2 Vulnerabilidad, amenazas, y entorno 68
5.4.3 Los efectos adversos 69
5.4.4 Las medidas de protección 70
6 El Mantenimiento de Las Medidas de Protección 73
6.1 Caso práctico 73
6.2 El ataque 74
7 Conclusines y Lineas Futuras 77
7.1 Conclusiones 77
7.2 Lineas futuras 77
Referencias 78
Glosario 79
Índice de Figuras 80
16 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
``Y di: ó Dios mío, dame más
saber``
Sagrado Corán: 20-14
17 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
1 INTRODUCCIÓN A LA INFORMACIÓN
PROTEGIDA Y SU ACCESO AUTORIZADO
Por la mitad de lo que ignoro, daría todo lo que sé.
-René De Descartes-
1.1 Introducción
stamos viviendo últimamente en la era de la revolución digital, toda la información se ha
digitalizado, y como la información es poder, entonces habrá que proteger dicho poder. El
ciberespacio es el entorno donde la conexión se hace en base a redes de computadoras,
casi todas las personas conectadas forman parte de la comunidad.
Una computadora no quiere decir solo un ordenador, los dispositivos móviles actuales también se pueden considerar como computadoras, por su gran capacidad de procesamiento de datos, y su gran memoria de programa, lo que les otorga hacer en paralelo muchas operaciones que no sean solo la mera comunicación vocal, ya que fueron diseñados en principio para esto y poco más, acordémonos de los mensajes de texto SMS (Short Message Service) de hace dos décadas
Figura 1-1. Las Nuevas Tecnologias
1.2 EL Panorama actual
E
18 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
La idea fundamental es la protección del acceso a la información no autorizada, ya que una vez que
hayamos tenido acceso a dicha información se incurre en infinitos actos delictivos, desde el espionaje
industrial hasta el terrorismo cibernético pasando por el robo financiero.
Numerosos son los ejemplos de los sabotajes informáticos que han sufrido las entidades a lo largo de las
últimas dos décadas.
La WWW (World Wide Web) o la telaraña de internet ha podido reunirnos a todos como si
estuviésemos viviendo en un pequeño pueblo, con un simple botón y de la forma más cómoda podemos
obtener información ubicada en los extremos más remotos del globo terrestre, esto es totalmente un
lujo para la humanidad y para sus aspiraciones de aprendizaje, sin embrago el precio a pagar es alto, tan
alto que con un simple botón algún usuario malintencionado podrá acceder a dicha información,
destruirla, modificarla negativamente eliminando así la integridad de los datos de la información que
asegura su consistencia, precisión y autenticidad durante todo su ciclo de vida.
A veces el atacante puede prohibirnos el acceso a ella eliminando la propiedad de disponibilidad de los
datos de la información, ya que no podremos acceder a ellos cuando los necesitemos aunque estemos
autorizados para ello.
Lo anteriormente mencionado se refiere a la información de acceso público, donde todo el mundo tiene
derecho a obtenerla, como por ejemplo las páginas electrónicas de los periódicos o incluso los ficheros
donde se almacena el material docente, no obstante en muchas ocasiones se restringe el acceso a
personas autorizadas, que será un acceso privado en este caso, donde la privacidad implica la
confidencialidad, es una operación atómica, o accedes a todo si estás autorizado o no accedes a nada si
no. Así se garantiza que la información esté compartida solo entre entidades u organizaciones
autorizadas.
Figura1- 2: La Era Digital
1.3 Acciones contra la seguridad
Los delitos cibernéticos involucran una computadora en una red, aquí se habla de la computadora que
comete el delito y de la otra computadora víctima que ha sufrido dicho delito o ataque, el autor puede
ser un hacker profesional o incluso una organización criminal.
Si queremos asegurar la información entonces estamos hablando de seguridad cibernética, donde se
protegen las computadoras, las redes, los programas y los datos contra el acceso no autorizado evitando
así el robo, el cambio o la destrucción.
19 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Se habla entonces de medidas políticas, herramientas de seguridad, directrices de riesgo que se
establecen de forma casi mundial para proteger la información la cual es derecho de todos.
Hay acciones que deben gestionarse para capacitar al sistema a tener prácticas tecnológicas más
seguras, así se protege el entorno cibernético, la organización y los activos del usuario, como los
dispositivos informáticos conectados, las aplicaciones y los servicios de telecomunicación.
Un ciberataque a una organización puede clasificarse según su procedencia en dos categorías: ataque
por cibercriminal interno o bien ataque por cibercriminal externo,
1.3.1 El ataque interno
En el ataque interno, el autor puede ser un empleado de la organización o contratista animado por
motivos de avaricia o venganza. Para él es relativamente fácil el ataque porque está dentro de la red,
tiene conciencia de las políticas de seguridad internas de la organización, la solidez de dichas políticas, e
incluso sabe de forma correcta la estructura de las Tecnologías de la Información de Comunicación :ICT
(Information Communication Technologies) de esta organización.
Para evitar este tipo de ataque interno la organización puede instalar un sistema interno de detección
de intrusos: IDS (Intrusion Detection System).
1.3.2 El ataque externo
Por otro lado se habla de ataque externo cuando hay una persona dentro de la organización que
contrata a otra u otras fuera de la organización para hacer el ataque, también el ataque puede ser
planeado totalmente fuera de la organización.
En este caso la pérdida no es solo financiera sino también de reputación de la organización ya que
refleja un sistema de seguridad informática blando. El administrador de red que tiene acceso a todos los
registros incluido el de cortafuegos: Firewall, puede rastrear el acceso del intruso que realizó el ataque
cibernético externamente.
También hay otra forma de clasificar los ataques según su objetivo: ataques estructurados y ataques no
estructurados, los primeros aparecen cuando el atacante cibernético quiere probar una herramienta
disponible en la red, eligiendo al azar una empresa aleatoria. El segundo carece de objetividad y no
interesa analizarlo.
1.3.3 El ataque estructurado
El ataque cibernético estructurado, está hecho por personas altamente cualificadas, con un objetivo
claro y predeterminado con un fin malicioso, lo bueno de esta situación es que los atacantes son tan
buenos que disponen de herramientas sofisticadas que les oculta cuando se quiera hacer un rastreo de
intrusos.
20 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 1-3. Las Perspectivas del Ataque
Está bien visto que la inversión hecha en los ataques cibernéticos sea pequeña comparada con los
posibles beneficios conseguidos, entonces se da lugar a crear organizaciones jerárquicas bien
construidas que han conseguido niveles técnicos tan comparables a las naciones desarrolladas.
Los atacantes tienen un gran abanico de víctimas, desde las organizaciones financieras hasta incluso las
nucleares pasando por las de defensa, lo que pone de manifiesto la magnitud del peligro de la situación
de paz en el mundo, un excelente atacante cibernético no tiene menos peligro que un verdadero
dictador en una guerra mundial.
Los motivos del ataque cibernético varían de un atacante a otro, pero en general los atacantes pueden
estar motivados por el dinero, la venganza, el placer, el reconocimiento, el anonimato e incluso la
competitividad.
21 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
2 LOS CENTROS DE DATOS
No me nutras un día dándome un pez, nútreme eternamente enseñándome a pescar.
-Lao Tse-
2.1 Repaso de La Historia de Los Servidores
2.1.1 Introducción
Internet nos ha facilitado la vida totalmente, muchas acciones diarias que exigían largos tiempos en
colas de espera como las compras o los pagos de facturas, hoy las hacemos de forma remota sin el más
mínimo esfuerzo y sin pérdida de tiempo alguno.
Para eso y para un montón de aplicaciones la cabeza pensante es lo que se llama en la jerga informática
como servidor, que es un programa de computadora que brinda servicios a otros programas
informáticos (y a sus usuarios) en la misma computadora o en otras.
Para cada servidor hay varios clientes para una misma aplicación, y para cada cliente pude haber varios
servidores para distintas aplicaciones, incluso un único servidor potente para todas las aplicaciones.
Se habla entonces del modelo cliente servidor donde un sistema en el cual el software del cliente o una
computadora cliente hacen solicitudes de software a un servidor o una a computadora servidora que
proporcionara recursos o servicios al cliente como datos o archivos.
2.1.2. EL servidor
Los servidores pueden procesar información sensible para la organización, para proporcionar amplia
variación de servicios distintos a usuarios internos y externos. Existen infinitos tipos de servidores desde
los más básicos para proporcionar la hora hasta los más complejos que resuelven en tiempo real
operaciones matemáticas de gran cómputo para los cálculos astronómicos.
Figura 2-1. El Servidor
22 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
2.1.3. Ejemplos De Servidores
Actualmente hay muchos ejemplos de funcionalidades para los servidores, se puede hablar del servidor
dedicado: el que ofrece un único servicio, o también del servidor integrado que puede ofrecer varios
servicios a la vez.
Aquí van algunos servicios para los servidores dedicados:
Email, de correo electrónico
Database, de bases de datos
File, de ficheros
DNS, de nombres de dominio (Domain Name Server)
DHCP, de configuración dinámica del host, le da una dirección IP nueva cada vez que se conecta
(Dynamic Host Configuration Protocol)
Application, de apliaciones
Computing, de cómputo como el ejemplo antes mencionado de cálculos astronómicos
Media (Audio/Video Streaming), como los que nos brindan películas: youtube.
Game , de juegos
Print, de impresora, donde en una empresa u organización se comparta una única impresora entre
varios usuarios, el servidor se encarga de poner en orden las solicitudes de imprenta para evitar los
atascos.
Proxy, son los servidores intermediarios entre el cliente y otro servidor de mayor potencia.
Cloud, son los servidores en la nube donde actualmente se almacena casi toda la información
Web, son los servidores que nos permiten accede a páginas web sean estáticas (que contienen textos e
imágenes, etc.) o bien dinámicas (que contienen scripts). En este caso Un servidor web es un servidor
que es responsable de aceptar solicitudes HTTP (Hyperext Transfer protocol) de clientes web para
servirles respuestas HTTP generalmente en forma de páginas web.
2.1.4 El Servidor Apache
El primer servidor web fue Apache server, que escuchaba en el puerto 80, luego ya se creó la versión
segura que escucha en el puerto 443 para conexiones seguras https (HTTP secure) . De aquí la gran
importancia de proteger los puertos del servidor contra los accesos mal intencionados.
El uso estaba al principio restringido a las maquinas Unix, Linux.
El código en la línea de comandos usado para las acciones básicas es:
Para arrancar el servidor.
sudo /usr/sbin/apachectl start
service httpd start
Para parar el servidor
sudo /usr/sbin/apachectl stop
service httpd stop
Para re arrancar el servidor:
23 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
sudo /usr/sbin/apachectl restart
service httpd restart
Para averiguar el estado del servidor:
cat /var/run/httpd.pid
ps aux — grep httpd
La letra d en la palabra httpd se refiere a (daemon): duende o demonio, que se refiere al servicio
informático que se está ejecutando, el proceso del servidor.
2.1.5 Los Crimenes Cibernéticos
El Acoso Cibernético
Es una amenaza que aprovecha el anonimato para difamar a una persona en las redes públicas por
ejemplo, o hacer unas acusaciones falsas, también puede incluir el monitoreo, o la explotación sexual
de menores
La Falsificación
Con el continuo desarrollo del software y el hardware podemos falsificar unos documentos de tal
manera que no se pueda decidir si el documento es real o no.
La Piratería
Son delitos informáticos relacionados con los derechos de propiedad intelectual, provocando la
reproducción y la distribución ilegal, como la descarga de alguna película o canción.
El Ciberterrorismo
Para lograr objetivos sociales o políticos se intimida el gobierno o la población civil mediante el uso
de recursos informáticos.
Phishing
El atacante se disfraza de una entidad y envía un correo electrónico para pedirnos nuestros
credenciales, el ejemplo típico es un correo que nos llega de una supuesta entidad bancaria, donde nos
piden nuestros datos.
Vandalismo computacional
Hacer daño físico a la computadora, ocurre sobre todo en el caso de servidores no debidamente
securizados.
Creación y distribución de virus a través de Internet
Un virus en una organización puede genera una serie de pérdidas financieras como: el costo de
pérdida de negocios durante el tiempo de inactividad, y por supuesto el costo de reparación del
sistema.
Spam
Es el envió masivo de correos electrónicos no deseados, que suelen ser correos anónimos, así ocupan
espacio en la memoria y sobrecargan la red.
Cross Site Scripting
Se inyecta en un sitio web confiable un script malicioso por un cliente atacante, dicho script obtiene
las cookies y otra información sensible que envía mas tarde a otros servidores remotos que la
aprovechan para sacar beneficio económico.
Fraude de Subastas en Línea
El ataque consiste en hacernos creer participar en una subasta pero nunca nos mandaran el producto
por el cual hemos pagado.
24 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Cyber Squatting
Aquí se reservan los nombres de dominio de una entidad para luego volver a venderlos a otra por un
precio más alto.
Bombas Lógicas
Se inserta código malicioso en el software legítimo, si en un futuro se reúnen las condiciones
necesarias dentro del sistema que alberga dicha bomba, se activa destruyendo la información o
haciendo que el sistema sea inutilizado.
Web Jacking
El atacante bloquea un sitio web de una organización después de haber obtenido acceso a él, para
servir a intereses políticos, económicos o sociales.
Robo de Tiempo en Internet
Aquí se piratea el nombre de usuario y la contraseña del ISP (Internet Service Provider) de un
individuo y navegar por Internet a su costa.
Ataque de Denegación de Servicio
Del inglés DoS (Deny Of Service), Se inunda la red con trafico inútil haciendo que se colapse y por
ende el trafico legitimo no tendrá lugar.
Ataque de Salami
Se crean pequeños ataques incrementales, que pasan desapercibidos, como por ejemplo ir sacando
dinero en pequeñas cuantías de la cuenta bancaria de la víctima.
Dados de datos
Se modifican los datos antes de ingresarlos en la computadora, por ejemplo en el cálculo de nomina
de la víctima, el salario cobrado no es el debido, sino el reemplazado por el salario recalculado en el
informe, Así el empleado cobra menos y la diferencia se la queda el atacante que mayormente suele
ser un empleado de la propia empresa.
Suplantación de correo electrónico
Se juega aquí con las cabeceras del correo electrónico haciendo entender a la victima que el correo
procede de una dirección que no es la que dice.
Hacking computacional
Se modifica el hardware o el software de la computadora de forma intencionada, ahora las empresas
contratan a piratas informáticos para tener una buena política de seguridad interna, ya que un buen
atacante sabe cómo crear una buena defensa.
2.1.6 El Hacker
Se pueden clasificar en varias categorías, pero en la jerga informática los cuatro tipos directos de hacker
son:
De sombreo blanco
También llamados hackers éticos, son los que piratean la vulnerabilidad del sistema e informan a los
responsables de la seguridad informática de la empresa de los posibles agujeros de seguridad, o sea
testean el sistema según la base de ataque que conocen, pero la finalidad es totalmente benigna.
De sombrero negro
También llamados crackers, son a diferencia de los anteriores, aquello que atacan al sistema, se
apropian de la información sensible, y sacan beneficio económico de ella, hasta que los responsables
del sistema de seguridad informática de la organización se den cuenta de la situación y apliquen
parches de seguridad.
25 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
De sombrero Gris
Estos a la vez descubren la vulnerabilidad y ofrecen la solución cobrando por ello.
De sombrero azul
Son los contratados por las empresas desarrolladoras de software que detectan los errores antes de
lanzar el nuevo producto al mercado, así que buscan las puertas traseras para que puedan ser cerradas.
Figura 2-2: EL Ataque Cibernético
2.1.7 Tecnologías de Protección
Hoy en día existen empresas líderes en el mundo de las ICT (Information Communication
Technologies) que se encargan de desarrollar un paquete de software completo para soluciones
integradas de seguridad, incluso la posibilidad de recuperar datos perdidos, sin comprometer el
rendimiento del sistema ni reducir su actividad
Dichas empresas emplean las últimas novedades en la inteligencia artificial para crear las tecnologías
de protección, que pueden incluir a la vez:
Antivirus
Anti espía
Cortafuegos Bidireccional integrado
Control web
Herramienta avanzada de administración remota
Antispam
Filtrado de correo no deseado en el dispositivo del cliente
Análisis de todos los mensajes entrantes en busca de malware
Control de dispositivos
Gestion desde una única consola en red.
26 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 2-3. La Procedencia del Ataque
Así se elimina todo tipo de amenazas, hackers, virus, gusanos y spyware, permitiendo crear reglas para
cumplir con las políticas de la empresa para los grupos de usuario tanto en la nube como en los equipos y
dispositivos de la empresa (controlando el acceso)
2.1.8 Políticas De Seguridad
Necesitamos un software que suele ser preciso y robusto, lo que conlleva a una protección extrema de los
equipo y garantiza la no lentitud de ellos, también nos permite configurar cualquier estación de trabajo o
cualquier equipo de nuestra red de forma remota, y de forma continua, eliminando el malware, y evitando
los accesos a paginas no imprescindibles para el trabajo que necesita la empresa, también pueden llegar a
equilibrar la carga haciendo balanceo continuo entre los distintos servidores de la empresa.
Por defecto la premisa a seguir en el diseño de los modelos de seguridad, es que el acceso debe ser en
principio prohibido, y ya luego ir decidiendo los mínimos derechos de acceso a cada usuario, debemos ir
averiguando de forma continua y permanente como son los derechos otorgados a cada usuario, cuanto
más baja es la capa donde se ha hecho el diseño de seguridad más robusto será el sistema, ya que la
seguridad es inversamente proporcional a la conveniencia.
Debemos poder nombrar a cada elemento computacional en la red de forma única y univoca, y debemos
darle a cada uno un conjunto finito de operaciones permitidas, el ejemplo más típico es un fichero cuyo
proceso tiene derecho de lectura pero no de ejecución, así estamos creando el mecanismo de autorización
para este tipo abstracto de datos.
27 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Cada usuario pertenecerá a un grupo, y para cada elemento de dato tendrá tal o tal acceso permitido, que
puede ir variando dinámicamente esto se llama el dominio de protección que es el conjunto de (objeto,
operaciones), lo malo es que cuando se hace una llamada al sistema se cambia el dominio de protección
creando por ende grandes agujeros de seguridad como los que aparecen en el fichero que contiene las
contraseñas de Linux.
En general se crea una tripleta o matriz (dominio, objeto, derechos). Hay que autentificar a cada usuario
que quiera acceder al sistema, dicha autentificación puede ser física o bien lógica, la física se divide en
dos categorías, la física externa y la biométrica, la física externa es como la propia llave que usan para
entrar al cuarto de servidores, o la tarjeta magnética de acceso, mientras que la biométrica se manifiesta
en la huella digital, la huella de los vasos sanguíneos la retina del ojo: el iris, y finalmente la
autentificación lógica es como las contraseñas. Hay que tener un registro estadístico para cada usuario
donde se muestran las fechas de accesos y la duración de dichos accesos.
2.2 Comparativa de los servidores en la actualidad
2.2.1 Introducción
En al capítulo anterior hemos mencionado el servidor Apache, es un servidor web hecho para el sistema
operativo (Linux) y desarrollado en el lenguaje de programación (C), es mundialmente usado por más del
setenta por ciento de usuarios.
Podemos afirmar el siguiente orden de uso de servidores Web en el mundo:
Los servidores Apache
Los servidores de (Microsoft)
Los servidores de (Inginx)
Los servidores de (Google).
Figura 2-4. La Penetración de los Servidores Web
2.2.2 La filosofía del mercado
Se sobreentiende que (Apache) sea el tipo de servidor más utilizados mundialmente por ser de acceso
gratuito. La mayoría de las máquinas trabajan con el sistema operativo (Linux) ya que no exige pago por
licencia alguna, a diferencia de los de (Windows) que son excesivamente caros. Sobre todo, si pensamos
que para una compañía hay que pagar la licencia para cada uno de los ordenadores, no podemos olvidar
28 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
los gastos reservados para la nueva versión del sistema operativo, es decir, que estaremos siempre
pagando cantidades desorbitadas, teniendo a la vez la opción de optar por los (Ubuntu), los cuales
provienen de la lengua Zulú, que quiere decir “ganamos todos cuando uno gana”. Así mismo, podemos
ver y reeditar el código fuente Linux, pero esto resulta imposible en Windows, ¿quién entre nosotros ha
visto alguna vez el código fuente de alguna aplicación en Windows?
Existen foros Linux para resolver nuestras dudas y ofrecer a los usuarios a través del mundo de forma
totalmente gratuita, mejorar los códigos escritos por nosotros cuando pedimos ayuda.
Pero también una misma empresa puede tener su propio servidor que engloba varias opciones a la vez:
servidor para el correo interno y externo, servidor de aplicaciones propias, servidor que alberga la página
web de la empresa para que los usuarios interactúen con ella, servidor para la propia base de datos, etc.
2.2.3 Por que Linux
La verdad es que el uso de los servidores (Linux) es el más extendido, no solo por el tema económico,
sino por la comparación que va más allá de eso.
Linux es un sistema eficiente y de rápido rendimiento, pues es mejor en cuanto a la jerarquía de ficheros,
ya que tenemos un diseño de sistema de archivos único, comenzando en la raíz ("/" o "barra") y todo
ubicado debajo de él, así se podrán montar las particiones de forma más cómoda como se hace en
Windows.
Linux no usa una única base de datos de opciones de configuración, lo que le hace ser mejor que
Windows, porque significa que no hay un solo punto de falla para la configuración del sistema, hay
muchos archivos de configuración individuales, por lo que no hay un solo punto de falla para la
configuración del sistema. Si un archivo de configuración se corrompe, solo esa función de dicha
configuración se rompe y todo lo demás funciona. También hace que sea fácil hacer una copia de
seguridad de los archivos de configuración. No olvidemos que el software no proviene de CD (Compact
Disk) ni sitios web, sino que proviene de repositorios. Si se encuentra algún Malware allegado dentro de
nuestro sistema operativo Linux, será fácil eliminarlo con los programas distribuidos por la red, en
cambio en Windows no es tarea fácil la detección de dicho Malware. Aquí viene la mayor ventaja del
sistema Linux, es decir, desde mi punto de vista personal creo que Linux es muchísimo mejor, por el
mero hecho de que no existe el concepto de Virus en su mundo.
El administrador de paquetes hace todo el trabajo de instalación y desinstalación de programas. Esto
mantiene la computadora limpia de programas innecesarios y ayuda a asegurase de no terminar la
instalación de algún programa que va a robar todos sus datos personales.
En cambio, en Windows se juega a tener el control absoluto de forma continua, mientras que en Linux,
solo con el super usuario root se consiguen los privilegios máximos para instalaciones y desinstalaciones.
2.2.4 Por que Windows
Por otro lado Windows también tiene sus ventajas, a la hora de querer ampliar hardware, no hace falta
buscar los controladores software oportunos como ocurre en Linux, tampoco hace falta escribir las
ordenes engorrosas en la línea de comandos para interactuar con la máquina, no olvidemos que la
instalación del sistema operativo Windows es más inmediata, más rápida y más amena.
Hablando de la evolución de los servidores Windows a lo largo de la última década, que tenía tres
versiones. La última del 2016 sirve para los servidores en la nube, que aumenta la seguridad y reduce el
riesgo comercial con múltiples capas de protección integradas en el sistema operativo. Incluso nos sigue
sirviendo para los sistemas que ejecutan una mezcla hibrida formada por cargas de trabajo tradicionales y
basadas en la nube.
29 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
2.2.5 Características Técnicas del Servidor
En general, a la hora de comprar un servidor hay que fijarse en las siguientes características:
El procesador
Que cuanto más potente es, más seguro es el trabajo que va a ofrecer el servidor, sobre todo para
tareas multi hilo,
La memoria de programa
Que está siempre por encima de los 64 Gb en los servidores modernos.
La memoria de datos
el respaldo interno
el almacenaje externo
la conexión LAN (Local Area Network)
el sistema de ventilación
el sistema de soporte energético
En caso de que falle la red eléctrica
los puertos USB (Universal Serial Bus),
El sistema operativo
las varias unidades de disco duro
El controlador RAID (Redundant Array of Independent Disks)
Para las copias de seguridad que se mencionara más adelante en el capítulo de la seguridad pasiva
las dimensiones físicas
A veces es imprescindible precisarlas para la óptima ubicación del servidor.
2.3 Novedades para los servidores del futuro
2.3.1 Introducción
Hay un nuevo concepto en las redes, la vitalización donde realmente se emula de alguna manera a través de un
programa, un hardware sobre el que montar un servidor. Podemos tener varias máquinas virtuales ubicadas en
un único ordenador, e instalar en ellas distintos software.
Cargar al ordenador de forma ordinaria con gran cantidad de software afecta a su funcionamiento, se ralentiza
su velocidad de respuesta ante peticiones del usuario, este es uno de los problemas más comunes en los
ordenadores, la virtualizacíon resuelve este obstáculo. Así sin ningún compromiso podemos seguir añadiendo
software si queremos sin comprometer la eficiencia de nuestra maquina.
Las máquinas virtuales son independientes entre sí. Si un software me da problemas no tendré que reparar mi
equipo entero ni anular el funcionamiento del resto de servidores virtuales. Los servidores virtuales también se usan mucho cuando queremos albergar gran número de páginas web en ellos.
30 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 2-5. La Computación en La Nube
La virtualización favorece la seguridad del sistema, ya que un supuesto hacker al atacar un sistema, solo lo
estará haciendo contra una parte, pero nunca accederá a todo el sistema de forma atómica.
La última tecnología en computación es la computación en la nube, tanto para fines personales como para
negocios. Igual que los servidores de la antigua generación, los de la nube sufren los ataques y la piratería y la
denegación de servicio DoS (Deny of Service), pero en este caso se llama ataque distribuido de denegación de
servicio DDoS (Distributed DoS). A menudo se dice que el (Cloud Computing) solo está destinado a expertos.
2.3.2 Como se opera en la nube
El primer motivo de la creación de los servidores en la nube es porque las empresas se enfrentan a problemas
de administración de datos que fueron almacenados excesivamente, entonces sería conveniente enviar sus
archivos de datos y sus copias de seguridad a otra máquina a través de Internet, la definimos por ende como la
tecnología o mejor la capacidad de cargar, mantener y almacenar datos a través de Internet, y por supuesto con
la peculiaridad de compartir e intercambiar recursos de software y hardware.
El súper usuario del servidor de la nube es el operador de la nube y tiene acceso a todo, así que la computación
en la nube es un modelo para permitir el acceso a la red bajo demanda a un conjunto compartido de recursos
informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se
pueden aprovisionar y liberar rápidamente con una administración mínima del proveedor de servicios.
31 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 2-6. El Superservidor
2.3.3 La seguridad en la nube
La seguridad informática en la nube se define como los procesos, interacciones y políticas diseñadas para
cumplir con la seguridad y protección de la información para un entorno basado en la nube. Entonces utiliza
tanto formas lógicas como físicas para todo el sistema de intercambio de información en la nube.
En una política de seguridad en la nube, el proveedor de la nube establece las restricciones de uso para el
usuario final. La política de seguridad en la nube es un procedimiento obligatorio para cada empresa. Existen
tres tipos de nubes:
Nube privada
Una plataforma en la nube con uso dedicado para usuarios hogareños u organizaciones especiales.
Nube pública
Designada a clientes públicos que pueden registrarse de forma económica o incluso gratis, haciendo
uso de la infraestructura (almacenamiento de datos, software, etc.).
Nube híbrida
Es una nube privada que puede expandirse para administrar recursos de nubes públicas.
2.3.4 Tecnologías de virtualización
La naturaleza completa del sistema en la nube consiste en convertir las tecnologías físicas dinámicas en
tecnologías virtuales y compartirlas, entonces la tecnología de virtualización permite la eliminación de la carga
útil de la aplicación de la infraestructura física. Esto significa que los recursos físicos se pueden separar de los
recursos lógicos o virtuales.
Se refiere a la abstracción de los recursos de una computadora, llamada Hypervisor o VMM (Virtual
Machine Monitor) que crea una capa de abstracción entre el hardware de la máquina física (host) y el
sistema operativo de la máquina virtual (virtual machine, guest), dividiéndose el recurso en uno o más
entornos de ejecución.
32 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 2-7. El Hypervisor
Es la creación, a través de software, de una versión virtual de algún recurso tecnológico, como puede ser
una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de
red.
Esta capa de software (VMM) maneja, gestiona y arbitra los cuatro recursos principales de una
computadora (CPU, Memoria, Almacenamiento y Conexiones de Red) y así podrá repartir
dinámicamente dichos recursos entre todas las máquinas virtuales definidas en el computador central.
Esto hace que se puedan tener varios ordenadores virtuales ejecutándose en el mismo ordenador físico
Se definen entidades superiores e inferiores en la nube, talque cada máquina física en la parte superior de la
virtualización debe ser capaz de monitorear dinámicamente los recursos inferiores lógicos de la nube.
En un verdadero servidor operando en la nube cada máquina de uso externo puede ajustar los recursos
virtualizados de acuerdo a sus necesidades y siempre en tiempo real.
La virtualización también le sucede al servidor, se conoce como virtualización del sistema. Es la capacidad de
ejecutar muchos sistemas operativos simultáneamente en el mismo servidor.
El servidor virtualizado es monitoreado por 'Hypervisor', que es un programa que ejecuta y simula uno o más
sistemas operativos simultáneamente.
"Otras formas de virtualización incluyen el almacenamiento y la virtualización de red, donde se hacen
representaciones lógicas del almacenamiento físico y de los recursos de la red.
El administrador del servidor en la nube puede ajustar el hardware debido a la virtualización tantas veces
como quiera sin perder dinero ni tiempo.
Los sistemas abiertos (a través de Internet) como la nube tienen infinitas vulnerabilidades debido a que son
nuevos y públicos.
33 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 2-8. El Acceso Simultáneo en la Nube
2.3.5 Características técnicas de la nube
Para los servidores en la nube se establecen las siguientes características:
Acceso privilegiado de los usuarios
Para eludir la capa "físico-lógica" de la nube y obtener acceso a datos y software.
Cumplimiento regulatorio
Los clientes son responsables de la buena gestión y seguridad de sus datos.
Ubicación de datos
Los clientes no conocen la ubicación exacta de los datos.
Segregación de datos
El cifrado y descifrado de datos en la nube es esencial, pero no puede ser la única forma de solución,
ya que es vulnerable a los ataques.
Recuperación
En caso de fallar el servidor por denegación de servicio, ¿cómo se restauraran los datos de los
clientes? ¿El proveedor de la nube tiene un plan de respaldo de ingeniería inversa y protección de
datos? ¿Los administradores de la nube son capaces de restaurar datos o tienen que ser respaldados
por un tercero externo?
Investigar el soporte
Los servicios en la nube son difíciles de investigar porque muchos datos de los clientes se colocaron
en la misma ubicación, pero también se pueden propagar archivos infectados a otros conjuntos de
software.
Viabilidad a largo plazo
Los proveedores de la nube deben asegurar a sus clientes que habrá integridad y disponibilidad de sus
datos, incluso en caso de fusión en una compañía más grande en la nube.
34 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
2.3.6 Ataques en la nube
Un hacker puede usar servidores en la nube para almacenar sus programas maliciosos, que pueden causar el
ataque mencionado antes en este capítulo Distributed Denial of Service (DDoS). Si la víctima comparte la
misma nube con el pirata informático, sería más fácil para el pirata informático realizar el ataque. Esto también
puede ser válido con máquinas virtuales.
Figura 2-9. Ataque de Denegación de Servicio Distribuido
2.3.7 Medidas requeridas para la seguridad en la nube
Controlar de acceso
Estos mecanismos deberían analizar el ciclo de vida de los usuarios desde el principio. Es un registro
donde se apuntan los detalles de las fechas de acceso.
Administrar los derechos de acceso de los usuarios.
Fomentar buenas prácticas de acceso.
Controlar el acceso a los servicios de red.
Controlar el acceso a los sistemas operativos.
Controlar el acceso a aplicaciones
Crear una política de nube detallada.
Identificar proveedor de servicios en la nube compatible basado en la política de la nube anterior.
Elaborar un acuerdo detallado de nivel de servicio con disposiciones para el monitoreo del proveedor
de servicios en la nube.
Monitorizar continuamente por parte de Security Cloud la no violación de la política.
Monitorizar las listas negras.
Son listas públicas para los propios bloques de red, donde el proveedor de servicios tiene información
actualizada cada 24 horas de los sitios web sospechosos.
Evaluación de vulnerabilidad
Se evalúa a través de herramientas de software automatizadas, que comprueban y confirman de forma
continua el estado de la vulnerabilidad en la nube.
Pruebas de penetración
Se deben usar herramientas que penetren en la red pero con gran supervisión para no perder la
conexión y causar una red limitada a los clientes.
Análisis de registro
35 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
El proveedor de servicios en la nube debe realizar informes sobre el cumplimiento de los requisitos
de la política de seguridad.
Sistema de Prevención de Intrusos Basado en el Host
2.3.8 Soluciones Técnicas Actuales
Tablero de Gestión centralizada de incidentes
Cortafuegos estándar
Firewall avanzado con tablas de reenvío de paquetes
Inmunidad
Sistema inteligente de detección de intrusos IDS (Intrusion Detection System)
Escaneo malware
Escaneo de seguridad
Gestión de las actualizaciones
Aplicaciones web inteligentes
Protección del código PHP (Hypertext Preprocessor)
Monitoreo de la reputación del sitio web
Detección y visualización de amenazas de seguridad
Protección de los servidores contra ataques de fuerza bruta
Protección de las aplicaciones web contra inyecciones de malware
Automatización continuada de la seguridad del kernel y de las versiones PHP anteriores
Detección de intrusos definitiva
Soporte técnico para socios / Proveedores de alojamiento
Soporte técnico para usuarios finales
Soporte de distribución
Panel de soporte
Evitar el escaneo de puertos del servidor
36 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
37 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
3 LA CRIPTOGRAFÍA
En una hora de juego puedes descubrir la esencia de una persona de manera mejor que en un año de
conversación.
-Platón-
3.1 Introducción
La palabra "Criptografía" viene Del griego "Kryptos" que significa oculto, y "Graphos", que significa
escritura. Se habla entonces de cómo escribir un mensaje oculto, oculto en el sentido de que no se
entienda su significado real aunque se pueda leer.
Figura 3-1. El Cifrado de Los Datos
3.2 Principios de la criptografía
Confidencialidad Solo las personas autorizadas tendrán acceso mediante técnicas de cifrado y códigos.
Integridad La información es correcta y completa, Se usa la función (Hash) que rompe en pequeñas divisiones
los textos asignándoles un numero natural, después de un cierto cálculo matemático, así podemos
averiguar que el texto no ha sido modificado en el canal de transmisión
No-repudio Con la firma digital, y los certificados digitales se evita el hecho de que el creador del mensaje niegue
haberlo sido.
Autenticación Para verificar la identidad del comunicante.
38 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 3-2. La Huella Digital
3.3 El criptosistema Es una quíntupla (A, B, C, D, E) donde:
• A es el texto original.
• B es el conjunto de todos los posibles criptogramas.
• C es el conjunto de claves
• D es el conjunto de funciones que se aplican a cada texto original para obtener un criptograma.
Para cada valor posible de la clave k, existe una transformación diferente D(k).
Igual que en la propiedad de idempotencia que se aplica en la lógica booleana, negar dos veces una
variable lógica nos da de nuevo la misma variable, aquí si tenemos un mensaje A, al cifrarlo empleando la
clave k y luego al descifrarlo empleando la misma clave, obtenemos de nuevo el mensaje original A.
Figura 3-3. El Criptosistema 3.4 Tipos de criptosistemas Existen tres tipos fundamentales de criptosistemas:
Criptosistemas simétricos o de clave privada
39 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Aquí se usa la misma clave k tanto para cifrar como para descifrar. Entonces el peligro reside en
como transmitir dicha clave del transmisor y al receptor de forma segura
Criptosistemas asimétricos o de clave pública Aquí se usan dos claves, una pública y otra privada, la primera es para cifrar el mensaje y la otra es
para descifrarlo. Y por supuesto sabiendo una de las claves no podemos deducir la otra, es aquí donde
reside la robustez de esta segunda técnica. Ya que por el canal solo viajara la clave pública.
.
ESTEGANOGRAFÍA
Consiste en ocultar un mensaje más corto dentro de un mensaje más largo sin levantar sospechas,
también se llama la técnica de los canales subliminales. A veces dicho mensaje más corto ni siquiera
tiene que estar cifrado.
3.5 El criptoanálisis Es para averiguar el nivel de la seguridad de un criptosistema. Si por ejemplo podemos deducir la clave
de varios criptogramas, entonces es un mal sistema, peor aún sería poder descifrar el mensaje sin tener la
llave de antemano.
Hará falta entonces estudiar grandes cantidades de pares mensaje-criptograma generados con la misma
clave. Estas técnicas para conseguir la clave K se llama la técnica de fuerza bruta. Si se emplease menos
esfuerzo computacional la técnica cambiara de nombre y se llamara ataque. Ahora bien, resulta casi
imposible detectar la clave con los métodos tradicionales si es de longitud mayor que 256 bits.
3.6 Ejemplos históricos
La escítala
Viene de la palabra árabe elongación. Es una cinta enrollada de forma precisa alrededor de un bastón
único, llamado bastón de mando, donde van escritas las letras del mensaje. Se manda la cinta sin el
bastón, y en el destino solo conociendo el grosor exacto del bastón se puede entender el significado
del flujo de letras marcado en la cinta.
El cifrador de Polybios
Cada letra del alfabeto tenía dos coordenadas según una tabla definida de antemano, se enviaba
entonces el flujo de coordenadas, y en el destino tenían la tabla, es el ejemplo típico de la clave
pública.
El cifrador del César
Que consistía en desplazar las letras del alfabeto una cantidad fija y empezar a emparejar las letras
originales del abecedario con las nuevas, el código e cíclico por supuesto, y hay 27 formas de
posibles nuevos códigos para el castellano por ejemplo.
El cifrador de Alberti
Es una idea replicada del cifrado del Cesar, pero aquí en el mismo mensaje podemos usar varios
códigos a la vez, por ejemplo después de cada n letras dentro del mensaje vamos cambiando de
código.
La máquina Enigma y la maquina Purple
Usada en la segunda guerra mundial, donde la posibilidad de que un carácter vuelva a tener el mismo
cifrado era infinitesimal, porque se usaba un sistema mecánico donde se colocan las letras del
alfabeto, dan vuelta, y se desplaza a la letra anterior.
40 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
3.7 Clasificación de los métodos de criptografía
Sistemas de sustitución Aquí se reemplazan algunas letras del alfabeto por otras (Literal), o bien se reemplazan por números
(Numérico), o bien por signos (Esteganográfico).
Criptografía simétrica
Usa una clave privada única para el cifrado y el descifrado, de allí su característica de simetría, la
longitud de la clave puede llegar hasta 128 bits. Es un método usado desde el origen de los tiempos,
hasta hoy en día. Pero tiene principalmente dos desventajas: el peligro de interceptar la clave a la hora
de enviarla, y la cantidad de memoria que debemos tener si estamos tratando con varias entidades
distintas la vez y que van cambiando de clave cada cierto tiempo.
Criptografía asimétrica
Se usan claves de 2048 bits. Empezó en la época de los 70, aquí los dos extremos de la comunicación
tienen sus correspondientes parejas de claves: una pública y otra privada. Aquí da igual si se
intercepta la clave pública al viajar entre los dos externos de la comunicación, porque es
prácticamente imposible deducir la clave privada a partir de la pública. La genialidad de este nuevo
método consiste en que el emisor utilizará la clave pública del receptor para cifrar un mensaje, y a su
vez, el receptor descifrará este mensaje haciendo uso de su clave privada.
Sistemas de transposición Aquí se altera el orden ordinario del alfabeto, descolocando las letras, podemos clasificar los sistemas
de transposición en dos sub categorías:
Sistemas de transposición simple El texto se somete a una única transposición.
Sistemas de transposición doble o múltiple Cuando se realizan dos o más transposiciones seguidas. Es por ende un método mucho más seguro.
41 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 3-4. La Criptografía Asimétrica
3.8 Algoritmos de cifrado La fortaleza de un sistema de cifrado debe recaer en la clave y no en el algoritmo, los algoritmos de
cifrado se clasifican en dos tipos:
De bloque
Primero se cifra completamente el archivo a enviar y luego se realiza su transmisión, dividiéndolo en
bloques de tamaño fijo a la hora de cifrarlo
De flujo
Aquí se cifra individualmente cada unidad de dato: bit o cifra o hasta byte. Es una operación
dinámica, o sea ciframos sobre la marcha mientras se vaya generando el mensaje a enviar, igual que
como se hace en la telefonía móvil de hoy en día UMTS (Universal Mobile Telecommunications
System).
3.9 La importancia de la criptografía en la seguridad informática Se cifran los símbolos (conjuntos de letras y números) en flujo de bits, usando la teoría de los números primos,
de manera que se manda un mensaje cuyos componentes nuevos son el resultado de multiplicar el código de
cada componente original del mensaje por el producto matemático de dos números primos como se explica
más adelante. Si dominamos el cálculo de los números primos dominaremos la criptografía y por ende
42 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
podemos proteger los datos cifrándolos, o sea, aunque se consiga interceptar los datos, al interceptor le será
totalmente inútil, porque él no podrá interpretar el significado de los datos si no sabe descifrarlos.
Una de las tareas que más tiempo ocupa a los grandes sistemas de ordenadores es el cálculo de números
primos cada vez mayores. Su objetivo es poder obtener un número que sirva para cifrar mensajes y que luego
sea muy complicado descifrarlos.
Vamos a ver cómo se podría cifrar un mensaje en función de un número primo. Cada letra en un mensaje tiene
un número asociado que nunca varía. El número está establecido por el código denominado "American
Standard Code for Information Interchange" (ASCII). El conjunto de caracteres ASCII define cada carácter
con un número que va desde el 0 al 255. Por ejemplo, la letra "A" mayúscula tiene el código 65, la "z"
minúscula tiene el código 122, etc. Cualquier texto escrito en un ordenador se puede trasladar a notación
ASCII. Por ejemplo, en código ASCII la palabra "TELECOMUNICACIONES" es:
84.69.76.69.67.79.77.85.78.73.67.65.67.73.79.78.69.83.
Así tenemos una cadena de números (que es como realmente se transmite la información digitalmente) que
podríamos multiplicar por un número que sea la multiplicación de dos números primos. Si elegimos, por
ejemplo, 21 (multiplicando 3 y 7), la cadena nueva de números nos quedaría así:
1764.1449.1596.1449.1407.1659.1617.1785.1638.1533.1407.1365.1533.1659.1638.1449.1743.
Hemos podido observar que el nuevo mensaje no tiene nada que ver con el original. La persona que quiera leer
lo que pone primero deberá averiguar cuál es el número que hemos utilizado para cifrar la información. Y para
ello deberá adivinar cuáles son los dos factores que hemos utilizado para cifrar la información. Evidentemente,
en este ejemplo es muy fácil, 21 es 7 por 3, no hace falta ninguna titulación en Matemáticas más allá de la
obtenida cuando estábamos en primaria.
Sin embargo, si utilizamos números muy grandes, el problema se complica. Por ejemplo, si utilizamos el
número 2.591.372.723, su descomposición en dos factores primos ya no es tan inmediata. A pesar de eso, en
muy poco tiempo veríamos que es el producto de 97.453 y 26.591.
La longitud de estos números (lo que se llama el "tamaño de la clave") es primordial para que un cifrado sea
más o menos efectivo. En el primer ejemplo, si pasamos a notación binaria el número 14 veríamos que se
escribe 1110, un número de 4 bits. El segundo ejemplo, 2.591.372.723, se escribe en binario como
10011010011101010011010110110011, 32 bits. Y en los sistemas de cifrado actuales una clave de menos de
400 ó 500 bits se considera ridícula. Lo más normal es utilizar, como poco, 1.024 bits de longitud de clave.
El ciber ataque que se explica en el caso real del último capítulo hace alusión a una clave de 48 bits.
43 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
4.1 LA SEGURIDAD INFORMÁTICA
No distraigas a tu enemigo al equivocarse.
-Napoleón Bonaparte-
4.1 La seguridad en las redes 4.1.1 Introducción La seguridad de redes está compuesta por protocolos, tecnologías, dispositivos, herramientas y técnicas
que protegen los datos y disminuyan las amenazas.
Los Ingenieros de red tratan de prevenir perdidas, reducir costos y proponer soluciones optimizadas, y los
especialistas en el área de seguridad de redes informáticas deben tratar de prevenir ataques minimizando
o eliminando los efectos de los ataques de forma continua y en tiempo real.
4.1.2 Amenazas en una red corporativa
Una amenaza es una acción que provoca el no cumplimiento de uno o más de los siguientes conceptos en
cuanto a los datos:
Confidencialidad
Integridad
Disponibilidad
Uso legítimo
Figura 4-1. La seguridad en los datos.
Ejemplos de amenazas:4
Interrupción
Es una amenaza hardware o software contra la disponibilidad.
Intercepción
Es una amenaza contra la confidencialidad. La entidad no autorizada podría ser una persona, un
programa o un ordenador.
Modificación
44 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Es una amenaza contra la integridad. Como el cambio de valores en un archivo de datos, alterar un
programa para que funcione de forma diferente.
Fabricación
Una entidad no autorizada inserta objetos falsificados en el sistema, es una amenaza contra la
autenticidad.
Denegación de servicio DoS
Es un caso específico de interrupción de servicio, provocando la perdida de la conectividad de la red
por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos
computacionales.
Sniffing
Es una técnica de interceptación, consiste en rastrear monitorizando el tráfico de una red.
Man in the middle
Es un caso específico de interceptación y modificación de identidad. Un atacante supervisa una
comunicación entre dos partes, falsificando las identidades de los extremos, y por tanto recibiendo el
tráfico en los dos sentidos.
Spoofing
Es una técnica de fabricación, suplantando la identidad o realizando una copia falsificación, de la
dirección IP (Internet Protocol), MAC (Media Access Control), web o mail.
Pharming
Es una técnica de modificación. Mediante la explotación de una vulnerabilidad, permite modificar las
tablas DNS (Domain Name Service) redirigiendo un nombre de dominio conocido, a otra máquina
con dirección IP distinta, falsificada y probablemente fraudulenta.
Figura 4-2. La seguridad informática.
45 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
4.1.3 Sistemas de detección de intrusos:
Intrusivas pero no anómalas
Se les denomina falsos negativos porque el sistema erróneamente indica ausencia de intrusión, en este
caso la actividad es intrusiva pero como no es anómala no se consigue detectarla.
No intrusivas pero anómalas
Se denominan falsos positivos, porque el sistema erróneamente indica la existencia de intrusión, en
este caso la actividad es no intrusiva, pero como es anómala el sistema decide que es intrusiva.
Ni intrusiva ni anómala
Son negativos verdaderos, la actividad es no intrusiva.
Intrusiva y anómala
Se denominan positivos verdaderos, la actividad es intrusiva y es detectada.
Figura 4-3. La protección anti intrusión
4.1.4 Riesgos de los servicios en la red
Los ordenadores para comunicarse en Internet usan la arquitectura de protocolos TCP/IP (Transmission
Control Protocol) (Internet Protocol). Se usa una numeración lógica que se asigna para identificar cada
una de las conexiones de red, tanto en el origen como en el destino. O bien Se emplean puertos de
comunicaciones como por ejemplo el 80 para HTTP (Hypertext Transfer Protocol) o web, el 21 para
transferencia de ficheros FTP (File Transfer Protocol), el 22 para SSH (Secure Shell), el 23 para
TELNET. A través de dichos puertos los distintos sistemas y sus aplicaciones de red, ofrecen y reciben
servicios.
El análisis y control de los puertos se puede realizar desde distintos frentes:
En una máquina local.
Observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan. Los
cortafuegos personales son una medida de protección frente a ataques externos.
46 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
En la administración de red.
Para ver qué puertos y en qué estados se encuentran los de un conjunto de equipos. Los cortafuegos y
proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el
exterior de una red privada.
4.1.5 Comunicaciones seguras
La mayoría de las comunicaciones que empleamos en la red no emplean cifrado en las comunicaciones.
Por eso las siguientes tecnologías permiten el intercambio seguro de información entre el origen y el
destino:
Protocolo
(Secure Shell), Facilita las comunicaciones seguras entre dos sistemas usando una arquitectura
cliente/servidor y que permite a los usuarios conectarse a un host remotamente. SSH encripta la sesión
de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas. Así se
reducen los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.
Figura 4-4. El protocolo SSH.
TLS
(Transport Layer Security - Seguridad de la Capa de Transporte), usado en el comercio electrónico,
sirve para proporcionar comunicaciones seguras en Internet, usando un modelo de autenticación y
privacidad de la información entre extremos sobre Internet mediante criptografía. Normalmente el
servidor es el único que es autenticado, garantizando así su identidad, pero el cliente se mantiene sin
autenticar, ya que para la autenticación mutua se necesita una infraestructura de claves públicas para
los clientes.
VPN
(Virtual Private Network) es una red privada que se extiende, mediante un proceso de encapsulación y
en algún caso de encriptación (dónde se refleja el mayor inconveniente de VPN por la lentitud de la
encriptación), desde los paquetes de datos a diferentes puntos remotos, mediante el uso de
infraestructuras públicas de transporte. Los paquetes de datos de la red privada viajan por un túnel
definido en la red pública. En el caso de acceso remoto, la VPN permite al usuario acceder a su red
corporativa, asignando a su ordenador remoto las direcciones y privilegios de esta, aunque la conexión
la haya realizado mediante un acceso público a Internet.
47 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 4-5. La red privada virtual.
En ocasiones, puede ser interesante que la comunicación que viaja por el túnel establecido en la red
pública vaya encriptada para permitir una confidencialidad mayor.
La principal ventaja de usar una VPN para una red, es que nos permite disfrutar de una conexión con
todas las características de la red privada a la que queremos acceder. El cliente VPN adquiere
totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directrices de
seguridad y los permisos de un ordenador en esa red privada. Así se puede acceder a la información
publicada para aquella red privada: bases de datos, documentos internos, etc. a través de un acceso
público. En ese momento, todas las conexiones de acceso a Internet desde el ordenador cliente VPN
de llevarán a cabo con los recursos y las conexiones que tenga la red privada.
Figura 4-6. La no necesidad de Firewall.
4.2 La seguridad lógica
4.2.1 Introducción
Todo lo que no está permitido debe estar prohibido, este es el principio básico de seguridad lógica en la
configuración de sistemas. El activo más importante que poseen las organizaciones es la información, y
por tanto deben existir técnicas más allá de la seguridad física que las aseguran, estas técnicas las brinda
la seguridad lógica.
La seguridad lógica consiste en la aplicación de barreras y procedimientos que controlan el acceso a los
datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo.
Algunas de las principales amenazas que tendrán que combatir los administradores de sistemas son el
acceso no autorizado y las modificaciones a datos y aplicaciones.
La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de
acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de accesos.
48 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 4-7. La protección de datos
4.2.2 Control de acceso lógico
El control de acceso lógico es la principal línea de defensa para la mayoría de los sistemas, permitiendo
prevenir el ingreso de personas no autorizadas a la información.
Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente:
Identificación
Se denomina identificación al momento en que el usuario se da a conocer en el sistema
Autenticación
La autenticación es la verificación que realiza el sistema sobre esta identificación.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados
solamente una vez, pudiendo acceder a partir de ahí a todas las aplicaciones y datos a los que su perfil les
permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota.
Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de
un servidor de autenticaciones sobre el cual los usuarios se identifican y que se encarga luego de
autenticar al usuario sobre los restantes equipos a los que éste pueda acceder.
Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus
funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de
tareas.
Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y
por ello suelen recibir distintos tipos de ataques, los más comunes son:
Ataque de fuerza bruta
Se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que
permite el acceso. Cuanto más corta, más sencilla de obtener.
Ataque de diccionario
Intentar averiguar una clave probando todas las palabras de un diccionario o conjunto de palabras
comunes. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos
usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil
de recordar, lo cual no es una práctica recomendable.
49 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 4-8. La seguridad Logica
4.2.3 Política para las contraseñas
Las contraseñas son las claves que se utilizan para obtener acceso a las aplicaciones y a la información
personal que se ha almacenado en el equipo, como en los entornos web (mail, banca online, redes
sociales, etc.).
Para que una contraseña sea segura se recomienda:
Longitud mínima
Cada carácter en una contraseña aumenta exponencialmente el grado de protección que ésta ofrece.
Las contraseñas a ser posible deben contener un mínimo de 8 caracteres.
En este caso las posibles combinaciones suman un total de 27 elevado a ocho, si suponemos que solo
intervienen las letras sin los números.
Lo ideal es que la contraseña tenga 14 caracteres o más, formados por letras del alfabeto mas cifras
del cero hasta el nueve.
En este caso tendremos muchas más combinaciones: 37 elevado a catorce!
Combinación de caracteres (letras minúsculas y mayúsculas, números y símbolos especiales):
cuanto más diversos sean los tipos de caracteres de la contraseña más difícil será adivinarla.
Para un ataque de fuerza bruta que intenta encontrar contraseñas generando todas las combinaciones
posibles, si empleamos una contraseña de 6 caracteres en minúscula para el idioma español que posee 27
caracteres diferentes, tendría que probar 27 elevado a 6 o sea 387 420 489 combinaciones a probar.
En caso de emplear mayúsculas y minúsculas el número de combinaciones se multiplicaría siendo (27 x
2) elevado a 6 = 52 elevado a 6 = 774 840 978 combinaciones a probar.
Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar, a fin de evitar
contraseñas poco seguras, se recomienda:
50 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Combinar mayúsculas, minúsculas y cifras.
Utilizar varias contraseñas para distintos entornos.
Evitar la opción de contraseña en blanco.
No revelar la contraseña a nadie y no escribirla en equipos que no controlas.
Cambiar las contraseñas con regularidad.
No incluir secuencias ni caracteres repetidos. Como "12345678", "777777", "abcdefgh"
No utilizar el nombre de inicio de sesión.
No utilizar palabras de diccionario de ningún idioma.
4.2.4 Control de acceso al sistema operativo
Existen métodos de acceso al sistema operativo muy seguros como por ejemplo mediante huella dactilar,
pero el más utilizado sigue siendo a través de una contraseña asociada a una cuenta de usuario.
Existen métodos para poder acceder a los sistemas operativos sin control de contraseña, según el caso:
GNU/Linux
Mediante el modo de recuperación.
Windows
Mediante el modo prueba de fallos o pulsando 2 veces en la ventana de inicio de usuarios Ctrl + Alt +
Supr e intentando acceder a la cuenta del usuario Administrador sin contraseña, ya que en la
instalación no se le asigna ninguna, por tanto por defecto suele estar vacía.
Pero existen otros métodos, normalmente asociados a poder arrancar con una distribución Live para poder
recuperar o conocer las contraseñas de cualquier usuario, así como borrarlas o modificarlas.
Como recomendación, estas herramientas empleadas nos servirán para auditar nuestros sistemas de
credenciales de acceso a sistemas operativos y ver el nivel de fortaleza de las mismas, ya que
dependiendo del nivel de nuestras contraseñas no siempre será posible recuperarlas.
4.3 La seguridad pasiva 4.3.1 Introducción En este tipo de seguridad se consigue minimizar el impacto y los efectos causados por accidentes, por lo
tanto son acciones posteriores a un ataque o incidentes. Las consecuencias pueden haber sido:
• Pérdida y/o mal funcionamiento del HW (Hard Ware).
• Falta de disponibilidad de servicios.
• Pérdida de información.
Las causas pueden ser varias, desde la falta del suministro eléctrico, hasta los robos o sabotajes, pasando
por las catástrofes atmosféricas naturales que se listan detalladamente en el capítulo de protección del
equipo.
Normalmente se manejan tres conceptos a la hora de hablar de la seguridad física de la información que
son: El rendimiento, la disponibilidad y la accesibilidad a la misma.
Hay que tener elementos redundantes que funcionan en paralelo para que cuando una parte del sistema
falle, el sistema siga funcionando, conmutando a los equipos redundantes, en general este concepto es de
aplicación inmediata en los planes de ingeniería.
También se aconseja que el almacenamiento de las copias de seguridad no esté en una ubicación muy
lejana para poder acceder a ellos en caso de fallo.
51 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
4.3.2 Copias de seguridad Se usan las copias de seguridad en los sistemas de computación para tener un continuo respaldo de la
información, es una forma de asegurar el acceso a ella en caso de perderla en su ubicación original, entre
los sistemas más usados tenemos el sistema RAID (Redundant Array of Independent Disks) nos ayuda a
tener siempre la misma información en varios discos, consiguiendo así la mayor capacidad y la fiabilidad
en el almacenamiento, también ofrece la opción de tener mayor velocidad ya que al tener en algunos
casos cierta información repetida y distribuida, se podrán realizar varias operaciones simultáneamente.
Figura 4-9. La copia de seguridad
Son tres las variedades de este sistema:
RAID1
En este nivel los datos se distribuyen equitativamente y de forma transparente para los usuarios entre
dos o más discos.
RAID2
Es como un espejo, se pretende mantener una copia idéntica de la información de un disco en otro u
otros discos, de forma que el usuario ve únicamente una unidad, pero físicamente esta unidad está
siendo almacenada de forma idéntica en dos o más discos de forma simultánea.
RAID5
Los bloques de datos se almacenan en la unidad, y la información redundante de dichos bloques se
distribuye cíclicamente entre todos los discos que forman el volumen.
Figura 4-10. El sistema RAID
4.3.3 Clusters de servidores
52 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Los conjuntos de computadoras construidos mediante la utilización de hardware común y que se
comportan como si fuesen una única computadora, surgen por la demanda del mercado computacional
seguro y son el fruto del desarrollo de herramientas de software para cómputo distribuido de alto
rendimiento. Cada computadora en este escenario tendrá la nomenclatura de nodo, que estarán
interconectadas entre sí, mediante el protocolo Ethernet o cualquier otro protocolo de la capa de enlace
del modelo OSI (Open System Interconnection), como un único súper ordenador muy potente.
Figura 4-11. El Cluster
Dicho superordenador tendrá un software llamado Middleware que permite la conexión con el distinto
software y sus correspondientes aplicaciones.
Se definen tres categorías para, los clusters:
Los de alta disponibilidad
Con estos clusters se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen.
Para ello se utiliza hardware duplicado.
Los de alta eficiencia
Para ejecutar el mayor numero de tareas en el menor tiempo posible
Los de alto rendimiento.
Este tipo de sistemas ejecutan tareas que requieren de una gran capacidad de cálculo y de
grandes cantidades de memoria.
Figura 4-12. El Middleware.
53 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
4.4 La seguridad perimetral
4.4.1 Introducción
Las redes han permitido que los negocios mejoren sus procesos operativos productivos y se enlacen con
clientes y proveedores, pero también aumentan los riesgos informáticos. Las organizaciones están
expuestas hoy a un importante nivel de amenazas externas e internas que ponen en riesgo la seguridad de
la información y de los activos informáticos que soportan las operaciones.
Figura 4-13. La seguridad perimetral.
El problema más frecuente es que estas amenazas no se conocen hasta que se materializa el riesgo y causa
daño en la imagen de la empresa o institución. Conectarse a Internet y no contar con las herramientas
adecuadas y con un firewall bien configurado es el equivalente a tener una casa sin cerraduras en las
puertas. Un intruso puede tomar control de los servidores o de los PC (Personal Computer) de los
usuarios y tener acceso a información privilegiada. Imaginemos el costo económico si esta información se
pierde o cae en manos de la competencia o de gente sin escrúpulos.
4.4.2 La seguridad según la ubicación.
Actualmente, cuando las empresas disponen ya de sus propias redes internas a las que dan acceso a
usuarios desde el exterior, los problemas de seguridad se plantean en tres áreas principales:
La seguridad de perímetro
Protección frente ataques del exterior generalmente basada en cortafuegos (firewalls) y servidores
Proxy.
La seguridad en el canal
Donde hay que proteger los datos frente a escuchas mediante criptografía.
La seguridad de acceso
Donde se contemplan tres aspectos, la identificación del usuario, la autorización del acceso y la
auditoria de las operaciones .Cuando una red corporativa se encuentra conectada a una red pública,
los peligros de ataque a sus servidores, routers y sistemas internos se multiplican. Los usuarios se
estructuran en diferentes niveles, basándose en los privilegios tanto de acceso como uso de datos y
software, respectivamente.
Las medidas de seguridad perimetral suponen la primera línea de defensa entre las redes públicas y redes
corporativas o privadas. Donde se refleja el uso de cortafuegos o firewall destinado a bloquear las
54 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
conexiones no autorizadas, y de servidores proxy que hagan de intermediario entre clientes y servidores
finales, permitiendo el filtrado y monitorización de servicios.
4.4.3 Cortafuegos
Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un
dispositivo físico o un software sobre un sistema operativo. En general debemos verlo como una caja con
dos o más interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una
conexión determinada puede establecerse o no. Incluso puede ir más allá y realizar modificaciones sobre
las comunicaciones. Los cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores
provenientes del interior, como tampoco pueden ofrecer protección una vez que el intruso los traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a
través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red.
Se entiende que si dos Firewalls están conectados, ambos deben "hablar" el mismo método de
encriptación-desencriptación para establecer la comunicación.
Figura 4-14. EL firewall
4.4.4 Tipos de Firewall
Filtrado de Paquetes
Se utilizan routers con filtros y reglas basadas en políticas de control de acceso. El router es el
encargado de filtrar los paquetes según el protocolo usado, según la dirección IP de origen y de
destino, o bien según los puertos de origen y de destino
Proxy-Gateways de Aplicaciones
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de
aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores
Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación.
El Proxy instalado, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo
transparente a ambas partes. Cuando un usuario desea un servicio, lo hace a través del Proxy. Este,
realiza el pedido al servidor real devuelve los resultados al cliente. Su función fue la de analizar el
tráfico de red en busca de contenido que viole la seguridad de la misma.
55 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Dual-Homed Host
Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar
paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el
"IP-Forwarding desactivado". Un usuario interior que desee hacer uso de un servicio exterior, deberá
conectarse primero al Firewall, donde el Proxy atenderá su petición, y en función de la configuración
impuesta en dicho Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el
usuario interior. Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el
Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.
Screened Host
En este caso se combina un router con un host y el principal nivel de seguridad proviene del filtrado
de paquetes. En el host, el único sistema accesible desde el exterior, se ejecuta el proxy de
aplicaciones, y en el router se filtran los paquetes considerados peligrosos y sólo se permite un
número reducido de servicios.
Screened Subnet
En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall. Para ello se
establece una DMZ (Demilitarized Zone) Zona Desmilitarizada, de forma que si un intruso accede a
esta máquina no consiga el acceso total a la subred protegida.
En este esquema se utilizan dos routers: uno exterior y otro interior. El router exterior tiene la misión
de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El
router interior hace lo mismo con la red interna y la DMZ (zona entre el router externo y el interno).
4.5 La seguridad y la alta disponibilidad 4.5.1 Introducción
Figura 4-15. La alta disponibilidad
Si la información está disponible en cada momento para los usuarios autorizados, entonces se dice que el
sistema además de seguro, es un sistema de alta disponibilidad, y tiene las siguientes características:
Redundancia en dispositivos hardware
56 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Por ejemplo, duplicados en equipos servidores, fuentes de alimentación o dispositivos de red
redundantes que no permitan cortes de suministro o caídas de conectividad.
Redundancia, distribución y fiabilidad en la gestión de la información
Se debe procurar que la información pueda ser recuperada en el momento que se necesite, es decir,
evitar su pérdida o bloqueo, bien sea por ataque, mala operación accidental o situaciones fortuitas o
de fuerza mayor.
Sistemas de almacenamiento RAID (Redundant Array of Independent Disks).
Centros de procesamiento de datos de respaldo
Garantizando copias de seguridad en distintas ubicaciones geográficas.
Redundancia en las comunicaciones
En ocasiones las empresas disponen de varias conexiones de red independientes, para en caso de
fallo de algunas de las líneas, disponer de alternativas o de realizar soluciones de balanceo de carga.
Redundancia y distribución en el procesado
Los sistemas de clustering o agrupamiento de sistemas servidores permiten escalar la capacidad de
procesamiento.
Independencia en la administración y configuración de aplicaciones y servicios. Mediante la
virtualización como se ha visto en el capítulo de las novedades de los servidores en el futuro, hoy en
día podemos ofrecer de forma independiente servidores dedicados soportados bajo una única
máquina.
Figura 4-16. La redundancia computacional.
4.5.2 El balanceo de carga
Cuando un servidor de Internet se vuelve lento debido a la congestión de información, la solución más
obvia es ampliar la memoria, ampliar el disco duro o actualizar el procesador. Pero el tráfico de Internet
está en constante crecimiento y lo anteriormente expuesto es sólo una solución temporal. La opción más
razonable es, a largo plazo, configurar más servidores y repartir las peticiones de los clientes entre ellos.
Esto incrementa la velocidad de acceso del usuario al servidor, mejora la fiabilidad del sistema y la
tolerancia a fallos, permitiendo reparar o mantener cualquier servidor en línea sin que afecte al resto del
servicio.
Así es como muchos de los sitios web más conocidos pueden abarcar toda la demanda que reciben,
gracias al uso de un número de servidores "espejo" (mirrors) llamados granjas de servidores. Sin
embargo, una vez utilizados varios servidores para responder todas las peticiones que van a una dirección,
57 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
¿Cómo las dividimos entre los distintos servidores? ¿Cómo podemos saber qué rendimiento ofrecemos y
qué tiempo de CPU (Central Process Unit) está generando cada petición? Simplemente en conectar más
servidores a una red, no asegura la mejora del servicio.
De forma sencilla, el balanceo de carga es la manera en que las peticiones de Internet son distribuidas
sobre una fila de servidores. Existen varios métodos para realizar el balanceo de carga.
Desde el simple "Round Robin" (repartiendo todas las peticiones que llegan de Internet entre el número
de servidores disponibles para dicho servicio) hasta los equipos que reciben las peticiones, recogen
información, en tiempo real, de la capacidad operativa de los equipos y la utilizan para enrutar dichas
peticiones individualmente al servidor que se encuentre en mejor disposición de prestar el servicio
adecuado. Los balanceadores de carga pueden ser soluciones hardware, tales como routers y switches que
incluyen software de balanceo de carga preparado para ello, y soluciones software que se instalan en el
back-end de los servidores.
Figura 4-17. El balanceo de carga.
4.5.3 El método Round Robin El método más simple de todos, es la solución Round Robin. Las peticiones clientes son distribuidas
equitativamente entre todos los servidores existentes. Este método cíclico no tiene en cuenta las
condiciones y carga de cada servidor. Esto puede llevarnos a tener servidores que reciben peticiones de
carga mucho mayor, mientras tenemos servidores que apenas se encuentran utilizando recursos. Otra
limitación es que los problemas de los servidores no son recogidos inmediatamente.
Esto puede llevarnos a estar enviando peticiones a un servidor que se encuentra fuera de servicio o que
responde lentamente. Finalmente, el método Round Robin no aprovecha las diferentes prestaciones de los
servidores: un PC (Personal Cpmputer) Pentium normal puede estar obteniendo tantas peticiones como un
multiprocesador Sun situado junto a él.
Figura 4-18. El método Round Robin
58 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
4.5.4 La primera generación del balanceo de carga Las soluciones "reales" de balanceo de carga necesitan descubrir el rendimiento del servidor. La primera
generación puede detectar el rendimiento del servidor vía "passive polling", lo que significa que el
balanceador de carga mide el tiempo de respuesta de los servidores y por ello tiene una idea de cómo
están funcionando. De nuevo, tampoco se tiene en cuenta la variedad de servidores empleados. Además,
sólo descubre que los servidores tienen un problema después de que se producen retrasos o, en el peor de
los casos, cuando los servidores están completamente caídos.
4.5.5 La segunda generación del balanceo de carga
El balanceo de carga más seguro sólo se puede conseguir considerando el uso real de los servidores,
permitiendo que los recursos existentes se empleen al máximo, al conocer cómo están siendo utilizados
estos recursos incluso antes de que las peticiones de los clientes lleguen a ellos.
Para lograrlo, el balanceador de carga continuamente realiza peticiones de datos de cada servidor en la
granja de servidores para monitorizar sus condiciones y direccionar las peticiones de los clientes hacia el
servidor que se encuentre más disponible y en mejor estado para responder a dichas peticiones. Los
parámetros solicitados, dependen del producto utilizado. Normalmente se emplea la utilización de la CPU
(Central Process Unit) del servidor, el uso de memoria y el número de conexiones abiertas.
La segunda generación de balanceadores posee funciones de mensajería, informando si los servidores
están fuera de servicio, y si es así, cuándo serán devueltos a producción. La mayoría de los servidores
"revividos" pasan un período de prueba durante el cual no se llenan completamente de peticiones.
Se puede incluso desconectar los servidores para repararse o para realizar el mantenimiento, a través del
método de "apagado progresivo". El servidor, a partir de ese momento, no acepta nuevas peticiones pero
permanece activo hasta que las transacciones de comercio electrónico y las descargas que se estén
produciendo finalicen. La segunda regla más importante de una solución de balanceo de carga (algunas
veces considerada la primera), es incrementar la fiabilidad del contenido del sitio web y de los servicios
que está ofreciendo. Normalmente la segunda generación de balanceadores de carga hardware se vende
en parejas, es decir, dos equipos iguales. Uno de ellos es la unidad activa y el segundo la unidad de
repuesto o de back-up. Una unidad de back up en modo stand-by (en espera) con una misma dirección IP
(Internte Protocol) y misma dirección MAC (Media Access Control) significa que incluso cuando el
balanceador se ve afectado por un incidente como puede ser un fallo de cableado, fuego o error humano,
hay una unidad de repuesto preconfigurada que pasa a ser operacional de forma inmediata.
59 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
5 LAS MEDIDAS DE PROTECCIÓN
Si quieres inspeccionar el templo, no olvides que también están sus retretes.
- Zhuangzi-
5.1 El software antimalware
5.1.1 Introducción
El software maliciosos está diseñado para instalarse en una computadora ajena después de haber burlado
el acceso a ella, pudiendo luego degradar el rendimiento interno de dicha computadora o host, también
hay malware que se desarrolla simplemente para molestar o distraer al usuario, esto son los más sencillos,
pero alguno llegan a ser tan buenos que pueden capturar el trafico sensible de una maquina y enviarlo a
un servidor remoto.
Figura 5-1. El Malware
5.1.2 Tipos de malware
Hay muchos tipos de los malware, entre ellos:
Adware
Es el ataque por malware más común que sufrimos a diario todos los usuarios de internet; una vez que
queremos acceder a una página, nos salen un montón de publicidad o incluso se redirige la pagina a
otra de publicidad respaldada económicamente por la entidad que quiere promover sus productos, esto
no es nocivo para nada, pero supone una pérdida de tiempo hasta que podamos cerrar dichas páginas
de publicidad.
60 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Spyware
Software instalado sin permiso en una maquina ajena para robar información sensible, enviando los
hábitos de navegación de la victima a un servidor remoto.
¿Cómo se instala el Spyware? esto se hace de forma inmediata cuando queremos descargar un
software gratuito, una cosa que nos ocurre a todos, entonces dicho Spyware puede hacer un
seguimiento de las cookies de la computadora o incluso puede ser tan malicioso que olfatea las teclas
usadas para contraseñas, lo que conlleva en un futuro el robo de dinero al acceder con dichas
contraseñas a entidades bancarias por ejemplo.
Hijacking software
En castellano se puede traducir como software de secuestro, igual que el Spyware dicho software
malicioso se instala cuando descargamos software gratuito de internet, su misión es modificar la
configuración de nuestro navegador redirigiendo nuestros solicitados enlaces a otras páginas no
intencionales.
Virus
Es un código maliciosos desarrollado apara dañar la computadora borrando o añadiendo archivos
maliciosos, así se replica el código en la computadora ocupando mas tamaño en la memoria
dando lugar a la lentitud o incluso su perdida por formatear. El virus puede estar presente en la
computadora, pero solo se activa con la acción humana ejecutando el archivo .exe.
Se propaga de varias formas, como a través de los USB (Universal Serial Bus), las imágenes, los
clips de audio, de video, y hasta a través de los archivos adjuntos del correo electrónico.
Gusano
Tiene la misma facilidad del virus en replicarse, pero no necesitan la interacción humana para
viajara a través de la red, por eso se aprovechan de las lagunas del sistema operativo o incluso
viajan a través del correo electrónico.
Son tan peligrosos que consumen mucho ancho de banda al viajar por la red provocando el
estrangulamiento de la red.
Caballo de Troya
Es un software que hace otra operación totalmente distinta a la que se cree que se ha creado para
ella. Entonces daña los datos de la maquina y crea una puerta trasera para que dicha maquina
pueda ser manipulada por otra máquina remota, y incluso formar parte de una red robot donde
muchas computadoras infectadas llamadas zumbéis están controladas por una computadora
central, menos mal que los caballos de Troya ni afectan a otras maquinas ni se replican.
Scareware
Cuando estamos navegando de repente sale por la pantalla un mensaje de alerta que nos exige
presencia de un virus o spyware y por ende nos exige la descarga completa de un software que
resuelva el problema, mientras el usuario está haciendo la descarga, se descarga en paralelo otro
Scareware que hace que nuestra computadora queda inútil hasta que paguemos un rescate por
ella, lo malo es que dicho Spyware no se puede desinstalar de forma simple.
61 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
5.2 Protección del equipo 5.2.1 Introducción Abordar una nueva faceta de la seguridad, la de las redes y el desarrollo de software moderno. Ya sea
LAN (Local Area Network) o WLAN (Wild LAN), estamos cada vez más conectados y navegando. En el
capítulo 5 vimos que podíamos encriptar y criptoanalizar los datos, también es posible explotar los fallos
de la red en aplicaciones cliente / servidor, analizando los fallos humanos.
Nuestro dilema es que ahora tenemos mayor número de mecanismos de detección y protección pero a la
vez, este número hace que la tarea de seguridad sea tan difícil para consultores, ingenieros o
desarrolladores que necesitan la seguridad.
Cuando se desea atacar un servidor remoto, se debe estudiar su red. Ya no es tan fácil como los
comienzos de Internet penetrar en las redes, por razones de ética y seguridad.
5.2.2 Amenazas físicas y catástrofes naturales
Llamemos aquí a centros de cálculo al conjunto de nuestras computadoras, servidores, cableado, etc. Se
pueden englobar las distintas amenazas físicas y las soluciones propuestas para cada una de ellas en:
Señales Electromagnéticas
Evitar la ubicación de los centros de cálculo en zonas cercanas a gran radiación electromagnética, ya
que el cableado de red pude darse por las interferencias. Si no podemos evitar dicha ubicación,
podemos reemplazar el cableado tradicional por fibra óptica que es inmune a las interferencias
electromagnéticas, y si no podemos por su alto precio, podemos seguir con el cableado tradicional
usando filtrado.
Incendios
El mobiliario de los centros de cálculo debe ser ignifugo, evitar la ubicación del centro de cálculo
cerca de las zonas donde se almacenan sustancias explosivas o inflamables, deben existir sistemas anti
incendio, como los detectores de humo, rociadores de gas, extintores para sofocar el incendio en el
menor tiempo posible evitando que se propague y por ende minimizando las perdidas.
Inundaciones
Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios, impermeabilizar las
paredes y los techos, sellar las puertas para evitar la entrada del agua proveniente de las plantas
superiores.
Robos
Se protegen los centros de cálculo, mediante puertas con medidas biométricas, cámaras de seguridad,
vigilantes jurados.
Apagones
62 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Se colocan los UPS (Uninterruptible Power Supply), Sistemas de Alimentación Ininterrumpida,
proporcionando alimentación durante un suficiente periodo de tiempo.
Sobrecarga Eléctrica
Los UPS (Uninterruptible Power Supply) profesionales no solo proporcionan alimentación, sino que
incorporan filtros para evitar picos de tensión, estableciendo la tensión eléctrica.
Desastres Naturales
Hay que tener constante contante con el Instituto Nacional y de Meteorología para informarnos de las
posibles tormentas, y con los organismos que informan de los movimientos sísmicos.
Figura 5-2. Catástrofe natural
5.2.3 Ataques al servidor
Estos ataques pueden ser lanzado directamente (por ejemplo, desde el host comprometido contra un
servidor externo) o indirectamente (por ejemplo, colocar contenido malicioso en el servidor que intenta
explotar vulnerabilidades en los usuarios que acceden al servidor) esto ya es un trabajo de profesionales
del hacking. Por ejemplo:
Si hay errores de software en el servidor o su sistema operativo subyacente, las entidades
malintencionadas pueden explotarlo para ganar acceso no autorizado al servidor. Los ataques de denegación de servicio DoS (Deny of Service) hacen que el servidor esté inutilizable,
así pueden dirigirse al servidor o a su infraestructura de red de soporte, y negar el acceso a los usuarios
autorizados.
La información confidencial en el servidor puede ser leída por personas no autorizadas o cambiada de
una manera no autorizada.
Entre el servidor y el cliente la Información confidencial transmitida sin cifrar o débilmente cifrada
puede ser interceptada.
Las entidades malintencionadas pueden obtener acceso no autorizado a recursos en otras partes de la
red de la organización a través de un ataque exitoso en el servidor.
63 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
5.2.4 Herramientas software
WHOIS
whois es una de las herramientas más antiguas e interesantes para el mundo de la seguridad en las
redes. Proporciona acceso a una serie de información interesante sobre las autoridades de gestión de
los dominios. Para utilizar whois correctamente, debe tener un nombre de dominio, pero también una
base de datos para consultar los otros nombres. Las bases de datos whois son numerosas, la
información se obtiene ejecutando la siguiente orden :
whois <dominio> -h <base datos>
NSLOOKUP
Nslookup es un pequeño software, interesante en el mapeo web desde fuera de la red, puede recuperar
un conjunto de información valiosa en las redes involucradas. Esta información disponible por el DNS
(Domain Name Server), además de ser legal, es gratuita. Por eso se aconseje configurar bien su propio
servidor DNS, porque en caso contrario se puede obtener toda la información, y por ende se pude
manipular.
5.2.5 Instalación y configuración
La seguridad debe considerarse cuidadosamente desde la etapa de planificación inicial. Las
organizaciones son más propensas a tomar decisiones sobre la configuración de las computadoras de
manera apropiada y consistente cuando desarrollan y usan un plan de despliegue detallado y bien
diseñado.
Desarrollar dicho plan ayudará a los administradores del servidor a tomar las adecuadas decisiones de
compromiso entre la usabilidad, el rendimiento y el riesgo.
Las organizaciones deben planificar cuidadosamente y abordar los aspectos de seguridad del despliegue
de un servidor. Porque es mucho más difícil abordar la seguridad una vez implementado dicho servidor.
5.2.6 Pautas a seguir
Hay que saber cómo instalar, configurar y mantener de forma segura los servidores. Siguiendo las
siguientes pautas:
Asegurar sistema operativo subyacente
Instalar sistema operativo subyacente
Configurar el sistema operativo subyacente
Asegurar el software del servidor
Instalar el software del servidor
Configurar el software del servidor
Mantener la configuración segura
Aplicar parches y actualizaciones adecuados
Aplicar pruebas de seguridad
64 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Monitorizar los registros
Monitorizar las copias de seguridad de datos y archivos del sistema operativo.
5.3 Protección del software del equipo
5.3.1 Introducción
Las organizaciones deben asegurarse de que el sistema operativo del servidor esté desplegado y
configurado correctamente, cumpliendo con los requisitos de seguridad. El primer paso para proteger un
servidor es asegurar el sistema operativo subyacente: Linux, Windows, etc. Más comúnmente los
servidores operan en un sistema operativo de uso general.
Se pueden evitar muchos problemas de seguridad si los sistemas operativos subyacentes a los servidores
están configurados apropiadamente.
Las configuraciones son generalmente preestablecidas por los fabricantes de Hardware, para adaptar las
funciones y características de los desarrolladores de Software.
Debido a que los fabricantes no están al tanto de las necesidades de seguridad de cada organización, no
pueden fabricar un nuevo modelo para cada caso, sino que sacan al mercado un modelo estándar de uso
general, y delegan la siguiente función de personalizarlo a los administradores de servidor, cada
administrador de servidor debe configurar nuevos servidores para reflejar los requisitos de seguridad de
su organización y reconfigúralos según cambien esos requisitos. Siempre surgen nuevos ataques por
amenaza que hay que afrontar.
Usar guías de configuración de seguridad o listas de verificación (largas generalmente) ayuda a los
administradores a proteger servidores de manera consistente y eficiente.
Figura 5-3. Securizar el software
5.3.2 Pautas para securizar el software
65 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Securizar un sistema operativo al principio incluiría generalmente los siguientes pasos:
Actualizar el sistema operativo con los nuevos parches de seguridad
Eliminar o deshabilitar servicios innecesarios, aplicaciones y protocolos de red
Configurar los niveles de usuario y su autenticación de usuario del sistema operativo
Configurar los acceso a los recursos
Instalar y configurar aplicaciones de seguridad adicionales, si es necesario realizando la auditoria del
sistema operativo
5.3.3 Políticas para la auditoría
El arquitecto de red, siendo el responsable de la auditoría, sigue un guión fijo que repite de forma
continuada, donde averigua el correcto funcionamiento del software de la maquina. En dicho guión
aparece lo siguiente:
Política de seguridad del sistema de información en toda la organización.
Configuración / control y gestión de cambios.
Evaluación y gestión de riesgos.
Configuraciones de software estandarizadas que satisfacen la política de seguridad del sistema de
información
Conciencia de seguridad y entrenamiento
Planificación de contingencia, continuidad de operaciones y planificación de recuperación de
desastres
Certificación y acreditación.
Figura 5-4. Auditoría
66 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
5.4 Protección del contenido
5.4.1 Introducción
El principio general para securizar el contenido es instalar la cantidad mínima de servicios necesarios y
eliminar cualquier vulnerabilidad conocida a través de parches o actualizaciones. Acordarse de que todos
los servicios aplicaciones, o scripts innecesarios, se deben eliminar de inmediato después de que finaliza
el proceso de instalación.
Así que generalmente se siguen las siguientes puntas
Parchear y actualizar la aplicación de servidor.
Eliminar o deshabilitar servicios innecesarios, aplicaciones y contenido de muestra.
Configurar la autenticación del usuario del servidor y los controles de acceso.
Configurar los controles de recursos del servidor.
Probar la seguridad de la aplicación del servidor (y el contenido del servidor, si corresponde).
Figura 5-5. Los datos securizados
Muchos servidores también usan tecnologías de autenticación y cifrado para restringir quién puede
acceder al servidor y para proteger la información transmitida entre el servidor y sus clientes. Las
organizaciones deberían examinar periódicamente los servicios y la información accesible en el servidor.
Las organizaciones también deberían estar preparadas para migrar sus servidores a servidores más fuertes.
Las organizaciones deben estar al tanto de los requisitos criptográficos y planean actualizar sus servidores
en consecuencia.
La administración segura de un servidor diariamente es un aspecto esencial para su seguridad, y
generalmente implicará las siguientes acciones:
Configuración, protección y análisis de archivos de registro de forma continua y frecuente
Hacer copias de seguridad de la información crítica con frecuencia
Establecer y seguir procedimientos para recuperarse de un compromiso
Probar y aplicar parches de manera oportuna
5.4.2 Vulnerabilidad, amenazas, y entorno
67 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Muchas amenazas contra datos y recursos son posibles debido a errores en el sistema operativo y en el
software del servidor, que crean vulnerabilidades explotables o errores cometidos por los usuarios finales
y los administradores (por ejemplo, un administrador que se le olvida la deshabilitación de las cuentas de
usuario de un ex empleado).
Figura 5-6. Securización continuada
Las organizaciones deberían realizar evaluaciones de riesgo para identificar amenazas específicas contra
sus servidores y determinar la efectividad de los controles de seguridad existentes contra las amenazas;
luego deben realizar mitigación de riesgos para decidir qué medidas adicionales deben implementarse, así
conseguirán el mejor entendimiento de su postura de seguridad.
El modelo clásico de la seguridad de la información define tres objetivos: La confidencialidad, la
integridad y la disponibilidad; cómo se explicó en capítulos anteriores. Cada objetivo aborda un aspecto
diferente de proporcionar protección para la información.
Cada sistema necesita ser protegido, pero el nivel de protección puede variar en función del valor del
sistema y sus datos.
Se definen tres categorías de seguridad: baja, moderada y alta en función del impacto potencial de una
violación de seguridad que involucra un sistema en particular, según los efectos adversos.
5.4.3 Los efectos adversos
Se dice que un efecto adverso es limitado si hay poca pérdida de confidencialidad, integridad o
disponibilidad. En este caso el impacto potencial es BAJO y las consecuencias podrían ser:
Causar una degradación en la capacidad de la misión en una medida y duración que la
organización sea capaz de realizar sus funciones principales, pero la efectividad de las funciones
se reduce notablemente
Causar daños menores en los activos de la organización
Causar una pérdida financiera menor
Se dice que el efecto adverso es grave si hay una gran pérdida de confidencialidad, integridad o
disponibilidad. En este caso el impacto potencial es MODERADO y las consecuencias podrían ser:
Causar una degradación significativa en la capacidad de la misión en una medida y duración que
la organización puede realizar sus funciones principales, pero la efectividad de las funciones es
significativamente reducido
Causar un daño significativo en los activos de la organización
Causar una pérdida financiera significativa;
68 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Se dice que el efecto adverso es severo o catastrófico si hay una absoluta perdida de confidencialidad, integridad o
disponibilidad En este caso el impacto potencial es ALTO y las consecuencias podrían ser:
Causar una grave degradación o pérdida de la información tanto que la organización no puede realizar
una o más de sus funciones primarias
Provocar daños importantes en los activos de la organización
Provocar daños graves o catastróficos a las personas de la organización
5.4.4 Las medidas de protección
Conocidas como controles de seguridad, tienden a clasificarse en dos tipos:
Primero, las debilidades de seguridad en el sistema necesitan ser resuelto. Por ejemplo, si un sistema
tiene una vulnerabilidad conocida que los atacantes podrían explotar, el sistema debe ser parcheado
para que la vulnerabilidad sea eliminada o ablandada.
En segundo lugar, como se comentó en la introducción el sistema debería ofrecer solo la
funcionalidad requerida a cada usuario autorizado, de modo que nadie pueda usar funciones que no
sean necesarias Este principio se conoce como el mínimo privilegio. Limitar funcionalidad y resolver
las debilidades de la seguridad tienen un objetivo común: dar a los atacantes maliciosos la menor
cantidad de oportunidades posibles para quebrantar un sistema.
Figura 5-7. El administrador decide
Otro principio fundamental es el uso de múltiples capas de seguridad-defensa en profundidad. Por
ejemplo, un sistema puede estar protegido de ataques externos por varios controles, incluido un firewall
basado en la red, un firewall basado en el host y el parche del sistema operativo.
La motivación para tener múltiples capas es que si una capa falla o no puede contrarrestar una cierta
amenaza, otras capas podrían evitar la amenaza con éxito. En Una combinación basada en la red y basada
en el host los controles generalmente son más efectivos para proporcionar una protección consistente para
los sistemas.
Pasos básicos de seguridad del servidor:
Planifique la instalación y el despliegue del sistema operativo OS (Operation system) y otros
componentes para el servidor
Instalar, configurar y asegurar el sistema operativo subyacente. .
Instalar, configurar y asegurar el software del servidor.
Para servidores que alojan contenido, como servidores web (páginas web), servidores de bases de
datos (bases de datos) y servidores de directorios (directorios), asegúrese de que el contenido esté
asegurado adecuadamente. Esto es altamente dependiente del tipo de servidor y del tipo de
contenido.
69 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Emplee mecanismos de protección de red apropiados (por ejemplo, firewall, enrutador de filtrado
de paquetes.
Elegir los mecanismos para una situación particular depende de varios factores, incluido la
ubicación de los clientes del servidor (por ejemplo, acceso a Internet, interno, interno y remoto),
la ubicación del servidor en la red, los tipos de servicios ofrecidos por el servidor y los tipos de
amenazas contra el servidor.
.
Emplee procesos seguros de administración y mantenimiento, incluida la aplicación de parches y
actualizaciones, monitoreo de registros, copias de seguridad de datos y sistema operativo, y
pruebas periódicas de seguridad.
70 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
71 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
6 EL MANTENIMIENTO DE LAS
MEDIDAS DE PROTECCIÓN
EL momento en el que dejes de luchar, es cuando se te confirma tu perdida.
-Pirron De Elis-
6.1 Caso practico
La empresa AAA.SL INNOVATION TECHNOLOGIES de soluciones para EL desarrollo informático,
con sede central ubicada en la cartuja, Sevilla capital, ha sufrido un ataque el mes pasado que llevo a la
inutilización de sus servidores durante tres días seguidos, porque hubo que reinstalarlo todo.
Varias subredes virtuales conectadas por puente
Antivirus de la marca McAffe, que fue sustiruido por la marca ESET después del ataque.
Servidor para subir los resultados del departamento de desarrollo llamado Obelix, con virtualizacion
KVM.
BW (Band Width) de 100 mega bits por segundo simetricos
Doce direcciones de IP(Internet Protocol) publicas.
Toda la virtualización va en DC (Data Center), centro de procesamiento de datos, y sus características
técnicas son:
Modelo BLADE POWER EDGE M1000e, de la marca americana DELL, con 4 servidores.
Dimensiones de menos de un metro de altura.
Peso con el chasis y los módulos internos de 80 kilogramos
Ubicación física: la primera planta en la sede central
Ventilación basada en el sistema Energy Smart.
Almacenamiento de datos de hasta 2 Tera bits con Equallogic de la marca DELL storage.
Cortafuegos: dos de DELL Sonicawall con analizador de paquetes, permitiendo dos conexiones a
internet, así la empresa nunca queda desconectada, Dichos firewall también balancean la carga,
consiguiendo la alta disponibilidad, HA (High Avaibality).
Backup diario y otro semanal con la regla 3, 2, 1: que quiere decir 3 copias en 2 lugares distintos, y
una en la nube.
Copias de seguridad con política de copia incremental cada dia, y copia completa cada viernes a las
23:59, usando RAID5 (Redundant Array of Independent Disks): dos srevidores de almacenamiento de
datos de la marca QNAP con un total de 8 tera bits para el backup, con distancia no superior a los
cuatro metros. Los enlaces con cada QNAP son agregados hotspare de 4 giga bits por segundo para
asegurar la rapidez de la copia.
72 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Software VEEAM para maquinas virtuales versión 9.5.
VPN (Virtual Private Network) integrada con firewall por licencia de llamado NETEXTENDER.
Un aparato de aire acondicionado de 3000 frigorias para la refrigeración de los dos rack.
Cada rack aguanta 30 minutos sin electricidad.
UPS (uinterrumped Power Suply) se integran con el VMWARE y permiten apagado automatico de
los ordenadores de la empresa después de las siete de la tarde.
Conexiones seguras SSL (Secure Socket Layer) para la web.
Puerto 80 para la web de redirección.
Puerto 443 para HTTPS (Hypertext Transfer Protocol Secure).
Tres VLAN (Virtual Local Area Network)
o VALN corporativa, BYOD (Bring Your Own Device), invitados.
o VLAN storage.
o VALN comunicación.
6.2 El ataque
Proceden los ataques de ciberprofesionales que organizan ‘ataques-as-a-service’, como HackingTeam 2.0.
"WannaCry" es un ransomware"activo" que apareció el 12 de mayo de 2017 con origen en el arsenal
estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes. Si un ataque se detecta
de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de
cifrado, pero casi siempre no es así. También intenta borrar las copias de seguridad de Windows antes de
cifrar los archivos.
Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta
una fotografía captada desde la cámara web. Para hacer creer a la víctima que su computador está siendo
rastreado por la ley, contenía el logo del Servicio de Policía Metropolitana.
Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros
dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles. A su inicio, WanaCry
comienza a cifrar los archivos de la víctima de una manera muy rápida.
Una vez infectado el equipo, el virus se propaga tan rápido que cuando te quieres dar cuenta tienes todos
los datos de valor renombrados e inaccesibles añadiendo una extensión .encrypted. Usando criptografía
de clave públicaRSA de 2048 bits que resulta imposible de decifrar como hemos mencionado en el
capitulo 3, guardándose la clave privada en los servidores del malware. A pesar que el malware es
fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible
de descifrar.
Nos piden los hackers pagar 2 bitcoins antes de tres días, casi 15000 euros, para descifrar nuestros
propios ficheros.
Se sospecha principalmente que fue un archivo adjunto a un correo electrónico, pero: nos dimos cuenta
más tarde que el equipo fue accediendo a través del puerto remoto 3389.
Menos mal que la política de la empresa es mantener copias de seguridad offline en lugares inaccesibles
para el ordenador infectado, como por ejemplo discos duros externos, evita que el ransomware acceda a
ellas, lo que ayuda a restaurar los datos en caso de infección.
73 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
La empresa ha optado por no pagar, pero tuvo que paralizar su actividad de desarrollo durante varios días
hasta que haya hecho uso de las copias de seguridad, incluso ha desconectado los servidores para
repararlos y para realizar el mantenimiento, a través del método de "apagado progresivo".
74 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
75 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
7 CONCLUSIONES Y LÍNEAS FUTURAS
Un hombre trabajador terminara una obra que ha empezado el hombre genial.
-Leonardo Da Vinci-
7.1 Conclusiones
Como hemos visto en el caso real del último capítulo, se puede hacer una auditoría de seguridad a una
organización completa, como puede ser una pequeña o mediana empresa, con la intención de estudiar y
considerar no sólo amenazas del equipo o servicio alojado, sino también la seguridad de red, aplicaciones
web, privacidad, posibles brechas externas. Se pretende mitigar el impacto que se sufre a casusa de las
vulnerabilidades y ataques en los equipos.
Cada día se descubren nuevas vulnerabilidades y se crean nuevos ataques por lo que es evidente que la
seguridad es un proceso continuo, que implica una constante renovación de conocimientos. Un atacante
sofisticado puede corromper nuestro sistema si tiene las herramientas necesarias y el tiempo suficiente,
Hoy en día existen grandes grupos de atacantes que se juntan para esta labor.
Podemos concluir que es imposible abarcar todas y cada una de las medidas de seguridad existentes. Los
atacantes mejoran día a día su labor para que nos sea imposible tener nuestro sistema 100% seguro por
mucho que se intente, porque el sistema puede verse afectado por cualquier agujero de seguridad.
7.2 Líneas futuras
*Proporcionar el certificado público del servidor
*Otra mejora posible es hacer que se configuren los certificados para otros servidores, ya que actualmente
sólo se hace para Apach
*Añadir más herramientas de estudio de malware, especialmente de análisis
* Aplicar técnicas de machine learning para la detección automática de ficheros malware
* En cuanto a las claves, los nodos se podrían autenticar con identidad propia. De esta forma si la clave de
un nodo es vulnerada, no se vería vulnerada toda la red, sólo el nodo en particular.
*Añadir soporte para TLS/DTLS en la aplicación del emisor y el receptor De esta forma conseguiríamos
seguridad a nivel de aplicación
* Usar firewalls de la cuarta generación o también llamados firewalls de nueva generación que filtran la
aplicación y no solo el puerto o la IP.
76 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
REFERENCIAS
[1] Barman, S.: Writing Information Security Policies: New Riders Publishing, 2001.
[2] Chirillo, J. : Hack Attacks Revealed: A Complete Reference : John Wiley & Sons, 2001.
[3] Cole, E.; Krut, R.: Conley, J. Network Security Bible: John Wiley & Sons, 2005.
[4] Faith, L.; Garfinkel, S. : Security and Usability: O´Reilly, 2005.
[5] Mirkovic, J.; Dietrich, S.; Dittrich, D.; Reither, P. : Internet Denial of Service: Attack and Defense Mechanisms: Prentice Hall, 2004.
[6] Russell, R. : Stealing the Network, How to Own the Box: Syngress, 2003.
[7] Skoudis, E,; Zeltser, L. : Malware: Fighting Malicious Code: Prentice Hall, 2003.
[8] Stalling, W. : Cryptography and Network Security: Prentice Hall, 1998.
[9] Sutton, R. :Secure Communications: Applications and Management: John Wiley & Sons, 2002
77 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
GLOSARIO
ASCII: American Standard Code for Information Interchange 43
BW: Band Width 73
BYOD: Bring Your Own Device 74
CD: Compact disk 34
CPU: Central Process Unit 68, 70
DDoS: Distributed Deny of Service 38, 41
DHCP: Dynamic Host Configuration Protocol 26
DMZ: Demilitarized Zone 38, 41
DNS: Domain Name Service 26, 50, 75
DoS: Deny of Service 28, 38, 50, 74
FTP: File Transfer Protocol 51
HTTP: Hypertext Transfer Protocol 26
HTTPS: Hypertext Transfer Protocol Secure 26
HW: Hard Ware 59
ICT: Information and Communicaction Technologies 23, 29
IDS: Intrusion Detection System 23, 42
IP: Internet Protocol 50, 70, 72
ISP: Internet Service Provider 28
LAN: Local Area Network 35, 73
MAC: Media Access Control 50, 70
OS: Operational System 75
OSI: Open System Interconnection 52
PC: Personal Computer 54, 58
PHP: Hypertext Preprocessor 36
RAID: Redundant Array of Independent Disks 30, 52, 57, 72
78 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
SMS: Short Message Service 18
SSH: Secure Shell 46, 47
TCP: Transmission Control Protocol 47
TLS: Transport Layer Security 47. 76
UMTS: Universal Mobile Telecommunication System 42
UPS: Uninterrupted Power System 63
USB: Universal Serial Bus 30, 61
VMM: Virtual Machine Manager 32
VPN: Virtual Private Network 47, 48, 72
WLAN: Wide Local Area Network 62
WWW: World Wide Web 18
79 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
ÍNDICE DE FIGURAS
Figura 1-1. Las nuevas tecnologias 19
Figura 1-2. La era digital 20
Figura1-3. Las perspectivas del ataque 22
Figura 2-1. el servidor 23
Figura 2-2. El ataque cibernético 27
Figura 2-3. La procedencia del ataque 28
Figura 2-4. La penetración de los servidores web 29
Figura 2-5. La computación en la nube 32
Figura2-6. El super servidor 33
Figura2-7. El Hypervisor 34
Figura 2-8. El acceso simultaneo en la nube 35
Figura 2-9. Ataque de denegación de servivio distribuido 36
Figura 3-1. El cifrado de los datos 39
Figura 3-2. La huella digital 40
Figura 3-3. El criptosistema 40
Figura 3-4. La criptografía simétrica 43
Figura 4-1. La seguridad en los datos 45
Figura 4-2. La seguridad informatica 46
Figura 4-3. La protección anti intrusión 47
Figura 4-4. El protocolo SSH 48
Figura 4-5. La red provada virtual 49
Figura 4-6. La no necesida del firewall 49
Figura 4-7. La protección de datos 50
Figura 4-8. La seguridad logica 51
Figura 4-9. La copia de seguridad 53
Figura4-10. El sistema RAID 53
Figura 4-11. El Cluster 54
Figura 4-12. El Middleware 54
Figura 4-13. La seguridad perimetral 55
Figura 4-14. El firewall 56
Figura 4-15. La alta disponibilidad 57
FIgura 4-16. La redundancia computacional 58
Figura 4-17. El balanceo de carga 59
Figura 4-18. El método Round Robin 59
Figura 5-1. El malware 61
Figura 5-2. Catástrofe natural 64
80 Análisis de Tecnologías Para La Protección de Dispositivos Ante Accesos No Autorizados
Figura 5-3. Securizar el software 66
Figura 5-4. Auditoría 67
Figura 5-5. Los datos securizados 68
Figura 5-6. Securización continuada 69
Figura 5-7. El administrador decide 70