MCGraw Hill-Seguridad-Informatica
\)o\dades •• e•••eo.• 8 e•• &o• •o ••• rloo •• ·o • e competenc.~ Certificados de profesionalidad P.V.P. (_ ].Lt-'JlF
Views 387 Downloads 18 File size 47MB
Recommend stories
- Author / Uploaded
- Buba Buba
- Categories
- Seguridad y privacidad en línea
- Seguridad informática
- Protocolo de transferencia de archivos
- Gobernanza de la información
- Tecnología de la seguridad
Citation preview
\)o\dades •• e•••eo.• 8 e•• &o• •o ••• rloo •• ·o • e competenc.~
Certificados de profesionalidad
P.V.P. (_
].Lt-'JlF €
Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Arando
Seguridad informática «La base de tu futuro» El proyecto editorial de McGraw-Hill paro la formación profesional ha sido desarrollado según tres principi os básicos: • Una metodología basado en lo práctico y en la adecuación de contenidos y procedimientos a la realidad profesional. • Unos materiales desarrollados paro conseguir las destrezas, habilidades y resultados de aprendizaje que necesitarás para conseguir tu título y desenvolverte en el mercado laboral. • Una presentación de los contenidos clara y a tractiva, con variedad de recursos gráficos y multimedia que facilitarán tu aprendiza je . El proyecto para el módulo profesional Seguridad informático ha sido desarrollado considerando las unidades de competencia del Catálogo Nacional de Cualificaciones Profesionales:
Unidades de competencia profesional Mantener y regular el subsistema físico en sistemas informáticos_
(UC0957_2)
Ejecutar procedimientos de administración y mantenimiento en el software base y de aplicación del cliente.
(UC0958_2)
Mantener la seguridad informáticos.
de
los subsistemas físicos y lógicos en sistemas
(UC0959_2) 1
Confiamos en que esta obra sea una herramienta útil y eficaz, y q ue contribuya a tu formación como profesional.
Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Arando
Revisor técnico Alberto Sánchez Alonso
MADRID- BARCELONA- BUENOS AIRES- CARACAS- GUATEMALA- LISBOA- MÉXICO NUEVA YORK- PANAMÁ- SAN JUAN- BOGOTÁ- SANTIAGO- SAO PAULO AUCI'-
ICH'"' .,..' . ~ I
I I c.nc:.u I
Fig. 2.19. Seleccionar discos a seccionar,
~1 SQ.>tne>
I I ""'" I
Fig. 2.20. Asignar letra a la nueva unidad.
(Continúo)
~/2 q
Seguridad pasivo. Hardware y almacenamiento ------~--~--------~--------------------------
Caso práctico
:2
(Continuación)
5. Eri el siguiente paso seleccionamos la letra de la unidad que queremos asignarle al nuevo volumen (tiene que ser una letra que no esté asignada a ninguna otra unidad). Si seleccionamos la opción Montar en (o siguiente carpeta NTFS vacío podemos integrar el espacio de este volumen dentro de una unidad ya existente eligiendo la carpeta en donde queremos añadir este volumen.
6. A continuación en la Figura 2.21 seleccionamos el sistema de archivos con el que se desea formatear el nuevo volumen (Windows recomienda NTFS) y la etiqueta que queremos asignar a la unidad. En el caso de la Figura 2.21 se ha seleccionado sistema de ficheros NTFS y como etiqueta del volumen «Datos usuariOS».
........
-~ Debe fo:m.!l!ear ~e vol.rnerlarlles de poder ~ dilo. en él.
Anallzadón del Asistente para nuevo volumen secdonado
~----------------------------" I .
I
{) No fOlllllllfW este voh.rnen @ Famaeil'" ale vob!Ien can La adop3Ci6n li¡.l.ier1e:
~em/l6e
~INTF~S~~~~§"I
arc:Nvc1: Ta-nñcl"'u..dad de~: ~emNdo ~a del vobnen:
.. 1
1, 1
Odas USUlIri::.
!'
D IWI...mSo~
O HabU. ~ de an;tyyg , Y ClfpeID'I
Fig. 2.22. Finalización asistente.
Fig. 2.21. Formolear volumen.
7.
Por último se nos muestro un resumen de las operaciones que se van a realizar, en donde debemos comprobar que corresponde con lo que deseábamos hacer inicialmente. Uno vez que pulsamos sobre Finalizar, se nos muestra una advertencia (Fig . 2.23) en la que se nos avisa
que los discos seleccionados se van a convertir en discos dinámicos y que después de esta operación no se podrá arrancar ningún sistema operativo instalado en ellos a excepción del sistema actual (Windows Vista). Podemos pulsar sí porque inicialmente los discos no estaban asignados (Fig. 2.19), así que no contienen ninguna informacián.
~A~d~m~i~ n i~n~~~c~io~·n~d~ .d~is~co~s~____________-~II~~_____________________~ f13l 13 ~\ 1
I
la operación elegida convertirá 105 discos básicos seleccionados en discos dinámicos. Si los discos se convierten en dinámicos, no podrá iniciar ningún sistema operativo instalado en los volúmenes de los mismos, a excepción del volumen de arranque actual. ¿Está seguro de que desea continuar?
Sí
No
Fig. 2.23. Aviso de arranque de atros 50.
8. Puedes comprobar que la unidad generada tiene un tamaño igual al tamaño de las tres unidades. En el caso concreto de este caso práctico, 30 GB. Si cada uno de los discos que forman este nuevo volu12
men tuviera una contraladora diferente aceleraríamos mucho los procesos de lectura/escritura en disco, ya que podrían realizarse 3 lecturas o escrituras al mismo tiempo.
Seguridad pasiva. Hardware
•
y almacenamiento
2
4.3. RAID en Windows 2008 Server
En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los tipos de volúmenes dinámicos estudiados en el Apartado 4.1. En concreto en el siguiente caso práctico crearemos un volumen reflejado utilizando Windows 2008 Server.
Caso p'ráctico 3
9
Reflejar en Windows 2008 el volumen de sistema y de inicio 1. Arrancamos Windows 2008 Server y entramos en el
Administrador de/servidor (Fig. 2.24). El administrador del servidor lo podemos encontrar en las Herramientas administrativas igual que el Administrador de equipo en Windows Vista. También podemos entrar pulsando el botón secundario del ratón sobre el acceso directo de equipo.
.
Microsoft también recomienda que los discos sean de las mismas características y estén manejados por controladoras diferentes. Así nos estaremos protegiendo ante un mayor número de tipos de fallos (si se produjera un fallo en la controladora de uno de los discos el otro seguiría funcionando).
3. Una vez comprobado esto, hacemos dic sobre el área asignada del volumen que queremos reflejar y seleccionamos la opción Agregar reflejo, tal y como podemos ver en la Figura 2.25. Si no aparece esta opción por lo general se debe a que el volumen que tenemos sin asignar no es del tamaño adecuado.
4. En la ventana Agregar reflejo seleccionamos el disco1 ,
..._,
,,=
IM OG!l frI_WI
I DS.
.!..l
que es sobre el que queremos reflejar el disco del sistema (disco O) y pulsamos sobre Agregar reflejo .
I
. 'b...~.aé: . ~
!~. C'lG!l I ",.~,do
.
=
.:.=n= ....
Fig. 2.24. Administrador de servidor.
L
2. Es fundamental que los discos que vayamos a utilizar para reflejarse sean del mismo tamaño. Puesto que uno de los discos, el del sistema (disco O en la Figura 2.24) ya está asignado y tiene un tamaño, tendremos que utilizar un disco de mayor o igual tamaño que este. En el caso de la Figura 2.24 se ha utilizado un disco de igual tamaño.
Agregar reflejo
Si agrega un reflejo a un volumen existente se podrá tener una redundancia de datos. ya que se conservarán múltiples copias de los datos de un volumen en diferentes discos. Seleccione una ublcadón para el reflejOde C:. Discos:
I ~regar reflejo I
1r.F5
rx
(
Cancelar
Fig. 2.26. Agregar rel/e;o.
..
~ ,~
~;r ... ..... ~ •. ~
Fig. 2.25. Agregar rel/e;o. Administrador de discos.
..
5. Windows muestra una alerta (Fig. 2.26) que advierte, igual que en el caso práctico anterior, de que los discos se van a transformar en dinámicos y por tanto solo podremos arrancar a partir de este momento Windows 2008 Server. A partir de este momento, el sistema replicará la información que contenga el volumen del sistema en el otro disco. Así, si se produce un fallo en un disco del sistema seguirá funcionando con el otro.
~~
Seguridad pasiva. Hardware y almacenamiento
------~--~--------~--------------------------
5. Clusters de servidores Un cluster de servidores en un conjunto de vorios servidores que se construyen e instalan para trobajor como si fuesen uno solo. Es decir, un cluster es un grupo de ordenadores que se unen mediante una red de alta velocidad, de tal forma que el conjunto se ve como un único ordenador, mucho más potente que los ordenadores comunes. Una de sus principales ventajas es que no es necesario que los equipos que lo integren sean iguales a nivel hardware ni que dispongan del mismo sistema operotivo, lo que permite reciclor equipos que se encontraban anticuados o en desuso y rentabilizor su uso mediante un cluster de servidores, como el que puedes ver en las Figuros 2.27 y 2.28. Fig. 2.27. Clusler casero con ordenadores diversos (vista delantera).
Con este tipo de sistemas se busca conseguir cuatro servicios principales, aunque, en generol, según el tipo de cluster que utilicemos, obtendremos una combinación de vorios de ellos: o
Alta disponibilidad.
o
Alto rendimiento.
o
Balanceo de carga.
o
Escalabilidad.
5.1. Clasificación de los clusters Fig. 2.28. Clusler casero con ordenadores diversos (vista trasera).
Como en tantas otras tecnologías, podemos realizor la clasificación de los clusters en función de varios conceptos, pero todos ellos relacionados con los servicios que ya hemos mencionado. Atendiendo a estas carocterísticas hablamos de tres tipos de clusters:
los clusters son sistemas tan fiables que organizaciones como Google y Microsoft los utilizan para poner en marcha sus por-
tales. Por ejemplo, en el año 2003, el cluster Google llegó a estar conformado por más
de 15 000 ordenadores personales.
o
Clusters de alto rendimiento (HC o Hjgh Performance C/usters). Este tipo de sistemas ejecutan tareas que requieren de una gran capacidad de cálculo o del uso de grandes cantidades de memoria (e incluso de ambas conjuntamente). Cuando están realizando este tipo de toreas, los recursos del cluster son utilizados casi en exclusiva duronte periodos de tiempo que pueden ser bastante largos.
o
Clusters de alta disponibilidad (HA o High Avai/abi/ity). Con estos clusters se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen. Poro ello se utiliza hordwore duplicado, de modo que al no tener un único punto de fallos (aunque se produzca una avería en un componente siempre habrá otro que pueda realizor el mismo trabaja), se garontiza la disponibilidad del sistema. Por otra parte, incorporan softwore de deteccián y recuperoción ante fallos, con objeto de hacer más confiable el sistema para su uso.
o
Clusters de alta eficiencia (HT o Hjgh Throughput). En estos sistemas el objetivo centrol de diseño es que se puedan ejecutor el mayor número de tareas en el menor tiempo posible, entendiendo que hablamos de tareas individuales cuyos datos na tienen dependencia entre sí.
Otro tipo de clasificación de los clusters de servidores viene dada por su ámbito de uso, donde hablaremos de dos tipos: o
Clusters de infraestructuros comerciales, que conjugan la alta disponibilidad con la alta eficiencia.
o
Clusters científicos, que en generol son sistemas de alto rendimiento.
Lo cierto es que muchas de las carocterísticas de las orquitecturas de hardwore y softwore son las mismas en todos estos tipos de clusters, aunque luego los requisitos de las. aplicaciones que funcionen sobre ellos sean muy distintos. Esto hace que un determinado tipo de cluster pueda también presentor coracterísticas de los otros.
Seguridad pasiva . Hardware y almacenamiento
•
5.2. Componentes de los clusters
Poro que un cluster funcione necesito de uno serie de componentes, que, como yo sobemos, pueden tener diversos orígenes; es decir, no tienen por qué ser de lo mismo morco, modelo o característicos físicos. Entre estos componentes están:
•
Nodos: es el nombre genérico que se dará a cualquier máquina que utilicemos para montar un cluster, como pueden ser ordenadores de sobremesa o servidores. Aún cuando podemos utilizar cualquier tipo de hardware para montar nuestro sistema, es siempre buena ideo que hoyo cierto parecido entre los capacidades de todos los nodos (en la Figura 2.29 puedes ver un cluster montado con ordenadores idénticos), ya que, en coso contrario, habrá siempre cierta tendencia o enviar el trabajo a realizar a aquel equipo que disponga de una mayor capacidad de procesamiento.
•
Sistema operativo: podemos utilizar cualquier sistema operativo que tenga dos característicos básicas: debe ser multiproceso y multiusuario. Es también conveniente que sea fácil acceder o él y usarlo, poro facilitar el trabajo sobre el mismo.
• Conexión de Red: es necesario que los distintos nodos de nuestra red estén conectados entre sí. Para ello podemos utilizar una conexión Ethernet (con las placas de red que incorporan los equipos e incluso con las integradas en los placas base) u otras sistemas de alta velocidad como Fast Ethernet, Gigabit Ethernet, Myrinet, Infiniband, SCI, etc.
•
Middleware: es el nombre que recibe el software que se encuentra entre el sistema operativo y las aplicaciones. Su objetivo es que el usuario del cluster tenga la sensación de estar frente a un único superordenador yo que provee de uno interfaz único de acceso 01 sistema. Mediante este software se consigue optimizar el uso del sistema y realizar operaciones de balanceo de carga, tolerancia de fallos, etc. Se ocupa, además, de detectar nuevos nodos que vayamos añadiendo al cluster, dotandolo de una gran posibilidad de escalabilidad.
•
Sistema de almacenamiento: cuando trabajamos con clusters podemos hacer uso de un sistema de almacenamiento interno en los equipos, utilizando los discos duros de manero similar a como lo hacemos en un PC, o bien recurrir o sistemas de almacenamiento más complejos, que proporcionarán una mayor eficiencia y disponibilidad de los datos, como san los dispositivos NAS (Nefwork Attoches Storoge) o las redes SAN (Storoge Areo Nefwork), de lo que hablaremos con mayor detalle en el siguiente apartado, dedicado al almacenamiento externo.
Fig. 2.29. Cluster montado con equipos idénticos.
Actividades ~ 14. Realizo un listado de sistemas operativos multiusuario y multiprocesador. Consulto en Internet si pueden utilizarse poro montar un cluster de servidores.
15. Busco información sobre los conexiones de alto velocidad mencionados en el Apartado 5.2. ¿Qué velocidades proporcionan? ¿Qué requisitos hardware necesitamos poro utilizarlos?
Seguridad pasiva. Hardware y almacenamiento
• NAS ,----------- -- - -----
6. Almacenamiento externo
En el apartado anterior hemos visto que con los clusters podemos procesar mucha más infarmacián que un ordenador independiente, pero ¿dánde guardamos esta informacián? Una posibilidad es utilizar las sistemas de almacenamiento de las nodos, sus discos duros, por ejemplo. Pero existen otras alternativas que nos permitirán un control y una gestión mucha mayores sobre los datos procesados, como las tecnologías NAS y SAN. El uso de cualquiera de estas tecnologías es independiente de la existencia de un cluster, aunque resulta idónea como método de almacenamiento cuando se dispone de uno, especialmente si las complementamos con utilidades para la realización de copias de seguridad como las que veremos en la Unidad 3.
6.1. Network Attached Storage Los dispositivos NAS (Nelwork Attached Storage) son dispositivos de almacenamiento específicas, a los cuales se accede utilizando protocolos de red, generalmente TCP/IP, como puedes ver en lo Figuro 2.30. Lo ideo consiste en que el usuario solicita al servidor un fichero completo y, cuando lo recibe, lo maneja localmente, lo cual hoce que este tipo de tecnología sea ideal para el uso con ficheros de pequeño tamaño, ofreciendo la posibilidad de manejar uno gran cantidad de ellos desde los equipos clientes.
[1
Disco
n:
- -- - --- -- - -- -- -- - __ , Fig. 2.30. Arquitectura NAS.
r
____ _
_
SAN
__ _____ ___ __ •
El uso de NAS permite, con bajo coste, realizar balanceo de carga y tolerancia a fallos, por lo que es codo vez más utilizado en servidores Web poro proveer servicios de almacenamiento, especialmente contenidos multimedia. Hay otro factor que debemos tener en cuenta, y es que los sistemas NAS suelen estar compuestos por uno o más dispositivos que se disponen en RAID, como hemos vistos en el Apartado 4 de lo unidad, lo qu!,! permite aumentar su capacidad, eficiencia y tolerancia ante fallos.
6.2. Storage Area Network Una red SAN (Storage Area Nelwork) o red con área de almacenamiento, está pensada paro conector servidores, discos de almacenamiento, etc., utilizando tecnologías de fibra (que alcanzan hasta 8 Gb/s), como ves en la Figura 2.31. El uso de conexiones de alto velocidad permite que sea posible conectar de manero rápida y segura los distintos elementos de esta red, independientemente de su ubicación físico. De modo general, un dispositivo de almacenamiento no es propiedad exclusiva de un servidor, lo que permite que varios servidores puedan acceder o los mismos recursos. El funcionamiento se basa en las peticiones de datos que realizan las aplicaciones 01 servidor, que se ocupo de obtener las datos del disco concreto donde estén almacenados. Dependiendo de lo cantidad de información manejado, podremos optar por el uso de una u otra tecnología. Poro grandes volúmenes, sería conveniente utilizar una red SAN, mientras que poro pequeñas compañías lo idóneo sería un dispositivo NAS. Esto no quiere decir que ambas tecnologías sean excluyentes; existe, de hecho, la posibilidad de combinarlas en sistemas cuyas características así lo riequieran.
,,- - - - - - - - ,
[1
- - - - - - -
Disco
-,,
11
"-------------- - - - -, Fig. 2.31. Arquitectura SAN. 16
~ Actividades 16. Compara las tecnologías NAS y SAN. ¿Qué ventajas y desventajas tiene el uso de cada una de ellas?
Seguridad pasiva. Hardware
y almacenamiento
2
Comprueba tu aprendizaje " Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Gestionar dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información
1. En la actualidad se están buscando alternativas para aprovechar el calor generado por los Centros de Datos en otros usos. Busca infarmacián y noticias de este tema, crea un pequeño documento con las más curiosas y añade algún posible uso alternativo que se te ocurra.
4. Comprueba en la documentación de tu placa base si
2. Busca información sobre el funcionamiento de los sistemas de detección precoz contra incendios, e ilústralo con casos reales de uso.
J. Últimamente están praduciéndose algunos picos de tensión y cortes intermitentes en la zona donde está situada la agencia de viajes SiTour, lo que les ha llevado a plantearse la posibilidad de instalar SAl que evite posibles daños en sus equipos y les proparciones el tiempo necesario para guardar los datos con los que estén trabajando en el momento del corte. ¿Qué equipo les recomendarías? ¿Por qué?
so parta algún tipo de RAID. Si lo soporta, localiza la opción en el menú de configuración de BIOS.
5. Genera un volumen seccionado en Windows utilizando tres discos.
6. La red de Supercomputación Española se compone de varios c1usters situados en diferentes puntos del país. Averigua qué sistemas la integran, cuál es su localización geográfica y cuál es la finalidad de uso principal de cada uno de ellos.
7. Las siguientes figuras representan redes donde se han utilizado alguno de los sistemas de almacenamiento vistos en la unidad: NAS y SAN. Identifica cuál corresponde a cada uno de ellos y explica por qué.
Puedes utilizar la tabla que desarrallaste en la Actividad 7 de la unidad, ya que debes tener en cuenta los mismos factores utilizados como referencia para realizar dicha actividad.
Array de discos
Fig. 2.32. Arquitectura 1.
Fig. 2.33. Arquitectura 2.
-=::y-
r
2
Seguridad pasiva. Hardware y almacenamiento
Edificio Espacio y movilidad Factores relativos
Tratamiento acústico
...._...:0:.;105 instalaciones
Seguridad física del edificio Suministro eléctrico propio del CPO
Factores naturales
Servicios disponibles
Otros factores
Seguridad del entorno
Control de acceso
Recuperación ante desastres
En estado de espera ISPS)
--
~- (
En línea
Almacenamiento
"-_...:.:: re::;:: du:::: nd;;:;:a~ nte~_,,
-f
RAID O RAID 1 RAID 5
C·", .~ ,í'• Almacenaml
Cluster de alto rendimiento
~ ~eíliil~nfo:rmamon
Cluster de servidores
Cluster de alta disponibilidad Cluster de alta eficiencia
Network Attached Storage
Slorage Area Network
.8
llJUllDdOJdJ
Seguridad pasiva. Recuperación de datos
En esto unidad aprenderemos a:
• Seleccionar estrategias para la realización de copias de seguridad. • Realizar copias con distintas estrategias. • Crear y restaurar imágenes de restauración de sistemas en funcionamiento.
• Aplicar técnicas de recuperación de datos. • Definir políticas de copias de seguridad.
y estudiaremos: • Copias de seguridad e imágenes de respaldo. • Medias de almacenamiento en copias de seguridad. • Políticas de copias de seguridad. • Software de copias de seguridad. • Recuperación de datos.
(
( .,
~,, ~t(
Seguridad pasiva. Recuperación de dolos
1. Introducción / ,
•
¿Sabías.q,!e•••?
Según un estudio realizado por la Universidad de Texas, solo el
6 % de
las empresas que tienen
pérdidas catastróficas de datos logran seguir su aclividad frente a un 43 % que nunca podrán reabrir su negocio; el resto tendrá que cerrar en dos años.
Hoy en día, tanta las empresas como los particulares guardamos gran cantidad de información en los soportes de almacenamiento de nuestros equipos informáticos. En un gran número de entidades y hogares dicha información se encuentra protegida contra amenazas lógicas, una vez que tenemos instalados programas específicos poro ello, como antivirus o firewall; sin embargo, son muchas menos las personas o entidades que realizan copias de seguridad; copias que permitirían restaurar la información en caso de pérdidas ocasionadas por desastres de diversa índole, coma incendios, inundaciones, apagones, terremotos ... Dichos desastres pueden suponer grandes pérdidas para las empresas en caso de no poder recuperar la información.
Según información publicada en The Guardian una empresa incapaz de acceder a sus datos durante diez días nunca se recu-
perará totalmente: el 43 % de ellas irá a la bancarrota, ya que una parada de tan solo cuatro
horas puede costarle hasta un 30 % de sus ingresos mensuales a una compañía de servicios de telecomunicaciones e infraestructura.
Recordemos algunos de los sucesos ocurridos en los últimos años, la caída de las Torres Gemelas o el grave incendio ocurrido en la Torre Windsor. En ambos casos se perdió
gran cantidad de información. En el caso del incendio en Madrid fallaron los deteclores de humo, las alarmas ... pero no fallaron, en cambio, los planes de protección de datos de las empresas Garrigues y Deloitte, que en poco más de 72 horas después del suceso, trabajaban con acceso pleno a cada una de sus aplicaciones y a la información. Gracias al plan de recuperación en caso de desastre, estas empresas pudieron en un breve espacio de tiempo volver a su actividad sin sufrir grandes pérdidas económicas. Estos desastres lograron que numerosas empresas que no tenían planes desarrollados de recuperación para casos de desastres tomaran consciencia de la necesidad de los mismos y empezaran
a realizar copias de seguridad, tanto de la configuración de los sistemas como de los datos.
Todos, tanto las grandes empresas multinacionales como el usuario de a pie, debemos guardar copias de seguridad de la información de nuestros equipos, porque Murphy puede aparecer en cualquier momento a hacernos una visita. Cuántas veces hemos dedicado horas a preparar un traba¡o para clase y en el último momento se ha ido la luz o ha entrado un virus, y es entonces que nos lamentamos de no haber hecho copias de seguridad cada cierto intervalo de tiempo. Como conclusión, las copias de seguridad garantizan dos de los ob¡etivos estudiados en la primera unidad, la integridad y disponibilidad de la información. Estas son útiles para restaurar el sistema operativo, las aplicaciones y los datos en caso de ocurrir algún desastre. Además, debemos tener presente lo que estudiamos en la primera unidad referido a la Agencia Española de Protección de Datos; recordemos las exigencias de dicha entidad a las empresas que almacenan datos personales de usuarios: estas deberán realizar copias de seguridad de los datos recogidos en sus equipos. Estas copias de seguridad se podrán realizar en multitud de soportes de almacenamiento, cintas, CD, DVD, en discos duros externos o en dispositivos de almacenamiento remotos.
Otro punto en el que deberíamos pensar es cómo destruir de manera segura los soportes donde hemos guardado los datos, ya que en numerosos casos se almacena información confidencial. Debemos evitar que, una vez que consideremos la máquina obsoleta para nuestra empresa y la tiremos o la reciclemos, vendiéndola a empresas o a particulares con menos necesidades que nosotros, estos puedan leer la información confidencial del disco. En el mercado existen diversos métodos que garantizan la destrucción de los datos.
~ Actividades 1. Visita las páginas http://www.blancco.com/en/frontpage/ y http://www.edrsolutions.com. Analiza los distintos tipos de mecanismos de destrucción de disco y ordenadores que poseen.
;0
Seguridad pasiva . Recuperación de dolos
•
2. Tipos de copias de seguridad
Dependiendo de la cantidad de ficheros que se almacenan en el momento de realizar la copia, podemos distinguir tres clases de copias de seguridad: •
Completa: como su nombre indica, realiza una copia de todos los archivos y directorios seleccionados_
•
Diferencial: se copian todos los archivos que se han creado a actualizado desde la última copia de seguridad completa realizada_ Por ejemplo, si hacemos una copia de seguridad completa todos los viernes a las 00:00 horas y una copia de seguridad diferencial el resta de las días, cada copia diferencial guardará los archivos que se hayan creado o modificada desde el viernes a las 00:00 horas hasta e l momento de realizar la nueva copia. Una de las ventajas de este tipo de copia frente a la anterior es que se requiere menos espacio y tiempo para el proceso de la copia . ./
./
./
f
Modificación 1....día 3
Copia diferencial día 3
Datos
día 1 Copla lolal
1....Modificación ./ dla 2
Copia diferencial
l
día 2
1....Modificación día2
1/
IL
1/
Fig_3. 1. Archivos modificados que se deben guardar en /a copia diferencial. •
Incremental: se copian los archivos que se han modificada desde la última copia de seguridad completa o diferencial realizada. Por ejemplo, si hacemos una copia completa los viernes a las 00:00 horas y copias de seguridad incremental el resto de los días a la misma hora, cada copia incremental solo guardará los archivos que se hayan modificado el día que se realiza la copia desde las 00:00 hasta las 23:59. Una de las ventajas de este tipo de copias de seguridad frente a la anteriar, es que el proceso de la copia es mós rópido y ocupan menos espacio; ahora bien, si hemos de restaurar los archivos por pérdida a causa de un desastre, necesitaremos la copia de seguridad completa, y todas las copias incrementales realizadas desde la copia integral. ;-
./
Modificación
1/
dla3 Datos día 1 Copia lolal
1....Modificación
Clfa 2
1/
I
Copia incremental día2
-
Copia incremental día 3
1....Modificación
1/
dla2
1/
1/
Fig. 3.2. Archivos modificodos que se deben guardor en Jo copio incrementol.
Actividades ~
2. Indica qué necesitamos cuando se realizan copias completas y diferenciales para restaurar la información.
3
Seguridad pasiva. Recuperación de datos
3. Copias de seguridad de los datos las copias de seguridad de las datos, como su nombre indica, son copias de la información que se almacenan en un lugar diferente al original. Aunque parezca mentira, se trata de un error muy habitual que tanto los administradores como los usuarios del sistema suelen cometer, al guardar las copias de los datas en la misma ubicación que los originales a muy cerca de los mismos. lo que suele hacerse por comodidad resulta un fallo garrafal: imaginemos que en una empresa se produce un incendio o una inundación en el centro de cálculo, donde además se guardan las copias de seguridad de los datos y las imágenes de los sistemas, ¿qué sucedería? El incendio arrasaría tanto los equipos con sus sistemas y datos como todas las copias e imágenes de respaldo de los sistemas, aplicaciones e información. la empresa habría perdido toda la información, por lo que perderían mucho tiempo y dinero hasta volver a recuperarlo todo. lo habitual, en las organizaciones con una buena seguridad, consiste en almacenar una copia de los datos en el propio centro de procesamiento de datos, y otra copia completa en un lugar diferente al centro de cálculo, que se encontrará protegido de la misma manera que los centros de procesamiento de datos. Otro de los problemas clásicos cuando las organizaciones realizan copias de seguridad resulta de la mala política de etiquetado de las copias. Debemos ser muy exhaustivos cuando etiquetamos las copias de respaldo, y al mismo tiempo, hemos de conseguir que los datos que etiquetemos no sean muy claros para los posibles intrusos. Se recomienda etiquetarlas mediante códigos impresos, códigos cuyo significado sea conocido exclusivamente por los técnicos que manejan las copias de seguridad.
o
¿De qué archivos debemos hacer copias de seguridad?
las copias de seguridad deben realizarse de todos los archivos que sean difíciles o imposibles de reemplazar (esquemas . de red, distribución de IP, listas de control de acceso, etc) .
o
¿Dónde debemos hacer las copias de seguridad?
Como hemos comentado anteriormente, una de los errores más habituales es utilizar el mismo soporte en el que se encuentran los datos para almacenar las copias o ubicarlas en el mismo lugar donde se encuentran los equipos de los que hemos realizado las copias. la finalidad de la copia de seguridad es poder recuperar los datos en caso de desastre. Si la copia se encuentra en el mismo disco o en una partición del mismo y se produce una avería física en él, no podremos recuperar los datos ni la copia de seguridad. las copias de seguridad se pueden hacer en distintos soportes, en discos duros externos, en discos compactos, en OVO, en cintas, en memorias flash, en discos SSO ... la realización de copias de seguridad en un sitio diferente a la ubicación original se denomina OFf-sile Dala Proleclion. Existen numerosas empresas especializadas en dichos servicios, como hHp://www.perfectbackup.es.
o
Soportes
A continuación vamos a analizar las ventajas y desventajas de los distintos soportes: •
Fig. 3.3. CD regrcbcble.
los discas CO y OVO regraba bies ofrecen un númera muy limitado de escrituras, a pesar de que la mayoría de los fabricantes aseguran que se pueden realizar unas mil grabaciones. la experiencia nos demuestra que después de varias decenas de escrituras, las grabaciones fallan, y aparecen mensajes del tipo «el soporte es de solo lecturo ». .
Seguridad pasiva . Recuperación de dolos
•
La cinta es una de los soportes más antiguos que se siguen utilizando en la actua· lidad. Sus características principales son el gran volumen de almacenamiento que permiten y su alta fiabilidad. Son más lentas que los discos duros convencionales, pues como sabemos, el acceso a las datos es secuencial (siempre debemos recorrer toda la cinta desde el principio hasta que encontremos el dato).
•
Los memorias de tipo flash (pendrive, microSD, compactFlash y similares) no son muy recomendables, ya que se suelen estropear con facilidad debido a los golpes y a los altos voltajes que reciben en ocasiones accidentalmente, y además hay que tomar en cuenta la capacidad tan escasa que tienen.
3
Fig. 3.4. Distintos modelos de almacenaje.
•
Los discos duros o discos rígidos usan métodos de grabación basados en la imanta· ción del soporte. Aunque han ido evolucionando ráridamente, esto sola ha supuesto un incremento en la capacidad de los mismos, en e tiempo de acceso a los sectores y en lo fiabilidad. Hoy que recordar que no hoce muchos años ero necesario opor· cor lo aguja del disco poro poder trasladarlo de un lugar o otro. Si lo aguja no se aporcaba, una vez que desconectábamos el disco esta se movía y podía golpear y rayar los discos que componían el disco duro. Hoy en día ya no es necesario aparo car la aguja, es una operación que los discos realizan automáticamente cada vez que se apagan.
Se está investigando en una nuevo tecnología basado en nanotubos que permitirá una
durabilidad de los discos duros muy
superior
a
la
actual.
Hablamos de unos 1000 años.
Fig. 3.5. Distintos modelos de discos duros.
•
En la actualidad se empiezan a realizar copias de seguridad en soportes SSO. La desventaja de este tipo de unidades es el precio, son muy caras, y su capacidad es limitada. Sin embargo, este tipo de tecnología SSD (Salid Slale Orive) tiene grandes venta jas frente a los discos duros convencionales porque no tienen elementos mecá· nicos, lo que los hace ser mucho más fiables frente a los discos duros tradicionales . El rendimiento de la tecnología SSD es mayor que el de los discos duros clásicos, y el tiempo de acceso de los SSD es bastante inferior a un milisegundo frente a las varias decenas de milisegundos habituales de los discos duros tradicionales. Es una de las opciones de futuro, dado que su precio actual hace impensable adquirir un disco de 500GB.
Actividades "
l
3. Realizar un estudio como parativo que recoja los distintos tipos de sopor· tes, con su capacidad máxima y precio medio par GB.
~/3
Seguridad pasiva. Recuperación de dalas
- - --
3.1. Copia de seguridad de datos en Windows Hay muchas herramientas que permiten hacer copias de seguridad de los datos en sistemas Windows. Vamos a estudiar en profundidad la herramienta Backup4all. Esta herramienta nos permite proteger los datos de los posibles pérdidas parciales o totales, automatiza el proceso de realización de copias de seguridad y permite, entre otras funciones, comprimir y cifrar las copias de seguridad.
q
Caso práctico 1
Crear copia de seguridad completa para poder recuperar 105 datos con facilidad en caso de desastre
garnos gratuitamente de la página www.backup4all.com/ download.php.
En esta práctica vamos a crear una copia de seguridad del directorio denominado "Seguridad Infarmática». En él se encuentran almacenados datos impartantes que na queremos perder. Para realizar el backup, vamos a utilizar la aplicación Backup4all Professional, que podremos descar-
1. Una vez instalada la aplicación, veremos una panta-
o ~~~..,.,.. .t:1 ·
!!:..-
It ,,~
~,,-
~m
,-
,QOlS11.QD
-
. ....... ]11
....
~ .", 1:: 1•,
... 1'"fui
U
U
¡~ a
~I
l
(9
lla similar a la de la Figura 3.6. En dicha pantalla se encuentran desactivadas los botones de Backup (copia de seguridad) y Restare (recuperación), debido a que aún no hemos realizado ninguna copia de seguridad. 1=1 8 J
( ) I¡ ..... e.:;kup W",¡n;\
a I
@ Name your backup Dld",pnlmo::
Where do you want lo saya your backup?
Fclder.
Advlncrdm~de
Fig. 3.6. Pantalla inicial Backup4all Prafe55ianal. 2. Hacemos dic sobre el icono New,! para realizar una nueva copia de seguridad. Como se trata de la primera copia de respaldo que vamos a realizar la haremos completa. 3. En la nueva pantalla (Fig. 3.7) escribimos el nombre y la ubicación donde vamos a guardar la copia de seguridad. Como vemos, la aplicación permite elegir dónde queremos realizar la copia de seguridad: local (en el propio disco, grabarla en un CD o DVD o bien en un disco duro externo), en la red, o bien mediante FTP. En esta primera práctica vamos a guardar la copia en la carpeta que par defecto nos indica la aplicación. 4. Para continuar, podemos hacer dic bien en el botón Nexl (Siguiente), bien en el botón Advanced made (moda avanzado). Al ser la primera vez que manejamos la aplicación, haremos dic en el botón Next para ir familiarizándonos con la herramienta. En la nueva ventana (Fig. 3.8) debemos elegir el directorio, fichero!s o
4
I
Fig. 3.7. lugar y nombre de la copia de seguridad. e
'"
"
Whal do you want to backup?
~!5el~",~·.;;"",of",fiIH",.",",,,,f.,,,,,,,,,"=======;~ ... 1 ~'::r1 (dnl.JI lo blCkup 111 File\Folder m 1iJ €!)
Si:e
III
e Hillerfil on Synem DI
01
=
G'l ~ (2)
Plgdile en 5ylltm TtmPCraryFilts'Ule
l
C~"'d;f!.¡";i.'51 ~, ,:¡':,";:'.=l l=:!, "=; ~:; :JI lO:~~: 1 [
Adv,nctd mode
I
I
P,eviOUl
1I
Nul
II
»Ve ~
II
Fig. 3.8. Directorio del que vamos a hacer la copia.
(Continúa)
Seguridad pasiva. Recuperaci ón de dolos
3
Casa práctico 1
9
(Continuación)
conjunto de directorios de los que vamos o realizar lo copio. En nuestro coso, queremos hacer lo copio del directorio llamado «Seguridad Informático» , por lo que tenemos que hacer dic en Add folder (añadir carpeta). En el coso de se quisieron hacer copias de seguridad de ficheros, deberíamos haber hecho dic sobre Add files (añadir ficheros). Después de seleccionar el directorio hocemos dic en Next.
o
5. En lo siguiente pantalla (Fig . 3.10) debemos elegir el tipo de copio; como es lo primero vez que guardamos los datos, haremos uno copio de seguridad completo, de modo que elegimos lo opción Make full (Realizar completo). En esto pantalla podemos optar también por cifrar lo copio . En este coso no lo cifroremos, por lo que dejamos marcado lo opción por defecto (No).
New Badrup WlL!rn
How do you want to backup?
·1
IMakefull Encrypt? O Yes
@ No
I le."! pil:;w.ord: Confirrn new pilssl".'ord:
Help How do you \11M! lo backup?
Advaneed mode
Previous
H
Next
II
SlIve ~
II
Cincel
Fig. 3.9. Tipo de copio.
6. En lo siguiente pantalla debemos especificar lo periodicidad de lo copio. En nuestro coso debemos seleccionar lo opción manualmente, yo que por el momento no queremos que se repito lo copio completo en un futuro. Después de dicho elección, hocemos dic sobre Save (Guardar) y seleccionamos la opción Save and run (Guardar y ejecutor). Inmediatamente después, lo aplicación se pone en funcionamiento y empiezo o almacenar lo información se-
leccionada en la nuevo ubicación. Tronscurridos varios minutos, lo copio de seguridad habrá terminado y podremos comprobar cómo los datos guardados en el directario Seguridad Informático se han copiado en un archivo comprimido (con extensión zip) dentro del directorio COPIA_SEGURIDAD (nombre del backup, Fig . 3.8) en el directorio My Backup4all que se encuentra en lo carpeta
Mis Documentos.
)
Lo mismo herramienta, Backupal14Professional, nos permite realizar copias de seguridad incrementales, como veremos en el siguiente coso práctico.
Actividades _ 4. Habitualmente los usuarios de o pie guardamos lo información bajo el directorio Mis Documentos. Os proponemos que realicéis uno copio de seguridad como pleta de dicho carpeta en un disco extraíble.
Seguridad pasiva. Recuperación de datas
¡q Para
comprobar el
funciona~
miento de la copia de seguridad diferencial es conveniente que modifiquéis la información alma~ cenada en el directorio donde vamos a realizar la nueva copia
diferencial.
Caso flráctico 2
Crear copio de seguridad diferencial para salvaguardar los archivos que se han creado o actualizado desde la última copia de seguridad completa realizada Poro realizar esta actividad, vamos a utilizar la misma aplicación que en el caso práctico anterior, Backupall4Professional.
1. En el caso práctico anterior, realizamos la copia de seguridad completa del directorio «Seguridad Informática» que guardamos con el nombre Copia_Seguridad (Fig. 3.10).
-
.. _-,- -..
,
Im~Kl.. o"
l>dh"..........
I""'~
1i:U>.=
l.~
... _
_ ..... ' n ....
....... - -
Fig. 3.10. Información de las copias de seguridad.
2. Paro hacer la copia diferencial de la copia realizada en el caso práctico anterior, debemos seleccionar la copia de seguridad realizada anteriormente, denoO minada «Copia_seguridad».
3. Hacer dic sobre el icono Properties
' ,,,mio
(Propiedades).
4. En la nueva ventana, modificaremos el tipo de copia seleccionando diferencial (dentro de Type, seleccionamos DifferentiaJ). Con ello, conseguiremos que se guarden los ficheros nuevos y aquellos que hayan sido modificados desde que se realizó la copia completa del directorio. Por último hocemos dic en Save and run (Guardar y ejecutar).
G~.'~I
~-~"
\.1
i.=l ~..rtI d"""
I
E. etI ............
I FlalanrOlll....._ I
~Olft ........
--
Mc.dom:loo..rr.ó1l1JomiICa Cnt.FUtcsdo_~..c~.endoccs..,¡~·
>--, 0"" '""~.~~- .." .
El J. W"RE
O ",\Io:!a':·)~1
P. . .,.•
~
'''''"'
O!l11l!2!1C!902!D5
..,lU1:>do_~ . ~ ÓOI;luH ht;a de ... ~
_ _ '" ó=I J
do mtan 2.37 vemos un ejemplo con el protocolo SSH.
c:J --- ' -. f .... ~-T
I..A,..I«.,1~v. tntr;rc:.1mh!ado:: nn '"' rl'fll
-.f...._ Po~:mos hablnr -
Ok
-=-
o..•
generMa
o1"*'
d --t._ ''
COl) ¿egwJdact?
e.~~s~ ~e~.,
a
0...
Sifvk!Of SSH
.
CIINe jlUI)IICa O.....prtv.cia
IJT\ftz:;r el
~'CoAES
"" llbfoo.., -aa Ci:
~~"=-'
T
·~ (>( 1')353fTlOS "
e;fr.tdo s.m!rti'IC:O
ClaYI ~ M41n~ no cifrAdo
CM., .Podénlos ~
~olt
_.,_ Cifrado e&~méVIcO ~
Cifrado ~m41lr.co
fig. 2.37. Esqv.mo hlbrldo de cifrarlo •n SSII.
Algoritmo
Clave
$1mWloJ &m611CO aimiuica
Loettrr
a ~taba,¡a,
~~~(la
'"'tlfll.lt'M3 por el clienteSSH
Sistemas de identificación. Criptografía
4
Caso práctico 3
9
Generación de un par de claves para usa de cifrado asimétrico
3. Una vez seleccionado el tipo de clave a generar, debe-
Esta práctica la desarrollaremos mediante la herramienta gpg en la distribucián GNU/Linux Ubuntu.
mos seleccionar el tamaño de la misma. Cuanto mayor sea la clave, más segura será contra ataques de fuerza bruta, pero más lento será el proceso de cifrado y descifrado, además de incrementar la longitud de la firma digital. La herramienta nos permite seleccionar entre 1024 y 4096 bits. Elegimos el tamaño que nos indica por defecto escribiendo 2048.
1. Ejecutamos la instruccián gpg can el parámetro -genkey.
2. Al ejecutar la instruccián la herramienta nas pide que seleccionemos el tipo de clave deseada. Nos ofrece tres opciones; la primera DSA y EIGamal que generará las claves tanto para encriptar como para firmar; la segunda opcián DSA y la tercera, RSA, generarán un par de claves para firmar. Seleccionamos la opción 1, que es la opción por defecto que nos propone la herramienta.
4. Por último, debemos especificar el tiempo de validez de la clave. En nuestra práctica vamos a generar una clave con un periodo de duración de un mes (escribimos 1mi. En caso de necesitar más tiempo podríamos aplazar la fecha de caducidad.
!rthlvo EdItar Mer ~rmrnal AY.uda adrnin1strador@Jupiter:-$ gpg .. gen:k~ 1 'r- - - - - - - - -,ol gpg (GnuPG) 1.4.9. Copyright (e) 200B Free !:l. ,¡are Foundation, Inc, This is free software: you are f ree to change and redistribute it. There is tlD WARRANTY. to the extent permitted by law, Por favor seleccione tipo de clave deseado: (1) OSA Y ElGaoal (por defecto) (2) OSA (sólo firmar) (5) RSA (sólo '- "rJ ¿SU elección?: 1 2 El par de claves D~" tendrá 1024 bits. las claves ElG-E pueden tener entre 1024 y 40 0" hits de longitud. ¿De que tamaño quiere la clave? (2048) 20 la clave caduca en n dias 00'' "' ................ "'-__ ''''_ r r"'4>.1,....,..~
~ ~
... .. _
po Eróidod ......... ...........
....:.J
rln1illod ....... ..-.............
,.~r- ... __.,,--f:--p-.,-_-=. =='::::':'~O::-~l:_-:-"'-'Io""'"
ro.m-_
Fig. 4.22. Instalación entidad emisora de certificados.
4. Al hacer clic en Siguiente, se abre un nuevo cuadro de diálogo, en el que debemos especificar el nombre de la entidad emisora, la organización, la ubicación de la misma, etc. (Fig. 4.23).
_.
~-
IJo1""'"
...-
15I'tuUA.
u.idoiI ...........
¡O;;;;;;;;oIo'-:-'
-1_.--- ,11"';'
~-
~"Io_ ,~-
.
"01........
¡u---
f -•••• -
1.... __ ""· ..... -.010 ... _ l' 1- 0!l~[Zi1111;m11131
Fig. 4.23. Datos de la entidad emisora.
••I
,.
(Continúa)
J
Sistemas de identificación. Criptografía
Caso p'ráctico 7
4
9
(Continuación)
5. En la siguiente pantalla, se nos permite modificar los directorios que se van a utilizar para guardar los datos referentes a este servidor de certificados. En nuestro caso, dejaremos los que propone, por lo que hocemos elic en Siguiente.
Fi'
6. Por último nos muestro un mensaje en el que nos informa que es necesario detener el servidor de páginas web liS. Hemos creado una entidad emisora de certificados. A partir de este momento, si entramos en herramientas administrativas vemos una nueva consola llamado Entidad emisora de certificados. cno¡dps
d~
Cerllfic"'_"" ... _l>,,~
""cr.>oU"'._'
I Fíg. 4.24. Directorios donde se guardan 105 datos del servidor de certiFicados.
=============---~. x
Fig. 4.25. Menso;e de aviso sobre fa creación del servidor de certificados.
Caso práctico 8
9
Petición y retirada de certificados de una entidad emisora En esta práctica vamos a aprender cámo debemos solicitar un certificado digital desde un ordenador de la empresa a la entidad emisora de certificados, que configuramos en el caso práctico anterior.
1. Abrimos el navegador, en nuestra caso Internet Explorer. Escribimos la URL http://jupiter/certsrv; Jupiter es el nombre del servidor de certificados. También podríamos haber utilizado la direccián IP del servidor en lugar de su nombre. Seleccionamos la segunda opcián, Solicitar un certificado, ya que es lo que nos hemos propuesto inicialmente. 1~ . I,jIO'''""i '" f ..... too
iN
J.... f'::,'l """" ......
"' 1Ifi~ ru- fbo~_ ífJ ~
.. ¡) .._
\\'9 DSA~do_"",,_
a Senlaosdo""'-'tc.tha_
BIenvenIdo Use eSle sitio web para solicitar un celtJ~cado para su explorador web, su chellle de coneo eledrónico u 0\10 programa seguro Una vez. que tUlya adqutrido un certificado, pedr;! Identificarse de una forma segura hada otras personas en elweb, firmar SuS mensajes de torTeO eleCllóllico. cifrar sus mensajes de correo electrónico, y m~s dependiendo del Ilpo de certificado que haya solialado.
Selllcclonar un. tarea: r Recupere el certlflcado CA o la lista de revocación de ceruficados 10 Soocitar un certificado (" Comprobar un certificado pendiente
~, ~ I
rrOOD Ci'!1 Hr..t1oul
~ 1 'I¡. 11D'to
.=.J ~
Fig. 4.26. Solicitud del certificado. (Continúo)
97
Sistemas de identificación. Criptografía
-1
~casop~ ra~ ·c~t~ iC= O~8~______________~__________________________
l'• -
' .••., ¿Sb· O losque
(Continuación)
Cuando creamos un certificado
2. En la nueva pantalla debemos seleccionar el tipo de solicitud; seleccionamos Certificado de protección de correo electrónico, ya que lo vamos a utilizar para
que está comprometido debe-
enviar correo electrónico.
mos revocarlo.
-_
lo podemos hacer mediante la línea de comandos_ Debemos escribir en el símbolo del siste-
~ .. I Itl ¡''''Ii).do'I!l o CW e:J l lIJra rea.;¡eral Su cel'\Jfi(,dQ
11." ,\:", \! 1U)·a ac:ranCl:l1nCM;~Ca&.l . poor&ldefllftaorst Of 161a 10'lIIa UQ".J"i hao. Clill pe TIene trlad.sve privada witspOilkiLe a estll =tr~.
...., ""'_=. d;d:"'_""':O¡' Fig. 4 .36. Certilicada de Fernando.
100
Sistemas de identificación. Criptografía
Caso flráctico 9
9
Mandar correo electrónico haciendo uso de un certificado digital utilizando como gestor de correo Outlook Express
Se supone que el usuario tiene configurada una cuenta de correo en Outlook Express.
1. Debemos asociar nuestro certificado de usuario a nuestra cuenta de correo. Para ello en el menú de herramientas del Outlook Express seleccionamos opción cuentas y hacemos ciic sobre Propiedades. Internet
. ,....."
Cualquiera di,p...
Cerrar Fig. 4.37. Menú herramientas de Out/ook Express.
2. Hacemos ciic sobre la pestaña de seguridad.
'ª
Propiedades de Sitour
. '
?
IX
G.".,O/ I~ I~I Segy¡idad O~ 0.",,0
Fig. 5.8. Contraseña de acceso a GRUB cifrada.
1::]
o Ejuuta r en!Jna wmlMI IEjecutarton el arthi vo..·1 r.1 ostrllr la ll sUl de ¡¡plltadones co nodd15
( Iiil''','' I
b:
I Q ,¡;ancelar 1 le
~C:.:" _ rI
Fig. 5.9. Arranque Terminal.
109
Seguridad activa en e! sistema
Q
Caso R :.:r"'á""ct"ic'"'0'-4..:.._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--t
Establecer contraseñas al arranque de 105 sistemas operativos controlados por el GRUB Con esta práctica evitaremos el acceso a los sistemas operativos gestionados por el GRUB a personal no autorizado.
1. Editamos el fichero de configuracián del GRUB, menu.lst y al final del mismo buscamos las líneas donde se define el título del sistema operativo (title) ya con· tinuación escribiremos password --mdS y la contraseña .
.
:"
,
Q, ' "
•
Archivo .Editar ~ .a.uscar__ ..!!:.~!Tllenta~ocumentos Aluda _ _ _ _ __ _ _ 1
N~O ~r v Guardar I Imp~ir... I Deshacer
r ehacer
I c!
r c! ar 1': ;;1
v I;
01
~ menu.lst
## ## End Default Optians ##
title Ubuntu 9.94, kernel 2.6.28·11·generic password patata uuid 66d4a68S·9Bde·4B7c·b4d4· 7237cb47799b kernel /boat/vmUnuz· 2. 6. 2s-11-generic roat::UUID::66d4aSBS -BBde-4B7c' b4d4-7237cb47799b ro quiet splash initrd /boat/ ini t rd. irng- 2.6. 28-11-generic quiet title Ubuntu 9.84, kernel 2.6.28·11·generic (recovery made) password ··rnd5 SlSAgZW7/SSl35rvzlRkP!ChgW9pUU9/ uuid 66d4aSB5 ·Bsde·4S7c· b4d4· 7237cb47799b kernel /boattvmlinuz· 2.6.28 -ll-generic raot=UUID=66d4a885 -8ade-487cb4d4-7237cb47799b ro single ini trd !boot!ini trd. img -2.6. 28-11-generic .,·, it; tl",' -_ _- 'lIhIUltJ..L...9.-B4
m e n te~tR "'. '_
_ _ _ _ _ _ _ _ _ _ _ _ _...Jl..J
Fig. 5.10. Contraseña de acceso al sistema Ubuntu cifrada.
~caso"~r~á~ct~ic~0~5~--------------------------------_ _--, Establecer contraseña del gestor de arranque mediante lo aplicación startupmanager en LINUX, distribución Ubuntu 9.04, para evitar el acceso a 105 sistemas operativos ges·
tionados por el GRUB o personal no autorizado utilizando uno aplicación visual
1. En primer lugar debemos instalar la aplicación en Ubuntu mediante el gestor de paquetes Synaptic, como podemos ver en las Figuras 5.11 y 5.12.
Archivo .Editar f¡lquete tonfiguraclón AYlIda
Re~rgar
Marcartodas
I~ctuallzaclones El
lbdD
'H
startupmanager
lIp1i GIr
prop~ades I
I Paquete startupmanager
I Versión Instalada I Última
:~
1.9.12-
Instalando software lOs cambios marcados se estan aplicando ahora . Esto puede llevar algo de tiempo. Por favor, espere.
1- 1 Grub and Splash screen conflgurntlon
I~.~I~~~~~~~~[)J IObtener captura de pantalla I .5.ecclones ~tado
Origen filtros per.;onaUzadas Besultados de búsqueda
Ejecutando disparador post·instalación doc-bqse
StartUp-Manager configures sorne settings for grub and splash screens (Currently only Usplash). It provides an easy to use interface. lt Is origlnally a Ubuntu project. adapted for Debi an.
I
....=.., __
l!.E.!.quetes listados, 1179 Instalados, o rotos. Oeara Instalar/actualizar, Opara desInstalar
O Cerrar esta ventana automáticamente tras aplicarse los cambios con éxito 1> Detalles
I
[
~ ~enor I
El
I
Fig. 5.12. Instalación starfupmanager. Fig. 5.11. Gestor 5ynoptic. 110
(Continúa)
Seguridad activa en el sistema
5
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _.....;C ::::a:::s:.::a:..lflráctico 5 (Continuación)
3. Hacemos clic sobre la pestaña de seguridad, activamos la opción de Proteger con contraseño e( cargador de arranque y escribimos la clave elegida como podemos ver en la Figuro 5.14. Para finalizar reiniciamos la máquina y comprobamos cámo afecta el cambio a la configuración del arranque.
2. Una vez instalado, ejecutamos el programa accediendo a Sistema> Administración> Administrador de Arranque (Fig. 5.13).
'fE
9
ªfIl
Acerca de GNOM E
01' Acerca de Ubuntu
COntroladores de hardware
-1t. creador de discos de arranque USB
Fig. 5.13. Administrador de Arranque.
.,
-
Administrador de Arranque
¡opciones de arranque
e x
IAspecto Iseguridad IAvanzadol
Opciones de protección ~
Proteger con contraseña el cargador de arranque
O Proteger con contraseña el modo de rescate O Proteger con contraseña las opciones antiguas de arranque Cambiar Contraseña COntraseña:
1:·
l······ l······ I
COnfirmar contraseña:
I I
IActualizar contraseña lA
l'
liij;
Q
COntraseña modificada
~
1
I ~ Aceptar I I ~ AYlld· 1
I ~ Qlrrar I
Fig. 5.1 4. Configurando contraseña en sfarfupmanoger.
Actividades ~ 3. Haz el Caso práctico 5 ejecutando el programa directamente en el terminal. Recuerda que deberás tener privilegios de administrodar para poder realizarlo.
4. Comprueba si el programa startupmanager escribe las contraseñas en el archivo menu.lst del GRUB cifradas o en texto clara.
Seguridad activa en el sistema
2.3. Cifrado de particiones
•
En este apartado vamos a estudiar cómo proteger la confidencialidad de los datos almacenados en los distintos volúmenes del equipo mediante el cifrado de particiones. Cualquier software de encriptación de disco proteg", la información contra el acceso de personas no autorizadas.
~ Casa práctica 6 Ci rar una partición en Windows
Para instalar esta aplicación sólo necesita mos 10 MB de espacio en disco duro y Microsoft Windows
Con esta práctica conseguiremos proteger una partición de Windows, la información no será accesible para aqueIlas personas que no conozcan la clave.
l. Nos descargamos DiskCryptor 0.7, lo de scomprimimos y hacemos doble clic sobre el archivo dcrypt que se encuentra en la carpeta i386 (Fig. 5.15); a continuación respondemos afirmativamente a la pre gunta sobre la instalación del controlador DiskCryptor.
Para realizar esta actividad vamos a utilizar un programa de código abierto, gratuito, DiskCryptor (hHp://www.diskcryptor.de/en/downloads/). ~
I Nombre
Tipo
I Fecha modificación
~ de_lsf.sys ~ de.pi.dll ~ deeon
-
I§ii: derypt
Archivo de sistema Extensión de la apl ... Aplicación Aplicación Archivo de sistema Aplicación
31/05/200914:50 31/05/200914:51 31/05/200914:50 31/05/200914:50 31/05/200914:50 31/05/200914:50
~ derypt.sys ~ diskspeed
Etiquetas
Tamaño 17 KB 140 KB 47 KB 123 KB 136 KB 12 KB
~
L~-""'J
Confirm
rO I
Insl.1I DiskCryptor driver?
I¡I¡:!
I
sr
I
No
Fig. 5.15. Inslalación del conlrolador DiskCryplor.
2.
Una vez instalado ejecutamos la aplicación dcrypt.
,
I!ii: DiskCryptor 0.7.435.90 Fil e Vo lume!;
Tool5
.
.
H ome~
He1e
I Disk Orives
I
f>lount
I (3
r
l o l@)1 13
Size I
TOSHIBA MKl637GSX 13 yolumel
1.46 gb E) ¡;,: 143gb E) Q,: 1.63 gb "" HI.-DT-ST D\'IlAAM GSA-T2llN Obytes oiJ .: IL"" HI.-DT-ST DVORAM GSA·T2llN G!J E: Obytes
I
L.b~l~ WinRE Vistzl Nuevo vol
NlFS NlFS NlFS
Status
I
I boot
oyo
~ncr ypt
QeClypt
MountAD
!::!nrnount AH
I
Ij I I! I
I
Fig. 5.16. Programa DiskCryplor. (Conlinúa)
112
Seguridad activa en el sistema
5
Caso práctico 6
~I 9
(Continuación)
3. La seleccionamos y hacemos clic sobre el botón Encrypt (cifrar). Posteriormente deberemos seleccionar entre los distintos algoritmos de encriptación (A ES, Twofish, Serpent, AES-Twofish, Serpent-AES, AES-Twofish-Serpent ... ) y hacer clic en el botón Next (siguiente).
Como hemos visto en la Figura 5.16 la aplicación visualiza las unidades de disco que puedes encriptar. En nuestro caso, lo que queremos encriptar es la D:, unidad dedicada a datos.
Illi: OiskC'}'Ptor 0.7.435.90
,
File
Volumes
To o l ~
Ji~
~
1= I@] I
-
..
Hel ~
H o mep a~e
!Disk Orivos g
Size
TOSHIBA MK1637GSX 13 yo/umel ~:
g
I I I I I
rllount
I ' " Q.: I = ",.nT~
-
!
1.I""tnl.1/m1 1 ..·u! .d h] 1.329
la8%[ 2889-a7-28 13,88,43 114,a Ha/51
--.-K/s
en 9s
'jcameron-key.asc' guardado [1329/1329)
root@ana-desktop:/root#
Fig. 5.30. Comondos. A continuación, debemos ejecutar los siguientes tres comandos que aparecen en la Figura 5.30 para añadir la clave pública, pareja de la privada, con la que se ha firmado el repositorio. Por último, actualizamos e instalamos la herramienta webmin, mediante la ejecución de los siguientes comandos (Figs. 5.31 y 5.32). iJlliij ••
1111 Archivo .Editar yer !ermlnal
AY.IIda
root@Jupiter:/hor::e/adr.linistradorl apt-get update Obj http://es.archive.ubuntu.com jaunty Re\ease.gpg Obj http://security.ubuntu.coCl jaunty·security Release.gpg Ign http://securi ty. ubuntu. coc! j aunty· security/m~in Translation·es Ign http://securi ty. ubuntu. COel j aunty· security/restricted Translation-es Ign http://securi ty. ubuntu. coc! j aunty· security/universe Translation·es 19n http://securi ty. ubuntu. COel j aunty· securi ty/llml tiverse Translation-es Des: 1 http://es.archive.ubuntu.co!:! j aunty/main Translation·es [606k61 Obj http://security.ubuntu.coC! jaunty·security Release OOj http://securi ty. ubuntu. cor.! j aunty· security/main Packages Obj http://download ....ebmin.coCl sarge Release.gpg 19n http://down\oad ....eor.lin.col1 s~rge/contrib Translation·es Obj http://security . ubuntu. cor.! j aunty· security/restricted Packages OOj http://security.ubuntu.coCl jaunty·security/mdn Sources OOj http://security . ubuntu. COI1 j aunty· security/restricted Sources Obj http://securi ty. uOuntu. COCl j aunty· security/universe Packages Obj http://security.ubuntu.col':l jaunty·security/universe Sources ~ Obj http://security . ubuntu. COI':I j aunty· security/mul tivef5e packa!f!s Obj http://securi ty. ubuntu. coc! j aunty· security/~ul tivene Sources Obj http://download ....ebr.lin.colll sarge Relea5e 19n http://download.webmin.col':l sarge/contrib Packages Obj http://download ....eblllin.cor.l sarge/contrib Packages r;-1 16\ 11 Translation-es 114035/60SkB 16\1 12.3kB/s 405 ~
6J'Chlvo .l;ditar yer ~rmlnal AyJ,ida , -_ _ _~_ _ _ _ _ _ ; adl':linistrado~Jupiter:·S apt-get instan weomin El
.
Fig. 5.31. Orden apt-get update.
Fig . 5.32. Instalación webmin.
Seguridad activa en el sistema
Para ejecutar la aplicación tendremos que abrir un navegador web, en nuestro caso Firefox, e ir a la siguiente dirección https://localhost:10000. Es muy probable que al acceder a dicha dirección el sistema nos devuelva un error como el que se muestra en la Figura 5.33.
localhost:l0000 usa un certificado de seguridad no válido. No se confía en el certificado porque está firmado por sí mismo. (Código de error: sec_error_untrustedjssuer)
Fig. 5.33. Error del certificado.
Para solucionar dicho error debemos crear una excepción. A continuación aparecerá una página como la que se muestra en la Figura 5.34.
archivo f-ditar
~
" re
~er
O
Hiz.torial
ti§
Marcadores
Herramien¡as AY.I.I.da
1" I
I!§] https:fl10calhost:lOOOO/
f;jj Más visitadosv . Getting Started Login
ti)
~ l.atest
WehOiIn
{
~v lGoogl e "'l.
Headlinesv
-
I
You must enter a usemame and pas5word to login to the Webmin server on localhost. Username lroot Password
I~.~.~.=:.=:.=:.:¡:I===~
O Remember login permanently7
~ I clearl
localhost:l0000
Terminado
~
Fig. 5.34. Formulario de conexión a lo aplicación Webmin.
Introducimos como usuario al administrador root y la contraseña del mismo. A continuación veremos una nueva ventana como la que se muestra en la Figura 5.35. Si no tienes una partición inde-
,
. lo •."'"
pendiente para /home, puedes crear una nueva partición y realizar el caso práctico sobre esa partición.
".1
,.""..""
~webmin
" .... !
".,..."" "o....... u",....
u,..,_ ...
•.."m ....'"..".
",~
" " " .... g ...
u " ",..
'_.n... '...
...."",..""',........ .....,. ,.
CPU ," O ~ ' ....... j ro
1-01,-""",- 1
_.- --
... ...,.",""""u
Fig. 5.35. Pantalla inicial webmin.
Como podemos ver, este programa es una aplicación web que se puede utilizar para configurar multitud de opciones del sistema. 120
Seguridad activa en el sistema
5
Como vemos en la Figuro 5.35, la página de entroda tiene un marco a la izquierda con un menú. Escogemos la opción Sys/em (sistema) y dentro de esta la opción Disk and Ne/work Filesys/ems (Disco y Sistemas de archivos en red). Una vez realizada la selección, el marco de la derecha se actualiza visualizando todos los sistemas de archivos de nuestro equipo (Fig. 5.36).
-e o Ii! MIiI ... . iu do. -
o ~
[§l hllp. ~floco~oll,¡O OOOI
:' "C'='_-____
Oo G.ttin~ 5tart.d Q u tl'! H..
lO')"" rool D llllbmin e S)"ll m E100IU~ .nd Shutclo·" " Ch.ng o p."wo,d. O"'OuOI~'
M,dul. Co"¡ig
=====:: :,¡!j:I
MaUllllld.-.
typa
I (Roc! ,*,,~t.ml
K omo¡ f~ .. ystom
FoI .. y".m Boc'u~
,horno
logf"" Rot.t,on r·!:ME T)'p l P"'g,am,
\Ilrtu~M . 'T>0'Y
VlrtullMomol)'l , WlIp)
¡m. d.a¡,d,cmO ¡ml d.:o¡fIoFPYO
IluM",gP,.,. " .. Sch.dulod Comm.nd.
sch"dul , d (,on lob.
sch ....,. P"'~.g .. 5)":om OoCum Onl"li," sysl om leg' U•• " .nd Group. [) Slrw ..
o oth. .. O
Iprod
Unu.U:1 (IoaIuJ
• • u
It
.:,j - . - . C\IdoIO
:==0 ,...,.. do .. ~
.
-~ J ,
Fig. 6.31. Seleccionamos el servicio Te/n et.
2. Hocemos doble clic sobre el servicio y se obre su ventano de propiedades. Desplegamos los opciones de tipo de inicio y seleccionamos Deshabilitado.
"""" -....,
--,
Ibltnd! .......,.,:
FU.o~~oI
"""
r-~"'_-"noe"""" "'oI ~ r:->J.¡.,:..u~.,
....
_
~
qcU:Ie:
c;W"rd:rn~lZ'~.-
1
TlPQden::i:l :
I
Eu:!oc!tl""""":-~ 1
11
~
"'-
II
p-
I I "'"'''''' I
Puedo ege:lcz-b ~m..... c!o_o;....~....c,
4. En coso de que desees volver o activar el servicio, o habilitarlo paro que se active de modo automático, tienes que realizar este mismo proceso pero seleccionando el tipo de inicio que desees y pulsando
o
~ O"" .. dII!
IbIin~~ T'"
3. El servicio seleccionado yo estaba iniciado, por lo que es conveniente que lo detengamos de inmediato. Paro ello pulsamos sobre Detener, que aparece en el menú de lo izquierdo que corre spondiente al servicio (Fig . 6.30).
Iniciar.
.,.".
Telnct p,.,,¡:iedadosr...... ¡¡o baIJ
... nc.
"~des:Io-=1J; .
F~.dr"""
.-J
L-
1-- 1 I '"""" I C- J Fig. 6.32. Deshabilitamos.
Servicios en Ubunlu
El manejo de servicios en Linux, denominados habitualmente demonios, es parte esencial de la administración de este tipo de sistemas. Ubuntu 9.04 ha minimizado,el tiempo de arranque del sistema operativo, en parte cargando un menor númera de servicios al inicio, lo que, además, facilita la administración . Podemos acceder a los servicios instalados desde el entorno gráfico del sistema operativo, pulsando sobre Sistema y seleccionado Administración, donde está la opción servicios que ves en la Figura 6.33. Desde aquí podemos activar y desactivar servicios con un solo clic.
~
r
...
__
.............
~ ·-~-=·~"·~··'-' o 0 GnUolft ....-pad6n' ....-r 101
CnUoIn ...
! 'lt 101
1 101
le ;l
dIo""........ __
GnU6n'" -
·1
I~
... jaqold)
~ GcsU6n ......... ¡."",1It
@GcIl:"'..... """....... ¡1wttfJt ~ GcIUoln U~ "pIGo l
1_ ¡;iL!a
ele
..
1""!u7""nl"t(p]
~"'.:~~:'!.:.~!."-;ri:IICD I~I
~
Fig. 6.33. Servicios en Ubuntu.
6
~J
1 /6
Seguridad acliva en redes
----~----------------------------------
I
á
Ejemplos
En el Caso práctico 4 hicimos uso de alguno de los comandos
Los verdaderos posibilidades paro controlar los servicios estón en el uso de lo línea de comandos. Los servicios instalados en el sistema se encuentran en lo carpeta /etc/ init.d pueden arrancarse, pararse, etc., con el uso de cuatro modificadores: •
sta rt : arranCamOs el servicio.
cio hamachi. En la Figura 6.34 podemos ver cual es la orden que hemos de escribir parar esle
•
stop: paramos el servicio.
•
resta rt: reiniciamos el servicio.
mismo servicio.
•
status: nos informo del estado del servicio.
anteriores para manejar el servi-
_
uooovoo _
.....
.....1..""'·"_ ... ·····1·"' ...,........ _ .., ,,.. ::::::::J:;;.i~,
.. ,....·\. ."... '.. 1
Fig. 6.34. Parada de un proceso.
4. Seguridad en redes inalámbricas En los últimos años, los necesidades de comunicación en los empresas y en los hogares han cambiado mucho, y no solo en la velocidad de los conexiones o Internet. El uso de ordenadores portótiles y otros dispositivos móviles como por ejemplo teléfonos móviles, consolas portables o PDA se ha disparado en los últimos tiempos . Este tipo de equipamiento exige conexiones inalómbricas que permitan la movilidad. Los ventajas y las inconvenientes que proporcionan los redes inalómbricas son: o
Según el Inslilulo Nacional de Esladíslica, desde el año 2006 se observa un estancamiento
en el uso de los ordenadores de sobremesa, mientras que los
porlátiles han crecido un 4% de 2006 a 2007 y un 6% de 2007 a 2008, siendo en este último año de un 40 %. El uso de banda ancha en los hogares en el año 2006 ero de un 30 %, en el año 2007 de un 40 y en el año 2008 de un 45 %.
Fig. 6.35. Wi·Fi con antena.
Movilidad: nos permite conectarnos desde
cualquier punlo ¡dentro del alcance de la red inalámbrico). Escalabilidad: podemos añadir equipos fácil· mente y con un coste reducido. Flexibilidad: permile colocar un equipo en c ualquier punto Ino es necesaria una toma de red). .
Menor rendimiento: el ancho de banda es
mucho menor. Seguridad: cualquiera que esté en el alcance
de lo red puede aprovechar una vulnerabilidad pora colarse en la red o descifrar los mensajes. Interferencias: la red es mucho más sensible a interferencias.
Tabla 6.1. Ventajas e inconvenientes de los redes inalámbricas .
Existen varios tipos de conexiones inalómbricas: Bluetooth, Wi-Fi (puedes ver uno adaptador Wi-Fi en la Fig. 6.35), 3G (puedes ver un adaptador 3G en lo Fig . 6.36). Nos vamos a centrar en las redes Wi-Fi, por ser las que proporcionan el acceso o una red de órea local.
Fig. 6.36. Módem 3G USB.
'~""d"d "";~""
"do"
6'-C-'
------------------------~-------------
4.1. Tecnologías Wi-Fi El estándar IEEE 802.11 define los dos primeros niveles de la capa OSI para las redes de área local inalámbricas (WLAN). Los protocolos estándar que permiten la comunicación inalámbrica son:
54 Mbit!s
Sufre menos interferencias porque no es la banda de los teléfonos móviles y otros electrodomésticos, sin embargo es mucho más sensible a los obstáculos.
100 metros
11 Mbit/s
La frecuencia de 2,4 es menos sensible a los obstáculos, pero en esta frecuencia trabajan muchos electrodomésticos que provocan interferencias.
100 metros
54Mbit!s
Las interferencias sufridas son las mismas que en 802.11 b.
802.11a
5GHz
50
802.11 b
2,4GHz
802.119
2,4GHz
802.11 n
2,4GHz y5GHz
metros
Aunque el estándar se publicá de forma definitiva en septiembre de 2009, 100 metros
600 Mbps
ya existían anteriormente dispositivos que cumplían un borrador del estándar
llamado 802.11 draft n. Los dispositivos de este tipo son compatibles con todos
105
protocolos anteriores.
Tabla 6.2. Protocolos inalámbricos estándar.
Es importante tener en cuenta que los dispositivas electrónicos Wi-Fi que interactúan entre sí pueden seguir diferentes estándares, y tendrán que ser compatibles entre ellos para poder comunicarse. Algunos dispositivos Wi-Fi son compatibles con varios de estas estándares. Cuando un punto de acceso permite por ejemplo los protocolos 802.11b y 802.11g, si lo configuramos correctamente podemos conseguir que se conecten a él estaciones con dispositivos 802.11b y 802.11g . Existen otros protocolos na estándar como por ejemplo 802.11 g+ que aumentan la velocidad de comunicación con las estaciones que soportan estos protocolos.
Actividades
9t
11. Una pequeña empresa como SiTour comienza con 2 empleados. Tiene la esperanza de triplicar el personal en el próximo año. Han alquilado un local en el que no hay instalación de red. Analiza las ventajas y desventajas de la red inalámbrica para este caso.
12. Analiza el uso que haces tú en tu vida diaria de algún tipo de comunicación inalámbrica. Intenta identificar que tipo de comunicación inalámbrica se está produciendo.
13. Consulta en alguna tienda online cual sería el coste de un router inalámbrico y tres adaptadores Wi-Fi, dos para portátil y uno para el ardenador del aula.
14. Revisa la solución que propusiste para la actividad anterior y averigua si todos los elementos que seleccionaste son compatibles. Si no lo son, escribe por qué.
15. ¿Qué protocolos estándar permiten los dispositivos ráctica 6
6
9
(Continuación)
2. Accedemos a la sección de configuración Wi-Fi básica. Aquí hay que tener en cuenta que cada fabricante utiliza una aplicación de configuración diferente (Figs. 6.38 y 6.39), por lo que tendremos que buscar las opciones e incluso disponer del manual del punto de acceso. Dentro de la configuración básica ponemos el SSID (Service Set Identifier), que es el nombre que tendrá la red Wi-Fi.
3. Por último accedemos a la sección de Seguridad Wi-Fi y ponemos autenticación abierta y seguridad deshabilitada (Figs. 6.40 y 6.41) para los routers inalámbricos Comtrend y linkSys . Do . leo
.- . - , ..""... ... ",,.,,.,,,, ..... . ...... ,,, ..,, ... .,,, .." """'"',, ,. .. .. "," c".. ·~"' ,.." .. '"1" . .. . '''" ,... .. .. ",.",, "'
"',",,, h ,. ,. """ . . ..... ,.",,,.,,, ,., . .. ,,,,j,,,I,
..
w.
"
\\1 , .. ...
o....
~ '" . ,. " ,.,
. ..
" ~"" . " ,,
II . ..... . . ,... , .. ,¡"
\\Ir .. ...
IIo . ~
--
•
..... _ 'd ~
.. .., w.
ti ..... "" .
Fig. 6.40. Seguridad Camtrend deshabilitada.
Sectdy
r.tod~ :
Fig. 6.4 1. Seguridad LinkSYS deshabilitada.
4. Conectamos uno de los conectores RJ45 del punto de acceso a la red cableada habitual de clase y ya podemos conectar un ordenador por Wi-Fi al punto de acceso. Ten en cuenta que el estándar 802.11 no modifica el nivellP, así que usaremos la misma configuración IP de siempre. Como puedes comprobar nos podemos conectar a la red que hemos creado sin utilizar contraseña.
4.3. Seguridad Wi-Fi En el caso práctico anterior hemos configurado un punto de acceso para permitir el acceso sin seguridad a la red. Como has podido comprobar cualquier cliente que tenga una tarjeta de red inalámbrica compatible con el punto de acceso, podrá conectarse a la red. Esta no es la situación deseada. Lo que habitualmente queremos es contra lar quien se conecta a nuestra red. Para ello podemos aplicar varias medidas de seguridad, que se pueden agrupar según el nivel en el que aplican: •
Nivel físico: en este nivel podemos intentar controlar la señal producida por los puntos de acceso y las interferencias recibidas. A través de la utilización de diferentes antenas podemos intentar conseguir que la señal salga lo menos posible de los límites deseados.
•
Nivel de enlace: en el nivel de enlace hay mucha variedad de medidas que podemos tomar para conseguir este objetivo:
Aunque pueda parecer sorprendente/ inicialmente los proveedores de servicios de Internet/ cuando instalaban un router ina-
lámbrico, dejaban la red Wi-Fi abierta.
Controlar el acceso a través de una contraseña común para todos los clientes. Controlar el acceso a través de una caracteristica del clien te, como par ejemplo la dirección MAC o un nombre de usuario y contraseña.
Actividades ~ 19. ¿Hay alguna forma de obligar a un punto de acceso a que utilice un estándar 802.11 determinado si es compatible con varios? Describe el procedimiento a seguir en el de clase.
165
~/6
Seguridad activa en redes
------~----------------------------------------
5. Seguridad WEP CRC es un código de comprobación que se calcula a partir de
las datas y se añade al paquete para que en el destina se pueda comprobar que na ha habido variación de los datos durante la transmisión.
WEP (Wired Equivalen! Privocy) es el sistema de cifrado estóndar que se utilizó inicialmente para el cifrada del protocola 802.11. Intenta dar a los redes inolómbricos la seguridad que se tiene en los redes cableadas. La principal diferencio entre la s redes cableadas e inolómbricos es que en los redes inalámbricos puede intentar entrar en lo red cualquier persono dentro del alcance, aunque seo fuero de lo empresa, mientras que en uno red cableada hoy que tener acceso físico a dicha red, es decir, hoy que estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones de trabaja tienen que compartir una clave (clave WEP). Esta clave puede ser según el estándar, de longitud 104 bits (13 caracteres) a 40 bits (5 caracteres).
I Cabecera
Datos
I GRC
¡ Se suele hablar de WEP 128 o WEP 64, pero realmente estos 128 o 64 bits son el tamaño de la contraseña WEP y el vector
Clave WEP
~8
Vec. lnj (IV)
~8
inicialización.
~8
¡
de inicialización juntos.
Por ejemplo se habla de WEP 128 porque es uno clave de 104 bits más los 24 bits del vector de
Cabecera
I
í Datos
IV
CRG
Fig. 6.42. Funcionamiento WEP.
W EP util iza un algoritmo llamada RC4 para a partir de lo clave WEP y de un vector de inicialización de 24 bits (también llamada IV), generar una secuencio aleatorio, llamada semilla, lo cual utilizaró para cifrar lo comunicación can el punta de acceso. Puedes ver un esquema del algoritmo en la figuro 6.42. El resultada es una trama en la que la cabecera y el vector de inicialización va n sin cifrar y tonta las datas cama el CRC van cifradas.
q
Caso p'ráctico 7
Seguridad WEP en el punto de acceso Configurar el punta de acceso para utilizar una clave WEP de 128 bits y proteger así el punta de acceso.
l. Abre en el navegador la página de configuración del
del rauter para poder restaurarla pasteriarmente y dejar toda cama estaba.
4. Selecciona WEP cama moda de seguridad (figs. 6.43 Y6.44).
_. ...._.,
rauter.
:::.:'',':•••::. .... ::::~7:::...''':::;'.:: ..... _.....•.:;;' M'........ ................_. .. .... _"....._. o.,
~,:~
2. Configura tal y cama se describió en el cosa práctica
~
:;:,~~'':: '::.~:::.:; :.~~"
, ... ·• ••v .. ..
anterior el nombre de lo red.
3. Accede a la sección de seguridad inalámbrico . La
__ ,_ ' •• _ . ,....
-~-.-
encontraras tal y cama la dejamos en el cosa práctica anterior, es decir, cama la ves en las figuras 6.40 y 6.41. Es recomendable que hagas estas casas prácticas can varias puntas de acceso (par ejemplo, el del au la y el de tu casa) parque las herramientas de configuración san diferentes. Si realizas esta tarea en tu casa, haz primera una copia de seg uridad de la configuración
-. . ~
""
........ ~
~
.·." ... ...·,.. ~l ; .....~ ...-;g
Fig. 6.43. WEP en Rou/er Com/rend.
(Con/inúal
Seguridad activa en redes
6
Caso "rádico 7
9
(Continuación) !OcWoc••,:b.v'¡ QlrI~;oo5ndlt.d a¡~. Do!~1as ap:lOrIe ~tublud.l" no Io.Ibo!b q..ets.::e".
1r1:~,~
~,,~,~
1
lo" mor ",1, .. , "" db ", m 1 , ] 4 5' , o ,0 ,', 5 :~ :: : :
r~~l : ~ :::~ lO 15 n
l'
SSH lin.OI [SSl .2 Kla)·
u~ im .
ID 05 :53:311 ¡up, ur.y. lo ga 1.5. ~2Ubu ntull : ruu rt. ¡ 1005 :53:311 ¡ Upl u r anac , pn(411l uU S 1000:03 :42 ¡ Up ' U "J. I...., r1 View> Control Panel o Ctrl+shiFt+C) , pulsamos con el botón derecho sobre el Fondo del panel y seleccionamos la opción Nuevo usuario (como se ve en la Figura 8.24). 2. En la pestaña inFormación del usuorio User Info rellenamos los datos que nos solicita y pulsamos Aceptar. 3. Poro vincular un equipo de lo red al usuorio que hemos creado, lo vamos a hacer o través de lo opción Usuarios asumidos (Assumed users) que nos aparece en esa misma pestaña . Hocemos doble dic sobre esta opción y en la ventana que nos aparece, dentro de lo pestaña por nombre By Name seleccionamos añadir y ponemos en primer lugor el nombre de red del equipo; en el desplegable seleccionamos el usuario que acabamos de crear. Podemos comprobar que reconoce el usuoria (en el nivel asumido) cuando la máquina que hemos asignado se conecte al proxy.
Existen vorios métodos de autenticación en WinGate, es decir, diversas Formas de hacer que los usuorios, poro conseguir acceso a Internet, tengan que poner su nombre de usuario y contraseño. De esta Forma WinGate los reconoceró como usuorios autenticadas y así podremos estar seguros de que realmente se troto de ellos . Algunos de estos métodos de autenticación son:
Seguridad de alto nivel en redes: proxy
•
Autenticación Windows: WinGate puede utilizar los usuarios ya definidos en el equipo local o bien utilizar los usuarios definidos en el dominio (en caso de existir). El principal problema de este sistema es que todos los equipos tienen que utilizar Windows, pero se tiene mucho control sobre los usuarios, porque podemos conseguir de una forma cómoda y transparente para el usuario que todos sean de nivel autenticado.
•
WinGate Internet Client: consiste en instalar una aplicación de WinGate llamada WGIC.msi en el cliente, de forma que cuando el usuario accede por primera vez a un servicio del proxy le sale una ventana para que ponga su nombre de usuario y su contraseña. Esta aplicación sólo existe para Windows, así que todos los clientes tendrán que ser Windows.
•
WinGate Java logon applet: con este método, cuando el usuario quiere acceder a través del proxy a un servicio que requiere autenticación, le muestra una ventana en el propio navegador para que ponga su nombre de usuario y contraseña. Es necesario que tenga instalado java en el navegador (es muy probable que lo tenga). Esta solución es multiplataforma, así que el proxy podrá tener clientes Windows, Linux y Mac sin ningún problema.
Actividades " 18. Discute con tu compañero argumentando tu respuesta que tipo de autenticación es más útil para tu instituto.
Caso práctico 6 Nuevo usuario «autenticado» en Wingate
9
2. Normalmente WGIC detecta automáticamente la direc-
Configurar un cliente para que se pueda autenticar con WinGate Internet Client.
1. Copiamos el fichero WGIC.msi del directorio de instalación del proxy (en concreto está en C:\Archivos de programa\WinGate\Client\WGIC.msi) y lo instalamos en el cliente.
ción del servidor, pero en algunos casos es necesario ponerlo de forma manual. Después de la instalación, en el cliente, abrimos el panel de control y vemos que hay un nuevo incono para la aplicación que acabamos de instalar. Entramos en el panel de control de WGIC y en la pestaña servidores WinGate (Wingate Servers) miramos si ha detectado el nuestro automáticamente; si no, lo añadimos (Fig. 8.24).
General Blndings Sessions Central Conflg PoIides
loggng
Use/ Appficalions Gene/al
I
I
S,lIslem Appfications Advanced WinGale Se/ve/s
Recipienl Ilocalion] Time ] Ban h l] Advanced] r- fver,llOne
~ped1,l1 user 01 glOup IEveryane
r.
Automalical[v ~elect which selVe/ lo use
r
r
Use se/ve/
User J Gr~ AdministIalor m AdministIalor: Guesl U:er:
IJUPI TE R AddreS"$ 192.168.50.1
Se/ver
I!!
POlI 2080
n m f} Vgoinia
Descrmlion BUlll en accnunl for adminislerin. .. Member: can adrninider Ihis se... Buill in accounl for guesl acce~.. . DrdinarJl me/:
r r
u ser maJl be ynknown UsermaJlbe-ª$surned r- jü sermusl be aul~enlicaled
Add
Help
Remove
App!!'
I
Ed,1
11
Relresh
OK
Fig. 8.21. Configuroción WGIC.
I
Cancel
Fig. 8.22. Forzar autenticación.
(Continúo)
Seguridad de a lto nivel en redes: proxy
~casa~ ~ r~ á~ ct ~ iC = O ~6 ~
____
~
______________________________________
~
______________________
~
(Continuación)
3. De nuevo en el servidor, dentro de la pestaña System del panel de control nas encontramos un servicio llamada Winsack Redirectar Service, que es el que se encarga de comunicarse con WGIC en el cliente. Vamos a modificar el servicia para que sala puedan acceder usuarias autenticadas. Hacemos dable clic sobre el nombre del servicia, y dentro de la configuración seleccionamos Políticas (po/icíes) (Fig. 8.26). Añadimos una nueva política seleccionando la opción Los usuarios tienen que estar autenticados (users must be authenticated) (Fig. 8.25). Después seleccionamos
en Permisos por defecto (Default Rights) que estas sean ignaradas (are ignored), para que solo tenga en cuenta los permisos que acabamos de darle y no los permisos par defecto (Fig. 8.26). Ya podemos comprobar que cuando el usuario se conecta a Internet a través, por ejemplo, de Internet Explorer le sale una ventana de WinGate para solicitarle nombre de usuaria y contraseña (Fig. 8.27). También puedes comprobar en la pestaña actividad de Wingate que el usuario es reconocida como usuario autenticado (Fig 8.28).
,
1"
I.:!!J
S IlttnSefVice. Ca>'igualJcn
~ DflCPSeI"",e
O G.n'fol ~
@.
~ GDPS.,vic. ~ DUS
s.,,,,,.
~m.n;¡s
QSmions ~ CenlfolCorio;l
~ Remole C""'rol ~ FOPJSer"", ~ SM1P S.,ver ~ IMAP~ S.,ver
R. .
Il_,
R· t:
1!1,_
aEm~
li3 Ca:hng .I!..rau!:,i;#:ISY:'.mpckie:1 ~ l fji4¡: · .! ji ! j.
8!lSchedtk! ,f¡jDlalel
iiii33
1J~ -~sYllttn l~S ~________~______~~==~==~==~
Fig. 8.23 . Políticos poro Winsock. e~ Cr:en! attiv~y
~ ~
~ lUPITER[Adminlstrador] - (Adm:nistrator . Authenticated [ WinG~te log:n: Mod,Fy user Virg;nill
·WinGate requiles you to authenticate yourself before alJowing access to this selvice. Please enter your WinGate username and password (these are case·sensitive).
ª
/i!J
Vif-laptop[virg!nill] • (virg:nla • Authenticated [WinGate]) I ~ WRP Control Se~5jon' Fir.fox.exe http://www.google.es/irnages
!!J
~ http://l'lWW·gooo!. · . 5fim~ges/icons/5ettillnized_ui/play_c
. ~ http:/{dentsL.gooQ!e.es/completelsearch
~ httP :/{I'IWW.goo~¡e. e sfimages ~ http://I'lWl'l.goo~!•• es{jmages
Username: Passward:
rr-
1virginia
~====~I OK
II
gj! Sy:lem lntern~1 aetivily
Cancel C) Aclivity
Fig. 8.24. Acceso WGIC.
~ Netwolk ~ Ma.~ Queue
C9 Hi~loty !.ID Sy~le
Fig. 8.25. Virginia autenticada.
~ Actividades 19. ¿Puede un usuario navegar sin tener instalado WGIC en su equipo?
20. El servicio Logfile server en el puerto 8010 es un servicia que permite acceder desde un navegador en cualquier equipa de la red a los lag de WinGate. Puedes probarlo poniendo en tu navegador
192.168.50.1:8010, es decir, la IP del servidor WinGate y el puerto de este servicia. Configura el servicia para que solo puedan acceder los usuarios de tipo
authenticated. 21. Crea un nuevo usuaria adminJag y configura el servicia Lagfile Server para que sola él pueda acceder.
Seguridad de alto nivel en redes: proxy
5. PureSight PureSight es un plugin de la misma empresa que WinGate que proporciona una clasificación de sitias Web y un software que apoyado en WinGate permite o deniega el acceso a sitios clasificados según unas categarías.
Caso práctico 7
9
Instalar PureSight para utilizarla iunto con WinGate.
PureSight realiza la rlllm;t;i,-nc';nn de los sitios Web por dos métodos:
1. Descórgate el programa de la pógina de WinGate (hHp://www.wingate.com/).
• Una base de datos de los sitios
La versión utilizada durante el desarrollo de este libro ha sido PureSight 3.0.
ya clasificados previamente .
2. Eiecútalo y acepta la licencia. Se detendró WinGate para poder realizar la
• Un sistema de reconocimiento automático de contenidos que permite la clasificación de sitios de nueva aparición.
Instalar PureSight
instalación (hay que tener en cuenta que PureSight es un plugin de WinGate).
3. Nos muestra la ventana de activación. De nuevo, al igual que en WinGate, es muy importante que no pasemos esta pantalla sin activar el programa. Para activar el programa seleccionamos la opción activar prueba gratuita (activate free trial) (Fig. 8.29).
Activiltilln re quir ed
Thh Pl:ooucl requJ ~ i1clivation
In otdel lo fundon, PureSighllrx lÑlI'lGate mu:l be aclivaled You ma}J ac liv~le ~ {lee trial, 01a}JOU have a putcha:ed liceme, }JIlU can activale lhal hete now. 0 ~clival e flea
llial
O Act ivale a purcha:ed liceme
Para
activar o desactivar el
plugin de PureSight hay que
o Latel, You may aclivate a
~ial
acceder a la configuración de
ol liceme u:ing Eceme managemenl in WinGate
plug-ins de las propiedades del servicio www proxy y seleccio-
( ga~J.
J
11
tle~l )
I
nar (para activar) o deseleccionar (para desactivar) el plugin PureSight for WinGate.
L~~
Fig. 8.26. Activación PureSight.
4. Pulsamos siguiente, se descarga la licencia de prueba y termina la instalación, iniciando de nuevo de farma automática Wingate con el plugin de PureSight ya cargado.
I 5. L
Comprobamos que se ha instalado correctamente abriendo GateKeeper y viendo que aparece en el menú Opciones, Plug-ins.
Al instalar PureSight, automáticamente se nos activa el plug-in en el servicio WWW proxy, por lo que cualquier usuario que acceda a Internet a través del proxy estará utilizando dicha clasificación.
Actividades ~ 22. Activa el plug-in PureSight y comprueba que el cliente cuando está configurado para salir a Internet a través del servicio de proxy no puede acceder a Gmail. com, y cuando está configurado para salir a través de NAT sí.
Los usuarios que están ,nl;pnrln a Internet a través del serVICIO
NAT no se verán afectados por esta clasificación. En la Figura
8.29, el equipo vir-Iaptop está saliendo a Internet a través de
proxy y no de NAT.
Seguridad de alto nivel en redes : proxy
Podemos evitar que los clientes puedan salir o Internet o través de NAT soltándose así el servicio proxy, convirtiendo nuestro servidor proxy-NAT (actualmente implemento ambos servicios) en un servidor proxy transparente. De esto manero todos los peticiones que los clientes hagan 01 servicio 80, aunque no vayan dirigidos 01 proxy, serán interceptados par esto y posadas por el servicio WWW proxy. Paro hacer esto, hocemos doble clic sobre el servicio WWW proxy y en la sección Sesiones (sessions) seleccionamos lo opción Interceptar las conexiones hechas a través de ENS (intercept connections made vio ENS) y añadimos el puerto 80. Para configurar exactamente qué sitios queremos que PureSight bloquee, tenemos que acceder a Option > plug-ins > Puresight for WinGate, y dentro del panel izquierdo seleccionar la opción Cotegorías filtradas (Filtered categories). En esto ventana, PureSight nos muestro todas las categorías disponibles, simplemente seleccionándolos a trovés del cuadro de selección todos los sitios de esta categoría quedarán bloqueados en el cliente.
~ Actividades 23. Configura el proxy para prohibir el acceso o todas las categorías excepto Noticias, Mail y Deportes. Comprueba que el cliente no puede acceder o estos categorías de contenidos. 24. Despues de un tiempo funcionando WinGate con PureSight en SiTour detectas (analizando los lag) que los usuarios pasan bastante tiempo en lo página www. minijuegas.com. Debería estar bloqueado, pero no es así. Utilizando la opción Manual Clasification de PureSight prohíbe el acceso a esta página clasificán· dolo como de juego. 25. Personaliza el mensaje de prohibición que se muestra a los usuarios cuando acceden a un contenido de tipo juega en la opción Custom Response de Pureo Sight. Deberá mostrar algo como "Por política de empresa está prohibida esta página».
6. Control de 109 en WinGate
Tendrás que planificarte como una tarea periódica de tu tra-
bajo la revisión de los ficheros de lag, porque esta informa-
Para poder controlar el carrecto funcionamiento de los servicios y la utilización de los mismos, es necesario comprobar con cierta frecuencia los lag. WinGate genera dos tipos de lag: •
Lag de usuario: son ficheros en los que WinGate almacena información sobre los usuarios y su actividad. Estos ficheros se almacenan dentro del directario de instalación de WinGate, dentro de la carpeta audit, en un directorio con el nombre del usuario. Para activar la auditoría para un usuario, pulsamos botón derecho con el ratón sobre el usuario, seleccionamos la opción Propiedades, y seleccionamos la pestaña de Auditoría (auditing). Una vez ahí tenemos que marcar la opción Auditar 105 siguientes eventos (audit these events) y seleccionar los eventos que nos interesa registrar en el fichero de lag.
•
Lag de servicios: son ficheros en los que se almacena información sobre el fun· cionamiento de los servicios de WinGate. Se almacenan dentro del directorio de instalación de WinGate en un directorio llamado Logs y dentro de un directorio con el nombre del servicio.
ción crece muy rápido y pronto se convertirá en un problema
demasiado grande para abordarlo.
~ Actividades 26. Configura WinGate para que registre en los ficheros de lag cuándo se conecta el usuario administrador, cuóndo se desconecta y su actividad . :18
Seguridad de alto nivel en redes: proxy
7. Squid Squid (Fig. 8.30) es uno de los proxy mós utilizados debido sobre todo a su potencia y estabilidad. Ha sido muy utilizado por los praveedores de acceso a Internet como proxy caché transparente para disminuir el tráfico de Internet hacia sus clientes.
7.1. Instalación de Squid Para poner en marcha Squid en el aula, vamos a seguir la misma configuración física que seguimos con WinGate, es decir, la que se explicó en el apartado 4.1 y se representa en la Figura 8.6.
Fig. 8.27. Logotipo Squid.
Para instalar Squid podemos hacerlo a través de los tres caminos habituales: •
Compilando el pragrama a partir de los fuentes.
•
Instalándolo directamente a partir de los binarios que podemos descargar de hltp:// wiki.squid-cache.org/SquidFaq/BinaryPackages para nuestra distribución.
Para la realización de esta instalación y el siguiente proceso de configuración se ha utilizado
•
A partir de los repositorios oficiales de nuestra distribución.
la distribución Ubuntu 8.10 (Ihe Inlrepid Ibex) y la versión 3.0 de squid. Squid por defecto se instala como proxy (ni proxy NAT ni proxy Transparente).
Nosotras lo vamos a hacer a través de los repositorios oficiales ejecutando el comando aplilude inslall squid3. Una vez instalado Squid en el equipo servidor y configurados los interfaces de ambos equipos, podemos probar el funcionamiento configurando el navegador del equipo cliente (como se explicó en el Caso práctico 4) para utilizar el praxy que acabamos de instalar. Comprobaremos que está accediendo al praxy porque nos genera un error en el que al final hace referencia a Squid (Fig. 8.31). Para poder config urarlo, tenemos que cono-
cer donde se encuentran los ficheros de configuración y log. Las principales ubicaciones son:
.c-.. . .
@D - e :¡¡ .... ....-
y.
ur
Ll.i l!!!> I~ '~-
_ ,, ~ _
co-_
ERROR The ...equested URL could not be retrieved \','h j l~
t ryl n] to
r~t rl e '",
the
~L
b,m " .,,,,,,, .,
• /I ce" .. Denle d. Acre •• conlrol c::>r.fI Q'--'"~ti"" "e,en l, ~~ req...oE~t I,om bewq ~lI o .... ~d ~t thl& t¡me . P l e~ ~~ con t""t you .e,,'I( ~ pro.lóer tr yeu I~el thi, Is w=re