P. 1
Seguridad Informática (Grado Medio) - McGraw Hill

Seguridad Informática (Grado Medio) - McGraw Hill

|Views: 1.557|Likes:
Publicado porcarmen457

More info:

Published by: carmen457 on Nov 03, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

09/11/2014

pdf

text

original

üo,dades ••

8 ••••• .,. . • •
.. ". " ..
••• ,,,,0· ••• ·\0 .
e competeoC
Certificados de profesionalidad
Seguridad informática
César Seoane Ruano
Ana Belén Saiz Herrero
Emilio Fernández Álvarez
Laura Fernández Aranda
p.II.p'
r.
J.Lc'Yr-
, €
~
Formativo
  r o ~ o
Medio
~
Seguridad informática
«La base de tu futuro»
El proyecto editorial de McGraw-Hi ll poro lo formación profesional ha sido
desarrollado según tres principios básicos:
• Una metodología basada en la práctico y en la adecuación de
contenidos y procedimientos a la realidad profesional.
• Unos materiales desarrollados para conseguir las destrezas, habilida-
des y resultados de aprendizaje que necesitarós pora conseguir tu título
y desenvolverle en el mercado laboral.
• Uno presentación de los contenidos doro y atractiva, con variedad de
recursos gráficos y multimedia que facilitarán tu aprendizaje.
El proyecto poro el módulo profesional Seguridad informático ha sido desorro-
liado considerando los unidades de competencia del Catálogo Nocional de
Cualificaciones Profesionales:
Unidades de compelencia profesional
Mantener y regular el subsistema físico en sistemas informáticos.
(UC0957_2)
Ejecutar procedimientos de administración y mantenimiento en el
software base y de aplicación del cliente.
(UC0958_2)
Mantener la seguridad de los subsistemas físicos y lógicos en sistemas
I
informáticas.
(UC0959_2)
Confiamos en que esta obro seo una herramienta útil y eficaz, y que
contribuya a tu formación como profesional.
l
Seguridad informática
César Seoane Ruano
Ana Belén Saiz Herrero
Emilio Fernández Álvarez
Laura Fernández Aranda
Revisor técnico
Alberto Sánchez Alonso
MADRID - BARCELONA - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MÉXICO
NUEVA YORK - PANAMÁ - SAN JUAN - BOGOTÁ - SANTIAGO - SAO PAULO
AUCI<LAND - HAMBURGO - LONDRES - MILÁN - MONTREAL - NUEVA DELHI - PARís
SAN FRANCISCO - SI ONEY - SI NGAPUR - STo LOUIS - TOKIO - TQRQNTO
Seguridad iurormática . Ciclo Formativo Grado Medio
No está permiti da la reproducción total o parcial de este libro. ni su tratami ento
informático, ni la transmisi ón de ninguna forma o por cualquier medi o,
ya sea electrónico, mecánico, por fotocopia, por regi stro u otros métodos,
sin el permiso previo y por escrit o de los titulares del Copyright.
Si necesita fotocopi ar o escanear algún fragmento de esta obra,
diríj ase a CEDRO (Centro Español de Derechos Reprográficos. www.cedro.org)
Nota: Este libro se atiene al artícul o 32 del derecho de cita de la Ley de Propiedad Intelectual
de 1996 (RDLeg 111996 de 12 de Abril)
Derechos reservados © 2010, respecto a la tercera edición en español, por:
McGraw-Hill/Interameri cana de España, S.L.
Edificio Valrealty, \." planta
Basauri, 17
28023 Aravaca (Madrid)
ISBN: 978-84-481-7137-7
Depósito legal: M-1 9725-20 I O
© César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez,
Laura Fernández Aranda
Autores: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez, Laura
Fernández Aranda
Autores del material complementario: César Seoane Ruano, Ana Belén Saiz Herrero,
Emilio Fernández Álvarez, Laura Fernández Aranda
Equipo editorial: Ariadna Allés, Paloma Sánchez, María Justicia, Waldo Pérez
Equipo de preimpresión: Meritxell Carceller, Dani el MontanyiI.
Diseño de cubierta: neprotel.com
Diseño interior: neprotel.com
Fotograrías: Age, Aisa, Corbis, Getly, SanDisk, Quick Image, Google Oregón
Ilustraciones: Mamen Fuente Canalda
Composición: Ediciones Gráficas Arial, S.L.
Impresión: Edigrafos, S. A.
IMPRESO EN ESPAÑA - PRINTED IN SPAIN
Presentación
En la actualidad tanto las empresas coma los usuarios de a pie guardan gran
cantidad de información en sus ordenadores. En el caso de los usuarios do-
mésticos almacenamos gran cantidad de recuerdos en nuestros equipos. Hoy
en día es prácticamente impensable realizar una fotografía con cámara ana-
lógica; todos, jóvenes y personas mayores, nos hemos actualizado y usamos
cámaras digitales para inmortalizar esos grandes momentos de nuestra vids
que terminan almacenados en el disco dura.
Toda esa información debemos prategerla tanto de posibles pérdidas como
de los posibles intrusos. Imaginaos que un desalmado entra en nuestra equipo
y d;fund" por Internet esas fotografías que no queremos compartir con nadie;
o pensemos, por ejemplo, en la cantidad de famosos que intentan proteger la
intimidad de sus hijos. Para poder seguir manteniendo la confidencialidad, la
disponibilidad y la integridad de la información necesitamos tomar numerosas
medidas de protección.
En el caso de las empresas, toda la información es almacenada en los equi-
pos/ sus comunicaciones son realizadas mediante videoconferencias sin nece-
sidad de desplazarnos numerosos kilómetras para hablar durante una sesión
de trabajo. .
La mayoría de las actividades desarrolladas en las empresas se encuentran au-
tomatizadas mediante diversas aplicaciones informáticas, por lo que la caída
de sus sistemas puede suponer grandes pérdidas económicas; la pérdida de
información, a su vez, puede hacer parar la actividad de numerosas empresas
(imaginad para una inmobiliaria lo que supondría perder la información).
Eso sí, lo que en ambos casos sucede es que las empresas pierden fiabilidad
frente al resto de las empresas. Además, en el caso de las comunicaciones de-
bemos asegurar tanto la integridad como la confidencialidad y el no repudio.
Gracias a todos estos avances tecnológicos hemos sustituido la máquina de
escribir y los archivadores por equipos informáticos, o las largas esperas del
correo por la inmediatez del correo electrónico y las videoconferencias. Todo
este avance se ha desarrollado paralelamente al desarrallo de medidas de
seguridad.
En este libro estudiaremos las distintas maneras de protegernos sobre posibles
ataques ci esa confidencialidad que, por una razón u otra, tanto interesa pro-
teger; serán siempre estudiadas desde un punto de vista práctico.
El libro se ha dividido en distintos bloques. En el primero de ellos, introductorio,
intentamos justificar y motivar al lector al estudio de la seguridad informótica.
El segundo bloque aborda conceptos y técnicas relativos a la seguridad pasiva
en los sistemas informáticos, tratándose aspectos como las arquitecturas hard-
ware y, por supuesto, las copias de seguridad, que resultan cruciales en cual-
quier equipo o sistema que se precie. Los sistemas criptográficos son utilizados
constantemente en el día a día de casi cualquier persona, hasta el punto de
que en la actualidad el DNI incorpora un chip electrónica que permite realizar
diversas gestiones seguras utilizando técnicas como las que se abordorón en
el tercer bloque tratado en el libro.
El cuarto bloque se dedica a la seguridad activa en el sistema, tratando dis-
tintas técnicas de seguridad software, relacionadas con términos tan de moda
como hacker o virus, de modo que podamos identificar los riesgos a los que se
enfrenta cualquier equipo conectado a una red.
Por último, no podíamos dejar de hablar de cortafuegos y praxy, considerados
como técnicas de seguridad de alto nivel en redes, pero imprescindibles en
cualquier sistema o red que quiera estar protegido, especialmente si se conecta
a redes no seguras.
Son varias las personas que nos han ayudado en este proyecto y que no que-
remos dejar de mencionar. Agradecemos la colaboración que nos han pres-
tado Daniel Magaña, de la Universidad Antonio de Nebrija, facilitóndonos
documentación y fotografías de la realización de las copias de seguridad; a
Dominador Saiz, al que le hemos robado numerosas horas de su tiempo libre
y a Gustavo Delgado, de Tiscar Instalaciones, por todas las horas que nos ha
dedicado y sus explicaciones sobre los centros de procesamiento de datos.
Otro mención importante es paro www.informationweek.com. su editor, John
Foley, y su editor jefe, Rob Prestan, que nos han permitido utilizar sus imágenes
del centro de dotas de Google en Oregón.
Dedicamos este libro o nuestros parejos y familias, que han sufrido los sinsabo-
res de esto experiencia y nuestro mol humor.
Los autores
,
Indice
o Unidad l.   básicos de la seguridad
mformallca ....................................... ..
4. Modos de recuperación frente a pérdidas
7 en el sistema operativo .. .. .............................
63
l. Seguridad informática ¿por qué? ................. .
8
5. Creación de imágenes del sistema .......... .. ....
69
2. Objetivos de la seguridad informática ......... ..
10
6. Copia de seguridad del registro .......... .. ........
72
3. Clasificación de seguridad .......................... .
13
7. Políticas de copias de seguridad .......... .. .......
73
3.1. Seguridad física y lógica ........ .. .. .. ....... .
3.2. Seguridad activa y pasiva .............. ..... .
4. Amenazas y fraudes en los sistemas
de la información ...................................... ..
4.1. Actuaciones para mejoror lo seguridad ..
13
O Unidad 4. Sistemas de identificación.
16
Criptografía ......... .. .............................
79
17
1. ¿Cómo aseguramos la privacidad
18
de la información? .......................................
80
4.2. Vulnerabilidades ................................. .
4.3. Tipos de amenazas ............................ ..
4.4. Pautas de protección para nuestro
sistema ........................... . .................. .
20 2. Un poco de historia de la criptografía ............ 80
21
3. Criptografía simétrica y asimétrica ............ .. .. 84
3.1. Criptografía simétrica .. .................. . ...... 84
22
3.2. Criptografía asimétrica ..... .. .. .. .......... ... . 86
5. Leyes relacionadas con la seguridad 3.3. Criptografía híbrida ..................... .. ...... 90
de la información ...................................... ..
5.1. Normativa que protege los datos
personales ......................................... .
5.2. Normativa de los sistemas de información
23
4. Algoritmos ........................................... .. ..... 90
23
5. Función Resumen ................... .. ...... .... .......... 91
6. Firma digital ...... .. .. .... ...... ... .. .. .. .. .. .. .. .......... 92
y comercio electrónico ........................ . 26
7. Certificados digitales ........ ... .. .. .. .. .. ... ..... . .. .. . 94
8.
o Unidad 2. Seguridad pasiva. Hardware
PKI .............. ........................................ ... .... 95
y almacenamiento ............................ .. 29
O Unidad 5. Seguridad activa en el sistema ............. 105
1. Ubicación y protección física ...................... ..
1.1. Factores para elegir la ubicación .......... .
1 .2. Control de acceso .............................. ..
1.3. Sistemas de climatización y protección
en el CPD .......................................... .
1 .4. Recuperación en caso de desastre ...... .. .
2. Sistemas de alimentación ininterrumpida ...... ..
2.1. Definición de SAl ...................... ...... .... .
2.2. Tipos de SAl ............................ .. .. .. .... .
2.3. Modo de funcionamiento .............. .. .. .. ..
30
1. Introducción a la seguridad del sistema .. ........ 106
30
2. Seguridad en el acceso al ordenador ............ 106
32
2.1. ¿Cómo evitamos que personas ajenas
33
. modifiquen la BIOS? ............................ 106
35
2.2. ¿Cómo proteger el GRUB con
contraseña? .............................. .. ... .. ... 108
35
2.3. Cifrado de particiones .......................... 112
35
2.4. Cuotas de disco ................................... 117
36
Activación y uso de cuotas de disco
36
en Windows ....................................... 117
3. Almacenamiento de la información .............. .. 37 Cuotas de usuario en UBUNTU ...... .... ... 1 19
4. Almocenomiento redundante y distribuido .... .. 38 3. Autenticación de los usuarios .................... .. .. 123
4.1. RAID en Windows .............................. . 40 3.1. Políticas de contraseñas ................... .. ... 123
4.2. RAID en Windows Vista .................. .... . 40 3.2. Sistemas biométricos ................... .. .. .. ... 125
4.3. RAID en Windows 2008 Server ...... . .... . 43 3.3. Listas de control de acceso .................... 126
5. Clusters de servidores .................... .... ....... .. . 44 4. Vulnerabilidades del sistema ......................... 129
5.1. Clasificación de los clusters .................. . 44 4 . 1. Evitar vulnerabilidades en Windows ...... 129
5.2. Componentes de los clusters ...... .. ........ . 45
5. Monitorización del sistema .. .......... .. .......... .. . 131
6. Almacenamiento externo ............................ .. 46
5.1. Monitorización en Windows ............. .. .. 131
6.1. Network Attached Storage .............. .. .. .. 46
5.2. Monitorización en Linux ................ ... .. .. 131
6.2. Storage Area Network ............ . ...... .. .. .. 46
6. Software que vulnera la seguridad
del sistema ......................................... .. ...... 133
o Unidad 3. Seguridad Pasiva. Recuperación
de datos ............................................ .
6.1. Clasificación de los atacantes ............... 133
49
6.2. Tipos de ataques ................................. 134
l. Introducción .................................. .. ...... .. .. .. 50
O Unidad 6. Seguridad activa en redes ................... 145
2. Tipos de copias de seguridad .................. .. .. . 51 1. Seguridad en la conexión a redes no fiables .. 146
3. Copias de seguridad de los datos ................ . 52
1.1. Spyware en tu ordenador ................ .... . 147
3.1. Copia de seguridad de datos en 2. Protocolos seguros ... .. ................... .. ....... ...... 149
Windows .......... ................................. . 54 2.1. Protocolo HTIPS .... .. ........ .. ........... .. ..... 149
3.2. Copia de seguridad de datos en Linux .. . 61 2.2. Protocolo SSH .................. .. ...... .. .. .. . .... 150
5
,
Indice
3. Seguridad en redes cableadas..... ......... .... .. .. 152
3.1. Red privada virtual (VPN) ......... .... ........ 152
¿Qué es una VPN? ... ......... .... ............. 152
¿Cómo funciona una VPN? . ..... ..... ........ 152
Instalación y configuración de una VPN . 152
3.2. Detección de intrusos ............. .............. 159
3.3. Arranque de servicios .. ................. .... . .. 159
Servicios en Windows Vista ....... .... ....... 159
Servicios en Ubuntu ............ ............. .... 161
4. Seguridad en redes inalómbricas ....... ........... 162
4.1. Tecnologías Wi-fi.. ................... ....... ..... 163
4.2. Conceptos de redes Wi-fi ..................... 164
4.3. Seguridad Wi-fi.................... .... .... ....... 165
5. Seguridad WEP .............. ..... ............ .... ....... 166
6. Seguridad WPA ................................... .... ... 170
6.1. Seguridad WPA personal........... ... ....... 170
6.2. Seguridad WPA empresarial................. 172
o Unidad 7. Seguridad de alto nivel en redes:
cortafuegos ........................................ 179
l. Seguridad de alto nivel............................. .. . 180
2. Cortafuegos: qué son y para qué sirven ......... 181
3. Tipos de cortafuegos.................................... 184
3.1. Según su ubicación..... .... ...... .... .. .. ....... 1 84
Cortafuegos personales.......... . .. .. .. ..... . . 1 84
Cortafuegos de subredes ........... .... ....... 1 86
3.2. Según su tecnología.................. .. .. .. .. ... 186
4. Filtrado de paquetes........... ......................... 1 87
4.1. Parámetros utilizados para filtrar
paquetes ............... .......................... ... 1 87
4.2. Reglas de filtrado.......... .... .... .... .... ....... 188
5. Uso de cortafuegos...................................... 192
5.1. Criterios para elegir un cortafuegos ....... 192
5.2. Instalación y configuración de un
cortafuegos comercial....................... ... 192
6. Arquitecturas de red con cortafuegos ...... .. ..... 197
6.1. Dual-Homed Has!................................. 197
6.2. Screened Host ..................................... 197
6.3. Screened subnet .......... .. ...................... 198
7. Monitorización y logs .................................. 199
7.1. Registra de actividad de los sistemas
operativos........................................... 199
7.2. Registras de actividad del cortafuegos.... 200
o Unidad 8. Seguridad de alto nivel en redes:
proxy................................................. 203
l. Intraducción ................................................ 204
2. Características del praxy....... .. .. .. ...... .. .. ... .... 205
3. Funcionamiento del praxy............................. 206
4. WinGate.............. ........... .... .. ..... ... .. .. ......... 208
4.1. Instalación ................ ...... .............. .. .... 208
4.2. Configuración inicial............... .... .. .. ..... 209
4.3. Servicios de WinGate .......................... 211
Parada y orranque de los servicios........ 211
Configuración de los servicios.......... ..... 212
4.4. Tipos de praxy .............................. .. .... 212
4.5. Creación de usuarios........ .. .. .. ....... ...... 214
5. PureSight.............................................. .. .... 217
6. Control de lag en WinGate ........ .. .. .. ...... .. .... 218
7. Squid ........................................................ 219
7.1. Instalación de Squid....... .. .. .. ... ............. 219
7.2. Configuración inicial...................... .. .... 220
http_port....................................... ... ... 220
cache_dir ........ .. .. .. ...... .. ..................... 220
cache_mem......................................... 221
cache_mgr................................. ......... 221
accessJog, cacheJog y cache_store_
lag..................................................... 221
cache_effective_user y cache_effective_
group................................................. 221
ftp_user ........................ ...... ...... .. ........ 221
error _directory .............. ...... ................ 221
7.3. Control de acceso en Squid ........ .. ........ 222
acl............ ...... .......... .. ...... .. ...... .. ....... 222
acl src ...................... .. .. .. .. .. ... .. ........... 222
http_access .............. ...................... ..... 222
AcI ds!.................. .. .. .. .. .. .. .. .. .. ... .. .. .. ... 224
AcI dstdomain ....... .. ...... .. .. .. ........... .. ... 224
urLregex .............. .. ...... .. ...... .. ....... ..... 224
time .............................................. .. ... 225
7.4. Autenticación ...... .... ............................ 226
7.5. Clasificación de sitios en Squid ............. 229
7.6. Gestión del proxy con Webmin.
Control de lag.... ................................. 230
Instalar y configurar Webmin para Squid 230
Utilización de Webmin......................... 231
Análisis del lag de Squid con Webmin... 231
o Anexo: índice de términos .................................. 235
ijj) n'il o d ©l d
Conceptos básicos
de la seguridad informática
y estudiaremos:
• los servicios de seguridod.
• las clasificaciones de seguridad.
• las amenazas y fraudes.
• legislación: protección de datos
y servicios de la sociedad de la
información y correo electrónico.
En esta unidad aprenderemos a:
• Valorar la importancia de mantener
la información segura.
• Describir las diferencias entre
seguridad física y lógica y entre
seguridad activa y pasiva.
• Valorar la importancia de establecer
una política de contraseñas.
• Contrastar la incidencia del software
malicioso y las técnicas de ingeniería
social en los fraudes informáticos y
robos de información.
• Determinar la necesidad de controlar
el acceso a la información personal
almacenada.
• Describir la legislación sobre
protección de datos de carácter
personal y sobre los servicios de
la sociedad de la información y
comercio electrónico.
 
Conceptos básicos de la seguridad informática
Gene Spafford, experto en segu-
ridad informática, afirma: «El
único sistema verdaderamente
seguro es aquel que se encuen-
tra apagado, encerrado en una
caja fuerte de titanio, enterra-
do en un bloque de hormigón,
rodeado de gas nervioso y
vigilado por guardias armados
y muy bien pagados. Incluso
entonces, yo no apostaría mi
vida por ello».
• l. Seguridad informática ¿por qué?
El espectacular auge de Internet y de [as servicias telemáticos ha hecho que [os orde-
nadores y [as redes se conviertan en un elemento cotidiano en nuestras casas y en un
instrumenta imprescindible en [as tareas de [as empresas.
Ya no tenemos necesidad de ir a[ banco para conocer [os movimientos realizados en
nuestra cuenta bancaria, ni para realizar transferencias ... directamente podemos rea[i-
zar dichas operaciones desde e[ ordenador de casa. Lo mismo ocurre con [as empresas;
sea cual sea su tamaño, disponen de equipos conectadas a Internet que [es ayudan en
sus pracesas productivos.
Cualquier fallo en [os mismos puede suponer una gran pérdida económica ocasionada
por e[ parón producido, bien por [a pérdida de infarmación o por e[ mal funcionamiento
de [as equipos infarmáticos, de modo que es muy importante asegurar un correcto fun-
cionamiento de [os sistemas y redes informáticas.
Uno de [os principales problemas a [os que se enfrenta [a seguridad infarmática es [a
creencia de muchos usuarios de que a ellos nunca [es va a pasar [o que a otros. Es im-
pensable que nas vayamos de casa y nos dejemos [a puerta abierta. Lo mismo ocurre
con [a seguridad de [a infarmación.
Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que
nuestros sistemas sean menos vulnerables a [as distintas amenazas. Sí, menos vu[nera-
bies: nadie puede asegurar que su sistema sea cien par cien segura, hasta [a seguridad
de [a NASA y del Pentágono han sido violadas por hackers. Hay una lucha permanente
entre [os técnicos protectores del sistema y [os que buscan rendimientos económicos fá-
ciles, o simplemente su minuto de gloria a[ superar e[ reto de asomarse a[ otro [oda de
[a barrera de protección.
Tenemos que intentar [agror un nivel de seguridad razonable y estar preparados para
que, cuando se produzcan [os ataques, [os daños puedan ser evitados en unos porcenta-
jes que se aproximen a[ ciento por cien o en caso contrario haber sido [o suficientemente
precavidos para realizar [as copias de seguridad y de esta manera volver a poner en
funcionamiento [os sistemas en e[ menor tiempo posible.
.. .. .

Detienen en Málaga a un hacker por introducirse en un ordenador del Pentágono
MÁLAGA, 16 DE ENERO DE 2006 (EUROPA PRESS)
La Guardia Civil ha detenido a un hacker, en una operación desarro-
llada en Málaga, como presunto autor de un acceso ilegal a través
de Internet a un ordenador del Departamento de Defensa de Estados
Unidos.
tanto el correcto funcionamiento como la seguridad de un dique seco
de mantenimiento de submarinos nucleares}}.
A raíz de la operación realizada por la Guardia Civil, se detectó la
existencia de un grupo dedicado a vulnerar la seguridad de sistemas
informáticos conectados a través de Internet, con el fin de utilizar la
información para fines ilegítimos.
El ordenador al que accedió el hacker estaba ubicudo en la base naval
de Painl Loma. en San Diego, California, según indicó la Benemérita
a través de un comunicado.
La operación, denominada Navy, se inició cuando efectivos de
fidad informática de la Armada de Estados Unidos detectaron un
acceso ilegal a dicho ordenador, por lo que comunicaron este hecho
a su Servicio de Investigación Criminal Naval (NCIS). Este
cio detectó que el ataque se había procedido desde un ordenador de
España, motivo por el cual lo puso en conocimiento de la Unidad de
Ciberterrorismo de la Guardia Civil.
La denuncia, interpuesta a través de la de Estados Unidos en
España, ponía de manifiesto que «el ataque comprometía gravemente
Una vez descubierto este grupo, las investigaciones se centraron en
una persona residente en Málaga, que resultó ser el autor del
nado ataque, según la Guardia Civil.
Dentro de la misma operación, se identificó y se tomó declaración a
otras cuatro personas en distintas provincias de España en calidad de
testigos y por su presuma relación con los hechos.
Las acciones realizadas por este grupo causaron daños valorados en
más de 500000 dólares y habrían comprometido la seguridad de más
de un centenar de sistemas informáticos, informaron desde el Instituto
Annado.
Conceptos básicos de la seguridad informática 1
- ---
Análisis de contraseñas
Caso práctico 1 9
Vamos a analizar el tiempo que tarda un PC cama las que
podemos tener en casa en descubrir una contraseña.
Ripper son apli caciones clásicas capaces de descubrir
contraseñas.
Existen en Internet multitud de programas dedicadas
a descubrir las contraseñas haciendo uso del método
de fuerza bruta, que consiste en ir probando todas y
cada una de las posibles contraseñas. Brutus o John the
Coma se puede ver en la Tabla 1.1 las contraseñas en
las que sólo se utilizan caracteres en minúsculas (la misma
ocurriría si solamente se hace usa de las letras mayúsculas)
san mucha más vulnerables ante este tipo de pragramas.
, "
    y •
3 Menos de 1 segundo Un suspiro
4 Menos de 2 minutos
5 Alrededor de 2 horas
Un suspiro y medi o
10 segundos
6 Alrededor de unos 9 días 5 minutos
7
S
9
Entre 2 y 3 años
Alrededor de 2 siglos
Unos veinte mil años
Alrededor de 2 horas
Menos de 3 días
Alrededor de 2 meses
Tabla 1. l . Tiempos que tardan en defectar las contraseñas.
Caso p'ráctica 2 9
¿Qué problemas pueden surgir cuando se introduce un virus que formatea equipos
en una empresa que vende productos por lnlernel?
Vamos a pensar en las per¡uicios ocasionados a una empresa que ha visto afecta-
dos sus equipos informáticos por un virus que se ha transmitido por la red. El virus
estaba diseñado para formatear los equipos a las 13.30 horas.
las páginas web de lo empresa donde comercializaba sus productos de¡an de
funcionar. Esto provoca una gran pérdida económica debido a la falta de ventas
durante el tiempo en el que no están disponibles.
A ello se suma la pérdida de confianza por parte de los clientes al conocer la vul-
nerabilidad de sus si slemas infarmáticos, y la pérdida de confianza por porte de
los proveedores por la mismo razón.
Además, si la empresa no ha realizado copias de seguridad de los datos de ven-
tas, clientes, etc., perderá mucha información valiosa como cortera de clientes,
pagos a proveedores a facturas.
9
Hacker. Intruso que se infiltra en
los equipos informáticos como
reto. En ningún coso buscan un
benefici o económico o dañar la
estructura del si stema.
Cracker. Intrusos que buscan un
beneficio económico o dañar las
estructuras del sistema.
En lo actualidad, los medios de
comunicación han popularizado
la palabra hacker poro ambas
acepciones.
Caso práctico 3 9
¿Qué problemas puede tener un interna uta que se conecta
a Inlernet utilizando nuestro router Wifi, el cual no tiene
ningún tipo de contraseña?
Pensemos el caso extremo, un pederasta que utilizo nuestra
conexión para descorgorse pornografía infantil.
la policía en una investigación nos señalaría como cul-
pables de las descargas por ser nuestra IP la que de¡a el
rastro.
~ / 1 Conceptos básicos de lo seguridod informática
            ~                   ~                      
~ Actividades
1. Asocia los mecanismos
con los objetivos de la
seguridad informática.
• 2. Objetivos de la seguridad informática
Si estudiamos las múltiples definiciones que de seguridad informática dan las distintas
entidades, deduciremos los objetivos de la seguridad informática.
Según la IS027002, "La seguridad de la informacián se puede caracterizar por la
preservación de:
• Confidencialidad: asegura que el acceso a la informacián está adecuadamente
autorizado.
• Integridad: salvaguarda la precisión y completitud de la información y sus métodos
de proceso
• Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la infarma-
ción cuando la necesitam).
Otra de las definiciones de lo seguridad informática dada por INFOSEC Glossary 2000:
" Seguridad Informática son las medidas y controles que aseguran la confidencialidad,
integridad y disponibilidad de los activos de los sistemas de información, incluyendo
hardware, software, firmware y aquella informacián que procesan, almacenan y comu-
nicam>.
De estas definiciones podemos deducir que los principales objetivos de la seguridad
informática son:
• Confidencialidad: consiste en la capacidad de garantizar que la información, al-
macenada en el sistema informático o transmitida por la red, solamente va a estar
disponible para aquellas personas autorizadas a acceder a dicha información, es
decir, que si los contenidos cayesen en manos ajenas, estas no podrían acceder a
la información o a su interpretación.
Este es uno de los principales problemas a los que se enfrentan muchas empresas; en los
últimos años se ha incrementado el robo de los portátiles con la consecuente pérdida de
información confidencial, de clientes, líneas de negocio ...
En relación a este objetivo, en el último apartado de este tema, analizaremos la Ley de
Protección de Datos de Carácter Personal.
• Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema
como los datos van a estar disponibles al usuario en todo momento.
Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa
encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo
consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible
para sus usuarios.
• Integridad: diremos que es la capacidad de garantizar que los datos no han sido
modificados desde su creación sin autorización. La información que disponemos es
válida y consistente.
Este objetivo es muy importante cuando estamos realizando trámites bancarios por In-
ternet. Se deberá garantizar que ningún intruso pueda capturar y modificar los datos
en tránsito.
• No repudio: este objetivo garantiza la participación de las partes en una comuni-
cación. En toda comunicación, existe un emisor y un receptor, por lo que podemos
distinguir dos tipos de no repudio:
No repudio en origen: garantiza que la persona que envía el mensaje no puede
negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.
No repudio en destino: El receptor no puede negar que recibió el mensaje, por-
que el emisor tiene pruebas de la recepción del mismo.
1
e
Conceptos básicos de la seguridad informática
1
Este servicio es muy importante en los transacciones comerciales por Internet, ya que
incrementa la confianza entre las partes en las comunicaciones.
Confidencialidad
Disponibilidad No repudio
Fig. 1.1. Esquema de los objetivos de la seguridad informática.
Para conseguir los objetivos mostrados en la Figura 1.1 se utilizan los siguientes meca-
nismos:
o Autenticación, que permite identificar al emisar de un mensaje, al creadar de un
documento o al equipo que se conecta a una red o a un servicio.
o Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos
equipos y servicios después de haber superado el proceso de autenticación.
o Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de
seguridad tomadas.
o Encriptación, que ayuda a ocultar la información transmitida por la red o almacena-
da en los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo
y clave de descifrado, pueda acceder a los datos que se quieren proteger.
o Realización de copias de seguridad e imágenes de respaldo, para que en caso de
fallos nos permita la recuperación de la información perdida o dañada.
o Antivirus, como su nombre indica, consiste en un programa que permite estar prote-
gido contra las amenazas de los virus.
o Cortafuegos o firewall, programa que audita y evita los intentos de conexión no
deseados en ambos sentidos, desde los equipos hacia la red y viceversa.
o Servidores proxys, consiste en ordenadores con software especial, que hacen de in-
termediario entre la red interna de una empresa y una red externa, como pueda ser
Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de
los usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros),
o el Web (acceso a páginas de Internet).
o Utilización firma electrónica o certificado digital, son mecanismos que garantizan la
identidad de una persona o entidad evitando el no repudio en las comunicaciones
o en la firma de documentos. También se utilizan mucho hoy en día para establecer
comunicaciones seguras entre el PC del usuario y los servidores de Internet como las
páginas web de los bancos.
o Conjunto de leyes encaminadas a la protección de datos personales que obligan a
las empresas a asegurar su confidencialidad.
I l \
ti, (/ ¡
Formas de autenticarse:
• Por algo que el usuario sabe:
password, PIN ...
• Por algo que el usuario posee:
tarjeta de claves, tarjeta ATM
(tarjeta bancaria) ...
• Por algo que el usuario es: ca·
racterísticas biométricas, hue·
110 dactilar, iris ...
2
Conceplos básicos de lo seguridad infarmálico
Q Caso práctico 4
Certificado digital en Internet Explorer 7
Observemos el certificado digital que utilizo Gmoil a la
hora de autenticar o los usuari os mediante el nombre y
contraseño del mismo. Poro realizar esto actividad se ha
utilizado la aplicación Internet Explorer 7.
En la Figuro 1. 2, en la zona reservada para las direc-
ciones. podemos observar que el protocolo utilizado es
HTTPS en lugar de HTTP, que suele ser más habitual. En
este caso se está utilizando un protocolo de transferencia
de hipertexto seguro.
(;!"ajj _.-
U_"'_ ... _do_
...... .. .. __ .......... _ ............ ..... _ .... _ ... _ ........ .. ..-...
..... _"'_ .. _ ......
_ ...........
_.c,,-J<
ti ::,::.o:;= ........... _ _ ........ ___ .. ... ... ""
=
Q ... " ... _ .. "' .... .. _, .. __ ' ..... '''' ....... ,_ .. __ ......
. , ....... c.-n" .... _
[ ';"'--· 1
L::==== .. ..,.._ ........ ... ____ __
Fig. 1.2. Pantalla Google.
Ceftifitido
'---"'-'
...... Do..,., Rl,¡ta de artifiu.cin
[ Rl Información del czrtificado
Este Cbtiflc::¡¡¡do csbi destinado a los sig\JicJ1tcs Pnlpdslto:
• A$eg\rlllll identidad de un re!OOlo
Emitido par \\'\'II'I.googIe.am
Emitido por ihIIwte SGe CA
Váido dHelc 28/03/2009 ham 28/03/2.010

rr.as nformación&efCZI de,
I
-""
1
Fig. 1.4. Información general del certificado.
Si hacemos e1ic sobre el condado, que se muestro en lo
parte derecho de lo URl, veremos lo Figuro 1.3, donde
podemos verificar que lo conexión estará cifrada usando
un certificado digital de Google. Si hocemos e1ic sobre Ver
Certificados de lo Figuro 1.4 nos muestro la información
detall ada del mismo (Fig. 1.5).
:::::-.::.::: ..
" E:'.--;:"""'_ .. ,,--_ ..... _._ .. . _-_ .. .....
Q .. ......... " .. _ --, ...... , .... -.-.... _.-
._ .. "-"lo,...,' .....
---·l
Fig. 1.3. Pantalla Goagle con certificado.
Certificado


Rl,¡1iI de artiliald6n
Mostrar:
I <Todo:;>
-1
1,'
e .....
v'"""
o
8t.ünero de,
01""76003"'<9"",7 ...
Al;critmo de frrna
shalRSA =
O""""
Thawte SGe CA, ThawteCons.,. -
Ov,,",_ sábado, 28 de de 2009 •..
D vA!:do hasta domingo, 28 de l!\l!nO de 201, ..
O""'In
M'M.goog!e,rom, lflc ....
RSA (102"lBils)
J;11 ..... ,,1 ... -
30 91 99 02 91 91 DO d6 b9 el ad b9 61 Oh o
1f 4e b6 3e 09 3d ah e9 e3 2b b6 e9 a4 3.

19 2f d3 51 20 22 45 95 d9 00 91 33 9a a1
a2 49 ea 30 57 26 97 66 e7 5a ef f1 9b Oc
Ji el b9 7f 7b e3 c7 ce al 9c dO 1f 3e 91
15 10 59 fe 06 b3 bf be ge 02 b9 51 de fb
a6 b9 17 42 e6 46 e7 22 el 5e 27 10 fe 54
e5 92 6e De 60 76 9a ce f9 7f 50 b9 5a 09
4a de b1 64 bd aO 74 41 b2 50 9f 96 9d la -
t :::if.:a: proped.l!des··· l [Cop¡-;u en Gídt. ...3
1
Mas nformadón aarca de los     d .. 1  
I
-'"
1
Fig. 1.5. Detaffe del certificado.
Conceptos bósicos de la seguridad informótica 1
• 3. Clasificación de seguridad
Se pueden hacer diversas clasificaciones de la seguridad informática en función de
distintos criterios.
Cenlro de cálculo. Lugar
se encuentran ubicados los
recursos informáticos de una
organización.
Según el activo a proteger, es decir, todos los recursos del sistema de información ne-
cesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos
entre seguridad física y lógica; en dependencia del momento preciso de actuación,
entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal
manera que se eviten los daños en el sistema, o después del percance, minimizando los
efectos ocasionados por el mismo.
Sinónimos de centro de cálcu-
lo: Centro de procesamiento de
datos (CPD), centro de datos y
centro de cómputo.
3.1. Seguridad física y lógica
En este apartado distinguiremos los distintos tipos de seguridad en función del recurso
a proteger.
o Seguridad física
Habitualmente nos centromos en protegernos de posibles hackers, virus ... y nos olvi-
damos de un aspecto muy importante en la seguridad informática, la seguridad física.
,,.. ... ...
"m»1.'

I
La seguridad física es aquella que trata de proteger el hardware (los equipos infor-
máticos, el cableado ... ) de los posibles desastres naturales (terremotos, tifones ... ), de
incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más.
, •• J
'.. . .. .... - ..   . .. .. ... p
Fig. 1.6. Terremotos registrados por
el Instituto GeográFico Nocional de
España de los primeros diez días del
mes de julio de 2009.
A continuación vamos a enumerar las principales amenazas y los mecanismos para
salvaguardarnos de las mismas:
Incendios
Inundaciones
Robos
Señales
electromagnéticas
Apagones
Sobrecargos
eléctricas
Desastres
naturales
• El mobiliario de los centros de cálculo debe ser ignífugo.
• Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias
inflamables o explosivos.
• Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores ... para sofocar el incendio en el
menor tiempo posible y así evitar que se propague ocasionado numerosas pérdidas materiales.
• Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la entrada de
aguas superficiales.
• Impermeabilizar las paredes y techos del CPD. Sellar las puertas poro evitar la entrada de agua proveniente de las
plantas superiores.
• Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad, vigilantes jurados ... ;
con todas estas medidas pretendemos evitar la entrada de personal no autorizado.
• Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales electromagnéticas, pues
pueden interferir en el correcto funcionamiento de los equipos informáticos y del cableado de red.
• En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales deberemos proteger el
centro Frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra óptica,
que no es sensible a este tipo de interferencias.
• Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida, SAl, que' proporcionan corriente eléc-
trica durante un periodo de tiempo suficiente.
• Además de proporcionar alimentación, los SAl proFesionales incorporan filtros para evitar picos de tensión, es decir,
estabilizan lo señal eléctrico.
• Estando en continuo contacto con el Instituto Geográfico Nocional y lo Agencio Estatal de Meteorología, organismos
que informan sobre los movimientos sísmicos y meteorológicos en España.
Tabla 1.2. Amenazas y mecanismos de defensa en seguridad Física.
13
Conceptos básicos de la seguridad informática
o Seguridad lógica
La seguridad lógica complementa a la seguridad física, protegiendo el software de las
equipas informáticas, es decir, las aplicaciones y las datas de usuaria, de rabas, de
pérdida de datas, entrada de virus informáticos, modificaciones na autorizadas de los
datas, ataques desde la red, etc.
fir ......       .."
r .... .. _ . .................. ,...M ......... ....... " .. .. ""''''' ... ''''.H •
...... '"'''''' ...... ""¡'" .. , ... .......... . " ...,, .........
.<_ ... .,...."", ...... . ,..".,.. ..• ..-
a._ .. _ ..... _ ....... .. ".<t...,D
  #'fPtttEíd
...... __ . ""' • • , _ .. ...... <&O<a ...
::=-.:::::.'_. __ "'-r.,... . _ . ..... ..
.. , ...... (-,
""',,...,.. ..... "' ... ..,. ............ . ..... " _ .. :>T.>I
...     ..... ..,.,.......
r: _ .. _ ." __
"'""'" .. "_ ......... """ ......... ...
..-0-........ ......... _ .. . '_.,
;:'.;:.:. ......... . '''''''''''''., ...... ..
.. _J
.... _ ............ --.. ......... " ........ -
=.::= ..... _ . ..,..,. .... ,. ........ _.,
.. "" •.•... _ ........ ,,., <::;!;.u=
A continuación vamos a enumeror las principales amenazas y mecanismos para salva-
guordarnos de las mismas:
Robos
Pérdida de
información
Pérdida de integridad
en la información
Entrada de virus
Ataques desde la red
Modificaciones no
autorizadas
• Cifrar la información almacenada en los soportes para que en caso de
robo no sea legible.
• Utili zar contraseñas para evitar el acceso a lo información.
• Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras,
caligrafío ... ).
• Realizar copias de seguridad para poder restaurar la información per-
dido.
• Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del
sistema operativo adecuado.
• Uso de conjunto de discos redundantes, protege contra la pérdida de
datos y proporciona la recuperación de los datos en tiempo real.
• Uso de programas de chequeo del equipo, SiSoft Sandra 2000,
TuneUp ...
• Mediante la firma digital en el envío de información a través de mensa-
jes enviados por la red.
• Uso de la instrucción del sistema operativo Windows¡ sfc (system file
checker).
• Uso de antivirus, que evite que se infecten los equipos con programas
malintencionados.
• Firewall, autorizando y auditando los conexiones permitidas.
• Programas de monitorización
• Servidores Proxys, autorizando y auditando las conexiones permitidas.
• Uso de contraseñas que no permitan el acceso a la información.
• Uso de listas de control de acceso.
• Cifrar documentos.
Tabla 1.3. Amenazas y mecanismos de defensa en seguridad lógico.
Conceptos básicos de la seguridad informática 1
Caso práctico 5 9
Verificación de la integridad de 105 ficheros del sistema en Windows Vista
En algunas ocasiones, los virus modifican o dañan los ficheros del sistema. A con-
tinuación vamos a comprobar mediante el uso del comando sfc de Windows Vista
la integridad de los mismos.
Las acciones que debemos realizar son las siguientes:
Hacemos dic en el botón Inicio.
En el cuadro de búsqueda, escribimos Símbolo del sistema o cmd.
Escribimos sfc/ verifyonly, y empiezo la comprobación del sistema (Fig. 1.7).
Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede
ver en lo Figuro 1.8.
Fig. 1.7. Comando sfc.
Fig. 1.8. Final eiecución de sfc.
Con el parámetro / scannow el comando examina inmediatamente todos los archivos
del sistema protegidos y reemplaza las versiones incorrectas que encuentre por versio-
nes correctas de los mismos.
Para ejecutar muchos cornalnd,,.
del sistema deberemos contar
con privilegios de administrador.
En el caso de realizar el caso
próctico en Windows XP la
orden deberia ser:
sfc/SCANNOW
y,
1
Conceplos básicos de la seguridad informática
Fig. 1.9. Tarieta inteligente.
Fig. 1.10. SAl.
6
3.2. Seguridad activa y pasiva
Como se comentó al inicio del aportado 3, aquí el criterio de clasificación es el mamen·
to en el que se ponen en marcho las medidos oportunas.
o Seguridad activa
La seguridad activa la podemos definir como el conjunto de medidas que previenen e
intentan evitar los doñas en los sistemas informóticos.
A continuación, vamos o enumerar los principales técnicas de seguridad activa:
Uso de contraseñas
listas de control de acceso
Encriptación
Uso de software de seguridad
informática
Firmas y certiFicados digitales
Sistemas de Ficheros con tolerancia
a fallos
Cuotas de disco
. , .   . ' ~ ~
"GJ!ue previene? ' '. "',
t: .. .
Previene el acceso a recursos por parle de personas no auto-
rizadas.
Previene el acceso a los Ficheros por parle de personal no
autorizado.
Evita que personas sin autorización puedan interpretar la
información.
Previene de virus informáticos y de entrados indeseadas 01
sistema informático.
Permite comprobar la procedencia¡ autenticidad e integridad
de los mensajes.
Previene fallos de integridad en caso de apagones de sincro-
nización o comunicación.
Previene que ciertos usuarios hagan un uso indebido de la
capaddad de disco.
Tabla 1.4. Técnicas de seguridad activa.
En las Figuras 1.9 y 1.10 podemos ver dos ejemplos de seguridad activa y pasiva. Las
tarjetas inteligentes, ejemplo de seguridad activo, impiden el acceso a personas no
autorizadas a los recursos, y los SAl Isistemas de alimentación ininterrumpida) permiten
mantener los equipos encendidos el tiempo necesario para guardar lo información una
vez que se ha praducido el desastre lel apagón de luz).
o Seguridad pasiva
La seguridad pasiva complemento O la seguridad activo y se encargo de minimizar los
efectos que hoyo ocasionado algún percance.
A continuación enumeramos los técnicos más importantes de seguridad pasivo:
Conjunto de discos redundantes
SAl
Realización de copias de
seguridad
Podemos restaurar información que no es válida ni consis-
tente.
Una vez que la corriente se pierde las bateríos del SAl se
ponen en funcionamiento proporcionando la corriente nece-
saria para el correcto funcionamiento.
A partir de las copias realizadas, podemos información en
caso de pérdida de dolos.
Tabla 1.5. Técnicas de seguridad pasivo.
Conceptos básicos de la seguridad informática 1
• 4. Amenazas y fraudes en los sistemas
de la información
Durante los primeros meses de 2009, en España hemos vivido una época de crisis fi-
nanciera, lo que ocasionó numerosos despidos en las empresas. la situación produjo un
aumento en los casos de robos de información confidencial por parte de los empleados
despedidos, y puso en evidencia la falta de seguridad informática en dichas empresas.
'ff
la seguridad de un sistema real
nunca será completa, pero el
uso de buenas politicas de segu-
ridad es imprescindible poro
evitar y minimizar los daños.
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que
es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la
oficina (sillas, mesas, estanterías), como los equipos informáticos (servidores, ordenado-
res de escritorio, impresoras), como los datos que se manejan (datos de clientes, factu-
ras, personal) . Cualquier daño que se produzca sobre estos activos tendrá un impacto
en la empresa (Fig. 1.11).
Aclivos ' ) ,
! Daño
= = = ~ » G I I ~ t = = = = ,-_V_U_In_e_ra_bi_lid_a_de_s ___
4-
Riesgos
Plan de acluación
Fig. 1. 11 . Posos poro lo meioro de lo seguridad.
2. Analiza si aumenta o disminuye el riesgo en caso de
que el daño sufrido por SiTour sea, además de la pér-
dida de datos de los clientes, la pérdida de facturas
y datos de proveedores. Identifica previamente activos,
daños, impactos y vulnerabilidades.
Especificar los activos, daños e impacto que sufre la agen-
cia de viajes SiTour que almaceno los datos de los clientes
únicamente en un portátil que utiliza el director
En un descuido se le cae el portátil al suela y este se estro-
pea. los datos del disco no se recuperan hasta dos días
l
deSPUéS del accidente.
En este caso, los activos son el portátil y los datos de los
clientes, el daño es la rotura del portátil y el impacto es la
pérdida de negocio durante 48 horas y la necesidad de
Actividades 9'
3. Analiza si aumenta o disminuye el riesgo en caso de
que se instale un cortafuegos y se mantenga un antivi-
rus actualizado en el portátil del director de SiTour.
Caso práctico 6 9
adquirir un nueva equipo. En el nuevo portótil se graban
las datas recuperados de los clientes, siendo de nuevo la
única copia existente de los mismos la que hay en el disco
duro. Se instalan ademós los programas necesarios para
la gestión de SiTour pero no se considera la necesidad de
instalar un antivirus y un Firewall , por lo que se estó hacien-
do vulnerable el equipo.
Una vulnerabilidad es cualquier fallo que compromete la
seguridad del sistema.
18
Conceptos básicos de la seguridad informática
.. . .
Un problema que suele encono
trarse o la hora de diseñar estos
actuaci ones es que los geren-
tes de las empresas no ven la
necesidad de invertir personal,
esfuerzo y dinero en seguridad
informática.
q Coso práctico 7
Especificar los activos, doñas, impacto y vulnerabilidad que sufre la agencia de
viajes SiTour
El director ha recibido un correo de un remitente desconocido con un fichero od·
junto que resulto ser un virus, y dado que no hoy un ontivirus funcionando en el
portátil, este se infecto y el virus borro el contenido del disco duro de formo irrecu·
perable.
En este coso los activos son el portátil y los datos; el daño es lo pérdida de datos,
el impacto es lo pérdida de negocio de lo empresa, y lo vulnerabilidad se genero
por lo falto de ontivirus.
El impacto es de muy alto nivel porque, como recordarás, no hoy otra copio de los
datos de los cl ientes.
Un riesgo es lo posibilidad de que se produzco un impacto negativo para lo em·
preso aprovechando alguno de sus vulnerabilidades (Fig. 1.10). Por ejemplo, en el
coso anterior el riesgo es que, o través de lo vulnerabilidad que supone no tener
un antivirus se produzco lo pérdida de clientes e incluso lo quiebro de lo empresa.
4.1. Actuaciones para mejorar la seguridad
Los posos o seguir para mejorar lo seguridad son los siguientes:
• Identificar los activos, es decir, los elementos que lo empresa quiere proteger.
• Formocián de los trabajadores de los empresas en cuanto o materias de seguridad.
• Concienciación de lo importancia de lo seguridad informático para los trabajadores
de lo empresa. .
• Evaluar los riesgos, considerando el impacto que pueden tener los daños que se
produzcan sobre los activos y los vulnerabilidades del sistema.
• Diseñar el plan de actuación, que debe inclui r:
Los medidos que troten de minimizar el impacto de los daños ya producidos. Es
lo que hemos estudiado referido o la seguridad pasivo.
Las medidos que traten de prevenir los daños minimizando la existencia de vul·
nerabilidades. Se trata de la seguridad activa.
• Revisar periódicamente las medidos de seguridad adoptados.
  Actividades
4. Supón que en el ordenador portátil con cámara web integrado que tienes en tu
habitación, no tiene cortafuegos activo, no hay instalado un anti virus y lo tienes
siempre conectado o Internet. Un desconocido tomo el control de tu portátil y
te dos cuento porque te encuentras lo cámara web encendido y tú no lo has
conectado.
Analizo acti vos, vulnerabilidades y riesgos, y detallo cuales podrían ser los
daños producidos y el impacto de los mismos.
5. Imagina ahora que lo persono que ha tomado el control de tu ordenador no
hoce nado en tu ordenador y tú no te dos cuenta de esta situación. Un día te
dejas conectado tu DNI electrónico en el lector del ordenador.
Analizo los posibles riesgos y el impacto de los mismos.
Conceptos básicos de lo seguridad inFormática 1
Caso práctico 8 9
Descubrir qué equipos están conectados en la red de SiTour, qué servicios tienen instalados y descubrir qué programa
y versión está detrás de un servidor Web
Para poder tomar medidas y proteger nuestra red, es bue-
no conocer los pasos que un atacante seguiría para inten-
tar abordar nuestra equipo:
1. Analiza la red en busca de equipos y servicios
Existen muchos analizadores de red, nosotros para este
caso vamos a utilizar nmap y su interfaz gráfico Zen·
map (http://nmap.org), un programa que se puede eie-
cutar sobre Windows o GNU/Linux.
Como se puede ver en la Figura 1.12 (resultado de un
análisis rápido, quick scan) nmap ha detectado dentro
de la red de SiTour tres equipos, el equipo SERVER, el
rauter y nuestro propio equipo. Para el equipo SERVER,
que es el que está seleccionado en la figura, ha detec-
tado varios servicios activos. Un atacante estudiaría
todos los servicios activos y las versiones de los pro-
gramas que dan estos servicios para buscar una vulne-
rabilidad en ellos. Nosotros en este caso práctico nos
vamos a centrar en el servicio http.
Seil.n 1001s E,rofile .l:ielp
lb
,>"V
~ Ü
()
f)
o

New Sean Command wízard Save Sean Open Sean Report a bug Help
Quick Sean on 192.168.1.1/24 'A' 1
Target: ( 192.168.1.1/24
!vi
Profile: I Quick Sean
H
1 Sean I
Command: Inmap.T Aggressive.v.n 192.168.1.1/24
I
I Hosts 1I Serviees I
Ports I Hosts ~ m a p Output IHost Details Iscan Details I
OS I Host
I Port I Protocol I State I SeNiee I Version
.,
80
"p
open http
Ii' 192.168.1.2
Ii'
.,
m
"p
open msrpc
192.168.1.3
netbios·ssn
IU
.. 139
"p
open
192. 168.1.203
.,
44S
"p
open mierosoft·ds
.,
'54 "p
open n,p
~ ~
Fig. 1.1 2. Equipos de Jo red.
2. Investiga los servicios que tiene activos el equipo que se
quiere atacar
Dentro del mismo programa, como se ve en la Figura
1.13, que muestra el resultado de aplicar un escaneo
más profundo, se nos muestra el programa y [a versión
que está detrás de dicho servicio. En el caso del servi-
dor Web, puerto 80, el programa servidar es Apache
httpd 2.2.11.
l
I
1:
3. Investiga vulnerabilidades que puedan tener los proto-
colos activos
Ahora que ya conocemos que programa está utilizando
e[ equipo SERVER para ofrecer e[ servicio Web y la ver-
sión del mismo, podemos buscar en Internet sus vulnera-
bilidades conocidas.
Una página en la que podemos encontrar esta infor-
macián es http://securityfocus.com. También puedes
encontrar las vulnerabilidades en las páginas oficiales,
es decir, en este caso en www.apache.org.
Recuerda que un servidor Web tiene por abietiva servir
aplicaciones de tipa Web, es decir, programas cons-
truidos con las lenguaies HTML, iavaScript y PHP entre
otros. Estos programas también pueden tener fallos que
podría utilizar un posible atacante.
Si utilizamos aplicaciones propias de la empresa, ten-
dremos que descubrir y carregir nuestras propias vulne-
rabi[idades si par el contraria utilizamos aplicaciones
más genéricas como por eiemplo WordPress, Joomla o
Maodle, tendremos que seguir las noticias oficiales de
seguridad de esas aplicaciones para que en casa de
que se produzca un fallo, solucionarlo en cuanto este
sea conocida por la empresa.
Estos pasos también se pueden simplificar a través
de algún programa de detección de vulnerabi[idades
cama, par eiemp[a, nessus (www.nessus.org).
Se.an Iools .e,rofile .l:ielp
1:
lb
,>"V
o ~ rf:J Q
@
New Sean Command Wizard Save Sean Open Sean Report a bug Help
Intense Sean on 192.168.1.1124 A ' ¡
Tll:rget: 1192.168.1.1/24
!vi
Profile: Ilntense Sean
!vi
I Sean I
Command: Inmap ·T Aggressive.A.v 192.168.1.1{24
I
~   Serviees
I
I Ports I Hosts Nmap Output IHost Details Isean Detaü;l
I Host
rnteresting por ts on 192.168.1.203: B
OS
Hol libol!!o' 1710 fittered ports
D 192.168.1.2 PORT STATE SERVICE VERSIOU
Ii' 192.168.1.3
80/tcp open http Apache httpd 2.2.11
((Win32) PHP/ 5.3. O)
/
: 192.168.1.203
135/ t cp 0 rU! 1I ms rpc Ili c r oso ft willlJ ows RIlC
139/ t c p opcn nc tLli os - ss ll
'1<I5/ l c p a pclI II c tb i os - ss n
55'1/ l c[l a[l cn rt s p?
, .. _ ,"
" ................. -.,.4.0
Fig. 1.13. Detalle de Jos servicios.
~   1
Conceptos básicos de la seguridad informática
Mic:ro,;oft tiene su propia página
sobre noticias de seguridad:
http://www.microsoft.com/
spain/seguridad
Poreiemplo, busca: "boletín MS09-
027», donde encontrarás infor·
moción sobre una vulnerabilidad
de Microsoft Office Word.
"
El técnico de seguridad, antes de
instalar cualquier aplicación, debe
conocer sus vulnerabilidades. De
esta manera podrá determinar
si es necesario la descarga de
algún parche o bien desestimar
su instalación.
4.2. Vulnerabilidades
Las vulnerabilidades de un sistema san una puerta abierta para posibles ataques, de
ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser apra-
vechadas.
Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema:
• Vulnerabilidades ya canacidas sobre aplicaciones o sistemas instalados. Son vul-
nerabilidades de las que ya tienen conocimiento las empresas que desarrallan el
programa al que afecta y para las cuales ya existe una solución, que se publica en
forma de parche.
Existen listas de correo relacionadas con las noticias oficiales de seguridad que in-
forman de la detección de esas vulnerabilidades y las publicaciones de los parches
a las que podemos suscribirnos.
• Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades
también son conocidas por las empresas desarrolladores de la aplicación, pero
puesto que nosotras no tenemos dicha aplicación instalada no tendremos que actuar.
• Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido detec-
tadas por la empresa que desarrolla el programa, por lo que si otra persona aiena
a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que
tienen instalado este pragrama.
Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier
empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de
departamentos dedicados exclusivamente a la seguridad, como es Microsoft Security
Response Center (MSRC). Sus funciones son, entre otras, evaluar los informes que los
clientes proporcionan sobre posibles vulnerabilidades en sus productos, y preparar y
divulgar revisiones y boletines de seguridad que respondan a estos informes.
Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una
idea de los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver
dicha clasificación:
Crítica Vulnerabilidad que puede permitir la propagación de un gusano de Infernet sin la acción del usuario.
Importante
Moderado
Baia
Vulnerabilidad que puede poner en peligro lo confidencialidad, integridad o disponibilidad de los datos de los usuarios, o
bien, la integridad o disponibilidad de los recursos de procesamiento.
El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías o la difi-
cultad intrínseca en sacar partido a la vulnerabilidad.
Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.
Tabla 1.6. Clasificación de gravedad de los vulnerabilidades Iwww.microsoft.coml.
:0
~ Actividades
6. ¿Que clasificación de las que hemos estudiado en la
Tabla 1.6 han dado a la vulnerabilidad que se comenta
en el ¿Sabías que? de esta misma página?
Z Busca una de las últimas vulnerabilidades publicadas por
Microsoft que afecte a uno de sus sistemas operativos.
Haz un informe con los siguientes puntos:
• la descripción de la vulnerabilidad,
• a qué software afecta,
• qué clasificación le ha dado Microsoft,
• qué impacto podría tener, si en tu opinión afecta a
nuestros sistemas (los de clase),
• qué medidas tenemos que tomar para corregir esta
vulnerabilidad.
Conceplos básicos de la seguridad inFormática 1
4.3. Tipos de amenazas
Un sistema informático se ve expuesto a un gran númera de amenazas y ataques. En
este apartado veremos una pequeña introducción a las clasificaciones más importantes,
y trataremos este tema con más detalle en la Unidad 5: Seguridad activa en el sislema.
Para identificar las amenazas a las que está expuesto un sistema informático realizare-
mos tres clasificaciones: la primera de los tipos de atacantes, la segunda de los tipos de
ataques que puede sufrir y la tercera de cómo actúan estos ataques.
la Tabla 1.7 recoge, en la primera columna, los nombres con los que se han denomi-
nado a las personas que llevan a cabo los ataques; en la segunda columna, verás una
pequeña definición que los caracteriza.
Hackers
Crackers
Phreakers
Sniffers
lammers
Newbie
Ciberterrorista
Programadores
de virus
Carders
Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades
de los sistemas pero sin motivación económica o dañina.
Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intención
maliciosa, bien para dañarlo o para obtener un beneFicio económico.
Crackers telefónicos, que sabotean las redes de telefonía para conseguir llama-
das gratuitas.
Expertos en redes que analizan el tráfico para obtener información extrayéndola
de los paquetes que se transmiten por la red.
Chicos jóvenes sin grandes conocimientos de informática pero que se consideran
a sí mismos hackers y se vanaglorian de ello.
Hacker novato.
Expertos en informática e intrusiones en la red que trabajan para países y orga-
nizaciones como espías y saboteadores informáticos.
Expertos en programación, redes y sistemas que crean programas dañinos que
producen efectos no deseados en los sistemas o aplicaciones,
Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros
automáticos.
Tabla 1.7. Tipos de atacantes.
En la Tabla 1.8 se recogen los principales ataques que puede sufrir un sistema si se
apravechan sus vulnerabilidades.
Interrupción
Intercepción
Modificación
Fabricación
Un recurso del sistema o la red deja de estar disponible debido a un ataque.
Un intruso accede a la información de nuestro equipo o a la que enviamos por
la red.
La información ha sido modificada sin autorización, por lo que ya no es válida.
Se crea un producto Ipor ejemplo una página Web) difícil de distinguir del autén-
tico y que puede utilizarse para hacerse, por ejemplo, con información confiden-
cial del usuario.
Tabla 1. 8. Tipos de alaques.
En 2005 Creative distribuyó en
Japón cerca de 3700 reproduc-
tores de mp3 infectados con
virus.
la compañía Creative Labs
anunció que en 3700 de sus
reproductores de MP3 vendidos
en Japón se ha distribuido acci-
dentalmente un virus que afecta
al sistema operativo Windows,
según informó el sitio británico
The Regisler.
El virus que se coló en los
MP3 player corresponde al
gusano Wullik-B (también cono-
cido como Rays-A), actualmente
detectado por la mayoría de las
software de seguridad y que
según F-Secure sólo se activa
si el usuario accede al archi-
vo infectado y hace doble clic
sobre él.
Fuente: www.cadenaser.com
22
Conceptos básicos de la seguridad informática
Los tipos de amenazas pueden clasificarse también en función de cómo actúan los
ataques, siendo los principales los que se han incluido en la Tabla l.9 que aparece a
continuación:
Spaafing
Sniffing
Conexión no
autorizada
Malware
Keylaggers
Denegación
de Servicio
Ingeniería
social
Phishing
Suplanto lo identidad de un pe o algún doto del mismo Icama su dirección MAq
Monitorizo y analizo el tráfico de la red para hacerse con información.
Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se des-
cubren, se realiza una conexión no autorizada a los mismos.
Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro
equipo, dañando el sistema de múltiples formas.
Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a
través del teclado, e incluso pueden realizar capturas de pantallas.
Interrumpe el servicio que se está ofreciendo en servidores o redes de ordenado-
res. También denominado DoS Idenial of Servicel.
Se obtiene información confidencial de una persona u organismo para utilizarla
con fines maliciosos. Los ejemplos más llamativos son el phishing y el spam.
Se engaña al usuario para obtener su información confidencial suplantando la
identidad de un organismo o página web de Internet.
Tabla 1.9. Formas de actuar de los ataques.
4.4. Pautas de protección para nuestro sistema
Cualquier equipo conectado en red esiá expuesto a ser atacado. Como ya sabes, hay
auténticos expertos informáticos que se dedican a buscar vulnerabilidades en los siste-
mas, dedicando mucho tiempo y esfuerzo a este fin. Para prateger tu sistema tendrás
que ser más listo que ellos y dedicar también mucho tiempo y esfuerzo a esta tarea.
Algunas de las pautas que debes seguir son:
o No instalar nada que no sea necesario en los servidores.
o Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen
vulnerabilidades de los programas por lo que es necesario mantener siempre actua-
lizado el sistema.
o Formar a los usuarios del sistema para que hagan uso de buenas prácticas.
o Instalar un firewall. Esta herramienta permite controlar el tráfico entre una red priva-
da y una pública.
o Mantener copias de seguridad según las necesidades.
o Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desa-
rrollada en el sistema, por la que su revisión periódica puede detectar a tiempo un
posible ataque.
o Sentido común y experiencia previa del administrador.
  Actividades
8. Analiza el artículo del primer apartado de la unidad e identifica el tipo de ata-
cante del que hablan y el tipo de ataque que realiza.
9. Analiza cuales de las pautas no cumple el sistema que tienes en tu casa.
Conceptos básicos de la seguridad informática
1
• 5. Leyes relacionadas con la seguridad
de la información
En los siguientes apartados vamos a trotar las principales leyes relacionadas con la
seguridad de la información: Ley de protección de datos de carácter personal y Ley de
servicios de la información y el comercio electrónico.
5.1. Normativa que protege los datos personales
Muy a menudo, en nuestro vida diaria, nuestros datos personales son solicitados para
realizar diversos trámites en empresas o en organismos tanto públicos como privados;
por e¡emplo, cuando cambiamos de número de móvil o contratamos un nuevo proveedor
de servicios de Internet. Desde ese instante, nuestro nombre, apellidos, dirección, etc.,
pasan a formar parte de una serie de ficheros. Su gestión está regulada por la Ley de
Protección de Datos de Carácter Personal (LO 15/1999), más conocida como LOPD,
que se desarrolla en el RD 1720/2007, Y es supervisada por la Agencia Española de
Protección de Datos.
El ob¡etivo de esta leyes garantizar y proteger los derechos fundamentales y, espe-
cialmente, la intimidad de las personas físicas en relación con sus datos personales. Es
decir, especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida
que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre
otros aspectos.
Puede que nunca te hayas f¡¡ado, pero es habitual encontrar carteles donde se hace
referencia a esta ley, por e¡emplo en las estaciones de RENFE o cuando rellenas tu ma-
trícula.
11 ' lI'I'u;>t:O ;lO r.:uu<pr.
AlHXOI
Comunidad de Madrid
      . " .......... oll . nlclu
m .. fond ... plblbn. Ck. .... FOI' ........ ... d. G ... do .. .,¡) o
t«I:l:. _.1
01
.. _ IDmI-·,><:·.""doI l·"'·Go'C>'-
l:¡"..¡al' .. ,.tJ .... · ...   ......... 1o
.. "" .. ..... ........ _....,
"'" '" ... "". (0.'\;$' ,....." ... <"'""" • . ;a.."'... . ...... "'ail'o ¡'O,¡.,... .. '''' ...... ...
.. .
Cuando LOPD habla de
ros, se refiere a «conjunto orga-
nizado de datos de carácter
personal cualquiera que fuera la
forma o modalidad de su crea·
ción, almacenamiento, organiza·
ción y accesQ». Es decir, no solo
se aplica a ficheros de datos en
soporte informático, sino tam-
bién a documentos impresos,
vídeos, grabaciones de audio,
etcétera.
9
En algunas de las comunida·
des autónomas, como Madrid,
Cataluña, El País Vasco y
Galicia, existen leyes y decretos
que, basándose en la LOPD,
regulan los ficheros de datos de
carácter personal y la agencia
de Protección de Datos de dicha
comunidad.
D .<"" •• ".( ...... .. _ . .... ent:aGl,. ...
DOo.<I".. <1o ... .., .. , ... 'l;.....   • • & ........ "' ..... _ .... /ro:I: _ <la"'_''''
0 "-.". ... , • ...,.,."'10 ,.. .. h ••• "' • •• " ........ ......... ....... eo :s ."1:.
I
=11
Los datos personales recogidos, serán tratados con su con-
sentimiento informado en los términos del artículo 5 de la Ley
Orgánica 15/ 1999, y de conformidad con los principios dis-
puestos en la misma y en la Ley 8/2001, de la Comunidad de
Madrid, pudiendo ejercer el derecho de acceso, rectificación,
cancelación y oposición ante el responsable del fichero. Para
cualquier cuestión relacionada con esta materia, o si tiene usted
alguna sugerencia que permita mejorar este impreso, puede
dirigirse al teléfono de información administrativa 012.
II:I IJ:""' . .. , .... ... • 0< . .. ": CQ .... I>.c • .,. . ...... ",,. . o CHa>
  ... .. ... :E<' ...
... ( .. ..... ".r .... ", 'o .. l '0"" V
11Ft. PRESIDENtE DEL CON!) EJO ESCOlAR oa CfNfltO
Fig. 1.14. Formulario de matriculación
de lo Comunidad de Madrid.
24
Conceptos básicos de la seguridad informático
o Protección de datos
La LOPD no solo la tenemos que conocer desde nuestra profesión como técnicos en sis-
temas microinformóticos y redes, sino también como particulares, ya que nuestros datos
están almacenados en ficheros que deberán cumplir esta legislación.
q Caso práctico 9
'"
La agencia de viajes SiTour ha decidido hacer una ficha a cada cliente que solicite
información sobre algún viaje, con el objetivo de enviarle sus nuevas ofertas y pro-
mociones
Describe el proceso que tú, como técnico informático de la agencia, tendrás que
realizar para poder almacenar y gestionar dichos datos de acuerdo a la narmativa
vigente.
En primer lugar, según la LOPD se debe solicitar a la Agencia de Protección de
Datos la creación de dicho fichero. En esta solicitud habrá que especificar:
Responsable del fichero: La agencia de viajes SiTour.
Finalidad: El objeti vo es comercial, es decir, el envío de ofertas y promociones.
Tipo de datos de carácter personal que contiene: nombre y apellidos, DNI o NIE,
teléfono, dirección postal y correo electrónico.
Medidas de seguridad: nivel básico, según se especifica en la LOPD.
Los datos que se deseen almacenar en el fichero tendrán que ajustarse a los obje-
tivos, es decir no se puede solicitar al cliente sus ingresos anuales. Estos datos solo
podrán ser utilizados para el objetivo para el que se han recogido y tendrán que
ser cancelados una vez que no sean necesarios para este objetivo.
La Agencia de Protección de Datos se pronunciará sobre la solicitud en un plazo de
un mes y si no se entenderá que el fichero se ha inscrito correctamente.
En el momento de la recogida de datos de carácter personal, hay que informar al
cliente de:
La incorporación de sus dotas a un fichero de datos de carácter personal.
La finalidad de estos datos, que en este caso es el envío de ofertas y promociones.
De su derecho de acceso, rectificación y cancelación, así como del procedimiento
que el cliente debe seguir, ya dónde debe dirigirse para ejercitar dicho derecho.
De la identidad y dirección del responsable del tratamiento de los datos, en este
caso la agencia de viajes Sitour.
Además, tanto la persona responsable del fichero como quienes intervengan sobre
él tienen deber de secreto sobre los datos que contiene.
El documento informativo que se proporcionará a los clientes, y del que la empresa
guardará una copia firmada por este, podría ser el siguiente:
En cumplimiento de la establecido en la ley orgánica 15/ 1999 de Protección
de Datos de Carácter Personal y en el Real Decreto 1720/2007, que aprue-
ba su reglamento de desarrollo, los clientes quedan informados y prestan su
consentimiento a la incorporación de sus datos a los ficheros existentes en
SiTour y al tratamiento de los mismos. Los datos personales serán tratados
exclusivamente con la finalidad de informar al cliente sobre nuevas ofertas y
promociones. No se real izará ninguna cesión de estos datos.
Según lo dispuesto en la misma ley, los clientes tienen derecho a consultar,
modificar o cancelar los datos proparcionados a SiTour, dirigiéndose al de-
partamento de informática de SiTour.
Conceptos básicos de la seguridad informática 1
o Medidas de seguridad
Como ya sabes, siempre que se vaya a crear un fichero de datos de carácter personal,
es necesario solicitar la aprobación de la Agencia de Protección de Datos.
Cuando se realiza esta solicitud es obligatorio especificar los datos que contendrá el
fichero y el nivel de seguridad que se aplicará al fichero. Los niveles de seguridad son
tres: básico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la
Tabla 1.1 o.
Todos los datos de carácter personal tienen que tener como mínimo este
nivel.
Básico
Referidos a inFracciones administrativas (o penales), a gestión tributaria,
datos Fiscales y Financieros.
Medio
Dalas que proporcionan inFormación sobre las características o personali-
dad de las afectados.
Referidos a ideología, afiliación sindical, religión, creencias, origen racial,
salud o vida sexual.
Alto
Tabla 1.10. Correspondencia dotas - seguridad.
El nivel que debe aplicarse es el más alto que corresponda a los datos incluidos en el
fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel
es básico, pero si además se incluye la afiliación sindical, el nivel de seguridad del
fichero será alto. Cada nivel tiene unas características de seguridad propias, como se
ve en la Tabla 1.1l.
Básico
Medio
Alto
Debe existir un documento de seguridad donde figuren las Funciones y
obligaciones de cada usuario del fichero. El responsable del fichero debe
mantener una lista de usuarios y sus accesos actualizada. Las contraseñas
de los usuarios (en caso de ser este el método de autenticación) serán cam-
biadas en un periodo no superior a un año.
Es obligatorio crear un registro de las incidencias relacionadas con este
fichero.
Cualquier documento que contenga datos de carácter personal que se
deseche tendrá que ser borrado o destruido.
Habrá que realizar copias de seguridad como mínimo una vez a la
semana.
Al menos una vez cada dos años una auditoría verificará que los procedi-
mientos de seguridad aplicados son los correctos.
Deben establecerse mecanismos para evitar el acceso reiterado no autori-
zado a los datos y sistemas de control de acceso a los lugares donde estén
los equipos que almacenen los datos.
Los datos deben ser cifrados para que no se manipulen cuando se realice
su transporte, por ejemplo, cuando se almacenen los datos en un portátil.
También deberán ciFrarse para realizar cualquier transmisión por redes
públicas o inalámbricas.
Las copias de seguridad deben almacenarse en un lugar Físico diFerente
a los datos.
Deberán registrarse los intentos de acceso a los datos de los dos últimos
años como mínimo.
Tabla 1.11. Características de los niveles de seguridad.
Auditoría. Proceso que consis-
te en obtener y evaluar objeti-
vamente los procesos de una
empresa para comprobar que
cumplen con las normas y crite-
rios establecidos.
Las datos referentes a los n   v ~
de seguridad están especifica-
dos con más detalle en la LOPD
y en el decreto 1720/2007.
Actividades 9'
10. Dadas las siguientes situa-
ciones, identifica el tipo
de infraccián que SiTour
está cometiendo. Para
ello consulta el artículo
43 de la LOPD:
o SiTour realiza el envío
de ofertas y promo-
ciones sin solicitar la
creación del fichero de
datos de sus clientes.
o SiTour no está reali-
zando copias de segu-
ridad del fichero de
datos.
o SiTour realiza la reco-
gida de datos a sus
clientes sin informar-
les de la finalidad del
fichera.
11. Las infracciones de la
actividad anterior tienen
asignada una sanclon
económica en el artículo
45 de la LOPD. Búscala
e indica cuál es en cada
caso.
Conceptos básicos de la seguridad informática
S
' b·-· ?
¿ a ... Ias que ....
~
Si se detecla que un conlenido
o un enlace a un contenido no
cumple la normaliva Ipor ejem·
plo, atenta conlra la dignidad
de una persona o contra los
derechos de aulor). la empresa
que lo aloja tiene que colaborar
para suprimir o inutilizar el con-
lenido o el enlace.
5.2. Normativa de los sistemas de información y comercio
electrónico
La regulación de los sistemas de información es un temo muy extenso y complejo, tanto
que existe un organismo, lo Comisión del Mercado de las Telecomunicaciones (CMT).
que establece las normas y procedimientos de los mercados nocionales de comunicacio·
nes electrónicas y de servicios audiovisuales.
Lo ley 34/2002 de servicios de lo información y el comercio electrónico regula el régi.
men jurídico de las servicias de lo sociedad de la información y lo contratación por vía
electrónica en las empresas que proporcionan estos servicios establecidos en España o
en estados miembros de lo unión Europea.
Algunos de los aspectos más importantes de esto ley son:
• Los empresas o las que afecta están obligadas o proporcionar información sobre
nombre, domicilio, dirección de correo electrónico, número de identificación fiscal e
información clara sobre el precio de las productos. Si esta información se incluye en
la página web, la empresa estará cumpliendo con este requisito.
• Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la
información contenida en sus servidores, a empresas que se dedican al alojamiento
o almacenamiento de datos o enlaces a datos incluidos por clientes.
• Establece la validez de los contratos realizados por vía electrónica. Para demostrar
la existencia de dicho contrato jurídicamente es suficiente con la presentación del
documento en formato electrónico. Por ejemplo en el caso de los billetes de transpor·
te adquiridas a través de Internet, el documento electrónico justifica dicho controto.
La aplicacián de estas leyes ha derivado en acciones judiciales, como la siguiente:
o-m .. "
~ t e     i ó n de Datos multa a Telefónica con 60.000 euros .
.
; .
• La Agencia Españolo de Protección de Dolos IAEPD) ha impuesto a Telefónica una multa
de 60 101,21 euros por haber revelado dolos de clientes a consecuencia de un problema
técnico que sufrió el porlal de Terra.
htlp://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php
...
Un grupo de jóvenes insulto y veja en 2006 a un chico de 17 años con síndrame de dawn.
Uno de ellos lo grabo y acabo colgado en Google Video, el servício de hospedaje de
vídeos del gigante informótico que mós larde adquiriría Yautube. Lo escena llego o recibir
5.500 visitas en dos meses y aparece entre los «vídeos más divertidos». ¿Quién es el res-
ponsable de lo dignidad del agredido, socavado en unas imógenes que alcanzaron uno
audiencia global? Un juez en Milón lo juzgo desde hoy, cenlróndose en lo responsabilidad
de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresi-
dente de la empreso, se enfrentan a una acusación penal por difamar a la víctima y a Vivi
Down, una asociación de personas con síndrome de down. Ademós, la Fiscalía les consi-
dera responsables del incumplimienlo de la legislación ilaliana en materia de privacidad.
15/12/2009 Daniel Basleira • Diario Público
Identificar las necesidades de la seguridad informática
1. Analiza las perjuicios que puede ocasionarte la
conexión a una red wifi que no pide ningún tipo de
contraseña.
2. Analiza la seguridad que tendrían las claves farmadas
exclusivamente por números.
3. Comprueba la seguridad de las contraseñas que habi-
tualmente utilizas en el comprabadar de contrase-
ñas de Microsoft: hHp://www.microsoft.com/latam/
athome/security/privacy/password_checker.mspx.
4. Escribe en un papel tu nombre, apellidos, númera de
teléfono móvil, número fijo, fecha de nacimiento, direc-
ción postal, nombre de familiares y mascotas y nom-
bres de usuario para el equipa de tu casa, el correa
electrónica y otros servicios a los que accedes por Inter-
net. Intercambia tu papel con el de un compañero e
intenta, haciendo combinaciones de estos datos, des-
cubrir sus contraseñas.
5. En esta actividad vamos a trabajar con Chrame, nave-
gador gratuito diseñado por la compañía Google. En
caso de que no lo tengas descárgatelo de Internet. Vete
a la página de Gmail, es decir al correo electrónico de
Google, y busca en ella el certificado que utiliza Gmail.
6. Rellena la siguiente tabla:
Física
activa
7. Indica los pasos que debemos realizar para conseguir
mejorar la seguridad informática.
8. Imagina que la empresa en la que eres responsable de
seguridad sufre un ataque a través del servidor Web
utilizando una vulnerabilidad conocida. ¿Que medidas
tomarías?
9. Pon un ejemplo de sistema en el que los riesgos estén
asociadas a impactos altos y otro ejemplo en el que
estén asociados a mayor probabilidad de vulnerabili-
dades.
10. Busca una noticia en un periódico sobre seguridad
informática e identifica los tipos de atacantes y los
tipos de ataques. ¿Crees que el ataque se pudo llevar a
cabo debido a una mala planificación de la seguridad?
Conceptos básicos de la seguridad informática 1
Comprueba tu aprendizaje f9
11. Infórmate en la página de Microsoft sobre la vulnerabi-
lidad MS07-041 que afecta al servidor Web de Micro-
soft Internet Information Server.
12. Busca un boletín de seguridad de Microsoft en el que
se publique una vulnerabilidad de Windows 7. Escribe
en tu cuaderna un resumen, cómo ha sido clasificada, a
qué sistemas afecta, si crees que nos afectaría y cómo
pueden protegerse los equipos afectados de esta vulne-
rabilidad.
13. Accede a la página de Hispasec Sistemas hHp://www.
hispasec.com/index_html y suscríbete a «Una al día»
para recibir en tu correo electrónico una noticia cada
día sobre problemas de seguridad que afecten a cual-
quier sistema. Elige una noticia que afecte a un sistema
que conozcas y haz un resumen del problema de segu-
ridad en tu cuaderno.
14. Busca información sobre las listas Robinson y averigua
en qué consisten, cómo funcionan, quién puede entrar
a formar parte de ellas y cuál es el procedimiento para
que una persona sea incluida en ellas.
Reconocer la legislación y normativa sobre la seguridod
y protección de datos onalizando las repercusiones de su
incumplimiento
15. En el Caso práctico 9 vimos el procedimiento que
seguido por SiTour para almacenar y gestionar los
datos de sus clientes según la normativa vigente. Una
vez que ha realizado todo este proceso, SiTour envía a
SiCon, una empresa de construcción con la que tiene
acuerdos comerciales, los datos de su fichero de clien-
tes pero no informa a estos del envío. Responde a las
siguientes preguntas:
• ¿Cuál es el organismo que se ocupa de controlar y
multar estas infracciones?
• ¿En que ley se recogen las sanciones a aplicar?
• ¿Cuál es la gravedad de la infracción que está come-
tiendo?
• ¿Qué multa pueden tener?
Nota: Es la primera vez que se sanciona a estas empre-
sas y el volumen de datos afectadas no es muy alto,
por lo que las sanciones a aplicar serán las mínimas
pasibles.
16. Terminado este curso y con la formación adquirida,
decides montar una empresa en Internet que se va a
dedicar a ofrecer un disco duro an-line. Necesitas de
cada usuario: nombre, apellido, teléfono y dirección
de correo electrónico. ¿En qué afectan estos datos a
la formación de tu empresa? ¿Qué medidas de segu-
ridad tendrás que tomar cuando almacenas esta infor-
mación?
~   1
Conceptos básicos de la seguridad informótica
Confidenciolidod
Disponibilidod
Integridod
Interrupción
No Repudio
Intercepción
Modificación
Seguridad físico
-C
Fabricación
Seguridad lógica
pasiva
Spoofing
Sniffing
Conocidas sobre
aplicaciones
Conexión no autorizada
o sistemas instalados
Molwore
Conocidas sobre
.. .. .
aplicaciones
Keyloggers
no inslaladas
Aún no conocidas
Denegación de servicio
Ingeniería social
Hackers
Crackers
Phreakers
Sniffers
Ley 15/1999
{
de protección de dalos de
Lammers
carácter personal
. .
Newbie
Ley 34/2002 de servicios
de la información
Ciberterrorisla
y el comercio electrónico
Programadores
de virus
Carders
B
lUJ n'il D d <OJ dl
Seguridad pasiva.
Hardware y almacenamiento
y estudiaremos:
• Ubicación y protección física de los
equipos y servidores.
• Sistemas de alimentación ininterrumpido.
• Almacenamiento de la información.
• Almacenamiento redundante y distribuido:
RAID, clusters, NAS y SAN.
En esta unidad aprenderemos a:
• Definir las características de la
ubicación física y condiciones
ambientales de los equipos
y servidores, así como los protocolos
de actuación frente a incidencias
y alarmas en el subsistema físico.
• Seleccionar y verificar los sistemas
de alimentación ininterrumpido
y dónde utilizarlos.
• Describir las tecnologías
de almacenamiento redundante
y distribuido.
• Clasificar y enumerar los distintos
métodos de almacenamiento
según su disponibilidad y
accesibilidad a la información.
• Identificar y utilizar medios de
almacenamiento remotos
y extraíbles.
Seguridad pasivo. Hardware y almacenamiento
  Actividades
1. Realiza en equipo una
tormenta de ideas para
descubrir qué factores
hay que tener en cuenta
para elegir dónde situor
los equipos que forman el
CPD. Es esencial que ten-
góis siempre presente lo
importante que son estos
equipos y la información
que manejan para cual-
quier organización.
Fíjate en la Figura 2.1
para analizar estos fac-
tores, teniendo en cuenta
los equipos y armarios
donde se instalan, que
puedes ver en la imagen,
así como las característi-
cas de este CPD.
• l. Ubicación y protección física
El primer paso para establecer la seguridad de un servidor o un equipo es decidir
adecuadamente dónde vamos a instalarlo. Esta decisión puede parecer superflua, pero
nada más lejos de la realidad: resulta vital para el mantenimiento y protección de nues-
tros sistemas.
Los planes de seguridad física se basan en proteger el hardware de los posibles desas-
tres naturales, de incendios, inundaciones, sobrecargas eléctricas, robos y otra serie de
amenazas.
Se trata, por tanto, de aplicar barreras físicas y procedimientos de control, como medi-
das de prevención y contra medidas para proteger las recursos y la información, tanta
para mantener la seguridad dentro y alrededor del Centro de Cálculo como los medios
de acceso remoto a él o desde él.
Veremos algunos de los mecanismos de seguridad física de los que hemos hablado en
la Unidad 1, que, cama recordarás, se recogen en la Tabla 1.2, relativa a amenazas y
mecanismos de defensa de seguridad.
Cada sistema informática es única. Par ejemplo, en la Figura 2.1 se puede ver la vis-
ta parcial de un CPD de una organización grande, pero en pequeñas empresas u
organizaciones, ei CPD podría estar compuesta sala par una de esios módulos a par
un servidor. Cuando hablemos del plan
de seguridad física na podemos pensar
que existe un plan de seguridad general
aplicable a cualquier tipo de instalación.
En esta unidad nos centraremos en las
pautas de aplicación general, teniendo
en cuenta que estas deben personalizar-
se para cada empresa y cada edifido.
Además, no es lo mismo establecer las
características de una sala técnica en
una zona donde los terremotos son ha- \
bitLJales, por ejemplo, a hacerlo para
una zona donde apenas hay temblares
apreciables. Fig. 2. 1. Saja de servidores.
1.1. Factores para elegir la ubicación
Cuando hay que instalar un nuevo centra de cálculo es necesario fijarse en varios fac-
tares. En concreta, se elegirá la ubicación en función de la disponibilidad física y la fa-
cilidad para modificar aquellas aspectos que vayan a hacer que la instalación sea más
segura. Existen una serie de factores que dependen de las instalaciones propiamente
dichas, coma son:
• El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cómo
es el acceso de equipas y personal, y qué características tienen las instalaciones de
suministro eléctrico, acondicionamiento térmico, etc. Igualmente, hemos de atender a
cuestiones de índole física como la altura y anchura de los espacias disponibles para
la instalación, si tienen columnas, cómo es el suelo, la iluminación, etc.
• Tratamiento acústico. En general, se ha de tener en cuenta que habrá equipos,
como las de aire condicionado, necesarios para refrigerar los servidores, que son
bastante ruidosos. Deben instalarse en entornos donde el ruido y la vibración estén
amortiguados.
• Seguridad física del edificio. Se estudiará el sistema contra incendias, la protección
contra inundaciones y otras peligros naturales que puedan afectar a la instalación.
• Suministro eléctrico propio del CPD. La alimentación de
los equipos de un centro de procesamiento de datos
tiene que tener unas condiciones especiales, ya que no
puede estor sujeta a los fluctuaciones o picos de lo red
eléctrico que pueda sufrir el resto del edificio. No sue-
le ser posible disponer de toda una red de suministro
eléctrico propio, como la que ves en la Figura 2.3, pero
siempre es conveniente utilizar una sistema independien-
te del resto de la instalación y elementos de protección
y seguridad específicos, como sistemas de alimentación
ininterrumpida, a los que dedicaremos el Apartado 2
de la unidad: equipos electrógenos, baterías, etc.
Seguridad pasivo. Hardware y almacenamiento 2
• Existen otra serie de factores inherentes a la localiza-
ción, es decir, condiciones ambientales que rodean al
local donde vayamos a instalar el CPD. Los principales
son los factores naturales (frío, calor, inundaciones, in-
cendios o terremotos); los servicios disponibles, espe-
cialmente de energía eléctrica y comunicaciones (an-
tenas, líneas telefónicas, etc.), y otras instalaciones de
la misma zona; y la seguridad del entorno, ya que la
zona donde vaya situarse el CPD debe ser tranquila,
pero no un sitio desolado. Otros factores que han de
tenerse en consideración son el vandalismo, el sabotaje
y el terrorismo.
Fig. 2.2. Sistema de refrigeración del centro de datos de Google en The
Dalles, Oregón. Fuente: www.informationweek.com.
o ¿Dónde se debe instalar el CPD?
Atendiendo solo a estos factores ya podemos obtener las
primeras concl usiones poro instalor el CPD en una ubica-
ción de características idóneas. Así pues, siempre que po-
damos, tendremos en cuenta que:
• Deben evitarse áreas con fuentes de interferencia de
radiofrecuencia, tales como transmisores de radio y es-
taciones de TY.
• El CPD no debe estar contiguo a maquinaria pesada o
almacenes con gas inflamable o nocivo.
Fig. 2.3. Sistema de alimentación del compleja de Google
en The Dalles, Oregón. Fuente: www.;nformationweek.com.
• El espacio deberá estar protegido ante entornos peligrosos, especialmente inunda-
ciones. Se buscará descartar:
Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son
más propensas al vandalismo o los sabotajes.
Sótanos, que pueden dar problemas de inundaciones debido a cañerías princi-
pales, sumideros o depósitos de agua.
Última planta, evitando desastres aéreos, etc.
Encima de garajes de vehículos de motor, donde el fuego se puede originar y
extender más fácilmente.
Según esto, la ubicación más conveniente se sitúa en las plantos intermedias de un edi-
ficio o en ubicaciones centrales en entornos empresariales.
Actividades "
2. Estudia las instalaciones de tu centro. Dadas las características del mismo,
¿dónde crees que podría instalarse un pequeño centro de cálculo?
Seguridad pasiva. Hardware y almacenamiento
1.2. Control de acceso
De modo complementario o la correcta elección de la ubicación del CPD es necesario
un férreo control de acceso al mismo. Dependiendo del tipo de instalación y de la inver-
sión económica que se realice se dispondró de distintos sistemas de seguridad, como
los siguientes:
o Servicio de vigilancia, donde el acceso es controlado por personal de seguridad que
comprueban la identificación de todo aquel que quiera acceder a una ubicación.
En general, suele utilizarse en el control de acceso al edificio a al
emplazamiento y se complementa can otros sistemas en el acceso
directa al CPD.
o Detectores de metales y escáneres de control de pertenencias, que
permiten «revisar» a las personas, evitando su acceso a las instala-
ciones con instrumentas potencialmente peligrosas a armas.
o Utilización de sistemas biamétricas, basados en identificar caracterís-
ticas únicas de las personas cuyo acceso esté autorizado, coma sus
huellas digitalizadas a su iris, de los que hablaremos en la Unidad 5.
Fig. 2.4. Control de acceso al complejo de Google en The
Dalles, Oregón. Fuente: www.inFormationweek.com.
o Protección electrónica, basada en el usa de sensores conectadas a
centrales de alarma que reaccionan ante la emisión de distintas se-
ñales. Cuando un sensar detecta un riesgo, informa a la central que
procesa la información y responde según proceda, par ejemplo
emitiendo señales sonoras que alerten de la situación.
  Actividades
3. Busca información sobre
distintos sistemas de pro-
tección electrónico, sus
aplicaciones y costes de
implantación.
,
Q Caso Jlráctico 1
Estudio de la ubicación del CPO de SiCon
SiCon, una importante empresa de construcción, ha decida trasladar sus oficinas a
un nueva edificio. Una de los factares más impartantes para decidir entre las posi-
bles ubicaciones, tres en total, es determinar cuál ofrece las mejores garantías para
la instalación de su CPD. Es nuestra responsabilidad como técnicas informáticos
presentar la propuesta de ubicación más conveniente.
l. Se trata de tres edificios situadas en diferentes zonas, consideradas todas ellas
como seguras desde el punto de vista de robos y vandalismo, y que se sitúan en
la misma área geográfica, donde no son habituales las inundaciones. Además
se han seleccionado edificios con buenos sistemas contra incendios, etc.
2. El primero de ellos se sitúa en el centro de una gran ciudad, junto a otra serie de
edificios principalmente de oficinas, aunque también hay alguno de viviendas;
el segundo de los edificios se encuentra en un gran parque empresarial con múl-
tiples oficinas, pero donde no hay fábricas; el tercero, en un polígono industrial,
donde se concentran fábricas de metalurgia, factorías de vehículos, así como
otra serie de fabricas de maquinaria pesada.
3. Los edificios tienen control de acceso mediante guardias y cámaras, que man-
tendrá una empresa externa.
4. La altura de los edificios, es decir, las plantas disponibles en cada edificio,
es distinta. En el edificio céntrico disponemos de siete plantas en un edificio
compartido con otra empresa, en el parque empresarial de un edificio de seis
plantas y en el polígono industrial de un edificio de dos plantas, ambos de uso
exclusivo de SiCon.
c:
. Las tres zonas están bien dotadas de servicios de comunicaciones y las instala-
ciones no presentan problemas eléctricos.
(Continúa)
Seguridad pasiva. Hardware y almacenamiento 2
Caso I!ráctico 1 9
¡Continuación}
6. En el edificio situado en el centro de lo ciudad será necesario realizar ciertas
reformas para amortiguar los sonidos de los equipos que se instalen, dada la
cercanía de edificios de viviendas.
7. La empresa ha decidido realizar la inversión necesaria para instalar sistemas
de control de acceso biométrico al CPD, para garantizar que sea la más seguro
pasible, así como las sistemas de alimentación necesarias.
8. Una vez que conocemos estos datos, podemos realizar una tabla valorando las
instalaciones en función de su conveniencia, donde morcaremos si se adecúa
al factor de seguridad correspondiente. En uno situación real, el estudio sería
más extenso y se deberían visitar los edificios para comprobar factores como la
situación de tuberías (que no deben pasar por encima de la CPD), etc.
El edificio ./ ./
Tratamiento acústico ./
Seguridad fí sica del edificio ./ ./
Fadores naturales ./ ./
Servicios e instalaciones cercanas ./ ./
Seguridad del enlorno ./ ./
Control de acceso ./ ./
Tabla 2.1 . Va/oración de /0 ubicación.
9. La valoración realizada indica que la ubicacián más apropiada es la del centra
empresarial, donde además contamos con la venta¡a de poder instalar el CPD
en la penúltima o antepenúltima planta, de las seis que disponemos. Aunque no
se ha indicado, el hecho de que el edificio sea de uso exclusivo es otro factar
venta¡oso ya que facilitará el control de acceso al mismo, como también lo será
la consideración de si se trata de un emplazamiento en propiedad o alquilado.
1.3. Sistemas de climatización y protección en el CPD
Además de instalar el CPD en la me¡or localización posible, es imprescindible que se
instalen en su interior, ¡unto con los equipos propios de procesamiento de datos, sistemas
de climatización, de protección contra incendios (PCI) y sistemas de alarmo apropiados.
Los equipos de un centro de praceso de datos disipan mucha energía calorífico y hoy
que refrigerarlos adecuadamente poro mantener los condiciones interiores de tempera-
tura y humedad estables, yo que altas temperaturas podrían dañar estos equipos. Lo
decisión sobre qué sistemas de climatización han de instalarse depende de los carac-
terísticos de codo CPD, pero hoy un hecho que siempre ha de tenerse en cuenta: no
se trato de climatizar el cuarto sino de refrigerar el equipo. Por ello debemos situar el
servidor o rock o lo altura adecuado paro que le alcance lo circulacián de aire, y de
modo que el aire frío de lo máquina se diri¡a o lo porte del equipo que absorbe aire,
no a lo que lo expulso.
Actividades t'
4. Copio lo Tabla 2.1, y
complétala con uno
columna denominada Jus-
tificación, donde rozones
por qué codo uno de las
ubicaciones es adecuado
o no respecto a coda fac-
tor de seguridad. E¡em-
plo: «lo ubicación del
edificio en el polígono
industrial no resulta ade-
cuado por... mientras
que el edificio céntrica y
el parque empresarial sí
porque . .. ».
9
Con un extractor doméstico de
aseo puede renovarse 10 veces
por hora el aire de uno habila-
ción de 2x2x2,5m. En un gara-
¡e, por e¡emplo, el aire se debe
renovar según la normativa siete
veces por hora.
Seguridad pasivo. Hardware y almacenamiento
otros sistemas aún más
compleios, como el uso de pasi-
llos fríos y pasillos calientes y la
refrigeración líquida, utilizados
en grandes CPD con múltiples
racks.
23 oC
Podemos, por ejemplo, utilizar un ventilador que expulsa el aire caliente al exterior para
refrigerar un servidor como el que ves en la Figuro 2.5. Se trata de una opción bastante
económica en la que debes tener en cuenta que haya recirculación del aire, es decir,
que el aire debe atravesar el servidor.
Para un CPD que tenga varios racks, podemos optar por el uso de equipos murales o
equipos de techo. En la Figura 2.6 puedes ver este tipo de instalación, donde también
se ha instalado un secuenciador en una zona de temperatura característica. Este secuen-
ciador proporciona un sistema de seguridad adicional, ya que alterna el uso de cada
uno de los splits instalados, y, en caso de que suba la temperatura, ambos equipos se
pondrán en funcionamiento para enfriar el CPD.
50 %
Rejilla puerta
Fuera sala
Aire frio
Fig. 2.5. Sistema de climatizoción con ventilador. Fig. 2.6. Sistema de climatización con Sp/its.
  Actividades
Los sistemas contra incendios son otro de los factores clave en un CPD. No es tu misión
instalarlos, pero sí debes conocer su funcionamiento básico ya que de ello puede depen-
der inclusa tu propia seguridad. Es habitual utilizar dos tipos:
• Sistema de detección, como el sistema de detección precoz, que realiza análisis
continuos del aire, de modo que puede observar un cambio de composición en el
mismo, detectando un incendio incluso antes de que se produzca el fuego yactivan-
do el sistema de desplazamiento de oxígeno.
• Sistema de desplazamiento de oxígeno. Este tipo de sistemas reduce la concentra-
ción de oxígeno, extinguiendo así el fuego, de modo que no se utiliza agua, que
puede dañar los equipos electrónicos. Dado que se produce un desplazamiento de
oxígeno, es muy importante que el personal humano siga las normas de evacuación
de la ubicación, ya que su activación podría perjudicar su integridad física.
5_ La agencia de viajes SiTour está considerando la nece-
sidad de disponer de un centro de datos para gestionar
y centralizar la información que maneja habitualmente.
Estó situada en un local comercial bajo, que dispone
de una sala central , donde se realiza casi toda la acti-
vidad comercial, de dos despachos, uno de ellos utili-
zado por el director de la agencia y de un pequeño
almacén. La agencia se sitúa en un barrio de clase
media, donde no hay un índice especialmente alto de
robos, junto a un edificio que está actualmente vacío.
¿Cuál crees que es la ubicación idónea para la instala-
ción del CPD?
6. Investiga sobre distintos sistemas de climatización y
contra incendios que podrían ser adecuados para el
CPD de SiTour.
________________ --J)
Seguridad pasiva. Hardware y almacenamiento 2
1.4. Recuperación en caso de desastre
Nuestro objetivo debe ser siempre evitar daños en el CPD, pero hay que ser realistas y te-
ner preparado un plan de contingencia que debe ponerse en marcha en caso de desastre.
Una opción que ha de tenerse en cuenta es tener un centro de backup independiente,
de modo que aunque los equipos del CPD queden fuera de servicio por una avería muy
grave, la organización podró seguir realizando su actividad con cierta normalidad.
Dentro de los planes de contingencia debemos tener en cuenta la realización de sis-
temas redundantes, como los sistemas RAID que abordaremos en el Apartado 4 de la
unidad y el uso de copias de seguridad, a lo que dedicaremos la Unidad 3.
En caso de que se produzca un desastre, el primer paso es que se reúna el comité de
crisis para evaluar los daños. Si se decide poner en marcha el plan de contingencia,
es importante que los trabajos comiencen por recuperar las bases de datos y ficheros
esenciales, así como desviar las comunicaciones más críticas al centro alternativo, desde
donde se comenzará a operar en las áreas que sean prioritarias, ya que de no hacerlo
las consecuencias podrían ser desastrosas.
• 2. Sistemas de alimentación ininterrumpida
Ningún equipo informático, por sofisticado que sea, está exento de sufrir un corte de
luz y apagarse. Es por ello que es necesario, especialmente cuando se están procesan-
do datos o dando servicios de alojamiento web u otros, utilizar sistemas auxiliares de
alimentación.
2.1. Definición de SAl
Un SAlo sistema de alimentación ininterrumpida es un dispositivo electrónico que per-
mite proteger a los equipos frente a los picos o caídas de tensión. De esta manera se
dispone de una mayor estabilidad frente a los cambios del suministro eléctrico y de una
fuente de alimentación auxiliar cuando se produce un corte de luz.
Este tipo de sistemas nacieron originalmente con el objetivo de proteger el trabajo que
se estaba realizando en el momento en que se producía un apagón. La idea consistía
en proporcionar al usuario del equipo el tiempo suficiente para guardar la informa-
ción y apagar correctamente los equipos cuando se producía un corte en el suministro
eléctrico, aunque posteriormente se le ha agregado capacidad para poder continuar
trabajando cierto tiempo, aunque no se disponga de suministro.
Las características de los SAl dependen de cada modelo en concreto, pero en la siguien-
te tabla tienes un resumen de sus funcionalidades.
Alimentación de ordenadores Se pueden conectar de uno a varios equipos al mismo SAl.
Actividades  
Z Existen muchas empresas
que ofrecen soluciones de
almacenamiento y centros
de datos. Busca informa-
ción en Internet sobre
alguna de ellas y analiza
las ventajas y desventajas
que puede tener para una
empresa utilizar sus servi-
cios, tanto desde el punto
de vista de la seguridad
como desde el punto de
vista económico.
UPS (Uninterruptible Power
son los siglas inglesas de
También se conoce como No
break.
Tiempo extra de trabajo
Permiten seguir trabajando con el ordenador de 15 a 270 minutos cuando se produce un corte en el
suministro eléctrico.
Alimentación de otros equipos
Regulador de voltaje
Otros conectores
No están diseñados para conectar dispositivos de alto consumo de energía (como grandes impresoras láser
o plottersl.
Integrado en algunos modelos para evitar que los picos de tensión que se producen en la línea afecten a la
alimentación de los equipos.
Algunos incorporan conectores para conectar el módem, router u otros dispositivos imprescindibles en la
comunicación y protegerlos.
Tabla 2.2. Características de los SAl.
Seguridad pasiva. Hardware y almacenamiento
2.2. Tipos de SAl
En general, podemos identificar dos tipos de SAl, en función de su forma de trabajar:


Sistemas de alimentación en estado de espera o Stand-by Power Systems (SPS). Este
tipo de SAl activa la alimentación desde baterías automáticamente cuando detecta
un fallo en el suministro eléctrico.
SAl en línea (on-fine), que alimenta el ordenador de modo continuo, aunque no exis-
ta un prablema en el suministro eléctrico, y al mismo tiempo recarga su batería. Este
dispositivo tiene la ventaja de que ofrece una tensión de alimentación constante, ya
que filtra los picos de la señal eléctrica que pudiesen dañar el ordenador, si bien el
tiempo extra de trabajo que ofrece es menor que el de los SPS.
-

-
 
-
\O Ovc<l_
-

Back·UPS
es
6 5 o
Fig. 2.7. Distintos modelos de SAl.
Fig. 2.8. SAl con alimentación eléctrica.
2.3. Modo de funcionamiento
Como ya hemos dicho, un SAl es un dispositivo auxiliar que alimenta un ordenador, bien
de modo continuo o bien quedando a la espera hasta que es necesario (cuando hay un
corte de luz). Las Figuras 2.8 y 2.9 ilustran este funcionamiento.
En la Figura 2.18 podemos ver una representación de un SAl en línea, en una situación
normal donde hay suministra eléctrico. El SAl está conectado, por un lado, a un enchufe
de la red, a través del cual recibe la corriente con la que va cargando sus baterías, y
por otra se conecta al equipo o equipos a los que vaya a prateger.
En la Figura 2.9 podemos ver cuál es la situación cuando se praduce un corte de luz,
y la alimentación del ordenador depende únicamente de las baterías internas del SAl.
Dispondremos de alimentación el tiempo que estas baterías tarden en descargarse .
Fig. 2.9. SAl cuando hay un corte de alimentación eléctrica.

:..'
Seguridad pasiva. Hardware y almacenamiento
• 3. Almacenamiento de la información
Otro de los factores clave de la seguridad de cualquier sistema es cómo y donde se al-
macena la información. En este punto hablaremos de los tres aspectos más importantes
que debemos tener en cuenta cuando tratemos la seguridad física de la información: el
rendimiento, la disponibilidad y la accesibilidad a la misma.
Existen numerosas técnicas que se esperan proporcionen estas características, como son
los sistemas RAID, los clusters de servidores y las arquitecturas SAN y NAS, a los que
dedicaremos el resto del tema.
Pero, ¿qué entendemos por rendimiento, disponibilidad o accesibilidad a la informa-
ción?
Pues bien, siempre que hablemos de rendimiento nos estaremos refiriendo a la capaci-
dad de cálculo de información de un ordenador. El objetiva es obtener un rendimiento
mayar, y esto se puede conseguir na solo can grandes y modernos ordenadores, sino
utilizando arquitecturas que reciclan equipas que se han dejada de usar parque se en-
contraban anticuadas.
El concepto de disponibilidad hará refe-
rencia a la capacidad de las sistemas de
estar siempre en funcionamiento. Un siste-
ma de alta disponibilidad está compuesto
por sistemas redundantes o que trabajan
en paralelo, de modo que cuando se pra-
duzca un fallo en el sistema principal, se
arranquen los sistemas secundarios auto-
máticamente y el equipo no deje de fun-
cionar en ningún momento.
Otra factor importante es la accesibilidad
a la información; si nuestra información
se encuentra duplicada y en lugar seguro,
pera la accesibilidad a ella es mala, por
ejemplo porque solo es posible acceder
por carretera y se han almacenado las
copias de seguridad a una distancia de
varias horas de viaje, en caso de desastre
el tiempo que se empleará en poner en
marcha el plan de recuperación será ma-
No hay que confundir acc:esible
con seguro, un sistema con difi-
cultad de acceso puede no ser
seguro si una vez que se llega
al emplazamiento es posible
hacerse con la información sim-
plemente abriendo una puerta.
yor que con un sistema accesible. Fig. 2.10. Racks de computadoras de un ePD ¡Will Weterings).
Actividades "
8. Busca en Internet información sobre distintos tipos de SAl disponibles en el mer-
cado. Crea una tabla clasificándolos en función del tiempo de trabajo extra que
ofrecen, del númera de equipos que pueden conectarse a ellos, si disponen de
reguladores de tensión y de su precio. Algunos de los fabricantes más importan-
tes que puedes consultar son Emerson, APC, Eaton, Socomec.
9. Como ya sabes, un SAl incorpora habitualmente mecanismos reguladores de
tensión, pero su precia hace que no sea asequible a un usuario doméstico. En
el mercado existen alternativas mucho más económicas para prateger los equ;--
pos contra subidas y picos de tensión. Busca información sobre estos equipos
en Internet, y selecciona el que te parezca más adecuado para tu ordenador
personal; justifica el porqué de tu elección. Puedes consultar las páginas de los
fabricantes de la Actividad 8.
i / 2 Seguridad pasiva. Hardware y almacenamiento
        ~     ~             ~                                            
RAIDQ
A1
A3
A5
A7
......
Disco O
Fig. 2. 11 . RAID O.
RAID 1
"-
A1 ~
"-
A2
A3
A4
'--
---
'-
Disco O
Fig. 2. 12. RAID 1.
A2
A4
A6
A8
.....
Disco 1
A1
A2
A3
A4
.....
Disco 1
4. Almacenamiento redundante y distribuido
RAID consiste en un conjunto de técnicas hardware o software que utilizando varios
discos proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabi-
lidad en el almacenamiento. Se trato de un sistema de almacenamiento que utilizando
varios discos y distribuyendo o replicando la información entre ellos consigue algunas
de las siguientes características:
o Mayor capacidad: es una forma económica de conseguir capacidades grandes de
almacenamiento. Combinando varios discos más o menos económicos podemos
conseguir una unidad de almacenamiento de una capacidad mucho mayor que la
de los discos por separado.
o Mayor tolerancia a fallos: en caso de producirse un error, con RAID el sistema será
capaz en algunos casos de recuperar la información perdida y podrá seguir funcio-
nando correctamente.
o Mayor seguridad: debido a que el sistema es más tolerante con los fallos y mantie-
ne cierta información duplicada, aumentaremos la disponibilidad y tendremos más
garantías de la integridad de los datos.
o Mayor velocidad: al tener en algunos casos cierta información repetida y distribui-
da, se podrán realizar varias operaciones simultáneamente, lo que pravocará mayor
velocidad.
Este conjunto de técnicas están organizadas en niveles. Algunos de estos niveles son:
o RAID nivelO (RAID O): en este nivel los datos se distribuyen equilibrada mente (y de
forma transparente para los usuarios) entre dos o más discos. Como podemos ver en
la Figura 2.11 los bloques de la unidad A se almacenan de forma alternativa entre
los discos O Y 1 de forma que los bloques impares de la unidad se almacenan en el
disco O y los bloques pares en el disco l.
Esta técnica favorece la velocidad debido a que cuando se lee o escribe un
dato, si el dato está almacenado en dos discos diferentes, se podrá realizar lo
operación simultáneamente. Para ello ambos discos tienen que estar gestionados
por controladoras independientes.
Hay que tener en cuenta que RAID O no incluye ninguna información redundan-
te, por lo que en caso de producirse un fallo en cualquiera de los discos que
componen la unidad provocaría la pérdida de información en dicha unidad.
o RAID nivel 1 (RAID 1): a menudo se conoce también como espejo. Consiste en
mantener una copia idéntica de la información de un disco en otro u otros dis-
cos, de forma que el usuario ve únicamente una unidad, pero físicamente esto
unidad está siendo almacenada de forma idéntica en dos o más discos de forma
simultánea.
Como podemos ver en la Figura 2.12 todos los bloques de la unidad A se alma-
cenan de forma idéntica en ambos discos.
Si se produjera un fallo en un disco la unidad podría seguir funcionando sobre
un solo disco mientras sustituimos el disco dañado por otro y rehacemos el es-
pejo.
El principal inconveniente es que el espacio de la unidad se reduce a la mitad
del espacio disponible. Es decir, si disponemos de dos discos de 1 TB cada uno
(2 TB entre los dos) y montamos una unidad en RAID 1, esta unidad tendrá un
espacio total de 1 TB.
Seguridad pasiva. Hardware y almacenamiento
2
• RAID nivel 5 (RAID 5): En RAID 5 los bloques de datas que se almacenan en la
unidad, y la información redundante de dichos bloques se distribuye cíclicamente
entre todos los discos que forman el volumen RAID 5. Por ejemplo si aplicamos
RAID 5 sobre un conjunto de 4 discos, como vemos en la Figura 2.16, las bloques
de datos se colocan en tres de los cuatro discos, dejando un hueco libre en cada
línea que irá rotando de forma cíclica (una línea está formada por un bloque con
el mismo número de orden de cada disco y estó representado en la Figura 2.16
con el mismo color). En este hueco se colocará un bloque de paridad. Con este
sistema, el bloque de paridad (en la Figura 2.13, Ap, Bp ... ) se coloca cada vez en
un disco. Como vemos en la Figura 2.13 el bloque de paridad de la línea A (Ap)
está en el disco 3, el bloque de paridad de la línea B (Bp) está en el disco 2 yasí
sucesivamente.
l
El bloque de paridad se calcula a partir de los bloques de datos de la misma
línea, de forma que el primero será un 1, si hay un número impar de unos en el
primer bit de los bloques de datos de la misma línea, y O si hay un número par
de unos.
Por ejemplo, en la Figura 2.13 en el bloque de paridad Ap el primer bit (el más
significativo) será un 1 porque hay un número impar de unos en el primer bit de
cada bloque de datos de esa línea (es decir los bit marcados en rojo). El espacio
total disponible para un volumen RAID 5 que utiliza N discos es la suma del
espacio de los N discos menos el espacio de uno.
Actividades 9t
10. Dado el conjunto de 4 discos de la Figura 2.14 que monta un volumen RAID 5,
calcula los bloques de paridad y completa la figura.
---
Linea A
IDID011011
1--...
--
101
Ap
  ~   1 011
f....
--
050 11101
Linea B
1--...11111010 11110001
Bp
00010101
1--...1110000C!.... 00001109.-
f....
C
p
..:.-
f....1111011!...-
Linea e
Linea D Dp
10001001 1 1 1 1 1   1 ~ f....1 01 01 01.9...
Linea E
11111110 01111110 10101010
Ep
Linea F
11110000 00001110
F
p 01011101
Linea G
00101011
G
p 10101010 00110110
Disco O Disco 1 Disco 2 Disco 3
Fig. 2. 14. Conjunto de 4 discos.
11. Imagina que se perdiera el disco 1. Llega una petición de lectura de la línea F,
¿podría realizarse? ¿Qué información devolvería?
12. Cuando aún no se ha recuperado el disco, llega una petición de escritura para
la línea F: hay que escribir el valor 1000llll OOOOlllO Ol Olll O. ¿Crees que
se podrá realizar esta operación? Haz las modificaciones que sean necesarias.
13. Una vez que se ha conseguido un disco con las características adecuadas, se
decide sustituir el disco dañado y recuperar el funcionamiento normal de la
unidad utilizando los cuatro discos. Recupera la información de dicho disco uti-
lizando solo la información de los discos O, 2 y 3.
Disco O Disco 1 Disco 2 Disco 3
Fig. 2.13. RAID 5.
Los discos dinámicas na están
disponibles en las versiones
Home de Windows XP y Windows
Vista.
En RAID 5 si se produce fal
en dos discos la información es
irrecuperable. Esto parece muy
improbable, pero o medida que
se añaden más discos, la proba-
bilidad aumenta.
Seguridad pasiva. Hardware y almacenamiento
  -""", """""""-.....-....j
Se puede pasar un disco básico
a dinámico sin perder
ción, pero no al revés.
Además cuando un disco se
vierte en dinámico solo podrá
arrancar el sistema operativo
que está activo en el momento
de la conversión.
q Caso p'ráctico 2
4.1. RAID en Windows
En Windows estamos acostumbrados a que una unidad física corresponda con una
unidad lógica (o varias en caso de tener varias particiones). Este es el concepto clásico
de Windows, los discos básicos.
A partir de Windows 2000 comienza a aplicarse además de los discos básicos un nue·
va tipo de almacenamiento llamado discos dinámicos. Al igual que en los discos básicos
creábamos unidades lógicas, en las discos dinámicas creamos volúmenes dinámicas.
Existen cinca tipas de volúmenes dinámicos:
• Simples: es un valumen que utiliza espacio de un solo disco física. Es el tipo de dis-
co dinámica que se crea cuando transformamos una unidad lógica en un volumen
dinámico.
• Distribuidas: es un valumen que se crea ocupando espacia de varias discos. Se cons-
truye coma una concatenación de discos, sin existir una regla que especifique cómo
tienen que almacenarse las datas en las discos (coma ocurre en RAID O). Permite
crear unidades grandes a partir de varios discos. Los principales inconvenientes san
que na supone ninguna meiara en la velocidad del acceso y que na incluye redun-
dancia. También san conocidas cama JBOD.
• Seccionadas: corresponde can el nivelO de RAID.
• Refleiados: corresponde con el nivel 1 de RAID.
• RAID 5: corresponde con el nivel 5 de RAID.
4.2. RAID en Windows Vista
Dentro de la rama de sistemas operativos de Microsoft no orientados a servidores (Win-
dows XP, Vista ... ) solo es posible crear los tres primeros tipos de volúmenes dinámicos:
simples, distribuidos y seccionados.
Creación de volúmenes seccionados en Windows Vista
Crear un volumen seccionado en Windows vista para ace-
lerar el acceso a disco y meiarar así la experiencia de los
usuarios mientras realizan operaciones de tiempo real.
Debemos comprobar en el administrador de discos que
tenemos al menos dos discos más a parte del disco en
el que tenemos el sistema operativo.
1. Accedemos al administrador de equipos
de Windows. Para ello accedemos a la
sección de Sistema y mantenimiento del
Panel de control, accedemos a Herra-
mientas administrativas y posteriormente
al Administrador de equipos.
Una forma más rápida de acceder a
esta ventana es hacer clic con el botón
derecho del ratón sobre el acceso
directo a equipo y seleccionar la opción
Administrar.
soluciones
Ver el de problemas
Información y herramientas
Consultar la puntuadón total de
Usar
J:iJ11 Administrador de dii, oo.;iti,'o,1
Ver hardware y dispositivos
i I equipos
de impre1ión
del sistema
!EJ Directiva de seguridad local
r§Firewall de Windows con seguridad avan ...
de diagnóstico de memoria
¡SCSI
2. Una vez que nos encontramos en la con-
sola de administración de equipos (Fig.
2.15), accedemos en la ventana de la
izquierda (árbol de la consola) a Admi-
nistración de discos, que se encuentra
dentro de la sección Almacenamiento.
(lI Monitor de confiabilidad y rendimiento
de datos oose
@ Programadordetareas
1&, Servidos
eventos
Fig. 2.15. Acceso a Administración de equipos en Vista o través de Panel de control.
(Continúal
(Continuación)
En la Figura 2.16 podemos ver cuatro discos, el disco O
que es el volumen de sistema y de inicio y los discos 1,
2 Y 3 que de momento son discos con todo su espacio
sin asignar.
""
10,00 GB NTFS
Seguridad pasiva, Hardware y almacenamiento
Casa p'ráctica 2 9
Para poder continuar con los siguientes pasos de este
caso práctico tenemos que tener al menos 2 discos del
mismo tamaño y sin asignar (es decir, libres).
9 DiK" O
OinlÍmk"
10,OOGB
Enplntlllll Cenede (Sislema, Ananque, Archivo de pIgin. cifln, Ve lc.d,,)
blIDbI;" 1
BlÍsieo
 
En pi Nuevo cftrtribuido_

Nuevo VOktnVl secd orudo_
: ic Ccnvm i, VI disco dinimico_
10,00 Ccn'rol;' VI di.aI GPT
E,p
Propiedades
U D
B,hic Ayuda
10,OOI .... .....:...." I .. lOm.oo'""".------'
En plnlall. No Is'gnado
Fig. 2.16. Administrador de equipos.
3. Para convertir los discos que tenemos libres en discos
seccionados, pulsamos con el botón derecho sobre uno
de los discos sin asignar, yen el menú desplegable que
nos aparece seleccionamos la opción Nuevo volumen
-
-_ ... .....
.. IJ, I!I D.,.rlll • .Il
It ....... "" _ ... , ......
c-....... __ .. ...... ..
Fig. 2.17. Nuevo volumen seccionado,
4. Seleccionamos los discos que queremos utilizar para
generar el volumen seccionado (Fig. 2.19). Los discos
que seleccionemos almacenarán de forma repartida
(tal y como se explica en el punto 3) los ficheros y direc-
' ................ lUÓIINdO 121 _d_
I
....
S<Iecoc:neIo.cb:cs_d ........
........ .. ;

,.
10000MB

HIZJ81.1B
I
T5!Iñ>l.:tIrIdclvcUnon .... ..
"", - .--
=r.oornia:lo<bx:nt40(l.lB)-.
¡¡¡¡m-
Sfto:i::r.t lo d. ts¡l&:>:I (I.IB)

I I c.nc:.u I
Fig. 2.19. Seleccionar discos a seccionar,
seccionado (Fig. 2.17). Nos aparecerá el Asistente para
nuevo volumen seccionado (Fig. 2.18). Pulsamos en
Siguiente para seguir con la configuración.
Asistente p.ilr.l nuevo volumen
s.ccdonado
..,....,."...".....,II»=r .. ." ........ -==-nclo
.... r ... .... _ ·'" __ ...........
Fig. 2. 18. Asistente para V"¡',,ncIAn seccionado,
torios que coloquemos en el nuevo volumen seccio-
nado. En la Figura 2.19 puedes ver que para el desa-
rrollo de este caso práctico se han seleccionado los tres
discos que estaban sin asignar en la Figura 2.16.
11uMr ...........
"fIIlIrldno do .... cJ.I o n.II. do
]
p." ctt ...... ..:cao tn.b 1""",,",0. PIret!. U7W ...... 1oInr de Lrida;j D oQ do

 
lC3
O M:rt.-., lo 09HrU cnU IfTFS Yacl.,
!
I I Ó=' I
e Ha ..qw ...... I.tr.Dl\Udo_dc...-.dad
I
I ""'" I
Fig. 2.20. Asignar letra a la nueva unidad.
(Continúo)
2 Seguridad pasi vo. Hardware y almacenamiento

12
q Caso práctico :2
(Continuación)
5. Eri el siguiente paso seleccionamos la letra de la unidad
que queremos asignarle al nuevo volumen (tiene que ser
una letra que no esté asignada a ninguna otra unidad). Si
seleccionamos la opción Montar en (o siguiente carpeta
NTFS vacío podemos integrar el espacio de este volumen
dentro de una unidad ya existente eligiendo la carpeta en
donde queremos añadir este volumen.
........
Debe fo:m.!l!ear vol.rnerlarlles de poder dilo. en él.
 
{) No fOlllllllfW este voh.rnen
I
@ Famaeil'" ale vob!Ien can La adop3Ci6n li¡.l.ier1e:
arc:Nvc1:   I
Ta-nñcl"'u .. .. 1
del vobnen: Odas USUlIri::.

O HabU. de an;tyyg, Y ClfpeID'I
Fi g. 2.21. Formolear volumen.
7. Por último se nos muestro un resumen de las operacio-
nes que se van a realizar, en donde debemos compro-
bar que corresponde con lo que deseábamos hacer ini-
cialmente.
Uno vez que pulsamos sobre Finalizar, se nos mues-
tra una advertencia (Fig. 2.23) en la que se nos avisa
1,
1
! '
6. A continuación en la Figura 2.21 seleccionamos el sis-
tema de archivos con el que se desea formatear el
nuevo volumen (Windows recomienda NTFS) y la eti-
queta que queremos asignar a la unidad. En el caso
de la Figura 2.21 se ha seleccionado sistema de fiche-
ros NTFS y como etiqueta del volumen «Datos usua-
riOS».
Anallzadón del Asistente para
nuevo volumen secdonado
Fig. 2.22. Finalización asistente.
que los discos seleccionados se van a convertir en dis-
cos dinámicos y que después de esta operación no se
podrá arrancar ningún sistema operativo instalado en
ellos a excepción del sistema actual (Windows Vista).
Podemos pulsar sí porque inicialmente los discos no
estaban asignados (Fig. 2.19), así que no contienen nin-
guna informacián.
____________ _____________________
I
la operación elegida convertirá 105 discos básicos seleccionados en
discos dinámicos. Si los discos se convierten en dinámicos, no podrá
iniciar ningún sistema operativo instalado en los volúmenes de los
mismos, a excepción del volumen de arranque actual. ¿Está seguro de
que desea continuar?
Fig. 2.23. Aviso de arranque de atros 50.
8. Puedes comprobar que la unidad generada tiene
un tamaño igual al tamaño de las tres unidades. En
el caso concreto de este caso práctico, 30 GB. Si
cada uno de los discos que forman este nuevo volu-
Sí No
men tuviera una contraladora diferente aceleraríamos
mucho los procesos de lectura/escritura en disco, ya
que podrían realizarse 3 lecturas o escrituras al mismo
tiempo.
Seguridad pasiva. Hardware y almacenamiento 2
• 4.3. RAID en Windows 2008 Server
En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los
tipos de volúmenes dinámicos estudiados en el Apartado 4.1. En concreto en el siguiente
caso práctico crearemos un volumen reflejado utilizando Windows 2008 Server.
Reflejar en Windows 2008 el volumen de sistema y de inicio
1. Arrancamos Windows 2008 Server y entramos en el
Administrador de/servidor (Fig. 2.24). El administrador
del servidor lo podemos encontrar en las Herramientas
administrativas igual que el Administrador de equipo en
Windows Vista. También podemos entrar pulsando el
botón secundario del ratón sobre el acceso directo de
equipo.
.
... _,
,,= I
IM OG!l    
frI_WI
L
.!..l . 'b ... .. .:.=n= ....
I DS.
=
Fig. 2.24. Administrador de servidor.
2. Es fundamental que los discos que vayamos a utilizar
para reflejarse sean del mismo tamaño. Puesto que uno
de los discos, el del sistema (disco O en la Figura 2.24)
ya está asignado y tiene un tamaño, tendremos que
utilizar un disco de mayor o igual tamaño que este. En
el caso de la Figura 2.24 se ha utilizado un disco de
igual tamaño.
1r.F5
..
... ..... •.
..
Fig. 2.25. Agregar rel/e;o. Administrador de discos.
Caso p'ráctico 3 9
Microsoft también recomienda que los discos sean de las
mismas características y estén manejados por controla-
doras diferentes. Así nos estaremos protegiendo ante un
mayor número de tipos de fallos (si se produjera un fallo
en la controladora de uno de los discos el otro seguiría
funcionando).
3. Una vez comprobado esto, hacemos dic sobre el área
asignada del volumen que queremos reflejar y seleccio-
namos la opción Agregar reflejo, tal y como podemos
ver en la Figura 2.25. Si no aparece esta opción por
lo general se debe a que el volumen que tenemos sin
asignar no es del tamaño adecuado.
4. En la ventana Agregar reflejo seleccionamos el disco1 ,
que es sobre el que queremos reflejar el disco del sis-
tema (disco O) y pulsamos sobre Agregar reflejo .
Agregar reflejo (
Si agrega un reflejo a un volumen existente se podrá tener
una redundancia de datos. ya que se conservarán
múltiples copias de los datos de un volumen en diferentes
discos.
Seleccione una ublcadón para el reflejO de C:.
Discos:
I reflejo I Cancelar
Fig. 2.26. Agregar rel/e;o.
rx
5. Windows muestra una alerta (Fig. 2.26) que advierte,
igual que en el caso práctico anterior, de que los dis-
cos se van a transformar en dinámicos y por tanto solo
podremos arrancar a partir de este momento Windows
2008 Server.
A partir de este momento, el sistema replicará la informa-
ción que contenga el volumen del sistema en el otro disco.
Así, si se produce un fallo en un disco del sistema seguirá
funcionando con el otro.
~ ~ Seguridad pasiva. Hardware y almacenamiento
            ~     ~                 ~                                                    
Fig. 2.27. Clusler casero con
ordenadores diversos (vista delantera).
Fig. 2.28. Clusler casero con
ordenadores diversos (vista trasera).
los clusters son sistemas tan fia-
bles que organizaciones como
Google y Microsoft los utilizan
para poner en marcha sus por-
tales. Por ejemplo, en el año
2003, el cluster Google llegó
a estar conformado por más
de 15 000 ordenadores perso-
nales.
5. Clusters de servidores
Un cluster de servidores en un conjunto de vorios servidores que se construyen e instalan
para trobajor como si fuesen uno solo. Es decir, un cluster es un grupo de ordenadores
que se unen mediante una red de alta velocidad, de tal forma que el conjunto se ve
como un único ordenador, mucho más potente que los ordenadores comunes.
Una de sus principales ventajas es que no es necesario que los equipos que lo integren
sean iguales a nivel hardware ni que dispongan del mismo sistema operotivo, lo que per-
mite reciclor equipos que se encontraban anticuados o en desuso y rentabilizor su uso
mediante un cluster de servidores, como el que puedes ver en las Figuros 2.27 y 2.28.
Con este tipo de sistemas se busca conseguir cuatro servicios principales, aunque, en
generol, según el tipo de cluster que utilicemos, obtendremos una combinación de vorios
de ellos:
o Alta disponibilidad.
o Alto rendimiento.
o Balanceo de carga.
o Escalabilidad.
5.1. Clasificación de los clusters
Como en tantas otras tecnologías, podemos realizor la clasificación de los clusters en
función de varios conceptos, pero todos ellos relacionados con los servicios que ya
hemos mencionado.
Atendiendo a estas carocterísticas hablamos de tres tipos de clusters:
o Clusters de alto rendimiento (HC o Hjgh Performance C/usters). Este tipo de sistemas
ejecutan tareas que requieren de una gran capacidad de cálculo o del uso de
grandes cantidades de memoria (e incluso de ambas conjuntamente). Cuando están
realizando este tipo de toreas, los recursos del cluster son utilizados casi en exclusiva
duronte periodos de tiempo que pueden ser bastante largos.
o Clusters de alta disponibilidad (HA o High Avai/abi/ity). Con estos clusters se busca
dotar de disponibilidad y confiabilidad a los servicios que ofrecen. Poro ello se utili-
za hordwore duplicado, de modo que al no tener un único punto de fallos (aunque
se produzca una avería en un componente siempre habrá otro que pueda realizor el
mismo trabaja), se garontiza la disponibilidad del sistema. Por otra parte, incorporan
softwore de deteccián y recuperoción ante fallos, con objeto de hacer más confiable
el sistema para su uso.
o Clusters de alta eficiencia (HT o Hjgh Throughput). En estos sistemas el objetivo cen-
trol de diseño es que se puedan ejecutor el mayor número de tareas en el menor
tiempo posible, entendiendo que hablamos de tareas individuales cuyos datos na
tienen dependencia entre sí.
Otro tipo de clasificación de los clusters de servidores viene dada por su ámbito de uso,
donde hablaremos de dos tipos:
o Clusters de infraestructuros comerciales, que conjugan la alta disponibilidad con la
alta eficiencia.
o Clusters científicos, que en generol son sistemas de alto rendimiento.
Lo cierto es que muchas de las carocterísticas de las orquitecturas de hardwore y soft-
wore son las mismas en todos estos tipos de clusters, aunque luego los requisitos de las.
aplicaciones que funcionen sobre ellos sean muy distintos. Esto hace que un determina-
do tipo de cluster pueda también presentor coracterísticas de los otros.
Seguridad pasiva. Hardware y almacenamiento
• 5.2. Componentes de los clusters
Poro que un cluster funcione necesito de uno serie de componentes, que, como yo sobe-
mos, pueden tener diversos orígenes; es decir, no tienen por qué ser de lo mismo morco,
modelo o característicos físicos. Entre estos componentes están:
• Nodos: es el nombre genérico que se dará a cualquier máquina que utilicemos para
montar un cluster, como pueden ser ordenadores de sobremesa o servidores. Aún
cuando podemos utilizar cualquier tipo de hardware para montar nuestro sistema,
es siempre buena ideo que hoyo cierto parecido entre los capacidades de todos los
nodos (en la Figura 2.29 puedes ver un cluster montado con ordenadores idénticos),
ya que, en coso contrario, habrá siempre cierta tendencia o enviar el trabajo a
realizar a aquel equipo que disponga de una mayor capacidad de procesamiento.
• Sistema operativo: podemos utilizar cualquier sistema
operativo que tenga dos característicos básicas: debe
ser multiproceso y multiusuario. Es también convenien-
te que sea fácil acceder o él y usarlo, poro facilitar el
trabajo sobre el mismo.
• Conexión de Red: es necesario que los distintos nodos
de nuestra red estén conectados entre sí. Para ello
podemos utilizar una conexión Ethernet (con las pla-
cas de red que incorporan los equipos e incluso con
las integradas en los placas base) u otras sistemas de
alta velocidad como Fast Ethernet, Gigabit Ethernet,
Myrinet, Infiniband, SCI, etc.
• Middleware: es el nombre que recibe el software que
se encuentra entre el sistema operativo y las aplicacio-
nes. Su objetivo es que el usuario del cluster tenga la
sensación de estar frente a un único superordenador yo
que provee de uno interfaz único de acceso 01 sistema.
Mediante este software se consigue optimizar el uso del
sistema y realizar operaciones de balanceo de carga,
tolerancia de fallos, etc. Se ocupa, además, de detectar
nuevos nodos que vayamos añadiendo al cluster, dotan-
dolo de una gran posibilidad de escalabilidad.
• Sistema de almacenamiento: cuando trabajamos con
clusters podemos hacer uso de un sistema de almace-
namiento interno en los equipos, utilizando los discos
duros de manero similar a como lo hacemos en un
PC, o bien recurrir o sistemas de almacenamiento más
complejos, que proporcionarán una mayor eficiencia
y disponibilidad de los datos, como san los dispositi-
vos NAS (Nefwork Attoches Storoge) o las redes SAN
(Storoge Areo Nefwork), de lo que hablaremos con
mayor detalle en el siguiente apartado, dedicado al
almacenamiento externo. Fig. 2.29. Cluster montado con equipos idénticos.
Actividades  
14. Realizo un listado de sistemas operati vos multiusuario y multiprocesador. Con-
sulto en Internet si pueden utilizarse poro montar un cluster de servidores.
15. Busco información sobre los conexiones de alto velocidad mencionados en
el Apartado 5.2. ¿Qué velocidades proporcionan? ¿Qué requisitos hardware
necesitamos poro utilizarlos?
Seguridad pasiva. Hardware y almacenamiento
NAS
----------- -- - -----
,
[1 Disco n :
- -- - ------ -- -- -- - __ ,
Fig. 2.30. Arquitectura NAS.
SAN r ____ _ _ __ _____ ___ __ •
,- - - - - - -- - - - - - - - - -,
, ,
[1 Disco 11
,
"-------------- - - - -,
Fig. 2.31. Arquitectura SAN.
16
• 6. Almacenamiento externo
En el apartado anterior hemos visto que con los clusters podemos procesar mucha más
infarmacián que un ordenador independiente, pero ¿dánde guardamos esta informacián?
Una posibilidad es utilizar las sistemas de almacenamiento de las nodos, sus discos
duros, por ejemplo. Pero existen otras alternativas que nos permitirán un control y una
gestión mucha mayores sobre los datos procesados, como las tecnologías NAS y SAN.
El uso de cualquiera de estas tecnologías es independiente de la existencia de un cluster,
aunque resulta idónea como método de almacenamiento cuando se dispone de uno,
especialmente si las complementamos con utilidades para la realización de copias de
seguridad como las que veremos en la Unidad 3.
6.1. Network Attached Storage
Los dispositivos NAS (Nelwork Attached Storage) son dispositivos de almacenamiento
específicas, a los cuales se accede utilizando protocolos de red, generalmente TCP/IP,
como puedes ver en lo Figuro 2.30.
Lo ideo consiste en que el usuario solicita al servidor un fichero completo y, cuando lo
recibe, lo maneja localmente, lo cual hoce que este tipo de tecnología sea ideal para
el uso con ficheros de pequeño tamaño, ofreciendo la posibilidad de manejar uno gran
cantidad de ellos desde los equipos clientes.
El uso de NAS permite, con bajo coste, realizar balanceo de carga y tolerancia a fallos,
por lo que es codo vez más utilizado en servidores Web poro proveer servicios de al-
macenamiento, especialmente contenidos multimedia.
Hay otro factor que debemos tener en cuenta, y es que los sistemas NAS suelen estar
compuestos por uno o más dispositivos que se disponen en RAID, como hemos vistos
en el Apartado 4 de lo unidad, lo qu!,! permite aumentar su capacidad, eficiencia y
tolerancia ante fallos.
6.2. Storage Area Network
Una red SAN (Storage Area Nelwork) o red con área de almacenamiento, está pensa-
da paro conector servidores, discos de almacenamiento, etc., utilizando tecnologías de
fibra (que alcanzan hasta 8 Gb/s), como ves en la Figura 2.31.
El uso de conexiones de alto velocidad permite que sea posible conectar de manero
rápida y segura los distintos elementos de esta red, independientemente de su ubicación
físico.
De modo general, un dispositivo de almacenamiento no es propiedad exclusiva de un
servidor, lo que permite que varios servidores puedan acceder o los mismos recursos. El
funcionamiento se basa en las peticiones de datos que realizan las aplicaciones 01 ser-
vidor, que se ocupo de obtener las datos del disco concreto donde estén almacenados.
Dependiendo de lo cantidad de información manejado, podremos optar por el uso de
una u otra tecnología. Poro grandes volúmenes, sería conveniente utilizar una red SAN,
mientras que poro pequeñas compañías lo idóneo sería un dispositivo NAS. Esto no
quiere decir que ambas tecnologías sean excluyentes; existe, de hecho, la posibilidad
de combinarlas en sistemas cuyas características así lo riequieran.
  Actividades
16. Compara las tecnologías NAS y SAN. ¿Qué ventajas y desventajas tiene el uso
de cada una de ellas?
Aplicar medidas de seguridad pasiva en sistemas informá-
ticos describiendo características de entornos y relacionán-
dolas con sus necesidades
1. En la actualidad se están buscando alternativas para
aprovechar el calor generado por los Centros de Datos
en otros usos. Busca infarmacián y noticias de este
tema, crea un pequeño documento con las más curio-
sas y añade algún posible uso alternativo que se te ocu-
rra.
2. Busca información sobre el funcionamiento de los siste-
mas de detección precoz contra incendios, e ilústralo
con casos reales de uso.
J. Últimamente están praduciéndose algunos picos de
tensión y cortes intermitentes en la zona donde está
situada la agencia de viajes SiTour, lo que les ha lle-
vado a plantearse la posibilidad de instalar SAl que
evite posibles daños en sus equipos y les proparciones
el tiempo necesario para guardar los datos con los
que estén trabajando en el momento del corte. ¿Qué
equipo les recomendarías? ¿Por qué?
Puedes utilizar la tabla que desarrallaste en la Activi-
dad 7 de la unidad, ya que debes tener en cuenta los
mismos factores utilizados como referencia para reali -
zar dicha actividad.
Array de discos
Fig. 2.32. Arquitectura 1.
Seguridad pasiva. Hardware y almacenamiento 2
Comprueba tu aprendizaje "
Gestionar dispositivos de almacenamiento describiendo los
procedimientos efectuados y aplicando técnicas para ase-
gurar la integridad de la información
4. Comprueba en la documentación de tu placa base si
so parta algún tipo de RAID. Si lo soporta, localiza la
opción en el menú de configuración de BIOS.
5. Genera un volumen seccionado en Windows utilizando
tres discos.
6. La red de Supercomputación Española se compone de
varios c1usters situados en diferentes puntos del país.
Averigua qué sistemas la integran, cuál es su localiza-
ción geográfica y cuál es la finalidad de uso principal
de cada uno de ellos.
7. Las siguientes figuras representan redes donde se han
utilizado alguno de los sistemas de almacenamiento vis-
tos en la unidad: NAS y SAN. Identifica cuál corres-
ponde a cada uno de ellos y explica por qué.
Fig. 2.33. Arquitectura 2.
-=::y- r
2 Seguridad pasiva. Hardware y almacenamiento
.8
Factores relativos
.... _...:0:.;105 instalaciones
Otros factores
Control de acceso
Recuperación ante desastres
-(
En estado de espera ISPS)
--
En línea
• C·",
,í' Almacenaml

Almacenamiento -f

Cluster de servidores
Network Attached Storage
Slorage Area Network
Edificio
Espacio y movilidad
Tratamiento acústico
Seguridad física del edificio
Suministro eléctrico propio del CPO
Factores naturales
Servicios disponibles
Seguridad del entorno
RAID O
RAID 1
RAID 5
Cluster de alto rendimiento
Cluster de alta disponibilidad
Cluster de alta eficiencia
llJUllDdOJdJ
Seguridad pasiva. Recuperación de datos
y estudiaremos:
• Copias de seguridad e imágenes
de respaldo.
• Medias de almacenamiento en copias
de seguridad.
• Políticas de copias de seguridad.
• Software de copias de seguridad.
• Recuperación de datos.
En esto unidad aprenderemos a:
• Seleccionar estrategias para la
realización de copias de seguridad.
• Realizar copias con distintas estrategias.
• Crear y restaurar imágenes de
restauración de sistemas en
funcionamiento.
• Aplicar técnicas de recuperación de
datos.
• Definir políticas de copias de seguridad.
( ( . ,
~ , , ~ t  
;0
Seguridad pasiva. Recuperación de dolos
/ , ¿Sabías.q,!e ••• ?

Según un estudio realizado por
la Universidad de Texas, solo el
6 % de las empresas que tienen
pérdidas catastróficas de datos
logran seguir su aclividad frente
a un 43 % que nunca podrán
reabrir su negocio; el resto ten-
drá que cerrar en dos años.
Según información publicada
en The Guardian una empresa
incapaz de acceder a sus datos
durante diez días nunca se recu-
perará totalmente: el 43 % de
ellas irá a la bancarrota, ya que
una parada de tan solo cuatro
horas puede costarle hasta un
30 % de sus ingresos mensuales
a una compañía de servicios
de telecomunicaciones e infra-
estructura.
1. Introducción
Hoy en día, tanta las empresas como los particulares guardamos gran cantidad de in-
formación en los soportes de almacenamiento de nuestros equipos informáticos. En un
gran número de entidades y hogares dicha información se encuentra protegida contra
amenazas lógicas, una vez que tenemos instalados programas específicos poro ello,
como antivirus o firewall; sin embargo, son muchas menos las personas o entidades que
realizan copias de seguridad; copias que permitirían restaurar la información en caso
de pérdidas ocasionadas por desastres de diversa índole, coma incendios, inundacio-
nes, apagones, terremotos ... Dichos desastres pueden suponer grandes pérdidas para
las empresas en caso de no poder recuperar la información.
Recordemos algunos de los sucesos ocurridos en los últimos años, la caída de las Torres
Gemelas o el grave incendio ocurrido en la Torre Windsor. En ambos casos se perdió
gran cantidad de información. En el caso del incendio en Madrid fallaron los deteclores
de humo, las alarmas ... pero no fallaron, en cambio, los planes de protección de datos
de las empresas Garrigues y Deloitte, que en poco más de 72 horas después del suceso,
trabajaban con acceso pleno a cada una de sus aplicaciones y a la información. Gracias
al plan de recuperación en caso de desastre, estas empresas pudieron en un breve espacio
de tiempo volver a su actividad sin sufrir grandes pérdidas económicas. Estos desastres
lograron que numerosas empresas que no tenían planes desarrollados de recuperación
para casos de desastres tomaran consciencia de la necesidad de los mismos y empezaran
a realizar copias de seguridad, tanto de la configuración de los sistemas como de los datos.
Todos, tanto las grandes empresas multinacionales como el usuario de a pie, debemos
guardar copias de seguridad de la información de nuestros equipos, porque Murphy
puede aparecer en cualquier momento a hacernos una visita. Cuántas veces hemos de-
dicado horas a preparar un traba¡o para clase y en el último momento se ha ido la luz
o ha entrado un virus, y es entonces que nos lamentamos de no haber hecho copias de
seguridad cada cierto intervalo de tiempo.
Como conclusión, las copias de seguridad garantizan dos de los ob¡etivos estudiados
en la primera unidad, la integridad y disponibilidad de la información. Estas son útiles
para restaurar el sistema operativo, las aplicaciones y los datos en caso de ocurrir algún
desastre. Además, debemos tener presente lo que estudiamos en la primera unidad refe-
rido a la Agencia Española de Protección de Datos; recordemos las exigencias de dicha
entidad a las empresas que almacenan datos personales de usuarios: estas deberán
realizar copias de seguridad de los datos recogidos en sus equipos.
Estas copias de seguridad se podrán realizar en multitud de soportes de almacena-
miento, cintas, CD, DVD, en discos duros externos o en dispositivos de almacenamiento
remotos.
Otro punto en el que deberíamos pensar es cómo destruir de manera segura los so-
portes donde hemos guardado los datos, ya que en numerosos casos se almacena
información confidencial. Debemos evitar que, una vez que consideremos la máquina
obsoleta para nuestra empresa y la tiremos o la reciclemos, vendiéndola a empresas o
a particulares con menos necesidades que nosotros, estos puedan leer la información
confidencial del disco. En el mercado existen diversos métodos que garantizan la des-
trucción de los datos.
  Actividades
1. Visita las páginas http://www.blancco.com/en/frontpage/ y http://www.edrsolutions.com.
Analiza los distintos tipos de mecanismos de destrucción de disco y ordenadores que poseen.
Seguridad pasiva. Recuperación de dolos
• 2. Tipos de copias de seguridad
Dependiendo de la cantidad de ficheros que se almacenan en el momento de realizar la
copia, podemos distinguir tres clases de copias de seguridad:
• Completa: como su nombre indica, realiza una copia de todos los archivos y direc-
torios seleccionados_
• Diferencial: se copian todos los archivos que se han creado a actualizado desde la
última copia de seguridad completa realizada_ Por ejemplo, si hacemos una copia
de seguridad completa todos los viernes a las 00:00 horas y una copia de seguri-
dad diferencial el resta de las días, cada copia diferencial guardará los archivos que
se hayan creado o modificada desde el viernes a las 00:00 horas hasta el momento
de realizar la nueva copia. Una de las ventajas de este tipo de copia frente a la
anterior es que se requiere menos espacio y tiempo para el proceso de la copia .
./
Datos
día 1
Copla lolal
./
Modificación
dla 2
./
1....-
./
1/
l
Copia
diferencial
día 2
Modificación
día 3
Modificación
día2
1....-
1....-
IL
1/
Fi g_ 3. 1. Archivos modificados que se deben guardar en /a copia diferencial.
f
Copia
diferencial
día 3
• Incremental: se copian los archivos que se han modificada desde la última copia de
seguridad completa o diferencial realizada. Por ejemplo, si hacemos una copia
completa los viernes a las 00:00 horas y copias de seguridad incremental el resto
de los días a la misma hora, cada copia incremental solo guardará los archivos
que se hayan modificado el día que se realiza la copia desde las 00:00 hasta las
23:59. Una de las ventajas de este tipo de copias de seguridad frente a la anteriar,
es que el proceso de la copia es mós rópido y ocupan menos espacio; ahora bien,
si hemos de restaurar los archivos por pérdida a causa de un desastre, necesitare-
mos la copia de seguridad completa, y todas las copias incremental es realizadas
desde la copia integral.
Datos
día 1
Copia lolal
Modificación
Clfa 2
1....-
1/ I
1/
Copia
incremental
día2
./
Modificación
dla3
Modificación
dla2
Fig. 3.2. Archivos modificodos que se deben guardor en Jo copio incrementol.
;-
1/
1....-
1/
1/
-
Copia
incremental
día 3
Actividades  
2. Indica qué necesitamos cuando se realizan copias completas y diferenciales
para restaurar la información.
3
Seguridad pasiva. Recuperación de datos
Fig. 3.3. CD regrcbcble.
3. Copias de seguridad de los datos
las copias de seguridad de las datos, como su nombre indica, son copias de la infor-
mación que se almacenan en un lugar diferente al original. Aunque parezca mentira,
se trata de un error muy habitual que tanto los administradores como los usuarios del
sistema suelen cometer, al guardar las copias de los datas en la misma ubicación que
los originales a muy cerca de los mismos. lo que suele hacerse por comodidad resulta
un fallo garrafal: imaginemos que en una empresa se produce un incendio o una inun-
dación en el centro de cálculo, donde además se guardan las copias de seguridad de
los datos y las imágenes de los sistemas, ¿qué sucedería? El incendio arrasaría tanto los
equipos con sus sistemas y datos como todas las copias e imágenes de respaldo de los
sistemas, aplicaciones e información. la empresa habría perdido toda la información,
por lo que perderían mucho tiempo y dinero hasta volver a recuperarlo todo. lo habi-
tual, en las organizaciones con una buena seguridad, consiste en almacenar una copia
de los datos en el propio centro de procesamiento de datos, y otra copia completa en
un lugar diferente al centro de cálculo, que se encontrará protegido de la misma manera
que los centros de procesamiento de datos.
Otro de los problemas clásicos cuando las organizaciones realizan copias de seguridad
resulta de la mala política de etiquetado de las copias. Debemos ser muy exhaustivos
cuando etiquetamos las copias de respaldo, y al mismo tiempo, hemos de conseguir que
los datos que etiquetemos no sean muy claros para los posibles intrusos. Se recomienda
etiquetarlas mediante códigos impresos, códigos cuyo significado sea conocido exclusi-
vamente por los técnicos que manejan las copias de seguridad.
o ¿De qué archivos debemos hacer copias de seguridad?
las copias de seguridad deben realizarse de todos los archivos que sean difíciles o
imposibles de reemplazar (esquemas . de red, distribución de IP, listas de control de
acceso, etc) .
o ¿Dónde debemos hacer las copias de seguridad?
Como hemos comentado anteriormente, una de los errores más habituales es utilizar el
mismo soporte en el que se encuentran los datos para almacenar las copias o ubicarlas
en el mismo lugar donde se encuentran los equipos de los que hemos realizado las
copias.
la finalidad de la copia de seguridad es poder recuperar los datos en caso de desastre.
Si la copia se encuentra en el mismo disco o en una partición del mismo y se produce
una avería física en él , no podremos recuperar los datos ni la copia de seguridad.
las copias de seguridad se pueden hacer en distintos soportes, en discos duros externos,
en discos compactos, en OVO, en cintas, en memorias flash, en discos SSO ...
la realización de copias de seguridad en un sitio diferente a la ubicación original se de-
nomina OFf-sile Dala Proleclion. Existen numerosas empresas especializadas en dichos
servicios, como hHp:/ /www.perfectbackup.es.
o Soportes
A continuación vamos a analizar las ventajas y desventajas de los distintos soportes:
• los discas CO y OVO regraba bies ofrecen un númera muy limitado de escrituras, a
pesar de que la mayoría de los fabricantes aseguran que se pueden realizar unas
mil grabaciones. la experiencia nos demuestra que después de varias decenas de
escrituras, las grabaciones fallan, y aparecen mensajes del tipo «el soporte es de
solo lecturo» . .
Seguridad pasiva. Recuperación de dolos 3
• La cinta es una de los soportes más antiguos que se siguen utilizando en la actua·
lidad. Sus características principales son el gran volumen de almacenamiento que
permiten y su alta fiabilidad. Son más lentas que los discos duros convencionales,
pues como sabemos, el acceso a las datos es secuencial (siempre debemos recorrer
toda la cinta desde el principio hasta que encontremos el dato).
• Los memorias de tipo flash (pendri ve, microSD, compactFlash y similares) no son muy
recomendables, ya que se suelen estropear con facilidad debido a los golpes y a los
altos voltajes que reciben en ocasiones accidentalmente, y además hay que tomar
en cuenta la capacidad tan escasa que tienen.
Fig. 3.4. Distintos modelos de almacenaje.
• Los discos duros o discos rígidos usan métodos de grabación basados en la imanta·
ción del soporte. Aunque han ido evolucionando ráridamente, esto sola ha supuesto
un incremento en la capacidad de los mismos, en e tiempo de acceso a los sectores
y en lo fiabilidad. Hoy que recordar que no hoce muchos años ero necesario opor·
cor lo aguja del disco poro poder trasladarlo de un lugar o otro. Si lo aguja no se
aporcaba, una vez que desconectábamos el disco esta se movía y podía golpear y
rayar los discos que componían el disco duro. Hoy en día ya no es necesario aparo
car la aguja, es una operación que los discos realizan automáticamente cada vez
que se apagan.
Fig. 3.5. Distintos modelos de discos duros.
• En la actualidad se empiezan a realizar copias de seguridad en soportes SSO. La
desventaja de este tipo de unidades es el precio, son muy caras, y su capacidad es
limitada. Sin embargo, este tipo de tecnología SSD (Salid Slale Orive) tiene grandes
ventajas frente a los discos duros convencionales porque no tienen elementos mecá·
nicos, lo que los hace ser mucho más fiables frente a los discos duros tradicionales.
El rendimiento de la tecnología SSD es mayor que el de los discos duros clásicos,
y el tiempo de acceso de los SSD es bastante inferior a un milisegundo frente a las
varias decenas de milisegundos habituales de los discos duros tradicionales. Es una
de las opciones de futuro, dado que su precio actual hace impensable adquirir un
disco de 500GB.
l
Se está investigando en una
nuevo tecnología basado en
nanotubos que permitirá una
durabilidad de los discos duros
muy superior a la actual.
Hablamos de unos 1000 años.
Actividades "
3. Realizar un estudio como
parativo que recoja los
distintos tipos de sopor·
tes, con su capacidad
máxima y precio medio
par GB.
3 Seguridad pasiva. Recuperación de dalas
4
----
3.1. Copia de seguridad de datos en Windows
Hay muchas herramientas que permiten hacer copias de seguridad de los datos en sistemas
Windows. Vamos a estudiar en profundidad la herramienta Backup4all. Esta herramienta
nos permite proteger los datos de los posibles pérdidas parciales o totales, automatiza el
proceso de realización de copias de seguridad y permite, entre otras funciones, comprimir
y cifrar las copias de seguridad.
q Caso práctico 1
Crear copia de seguridad completa para poder recuperar
105 datos con facilidad en caso de desastre
En esta práctica vamos a crear una copia de seguridad
del directorio denominado "Seguridad Infarmática». En él
se encuentran almacenados datos impartantes que na que-
remos perder. Para realizar el backup, vamos a utilizar la
aplicación Backup4all Professional, que podremos descar-
,QOlS11.QD . ....... ]11
-

!!:..- ,- ....
It
.", 1 :: 1

1
fui U U

(9


,
...
'"
Fig. 3.6. Pantalla inicial Backup4all Prafe55ianal.
2. Hacemos dic sobre el icono New,! para realizar una
nueva copia de seguridad. Como se trata de la primera
copia de respaldo que vamos a realizar la haremos
completa.
3. En la nueva pantalla (Fig. 3.7) escribimos el nombre
y la ubicación donde vamos a guardar la copia de
seguridad. Como vemos, la aplicación permite ele-
gir dónde queremos realizar la copia de seguridad:
local (en el propio disco, grabarla en un CD o DVD
o bien en un disco duro externo), en la red, o bien
mediante FTP. En esta primera práctica vamos a guar-
dar la copia en la carpeta que par defecto nos indica
la aplicación.
4. Para continuar, podemos hacer dic bien en el botón
Nexl (Siguiente), bien en el botón Advanced made
(moda avanzado). Al ser la primera vez que maneja-
mos la aplicación, haremos dic en el botón Next para ir
familiarizándonos con la herramienta. En la nueva ven-
tana (Fig. 3.8) debemos elegir el directorio, fichero!s o
garnos gratuitamente de la página www.backup4all.com/
download.php.
1. Una vez instalada la aplicación, veremos una panta-
lla similar a la de la Figura 3.6. En dicha pantalla se
encuentran desactivadas los botones de Backup (copia
de seguridad) y Restare (recuperación), debido a que
aún no hemos realizado ninguna copia de seguridad.
() I¡ ..... e.:;kup W",¡n;\
1=1 8 J a
I
@
Name your backup
Dld",pnlmo::
Where do you want lo saya your backup?
Fclder.
I
Fig. 3.7. lugar y nombre de la copia de seguridad.
e '" "
Whal do you want to backup?
  ... 1 (dnl.JI lo blCkup 111
File\Folder Si:e III e Hillerfil on Synem DI
m 1iJ €!) G'l Plgdile en 5ylltm 01
(2) = TtmPCraryFilts'Ule
l
  [ 1   lO
Adv,nctd mode I I P,eviOUl 1I Nul I I »Ve I I
Fig. 3.8. Directorio del que vamos a hacer la copia.
(Continúa)
Seguridad pasiva. Recuperaci ón de dolos
3
Casa práctico 1 9
(Continuación)
conjunto de directorios de los que vamos o realizar lo
copio. En nuestro coso, queremos hacer lo copio del
directorio llamado «Seguridad Informático» , por lo que
tenemos que hacer dic en Add folder (añadir carpeta).
En el coso de se quisieron hacer copias de seguridad
de ficheros, deberíamos haber hecho dic sobre Add
files (añadir ficheros). Después de seleccionar el direc-
torio hocemos dic en Next.
o New Badrup WlL!rn
How do you want to backup?
I Makefull
·1
Encrypt?
O Yes @ No
I le."! pil:;w.ord:
Confirrn new pil ssl".'ord:
Help How do you \11M! lo backup?
5. En lo siguiente pantalla (Fig . 3.10) debemos elegir
el tipo de copio; como es lo primero vez que guar-
damos los datos, haremos uno copio de seguridad
completo, de modo que elegimos lo opción Make full
(Realizar completo). En esto pantalla podemos optar
también por cifrar lo copio. En este coso no lo cifro-
remos, por lo que dejamos marcado lo opción por
defecto (No).
Advaneed mode Previous H Next I I SlIve   I I Cincel
Fig. 3.9. Tipo de copio.
6. En lo siguiente pantalla debemos especificar lo perio-
dicidad de lo copio. En nuestro coso debemos selec-
cionar lo opción manualmente, yo que por el momento
no queremos que se repito lo copio completo en un
futuro. Después de dicho elección, hocemos dic sobre
Save (Guardar) y seleccionamos la opción Save and
run (Guardar y ejecutor).
Inmediatamente después, lo aplicación se pone en fun-
cionamiento y empiezo o almacenar lo información se-
leccionada en la nuevo ubicación. Tronscurridos varios
minutos, lo copio de seguridad habrá terminado y podre-
mos comprobar cómo los datos guardados en el direc-
tario Seguridad Informático se han copiado en un archi-
vo comprimido (con extensión zip) dentro del directorio
COPIA_SEGURIDAD (nombre del backup, Fig. 3.8) en el
directorio My Backup4all que se encuentra en lo carpeta
Mis Documentos.
Lo mismo herramienta, Backupal14Professional, nos permite realizar copias de seguridad
incrementales, como veremos en el siguiente coso práctico.
Actividades _
4. Habitualmente los usuarios de o pie guardamos lo información bajo el directorio
Mis Documentos. Os proponemos que realicéis uno copio de seguridad como
pleta de dicho carpeta en un disco extraíble.
)
i6
Seguridad pasiva. Recuperación de datas
Para comprobar el
miento de la copia de seguridad
diferencial es conveniente que
modifiquéis la información
cenada en el directorio donde
vamos a realizar la nueva copia
diferencial.
Actividades
5. Anteriormente hemos reali-
zado una copio completa
del directorio Mis Docu-
mentos. Debido a que cons-
tantemente estamos actua-
lizando los documentos ya
creados o bien creando
nuevos documentos¡ os
ponemos que realicéis una
copia de seguridad diferen-
cial de dicha corpeta.
-
¡q Caso flráctico 2
Crear copio de seguridad diferencial para salvaguardar los archivos que se han
creado o actualizado desde la última copia de seguridad completa realizada
Poro realizar esta actividad, vamos a utilizar la misma aplicación que en el caso
práctico anterior, Backupall4Professional.
1. En el caso práctico anterior, realizamos la copia de seguridad completa del
directorio «Seguridad Informática» que guardamos con el nombre Copia_Segu-
ridad (Fig. 3.10).
, .. _-,- -..
.. o"
l>dh".......... ... _ _ ..... ' n ....
....... --
1i:U>.=
-
Fig. 3.10. Información de las copias de seguridad.
2. Paro hacer la copia diferencial de la copia realizada en el caso práctico ante-
rior, debemos seleccionar la copia de seguridad realizada anteriormente, deno-
minada «Copia_seguridad». O
3. Hacer dic sobre el icono Properties ' ,,,mio (Propiedades).
4. En la nueva ventana, modificaremos el tipo de copia seleccionando diferencial
(dentro de Type, seleccionamos DifferentiaJ). Con ello, conseguiremos que se
guarden los ficheros nuevos y aquellos que hayan sido modificados desde que
se realizó la copia completa del directorio. Por último hocemos dic en Save and
run (Guardar y ejecutar).
I
I
\.1 i.=l .. rtI d"""
E.<: . rn, 1 hMd d,.... I
CD. ovo cr I
I
Il tI",,,,k I
FTl' .. "",r I 1.CJ;i'
So"rn.
......
' -
I
.......
R) I 'h.cI;flctl11li.I""o<l'
D W'h.clill,,01\l;.I .. , ....
I
I I!
so d- ,. 01 htI ''''
 
Fig. 3.11. Definición de la copia diferencial.
P,........ I
:,'
,:'
Seguridad pasiva . Recuperación de datas
Una buena solución sería automatizar este proceso para que la copia de seguridad se
haga siempre a partir de una determinada hora.
Caso F!ráctico 3 9
Programar la realización de uno copio incremental todos días o los 22:00 horas
En esta práctica vamos a programar una copia de seguridad del tipo incremental
para que se realice de manera automática todos los días a las 22:00.
1. Abrimos la aplicación Backupal14 Professional y hacemos elic en Nuevo.
2. En la nueva pantalla hacemos elic en Advanced mode (Modo avanzado, Fig. 3.12).
l l amo your b<1ckup
Whcro do you w<1nllo !)<1VO your b<1ckup?
(il. ,,1

Fig. 3. 12. Cuadro de diálogo de la nueva copia de seguridad.
3. En el panel izquierdo de la nueva pantalla hacemos clic sobre General. En el
panel derecho escribimos el nombre de la copia, en nuestro caso Copia_incre-
mental, y rellenamos el campo de descripción. El resto de los campos los deja-
mos como estaban.
Ph        
"
<1>.DI'tI., .o.-".. ...., •
. . ...... t>o """"
t ..
1"""
j "''' ..... ,
i .... ""' ...
Fig. 3. 13. Pestaña General de la copia de seguridad.
4. En el panel izquierdo hocemos elic en Destination (Destino) y elegimos el
soporte donde vamos a guardar la copia de seguridad. En nuestro caso vamos
a seleccionar un disco duro externo. Inmediatamente después de realizar la
nueva elección podemos observar cómo la bola verde, que anteriormente
estaba situada junto a Local hard drive, ha cambiado de posición situándose
al lado de External hard drive (Disco duro externo). Hacemos elic en el panel
izquierdo sobre External hard drive, y elegimos el disco a utilizar haciendo elic
en la pestaña para ver los disponibles. Hacemos elic en Browse (Explorar) para
especificar la carpeta donde queremos guardar la nueva copia.
3
57
Seguridad pasi va. Recuperación de dolos
q Casa práctico 3
(Continuación)
5. En el panel izquierdo hacemos clic sobre Sources (Fuente u origen) para definir
qué datas queremos guardar en la copia de seguridad. Hacemos clic en Add
folder (añadir carpeta) en el caso de querer añadir un directorio, o en Add file
(Añadir fichero) para añadir archivos. Posteriormente buscamos la carpeta/s
y/o fichero/s.
..... ,,-,
, I
CO. !Ml.,.t. ... <IJ ..... _ . . ::1
"''''''''''1. f....r""'.. lOa
n • .."...,
1
=


,.
M ... ,.!."
• 'il L:l I;o\u...,v.n...
Fig. 3. 14. Definición de la información a copiar.
Brome Fer L..!U
SeIea Itle fcIder to be &ddell In Itle SDU'=crbWul:
I
J.l Mis equipos '<irtuales
.
JJ My
r, ¡!j My Hcfmann
e Ilrcgramll
J.. pUrllo
r. ] SEGURlDADINFORMÁTICA
L. TElOE -
"
m
I
,
CMp:1ZI: SEGlRlDAO ll'a:oRMÁllCA
I c.ur rueva I3J)eIZl I

Fig. 3. 15. Explorando.
6. En el panel izquierdo hacemos clic en Type (tipo) para determinar el tipo de
copia que queremos realizar. En nuestro casa seleccionamos incremental.
lD<ol h. nl .....
1.1 bl.m.1  
Il). ovo '"
R.movelll.
1I. ",,,,,t
FfP ..... "
'"'
11.1 l.,C'.m,o'ol
I
Io\;/ro,
, • .,.on
¡ M;.nad



.....
N _
(l Di/f .. "",.1
",' In""""""
... IimiI"....,h .. r:fr.le._
t:l V .... limó n""'b.. r:ft"kup
·c"
, :
Fig. 3. 16. Definición del lipo de copia a realizar.
7. Como vamos a guardar la copia de seguridad en un disco dura externo, a priori
sin protección en el acceso a los datos, vamos a intentar asegurar la copia con-
tra intrusos, cifrándola (concepto que veremos en profundidad en la siguiente
unidad). El cifrado permitirá ocultar la información a personas ajenas. Cifrare-
mos la unidad mediante el algoritmo AES (128 bits). A continuación escribimos
la clave para cifrar. Esta contraseña debe ser de al menos 8 caracteres, y debe
estar formada tanto por números como por letras en mayúsculas y minúsculas
(Figs. 3.18 y 3.19).
(Continúo)
J
I
Seguridad pasiva. Recuperación de datos
__ _______________ -=C::: a:: s;:; a..!: p' ::. ra :::; · ctico 3 9
(Continuociónl
0' .... __ --...0 · ...... ,-.....
' 1 ::.,':" . _.


1 .... ... _
D ..... , ..., ' .....   ..... .. "' .., .. , ...
DLh.......... ,'.-. ..... .
... ,,, ... ,,......
l'
..
....... , ""', .. _ ...... '. , •...... .. - , .... .... "" ... ' .. ,_...... · 1
., ...... ,."",,
CE:JC§!J
Fig. 3. 17. Comprimir y cifrar copio.
Se:t password I

EntEr cid pasEwcrd:
Enter new eassword:
• ••••••••
Confirm new password:
l·········
[j Show pllssword
OK 1 1 C.""I
Fig. 3.18. Contraseño.
8. Progromamas la copia haciendo clic sobre Scheduler (Planificadorl. Hacemos
clic en Add (Añadir). En la nueva ventana definimos el tipo de copia, el usuario
y la clave del mismo,
i • ::::::::: ..
I :;:.: -. ,,"'c,
, '-
C...-.:= lo'
¡ •• -
1·::- 1I
! ;::::- 11 .. : ::::::::"_. _ ...... -
b --.y l ..
""u, ""'",,===3 1"" !!:."'"..".., . 1
1:10,,, ,,,,, ,,01,,, ,,,,
c ¡""

Fig. 3.19. Programador. Fig. 3.20. Propiedades de lo programación,
9. Posteriormente se abre una nueva ventana en el que especificamos la periodici-
dad y la hora en la que se realizará la copia. En nuestro caso definimos que se
realice todos los días a las 22.00 horas.
Alas llOO rwamen!e,comenW\doel l 1110/2009
Prcgramar t!<u: H::nI n.:i:I :
___ .. I 22.00 ¡;j I AVIMlla:luu. I
I'regz:nMla ta.-ea a.u..!:tlenl e
Cada
., ¡:¡
Fig. 3.21. Definición de lo hora y periodicidad de la capia.
3
59
Seguridad pasi va. Recuperación de dolos
Como es lógico, lo herramienta nos permite, en caso de pérdida de datos, recuperar
la información a partir de las copias de respaldo realizadas. Veamos un ejemplo en el
siguiente caso próctico.
Q Caso p'ráctico 4
Restaurar copia de segurida d para recuperar los dalas perdidos
En esta próctica vamos a int entar recuperar los datos que guardamos en la copia
ealizada anteriormente con la aplicación Backup4all de seguridad incremental r
Professional.
ano I,,¿ 1 para restaurar la copia. lo
20
30
40
Hacemos elic sobre el ic
En la nueva ventana defi nimos dónde queremos que se restaure la copia. En el
staure en la misma ubicación, dejamos la opción por caso de querer que se re
defecto, Use original loe alion; en caso contrario, marcamos la segunda opción,
(Elegir otra ubicación). Choose another localion
Elegimas la que querem os restaurar entre las distintas opciones: restaurar las
os los ficheras, seleccionar los ficheros y restaurar la
mas, filtrar los ficheros y restaurar la última versión .. . En
mas la primera opción, Restaurar las últimas versiones
acemos elic en Finish.
últimas versiones de tod
última versión de los mis
nuestro caso selecciona
de todos los ficheros, y h
O
•••
Whoro do you Wiln 110 ros loro?
....  
o Chceu oncth .. lcuúon
CC=========:=JI@
o no' " .... d,c.o 1,
How do you wanll o rasloro?
'I!' l'.fit=th. t'I«t ""';"n
O P.clcrc.H rol.......
O Chcc ....   tule,. \h. 1.1001 VftUcn
etc,,\ho l.otet ""';cn
..u;' .lnyvtnicn
cttdrda
.. ro/ n. nd'
() Chcc.dfoll .. r,rn ond,
El Rmcn: oc.Iudod ond del
Dp .... ¡ .... rd ..... "'. md d ..c.rd
- O- tic ......
Fi g. 3.22. Cambia
Como la copia incremen
sos, debemos introducir I
Password
ndo las propiedades de una copia.
tal se había cifrado para protegerla de posibles intru-
a elave.
Enter pi!lssword for b
-C:\ Users\Ani!l\
Ickup number 2
Documl!nts\ S .. AD INFORMÁl1CA\ tl!lT1a3\ tl!lTl
•••••••••
I
Fi go 30230 Clave de ciFrado.
Actividades
60 Restaura las copias de seguridad creadas en las Actividades 4 y 5.
Seguridad pasiva. Recuperación de dolos 3
• 3.2. Copia de seguridad de datos en Linux
Hay muchas aplicaciones sobre Linux que nas permiten realizar copias de seguridad,
desde las más básicas cama dump y restare hasta herramientas más avanzadas cama
duplicity. En el siguiente caso práctico vamos a aprender a manejar dicha herramienta.
Casa práctico 5
Crear copias de seguridad y restauración de las mismas con la herramienta duplicity en GNU/Linux
Duplicity es un software libre que se utiliza en las distribu-
ciones GNU/Linux para realizar copias de seguridad. Sus
características principales son las siguientes:
1. Puede guardar la copia en un servidar FTP. Sugerimos
la aplicación quick and easy Ftp server, por ser muy
sencila su configuración.
2. Comprime las copias para ocupar menos espacio y
consumir un menor ancho de banda.
"' ,. p' :
,
3. Cifra la información utilizando el archiconocido pro-
grama GnuPG.
4. Se utiliza mediante el uso de comandos, de modo que
es muy sencillo realizar scripts para automatizar tareas.
Antes de poder utilizarlo para realizar copias de seguridad
y guardarlas en un servidor FTP necesitamos instalarlo, ya
sea mediante el uso los comandos para instalar software de
nuestra distribución, ya mediante el uso de alguna aplicación
grófica como el Gestar de paquetes de Synaptic IFig. 3.24).
"
! :-
=
6rChivo fditar faqulte t.onnguración
Al'-I
da
1m
<P
  !

Recargar Marcar todas 111 actualizaciones Aplicar Buscar
- .-
Todo E Paquete ¡ versión instalad .. ultima
duplicity
O
baclr;upninja 0.9.5· 2
fOJ
dupicity 0.4.10
!' I I
¡I )
encrypted bandwldlh--efflcJent backup
1'1 I
i . 1 Duplicity backs directori u by producing encf)'Pted tar·formal
I
volumes
S.eccianes
I and uploading them lo a remote or local file server. Because
I
fstado
I dupWcity
uses librsync. the incremental archives are space effici!nt
I
Origen
I and onty
I
record the parts of files tha! h....,. changed since the last
[íbos pef'5ooahados I badrup.
I
Besukadol da bú. queda
I Because duplicityUll1 GnuPG to encl)1ll and/or sign thuI
;¡¡rchives. they .
¡2 pilquetes lisIados. 1122 Instalados. o rot05. 3 para inltalarfatlualizar. O para eliminar; se uSBrin 1
Fig. 3. 24. Geslor Synaplic.
Es posible que nuestra distribución no tenga instalado el
paquete GnuPG, en cuyo caso también tendríamos que
instalar el paquete correspondiente.
Una vez realizado todos los pasos anteriores, y por supues-
to teniendo acceso a un servidor FTP, estamos en disposi-
ción de realizar copias de seguridad cifradas y comprimi-
das que se guardarán en el servidor remoto.
En esta práctica vamos a cifrar una carpeta de nombre
'<recetas», que se encuentra en el escritorio del usuario Ma-
carena. Para ello abriremos un Terminal y ejecutamos el
comando que muestra la Figura 3.25.
Editar Y'er Terminal     AlUda
Como podemos observar, haremos una copia de la car-
peta en un servidar FTP de nombre ftp.sitour.com, utilizan-
do la cuenta que allí tendrá el usuario Macarena. Tras la
o rw
macarena@jupiter:-$ duplicity --short-filena.es Escritorio/recetas/ ftp://.acarena@ftp.sitour.com
Fig. 3. 25. Comando duplicity.
(Continúa)
3 Seguridad pasiva. Recuperación de datas
----
q Caso práctico 5
(Continuación)
ejecución del comando se nos pide que introduzcamos dos
claves: la primera, la del usuaria Macarena en el servidor
FTP, y la segunda, la que utilizará GnuPG para el cifrado
de la informacián.
6rChiva rl rmlna! .solape.
En nuestro caso hemos i ntroduci do «patata» e «i nesque-
guapaes» (Fig. 3.26).
A cantinuacián se nas muestro infarmacián sobre el resultada.
.. c ... nl@jupiter,·t · · 'hoH-Ht ,,, .. u !se.itado/recelosl ftp :// .. ..
      for 'ftp,sitour.ul' :
GnuP<l plnph'UI :
Relrp. tu contir.,
Fig. 3.26. (n traducción de contraseñas.
C/u""'" lt'I' J''' ''''''''' T UI
'K •••     · · ' .... n · lit"" .. ., I!nti tod. ./n cltl. ' flp" I .. c.r .... .. r . co.
PIo...... ,d fo. ' f1., . • ilour. u . ' ,
GnuIPG p.u .. II .... :
Ro-1JPo lO confi .. ,
'ID .ivnl'tu ... f"""d. Mulli", u fuU lote1up,
··-----------·1 Bukup 5ulinlu l · ···· ··· · ·····
5nnTi .. 1255337972. !>1 ,Ito" Oct 1] 200!1I
EndTi .. tito .. Oct 11 IO:U, S:Z lOO'J )
a, .. ,.dTi .. 0.04 10. D4 UCOncll)
SouretFilu ,
So'I rccFihSh. 16-410 11S. 1 d)
lb1'ilu ,
/CIof'ih5iz. 116.1 IlDI
o.htedFUu o
o
o 10 bytul
o 10 byt .. l
OoHIEntri .. 6
78 178 byt .. l
TotolOortin.tionSiz.Chlng. (5-1, b,t nl
Errors o
Fig. 3.27. Información del resultado de ejecutar el comando
duplicity.
La primera vez que utili zamos duplicity para realizar el
backup de una carpeta la aplicación genera una copia de
seguridad completa. A partir de ese momento, las copias
de seguridad sobre dicha carpeta serán de tipo incremen-
tal, es decir; se copiarán únicamente los archi vos nuevos a
modificadas desde que se hizo la copia anterior. Se puede
forzar en cualquier momento la realizacián de la copia
completa añadiendo el modificador «full » (Fig. 3.28).
•• , ...... ""' ..... J .. ......
6rthivo I. rminal
.. ,.,11 .. • Ioort - Uh n .. u EI<r1urio,rlcdal'   .. nr.l\ltftp.sitour.co ..
Fig. 3.28. Copia de seguridad completa con duplici ty _
Si la que queremos es restaurar la copia de seguridad ten-
dremos que ejecutar el comando que muestra la Figura
3.29.
e,rthivo Edit ar Jem'lfl aJ s.olapas
Si quisiéramos reponer un unlco fichero, par ejemplo el fi-
chero paella de la carpeta «españolas», en el directorio del
que hemos hecha la copia de seguridad «recetas», tendría-
mos que ejecutar un comanda cama el de la Figura 3.30.
n Clr.n.@jupit"r , ., dul'ticity • ·,hut · filen .. " ftl" /f .. c ... nl,ltp. 5;,0 .. r .cel ElcriteriD/ rccctu/
nc ... na@jupitor:., •
Fig. 3.29. Reslaurar copia de seguridad con duplicity
Fig. 3.30. Res/aurar un lichera de la copia de seguridad.
Cama vemos hemos utilizado el modificador - -file-
to-restore, que toma tres argumentas: el primero, el
fichera que queremos restaurar; el segunda, el lugar donde
se encuentra la copia de seguridad; y el tercera, el lugar
en el cual la vamos a restaurar.
)
,

_________________________ I
4. Modos de recuperación frente a pérdidas
en el sistema operativo
A lo largo de lo unidad hemos estudiado los distintos formas de recuperar lo información
(correos electrónicos, documentos de Word, Excel, bases de datos) perdida o causa de
algún desastre. Al igual que los datos, el sistema operativo falla o funciona de manera
imprevisible debido a alguna actualización incorrecta o al insertar una nueva aplica-
ción, un nuevo controlador poro algún dispositivo, etc.
Al igual que realizamos copias de seguridad de los datos, debemos realizar otras del
sistema operotivo, para así restablecer su correcto funcionamiento lo más rápidamente
posible y evitar la instalacián del mismo desde cero (esta última es la opción más drás-
tico y la que más tiempo consumiría).
En el caso de los sistemas operativos de la familia Microsoft podremos intentar restaurar
el sistema del equipo al estado en el que se encontraba antes de realizar la acción que
produjo la avería en el mismo. La restauración permite devolver los archivos del sistema
a un momento anterior.
Pero paro ello debemos crear y guardar puntos de restauración. El sistema operativo
Windows Vista ofrece la posibilidad de guardar puntos de restauración de manera au-
tomático, para lo cual deberemos tener activada la prateccián del sistema.
Coso práctico 6 9
Activar la protección del sistema en Windows Vista para que cree puntos de restau-
ración automáticamente
En esto práctica vamos o activar lo protección del sistema en Windows Vista para
que sea el propio sistema operativo el que se encargue de generar puntos de res-
tauración de forma automática. Gracias a dichos puntos de restauración podremos
recuperar el sistema operativo en caso de fallo.
1. Abre el Panel de control.
2_ Hoz clic en Sistema.
3. En el panel izquierdo hoz clic en Protección del sistema.
4_ Selecciono lo casilla de verificación que aparece al lado del di sco en el que
quieras activar la protección automático, hoz clic en Aplicar y posteriormente
en Aceptar.
>--, 0""

..... ".-... .. , ....
Fig. 3.31. Prolección del sislemo.
Prcpiod.od .. ;;,1=\.0 uu

....... n ....... I'r.::IIC:I6n 001 Il0l.....
-..-
t;
Re.taI. <111 ........ G)u:!a. rr.t .... Io• .-cI'rm
I FlalanrOlll ..... _ I
a"'¡""", deI_niyc:m> etI ............
........
Mc.dom:loo..rr.ó1l1JomiICa

--
do mtan<:ic!n _
El J. W"RE
'''''"'
  O!l11l!2!1C!902!D5
P .. .,. •
1 ""' , __ '" ó=I J ÓOI;luH ht;a de ...
1-1 1"""'" 1
Fig. 3.32. Activación de lo protección
del sistema.
):
Restaurar el sistema no funciona
si se utilizan discos inferiores a
1 GB.
'. - . Impor:tant!' 1" \

En el caso de guardar punlos
de restauración de manera auto-
mática debemos tener al menos
300MB de espacio disponible.
Restaurar sistema puede llegar a
ocupar hasla el 15 % del espa-
cio de disco.
Seguridad pasiva. Recuperación de dalos
Actividades
7. Crea un punto de restau-
ración manualmente.
En el caso de tener activada la protección automática del sistema, este creará los puntos
de restauración todos los días y justo antes de detectar el comienzo de lo realización de
cambios en el equipo.
En el coso de no tener activada lo pratección automática, debemos crear los puntos de
restauración manualmente, cuando pensemos que alguna de los acciones que vayamos
o realizar (instalación de actualizaciones, instalación de cantraladares de nuevos dispo-
sitivos, etc.) pueda dejar al sistema operativo en un estado inestable.
Q caso
tico 7
e restauración antes de una instalación de un cantrolador que puede Crear punto d
dejar 01 siste ma operativo en un estado imprevisible
Los puntos de restauración son creados por la restauración del sistema a intervalos
uando detecta el comienzo de la realización de cambios en el equipo específicos, c
o bien cuand o de manera manual se lo solicitamos.
Para crear un punto de restauración manualmente debemos realizar los siguientes
pasos:
1.
2.
3_
4_
5_
6_
Abrimos e I Panel de control.
dic en Sistema. Hacemos
En el pan el izquierdo, hocemos dic sobre Protección del sistema.
En la pest año Protección del sistema hocemos dic sobre Crear (Fi g. 3.33).
Ponemos u n nombre 01 punto de restauración indicando el momento en el que se
uestra coso, «Antes de instalar tarjeta Wi-Fi» y hocemos d ic en Crear. crea. En n
(Fig. 3.35)
Empiezo
punto de r
el proceso de creación del punto de restauración. Una vez creado el
estauración, podemos proceder a instalar la tarjeta Wi-Fi con lo segu-
que si el proceso dejase 01 sistema operativo en un estado inestable, ridad de
podríamos recuperarlo utilizando el punto de restauración creado anteriormente.
PrcpOnlode,,,",w
,-

lÍi
pone. d. '" .....   .. .s. ........
en .... 0l'Il .     :n a"!!, ' . ...... ;
.
Protección del sistema
.....-.
UU
Crea r un punto de restauraci ón
Escriba U'I.!I desoipd6n para ayud&r a el pu11D de restallaOÓll. La
..... ""..,.. ..
fedla y hora se &Qre;6n '1I1Dm1tic.1mente.
d."" ..... d ..
¡uto""-"""
I\n.ll a..rt ......
o..p.rI .. .s.rt
.... -

0E:. \.\Iuf;)(
Antes de iUWu tarjeta Will
I
1I1
I "'M II
""'"'"
I
1
I
I
'-
- -

Fig. 3.34. Nombre de punID de restauración,
..... oII<n
I::. c!oc=.
Fig. 3.33. e rear punto de restauración.
Protección del sistema
Creando un punto de restauradón. "
F ig. 3.35. Creando punto de restauración.

___________________________ __ d_at_o_s_______ I
Cuando creamos puntos de restauración mediante la herramienta Restaurar sistema se
guarda información del estado del sistema en el directorio X:\System Volume Informa-
tion, donde X es la unidad en la que se encuentra instalado el sistema operativo (por lo
general C). Esta información es una «instantónem> del estado del sistema, de su registro
y de las aplicaciones y controladores instalados.
La restauración a un punto anterior solo afecta a la configuración de los archivos del
sistema, programas, orchivos ejecutables y el registro; no afecta a los documentos per-
sonales, par lo que con dicha operación na podemos intentar recuperar un archivo que
hayamos eliminado.
Caso práctico 8 9
Restaurar el sistema a un punto anterior creado para recuperar el correcto funcionamiento del sistemo operotivo
Supongamos que después de la instalación del controlador
de lo nueva tarjeta Wi-Fi, el sistema operativo ha empeza-
do a fallor. Gracias a que habíamos creado un punto de
restauración antes de la instalación previendo el posible
percance, podemos recuperar el correcto funcionamiento
del sistema, restituyéndolo a su estado anterior a la instala-
ción del controlador.
1. Hacemos clic en Inicio, posteriormente clic en Herra-
mientas de sistema y por último en Restaurar sistema.
2. Se abre una nueva ventana, Restaurar archivos y
configuración del sistema, en la que hacemos clic en
Siguiente para restaurar el sistema.
Restaurar archivos y configuración del sistema
Restlurlr SiStema puede ' yu:W a m II'QbIcmu que ¡)UecW1
p-ovoar que el e:;uitXI se ejea...te CD!Ile!1clUd Q deJe de responder.
Fig. 3.36. Pantalla inicial Restaurar sistema.
3. Se abre una nueva ventana en la que elegimos el punto
de restauración, «Antes de instalar tarjeta wifÍ». Hace-
mos clic en Siguiente.
4. En la siguiente ventana nos pide confirmación de la res-
tauración del sistema al punto seleccionado.
5. Se abre un nuevo aviso en el que nos informa de que no
podremos interrumpir la operación de restauración. Hace-
mos clic en Sí y empieza el proceso de restauración.
Una vez finalizado el proceso de restauración el sistema fun-
cionará con normalidad. Se habrá desinstalado el controla-
dor de la tarjeta Wi-Fi, pero no se perderá ninguno de los do-
cumentos posteriores a la creación del punto de restauración.
Elegir un punto de restaunldón
RestaLlMs.'stema noam!:i4rA ni e!:m:rarj dOQmll!!1to y el proce:s.o es
I1a9I de; en el p.,nto de restlur.OÓI'I que L!SIII" y depul!:s haga óc: en sou;enll! . l e';"'"     !In
Mio de 'Mt", .. "c'_-\n?
Feala yhora
1-
Ol/1Df20090:2Il:::.5
I < "'trb 11 Sg.ier¡tIl > I CanczIar I
Fig. 3.37. Elección del punto de restauración.
Un. ve:.:: iniciado, no H posible interrumpir RUbur, r sirtema y no se
pueden deshacer los cambios harta que se haya completado. ¿Está
seguro de que duea continuar?
         
siste ma
l
' Preparándose para restaurar : 1 ,
1 1
SI No
1
Fig. 3.38. Menso;e de aviso. Fig. 3.39. Restaurando el sistema.
y 3 Seguridad pasiva. Recuperación de datas

56
q Caso p'ráctico 9
Eliminar en Windows Vista los puntos de restauración más antiguos y dejar los más recientes
En numerosos ocasiones hemos oído hablar de lo mucho
que ocupa este sistema operativo. Gran parte del tamaño
se debe a que incluye mucha información en los puntos de
restauración (versiones anteriores e instantáneas). Como
comentamos, los puntos de restauración pueden llegar a
consumir el quince por ciento de la memoria del disco duro.
Mediante el liberador de espacio en disco podemos eli-
minar todos los puntos de restauración excepto los más
Opciones del Libeflldor de eSp'acio en d¡ICo
Elija los archivos que desea considerar para
liberar espacio.
l -Jo mis archivos--
Archivos de todos los usuarios en este equipo
Fig. 3.40. Opciones del Liberador de espacio en disco.
2. En el cuadro de diálogo Opciones del Liberador de
espacio en disco, nos pregunta si al liberar espacio
en disco queremos liberarlo solo de nuestras archi-
vos o de todos los usuarios del equipo. Hacemos dic
sobre Archivos de todos los usuarios en este equipo
(Fig. 3.40).
.-::. libf:rtdllf lit t11',cill en ViiI. ("1
""'" I
 

I lbera"_

pu'IIOI "'lIa.n.c!o1. el /JIU ",cieo1e.
Wcicr\t.de Wn:1lWl 'mI.o,eld:s<:e poóo¡,
in;loir l"ISIardnell I!It:tIvcI e do
Ú'ipil1 de de WI'ld:lYl1 Ccn1*Ie PC=
plrtl! ele los lUltos de mlautloM. Esta rlcmuta:!n
te t!tMInI .
I lbmr_. I
Fig. 3.42. Eliminar punto de restauración.
5. En Restaurar sistema e instantáneas, hacemos dic en
el botón Liberar. A continuación se muestra un mensaje
de aviso en el que nos informa que si tenemos varios
puntos de restauración antiguos, podríamos no nece-
sitarlos, de tal manera que si los eliminamos ganaría-
mos espacio en el disco. Hacemos dic en Eliminar (Fig.
3.43).
recientes. Antes de proceder, anotad el espacio disponible
en disco.
1. Hacemos dic en el botón de Inicio de Windows Vista,
Todos los programas, Accesorios, Herramientas del
sistema y a continuación en Liberador de espacio en
disco.
liberador de espacio en disco: sele<ción de uní ... LJ!..J
Seleccione la unidad en donde espacio.
Unidades:
I Aceplor
Fig, 3.41. Selección de la unidad.
"
,
,:
3. Seleccionamos la unidad donde queremos liberar espa-
cio, en nuestro caso C: (Fig. 3.41).
4. En el nuevo cuadro de diálogo aparecen dos pesta-
ñas. Hacemos dic sobre la pestaña Más opciones
(Fig. 3.42).
I en d¡j§" --,
¿Confirma que desea eliminar todo menos el
punto de restauración más reciente?
Si tiene varios puntos de guardados, podría ya no
nec!Sitar los mas antiguos. Si 105 eliminll, ahorrara espacio en
disco.
I Eliminar 1I (ancflar I
Fig. 3.43. Mensaje de aviso.
6. Volvemos a la ventana anterior. Pulsamos en Aceptar
y se nos abre un nuevo aviso informándonos de que
dichos archivos se borrarán permanentemente. Hace-
mos dic en Eliminar archivos.
Si comparamos el espacio ocupado en el disco antes y
después de ejecutar los pasas anteriores, se puede apre-
ciar que aumenta el espacio disponible después de elimi-
nar los puntos de restauración antiguos.
Seguridad pasiva. Recuperación de datos
En el casa práctico ocho se pudo recuperar el sistema, pero hay ocasiones en la que la
restauración del sistema no puede realizarse, bien porque no se hayan creado puntos
de restauración o bien porque el sistema se encuentre demasiado degradado. En el
caso de que no podamos iniciar Windows, pero sí se haya iniciado correctamente la
última vez que se encendió el equipo, podremos utilizar como inicio la última configura-
ción válida conocida.
Cada vez que apagamos el arde nadar y el sistema operativo, Windows, se cierra co-
rrectamente, la configuración del sistema se guarda en el registro.
Veamos en el siguiente caso práctico cómo podemos arrancar el sistema operativo con
dicha opción.
Casa p'ráctico 10 9
Arrancar el equipo con la última configuración válida conocida
1. Hacemos clic en el botón de Inicio , en la flecha situada junto al botón
Bloquear ya continuación en Reiniciar.
2. En el caso de que el equipo solo tenga un sistema operativo, al arrancar presio-
naremos la tecla de función F8. En caso de que el ordenador tenga más de un
sistema operativo instalado deberemos elegir el sistema operativo a arrancar y
posteriormente la tecla F8.
3.
I 4
En la nueva pantalla se muestran las opciones de arranque avanzadas. Debe-
mos seleccionar la opción La última configuración válida conocida, ya continua-
cián presionamos la tecla Entrar.
Posteriormente el sistema operativo arrancará con normalidad.
En el caso en el que la última configuración válida no hubiese corregido el mal funcio-
namiento del sistema operativo intentaríamos restaurar el sistema desde el símbolo del
sistema.
Reiniciamos el equipo en modo segura con símbolo de sistema (es decir, el sistema ope-
rativo se arranca con un conjunto limitado de archivos y controladores, y se inicia Win-
dows con una ventana de símbolo de sistema en lugar de la clásica interfaz del sistema).
En la ventana de símbolo de sistema escribimos rstrui.exe; presionamos Entrar.
En caso de que no pudiésemos iniciar el equipo con las opciones anteriores podemos
probar con la Reparación de inicio de Windows.
La Reparación de inicio es una herramienta de recuperación de Windows que permite
solucionar algunos problemas, como la falta de archivos del sistema o bien archivos
corruptos del mismo. Cuando ejecutamos dicha opción el sistema examina el equipo en
busca del problema e intenta corregirlo.
Para poner en práctica dicha opción debemos seguir los siguientes pasos:
1. Reiniciar el equipo.
2. Presionar la tecla F8 al arrancar el sistema operativo para acceder al menú de
Opciones de inicio avanzadas.
3. Seleccionar la primera opción Reparar equipo y a continuación presionar la tecla
Entrar.
4. Seleccionar la distribución del teclado y presionar Entrar.
5. Seleccionar el nombre de usuario y contraseña.
6. En el menÚ de opciones de recuperación del sistema hacer clic en Reparación de Inicio.
3

Seguridad pasiva. Recuperación de datos
Caso práctico 11
Recuperación automótica del sistema en Windows XP
Hay ocasiones en la que la restauración del sistema na se
puede realizar pues este está tan degradado que no pode-
mos arrancarlo ni siquiera en modo a prueba de errares;
si nos hemos aplicado el refrán de hombre prevenido vale
por dos, habremos realizado una copia de seguridad del
mismo, ya sea mediante el uso de imágenes que más tarde
describiremos, o mediante el método que aquí tratamos,
conocido como ASR (Automated System Recovery).
Para realizar una copia de seguridad del sistema utilizan-
do ASR vamos a necesitar un medio en el cual guardar la
copia, y un disquete que contendrá la información sobre
el sistema.
1. Ejecutamos la herramienta de algunos sistemas de
Microsoft conocida como utilidad de copia de seguri-
dad, bien ejecutando la orden ntbackup en la consola
de Ms Dos, bien a través del menú Inicio> Programas
> Accesorios> Herramientas del sistema y por último
Copia de seguridad (Fig. 3.44).
Si no obtenemos una ventana como la que muestra la Figu-
ra 3.44 es porque se nos habrá iniciado la aplicación en
modo asistente, y tendremos que hacer click en el enlace
de modo avanzado para que aparezca la ventana men-
cionada.
2. Pulsamos el botón Asistente para recuperaclon auto-
mática del sistema. La aplicación muestra una nueva
ventana que nos avisa de algo muy importante: si
queremos hacer una copia de seguridad de nuestros
datos debemos usar algún otro método, pues ASR no
BienwridD I ResIu'.y.tnirWtJ.1IIIIÓOI1 F'IqJ_lrabaPs I
Utilidad de copia de seguridad en modo avanzado
Sibpre/ieo.   el
......
Fig. 3.44. Utilidad ntbackup.
nos guardará los datos que estén en una partición dis-
tinta a la que contiene el sistema operativo. Pulsamos
Siguiente.
3. En la nueva ventana que nos muestra elegimos el medio
en el que queremos guardar la copia y el nombre selec-
cionado para la misma. Pulsamos Siguiente y después
Finalizar, tras lo que esta utilidad empezará a realizar
la copia de respaldo de nuestro sistema. Al final del
praceso nos pedirá que introduzcamos un disquete en
blanco y formateado, que como se mencionó anterior-
mente utiliza para guardar ciertos datos. Por último
guardaremos a buen recaudo el archivo que contiene
la copia de respaldo de nuestra sistema y el disquete,
para cuando los necesitemos.
En caso de necesitar restaurar el sistema operativo a par-
tir del archivo creado anteriormente, deberemos seguir los
siguientes pasos:
1. Arrancamos el ordenador utilizando el CD original que
contiene el sistema operativo, estando atentos a los pri-
meros momentos de la instalación, en los que se nos
avisará en la parte inferior de la pantalla de pulsar F2
(Fig. 3.45).
Seguiremos los pasos que este proceso nos solicite, como
introducir el disquete que creamos o comunicarle cuál es el
fichera que contiene la copia del sistema.
Cuando finalicemos el proceso tendremos el PC con la mis-
ma configuración y el mismo estado que cuando realiza-
mos la copia de seguridad.
Fig. 3.45. Pantalla inicio.
Seguridad pasiva. Recuperación de datos
3
• 5. Creación de imágenes del sistema
Hacer una copia de seguridad de los datos que tengamos en los equipos informóticos
de la empresa de forma mós o menos regular es tarea obligatoria, si no queremos sufrir
los quebraderos de cabeza que nos puede ocasionar la pérdida de los mismos.
Aunque hacer una copia de seguridad del propio sistema no es tan importante o impres-
cindible como la copia de los datos, no es menos cierto que nos ahorrará mucho tiempo
en caso de tener que reinstalarlo.
Con el propásito de hacer copias de seguridad del sistema -y hacer así su reinstalación
más cómoda, sencilla y en menos tiempo- existen aplicaciones como Symantec Ghost y
Acronis True Image, entre otras. En el siguiente caso práctico aprenderemos a crear una
copia de seguridad o imagen, como estas aplicaciones las llaman. La guardaremos en
una partición oculta del mismo disco donde tengamos instalado el sistema, de modo que
si más tarde necesitamos su restauracián, la haremos utilizando una utilidad que Acronis
True Image instalará en nuestro disco.
Casa (lráctico 12 9
Creación de una imagen del disco en una partición oculto sobre el mismo para poder restaurar el sistema en caso de que
en algún momento se quede en un estado inestable
1. Necesitamos el CD de inicio: para nuestro caso utili-
zamos un CD de inicio con la versión 10.0 de Acronis
True Image Home.
Turn 0 " COn! ulel ¡neludes drlVel S 10/ USBjPCCeJd/SCSI hOId dl l lts
Fig. 3.46. Pantalla inicial Acronis True Image.
En caso de' querer iniciar desde el disco duro, seleccio-
namos la opción Windows. No es nuestro caso, en esta
práctica elegiremos la primero opción, Acronis True Image
Home (Fu" version), pues lo que queremos es iniciar esta
aplicación para realizar la imagen de nuestro sistema. Tras
esperar un par de minutos se nos muestra la pantalla prin-
cipal de la aplicación (Fig. 3.47).
2. Configuramos la BIOS del sistema con la opción de
iniciar desde CD/DVD y después iniciamos el PC con
el CD en su bandeja. Obtenemos una imagen como la
siguiente:
,'! Acpnlo Tru!llmu!lP Humll _

4 WeneguAoonl1 Secu' o Zona
"Z 6C'_vo:oA:ton' l  
 
..
iJ ShowLo!l
Fig. 3.47. Pantalla principal Acronis True Image.
(!) Holp
I lot:!!l Com utlr
3. Creamos lo que esta herramienta llama una zona de
seguridad de Acronis, que no es más que una partición
oculta en nuestro disco duro que contiene el fichero de
respaldo. Si quisiéramos podríamos guardar la copia en
algún otro lugar como una carpeta compartida en red,
un servidor de FTP u otro disco duro, incluyendo discos
duros externos, pero para nuestra próctica hemos esco-
gido guardarla en el propio disco duro del Pe.
(Continúa)
3 Seguridad pasiva. Recuperación de datas

Q Caso práctico 12
(Continuación)
La elección de esta opción, realizar la imagen en una par-
tición creada en el propia disco, tiene la desventaja de ser
una mala elección en casa de que se rompiese el disco;
pero tiene lo ventaja de ser la elección mós útil en caso de
que el disco duro no falle y sea el sistema el que lo haga.
Para crear esta zona de seguridad elegimos la opción
Manage Acronis Secure Zone de la pógina principal de
la aplicación, obteniendo una ventana informativa. Le
damos a Siguiente y mostraró una pantalla como esta
(Fig. 3.49).
4. Elegimos la unidad de la cual Acronis va a robar un
trozo para crear esta partición oculta o zona de segu-
ridad. Seleccionamos en nuestro coso la partición C
del primer disco, pues no tenemos más particiones ni
discos. Pulsamos Siguiente. Obtenemos una panta-
lla que nos permite elegir el tamaño que tendrá esta
zona de seguridad. Tras elegir el tamaño adecuado
(en la partición tendrá que caber la imagen de nuestro
sistema, que ocupará una determinada cantidad de
giga bytes en función de las aplicaciones instaladas
y datos que contenga), volvemos a pulsar Siguiente;
,,"n'l" ...... "0' . Su"",!,, 1n"n
CUI.'u AcIaNO !,.,ctI,,, ¡""u .
I
 
ahora la aplicación nos pide una contraseña para pro-
teger la zona de seguridad de accesos indeseados
(Fig. 3.50).
5. Rellenamos el farmulario y pulsamos Siguiente.
6. La herramienta nos da la oportunidad de activar Acro-
nis Startup Recovery Manager en nuestro disco, una
utilidad (en realidad es un gestor de orranque y la pro-
pia aplicación) que más tarde nos permitirá restaurar
nuestro sistema sin necesitar de hacer uso del CD de ini-
cio de Acronis. Nos avisa que va a sobrescribir el MBR
(Master Boot Record) y que si tenemos algún gestor de
arranque instalado, como pueden ser el LlLO o el GRUB
de GNU/Linux, tengamos cuidado pues lo dejará inutili-
zado. En este caso elegimos instalar esta utilidad y pul-
samos nuevamente Siguiente, llegando al último paso
de esta parte. Aparece una nueva ventana informativa
con las operaciones que la aplicación va a realizar.
Leeremos atentamente por si nos hemos confundido y
si estamos de acuerdo pulsamos el botón de Proceder
(Proceed). Esperamos unos minutos, hasta que la ope-
ración de creación de la zona de seguridad concluya.
Plu .. . , IIClIhI pricn. ID lIlb hllPIlC8 Jrcm. Th, <ha.. " pOll.1'on. wilI b' 18';'l d
nl "'U"'Y1Il '11"'" Iha ' pIlC8IDAcmni. Slan 2cnl .
Provida po.s5word and confirm it in the boxes below. Note that the password is ce.se-sensitive.
I PaItáon I
0111. 1
'o ':;' NTFS(C¡ 799GB 6.m GBNTFS
'.11"'* 1:>1 ) (;oncI1
O Qo not use pe.ssward protection
@ !.!se pe.ssword protection
,Enlerlhe po.ssword: ••
Confirm !he pe.ssword: ••   ______ =
,Secret question: IWho was your childhood hero?
8nswer. __________________ ...J
Fig. 3.48. Creación de la zona de seguridad de Acronis. Fig. 3.49. Definición de contraseñas.
Monage Acronis SeCUra Zone Wizard
Activoting Acronis Startup Recovery Manager A
You cen odrvote Actonls Slor1up Recollery Mflnflger Thl s monoger ollows you i
10 restare your computer 01 boot Irme berare operotmg system stor1s
Please choose whetheryou wantlo adillale Acronis Startup Recovery Manager.
@ 8cWaleAcronisStartupRecolleryManager
o Do not adillate Acronis Startup Recovery Manager
I
DeScriPtiOn
Whan activatad Acronis Startup Recovery Manager oJlowsyou lo run
Acronis Trua Imaga Home befare slarting operating system by pressing Fl 1 al boottime.
Fig. 3.50. Activación de la zona de seguridad.
(Continúa)
(Continuación)
7. Ahora que yo hemos creado un hueca en nuestra disco
duro paro guardar lo copio de nuestro sistema, vamos o
crear la imagen. Para ello volvemos a lo ventana princi-
pal de lo aplicación (Fig. 3.47), pera en este caso elegi-
mos la opción Backup (copia de seguridad), pasando o
una ventano informativo en lo que pulsaremos Siguiente.
Llegados o este punto veremos un cuadro de diálaga
coma el que se muestra o continuación (Fig. 3.51):
CrBule Hockup Wllord
Saled Bockup Typa ( I!! 'I
- r
You can selea type 01 dala your want lo beck up
Salad whOlyou wont 10 bock up:
@        
o MyQolo
L
DeScriPtiOn
VVhen you seled lhis oplion you can aeote on imoga oflhe entire disk 01 its partitions.
Bocking up lhe anUre system disk (creoting o. disk imoge) tokas significant disk spoca. bul
enobles yeu lo reslore lhe systam in minutes in case 01 severe doto domoges al hardware
_:,.
Fig. 3.51. Definición de los datos para la imagen.
Este contiene das opciones: la primera permite hacer
uno copio de todo nuestro ordenador y la segunda
permite hacer una copia de las carpetas especificados.
Como en este coso queremos crear uno imagen del
sistema completo elegimos lo primera de los opciones,
My Computer (Mi ordenador), y pulsamos Siguiente.
8. Aparece uno nuevo ventano en la que debemos indi-
car de qué particián, particiones o disco duro completo
queremos realizar lo imagen. Tras elegir en nuestro
coso la particián C, pulsamos Siguiente y nos aparece
uno ventano informándonos de algo muy interesante: si
yo hemos realizado onteriarmente una copia de seguri-
dad del sistema podremos ahora crear uno copio dife-
rencial o incremental con lo ideo de solamente agregar
a lo copio ya existente lo que hayamos agregado o
modificado desde su creacián. Tras pulsar OK nos apa-
recerá una nuevo pantalla en la que tendremos que
elegir el lugar donde vamos a guardar lo imagen, que
en nuestro caso, como ya sabemos, va a ser la zona
de seguridad, por tonto elegimos Acronis Secure Zone
(Fig. 3.53) Y pulsamos Siguiente.
9. Aparece una ventano con tres opciones: lo primera
para crear uno copio completa, lo segundo para rea-
lizar uno copia incremental y lo tercera paro realizar
uno copio diferencial. Nosotros vamos a crear uno
Seguridad pasiva. Recuperación de datos 3
Caso práctico 12 9
copio completo, por ser lo primera que lo realizamos
de nuestro sistema. Seleccionamos lo primera opción,
Creote o new Full bockup archive (crear una nuevo
copia de seguridad completo) y pulsamos siguiente.
10. Escribimos lo imagen en lo zona segura. Debida a
que lo protegimos onteriarmente por contraseña, nos
pedirá que lo introduzcamos. A continuación pulsamos
Siguiente, dando paso a uno ventano en la que tendre-
mos que elegir el grada de compresión de la copia de
seguridad. Sabemos que cuanta más comprimamos la
copia menos acuporá en disco pero más tiempo tar-
daremos en crearlo, y también en reponerla cuando
nas hago falta. Elegiremos la opción de máxima com-
presión: na tenemos prisa, pero sí poco espacia en
el disco. Marcamos la opción Maximun y pulsamos
Siguiente. Aparece un cuadro de texto para que intro-
duzcamos un comentario sobre la imagen que vamos a
crear; se puede dejar en blanco, pero se recomiendo
escribir alga como lo fecho y el contenida, a el PC del
cual es lo imagen. Pulsamos Siguiente y cama en el
cosa de lo creación de lo zona segura aparece una
última ventano informándonos de los operaciones que
se van o realizar. Pulsamos Proceder (Proceed) y tras
esperar unos minutos nuestra copia de respaldo estará
guardado en lo zona de seguridad.
Si en algún momento necesitamos restaurar nuestro sis-
tema o partir de esto imagen tendremos que realizar
los siguientes posos: arrancar el PC desde el CD de
Acronis, o ejecutar Acronis pulsando FlI mientras se
inicio el ordenador, aunque esto opción solo estará
disponible si instalamos Acronis Startup Recovery Ma-
nager, coma se comentó más arribo. Ahora tendremos
que elegir lo opción Recavery (recuperar) de la panta-
lla principal del programo y seguir el procesa guiado
paro reconstruir nuestra imagen.
Bockup Archiva Locollon
Choose en e,ll shng beckup lil e lO back up only chonges Ihol tcok ploce slnce Ihe
bockup cleflllon 01 enle, lite name lar 6 newlull bockup
X Delate fri e E:1 Cteete newl) -w-
Acronis Secure lona
9 My Computar
Ac,on' s SecU/e Zone
[ti 3.5 Aoppy (A:)
Local Disk (C)
[ti ti Computers Neor Me
#,J FTPConnections
Free speca: 3.746 GB
TolaJ size: 3.769 GH
Acronis SeOJre Zone is e protected portition on yoUI hmd
disk drive lhel is ineccessible to ordinOJY opplications.
We recornmend thotyou ereo.ta backup orchives in \he
Acrnnis SSOJra Zone; \ha file nome is nol required in lhis
Fig. 3.52. Selección de la zona para guardar la copia de seguridad.
Seguridad pasiva. Recuperación de datas

6. Copia de seguridad del registro
Antes de entrar en el proceso de la copia de seguridad del registro, recordemos que el
Registra de Windows es una base de datos que contiene información del hardware, de
las aplicaciones que tenemos instaladas e información de los cuentas. Habitualmente
na es necesaria que toquemos el registra, ya que san las aplicaciones las que suelen
introducir los cambios directamente en él.
Un cambia erróneo en el registra podría ocasionar que el equipa dejase de funcionar,
par la tanta siempre que vayamos a hacer cambias en el misma se recomienda que
hagamos copias de seguridad.
1. Iniciamos el equipo como administradores.
2. Abrimos el editor del registro escribiendo en la consola regedit.
---
L'.. • t,;" ",
,1,1 (" 7.llIlf, M,. ,'" ,,1\ C""I,,,,-,,t ,,,,, 11,· · ",'U ",,, I .. ,t" . 1" ,1"1'''' lo" •
F
'jtUln""" IU'II",,¡,ll!.llIlll
. , On., ) ," '1' ,1,1
Fig. 3.53. Instrucción para e;ecutar el registro.
3. Buscamos la clave a subclave de la que queremos realizar la copia de seguridad y
hacemos clic en ella. Como en nuestro caso queremos realizar la copia de todo el
registro seleccionamos el equipo.
; .. JJ HKEY_CLASSES_ROOT
t> .j,¡ HKEY_CURRENT_USER
-J.! HKEY_LOCAt_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Fig. 3.54. Registra de Windaws.
Tipo
4. Hacemos clic sobre Archivo y seleccionamos Exportar.
Datos
5. En el cuadro Guardar en, seleccionamos la ubicación donde deseamos guardar la
copia de seguridad en el cuadro Nombre de archivo y por último hacemos clic en
Guardar.
".
'-.
••
J f"h. mod.fi, ..   Tipn
JI ...,tAUllS
JJ l:l:dd
JJ BlutloOlh
JI e"".       El M""do' _
JI O ..... I •• d.
     
JI FLAiH
j¡ hlll''''''
J.. JnUlct ..
Jj In1<M'; ••
..
j¡ Mt.OL<Oovrnlo,d,
I't ..    

O Rr. .. ooIt:=-.ae.

Fig. 3.55. Guardar la copia de registra.
e;;,¡ '
l'
--"
Seguridad pasiva. Recuperaci ón de datos
• 7. Políticas de copias de seguridad
las políticas de copias de seguridad deben definir el tipa de copias y la periodicidad
de las mismas, así como los soportes en las que se deben realizar y las ubicaciones de
los centros de respaldo.
los centros de respaldo son las ubicaciones donde se guardan las copias de seguridad.
Estos en la mayoría de las empresas pequeñas se encuentran muy cerca del centro de
cálculo o en la misma estancia, tanto por comodidad de los técnicos, que siempre tienen
a mano el material, como por espacia, pero las empresas grandes que manejan grandes
volúmenes de datos suelen ubicarlas lo suficientemente lejos como para que no se vean
afectados par la misma catástrofe que provoque el percance en las instalaciones del
centro de procesamiento.
Estas ubicaciones deben estar protegidas de la misma manera que
los centros de procesamiento de datos, es decir, estarán protegi-
dos los accesos para que solo pueda entrar el personal autorizado. Data-Safe
Deberán estar protegidos tanto frente a los distintos accidentes o
catástrofes naturales (incendios, inundaciones, etc.) como ante los
posibles ataques software que estudiaremos más adelante. Es fre-
cuente encontrar las copias de seguridad almacenadas en armarios
ignífugos como el que se muestra en la Figura 3.56. Gracias a este
tipo de armarios podríamos proteger la información en caso de que
se produzca un incendio.
Como estudiamos en el primer epígrafe de la unidad, uno de los
clásicos errares que se producen en las empresas y en las hogares
en los que se realizan las copias de seguridad es el mal etiquetado
de las mismas. Es muy habitual en los hogares españoles realizar
copias de respaldo en los soportes ópticos (CD y DVD) y almace-
narlas de manera desordenada y sin ningún etiquetado. Toda una
locura cada vez que tengamos que buscar un archivo para restau-
rar, par lo que se recomienda diseñar una etiqueta y pegarla al
soporte que guarde la copia con la infarmación que detallamos a
continuación.
Una etiqueta carrecta debería incluir la siguiente información:
• Identifícador de copia, mediante esta cadena alfanumérica iden-
tificamos de manera unívoca cada una de las copias de seguri-
dad realizadas. Facilita la búsqueda de las mismas.
3
• Tipo de copia, debemos definir si la copia es incremental, dife-
rencial o completa.
• Fecha en la que se realizó la copia, ya que en numerosas oca-
siones debemos buscar las copias por fecha de realización de
las mismas.
Fig. 3.56. Armario ignífugo para almacenamienlo de copias
de seguridad.


Contenido, siempre se incluirá el contenida en clave que almacena la copia de segu-
ridad. En caso de querer recuperar un determinado archivo lo buscaremos sin nece-
sidad de estar cargando cada una de las copias en el equipo. Hay que recordar que
tanto el nombre de la copia como los datos almacenadas en ella deben ir en clave
para que en caso de encontrarse al alcance de intrusos, estos no sean capaces de
descifrar la información almacenada en los mismos. Por tanto la información escrita
en la etiqueta como la almacenada en los soportes informáticos debería ir cifrada.
Responsable, debe figurar el técnico que realizó la copia de seguridad para poder
pedide que facilite las consultas o las peticiones de actualización y restauración de
la misma.
A continuación hemos diseñado una posible etiqueta para los soportes de las copias de
seguridad (Tabla 3.1).
Seguridad pasiva. Recuperación de datos
Tipo de copia
Fecha
Datas
Técnico
Firma
lO
. ,
  de la copia
o Completa
o Datos
o Incremental
o Sistema
o Diferencial
lAño, mes, dio)
Se deberá utilizar la nomenclatura específica de la empresa, de forma
que facilite a localización de archivos concretos YI en caso de que sea
confidencial, un posible intruso no seo capaz de conocer la información
grabada.
Nombre de la persona que realizó la copia de respaldo
Firmo del responsable que realizó la copia
Tabla 3.1 . Etiqueta para soporte de copia de seguridad.
Al igual que debemos etiquetar correctamente las copias de seguridad, se debe llevar
un registro exhaustivo de las mismas y de las restauraciones realizadas.
Este es otro de los graves errores que suelen cometer las empresas: realizan las copias
de seguridad pero nadie se preocupa de comprobar si la copia se ha realizado correc-
tamente ni de llevar un registro con la información de las mismas.
A continuación, vamos a diseñar una posible hoja de registro. Esta, además de la infor-
mación que se almacenaba en la etiqueta que adjuntamos al soporte (el identificador
de la copia, el tipo de copia, la fecha, los datos almacenados en la misma, el nombre,
los apellidos y la firma del técnico responsable de la copia) deberá incluir los siguientes
campos:
o Identificadar de la etiqueta, un código que se incluye en la etiqueta para poder loca-
lizar de manera rápida la copia de seguridad, y que que coincide con ella cadena
alfanumérica de la etiqueta.
o Tipo de soporte, debemos especificar si la copia se ha realizado en una cinta, disco
duro, unidad USB ...
o Ubicación, en función del número de copias de seguridad y de la importancia de las
mismas estarán ubicadas en unos u otros lugares, por lo que debemos indicar el sitio
donde se encuentran almacenadas.
De la misma manera que se realiza el control de las copias de seguridad, se deberán
registrar las restauraciones realizadas y los motivos que han ocasionado dicha recu-
peración. En las hojas de registra de las restauraciones se deben incluir los siguientes
campas:
o Fecha de restauración en la que se realizó la recuperación de la copia.
o Incidencia que ha motivado la restauración, causa que ocasiona la pérdida de in-
formación.
o Ubicación, equipo en el que se realiza la restauración de la información perdida.
o Técnico, responsable que lleva a cabo la actuación.
Seguridad pasiva. Recuperación de datos
En la siguiente tabla podemos ver la hoja de registro que utiliza la empresa SiTour para
controlar las copias que se han realizado:
Identificador de etiqueta
Tipo de copia
Tipo de soporte
Fecha
Ubicación
Datos
Técnico
Firma del técnico
• • • . :..! . .. .... . -.
D Completa
o Incremental
o Diferencial
DCinta
O Disco duro
D CDROM
D DVDROM
D Llave USB
D Otro:
lAño, mes, día)
D Datos
D Si stema
=
Se deberá utilizar la nomenclatura específica de la empresa., de
tal manera que los posibles intrusos no sean capaz de conocer la
información grabada en caso de ser esta confidencial.
Tabla 3.2. Hoja de registro de copias de seguridad.
En la siguiente figura podemos ver una hoja de registro de las restauraciones de la co-
pias de seguridad.
Fecha restauradón
Incidencia que ha motivado
la restauración
ubicación
Técnico
Responsable
lAño, mes, dio)
Equipo donde se ha realizado la restauración.
Tabla 3.3. Ho;a de registro de restauraciones de seguridad.
3
Seguridad pasiva. Recuperación de datas

Toda política de copias de seguridad debe contemplar los siguientes puntos:
• Determinar la persona o perso.nas responsables encargadas de realizar y mantener
las copias de seguridad. Se aconseia que al menos dos personas estén pendientes
de las alertas que puedan ocurrir mientras se realiza la copia de seguridad. Estas
alertas serán enviadas mediante correo electrónico a los responsables.
• Debemos analizar los datos susceptibles de ser salvaguardados en copias de segu-
ridad. Al realizar el análisis, debemos tener en cuenta la frecuencia con la que se
modifica o actualiza la información.
I ,:::::::- - - , _._ ,
;.:...
,,". '
bI: ,
..... " ..
, ... ..., ..... , ..... - .'

""<.'
en . ,
- ,
,.,



, .. -,
,.,
"",.,
'''' .'
<-.... ' ....
""
' H J

" '.'
' .... ' 1

.. ªª
.. ,' , ,--- .. .
I •. • ,
I , l .
< ....... . .
'R ....... _ " ...... . .
__ --; NO___ I
. i
"" 0
........ . 0"" ..
"'''' ... " ....
... ,."... "' ..
"''' '''' ' l.",
. ... , c_ ...... , n;..
,." ,,, ... ,.
............ e .. "",
""" .. .. . t .. .",
<-... .... . " ' "
,_ .. "' -. .... "", ," ..
.......... ,,, ..
¡,...... , • • I , .. ,
", .. , ... . '.",
" , .. . .... ( .. d .
r,,, .... ,, , •• "
"',"".,,,UU

. •

 
:':''''!>''''''
, ... ..
",0,"""'-"
":"." ... " ....
":''"'''''",.,.,
.

:<:' ;w .. " .,....

",.,.:", ;:, u . .
u .
"'i' ''''H ......

-
Fig. 3.57. Afertas de fa copia de seguridad de fa Universidad Antonia de Nebri;a.
• Debemos determinar el tipo de copia a realizar (completa, diferencial e incremental)
en función de los datos a salvaguardar y de la periodicidad con la que se modifican.
En el supuesto de que se modifiquen con mucha frecuencia, se incluirán en copias
diferenciales o incrementales; en caso contrario, podríamos optar por incluirlos en
las copias de seguridad completas, que se realizarán en intervalos más amplios de
tiempo.
• Debemos determinar la frecuencia con la que se realizarán las copias de seguridad.
En este punto analizaremos la cantidad de información que estamos dispuestos a
perder, es decir, los datos que han sido modificados o creados desde la última copia
de seguridad.
• Debemos determinar la ventana de backup (frania horaria en la que se deben reali-
zar las copias de seguridad), teniendo en cuenta la duración que cada tipo de copia
consumirá. Este punto está fuertemente relacionado con el tiempo que dedicaremos
a realizar la copia, siendo especialmente relevante en sistemas 24/7 (por eiemplo,
bases de datos de grandes corporaciones o de compañías aéreas), en los que no es
posible realizar copias de seguridad completas que exigen la parada de la base de
datos. En estos casos, se suelen utilizar alternativas como las snapshot (instantáneas)
que permiten almacenar periódicamente el estado de la informacián.
• Debemos determinar el tipo de soporte en el que se realizarán las copias de seguri-
dad. Esta decisión estará condicionada tanto por volumen de datos a guardar como
por la frecuencia con la que se realizarán.
• Debemos determinar la ubicación de las copias de seguridad. Lo más aconseiable
es almacenarlas en un centro ale iodo al de origen. De esta manera evitamos que
las copias de respaldo y los datos se puedan ver afectados por el mismo percance.
Estos centros deben estar protegidos de la misma forma que los centros de cálculo.
Gestionor dispositivos de almacenamiento describiendo los
procedimientos efectuados y aplicando técnicas para asegu-
rar la integridad de la información
1. Los ficheros que se almacenan en el equipo tienen aso-
ciados unos atributos:
o Lectura: r
o Oculto: h
o Sistema: s
o Archivo de almacenamiento: o
o) Creo un archivo.
b) Compruebo los atributos que tiene establecidos bien
haciendo uso del comando attrib en el intérprete
de comandos o bien mediante los propiedades del
archivo; en este último coso, recuerdo que paro ver
el atributo de archivo de almacenamiento tendrás
que acceder o los Opciones Avanzados.
c) Realizo uno copio de seguridad del mismo.
d) ¿Tiene los mismos atributos establecidos o se ha des-
activado alguno de ellos?
2. Debate con tus compañeros el tipo de copias de segu-
ridad que recomendarías para uno pequeño empresa
familiar dedicado o lo vento de delicatessen. Esto
empresa tiene un sistema de información que gestiono
los productos almacenados en lo tiendo, los ventas
y los compras realizados o los proveedores. Como
cabe suponer, el sistema de información contiene uno
pequeño base de datos.
En función de los tipos de copias elegidos, ¿qué
soparte utilizarias poro los copias de seguridad?
3. Indico los ventajas y desventajas de los distintos tipos
de copias de seguridad que se pueden realizar.
4. Descargo lo aplicación gratuito y portable Toucan
de lo página web http://saurcefarge.net/prajects/
partableapps/files/ y realizo uno copio de seguridad
diferencial del directorio Mis documentos de tu Pe.
¿Cómo es lo copio? ¿Qué se ha incluido en lo copio?
5. Creo un archivo en Mis documentos y con lo aplicación
Toucan vuelve o crear uno copio de seguridad incre-
mental. ¿De qué se ha realizado lo copio?
6. Creo otro archivo en Mis documentos y con lo aplica-
ción Toucan vuelve o crear uno copio de seguridad
incremental y otro diferencial, ¿cuál de los dos ocupo
más?
7. Como hemos estudiado en lo unidad los etiquetas de
los copias de seguridad deben llevar reflejado lo infor-
mación de los datos guardados. Diseño unos códigos
para etiquetar los datos que se han almacenado en la
copia de seguridad.
Seguridad pasi va. Recuperación de dolos 3
Comprueba tu    
8. Hay veces que desgraciadamente no hemos realizado
copias de seguridad, o bien hemos borrado acciden-
talmente un fichero que no tenia mas almacenado en
ningún otro lugar; para solventar esas situaciones en el
mercado existen numerosas aplicaciones como Reco-
very Files, Recover My Files, Data Recovery Studio, Easy
Recovery ...
a) Crea un archivo y bórralo.
b) Intenta recuperar el archivo con alguna de dichas
aplicaciones.
9. Indica las ventajas y desventajas de los distintos sopor-
tes donde se pueden guardar las copias de seguridad.
10. Indica la importancia de utilizar trituradoras de discos
duros antes de deshacernos de los equipos par consi-
derarlos obsoletos.
11. Debido al espacio que ocupan las copias de segu-
ridad, nos debemos plantear la necesidad de eli-
minar de forma periódica las copias de seguridad
obsoletas, dejando espacio para las nuevas que
realicemos.
Debate con tus compañeros los posibles esquemas de
rotación para las siguientes empresas:
o Pequeño negocio familiar, dedicado a la venta de
materiales de construcción. Esta empresa tiene un
sistema de información en el que gestiona tanto
el material del almacén como las ventas realiza-
dos.
Realiza las copias de seguridad completas el primer
día de cada mes y copias diferenciales todas los sóba-
dos después de la hora de cierre del almacén en discos
duros externos.
o Una agencio de viajes, que tiene contratado el servi -
cio de copias de seguridad a una empresa externo.
Las copias de seguridad se realizan de forma remota.
o Otra compañía de viajes, que realiza las copias de
seguridad completa el primer domingo de cada mes
y copias de seguridad incremental todos los días.
12. Relaciona mediante flechas los siguientes conceptos:
o Copio todo o Diferencial
o Realiza lo copio desde
la última completa o Completo
o Realiza la copia desde
la última copia o Incremental.
o Soporte o Centro de respaldo
o Almacenamiento copias o Cinta
o Puntos de restauración o Recuperación del sistema
~   3 Seguridad pasiva. Recuperación de datas
----
Completa
Tipos Diferencial
Incremental
.. . . -.
Soportes para copias
Políticas de copios seguridad
Puntos de restauración
Arranque con la última conFiguración vólida
Recuperación automáticas sistema
Creación y restauración imágenes
'8
I!I1DdJad
Sistemas de identificación. Criptografía
y estudiaremos:
• Métodos para asegurar la privacidad
de la información transmitido.
• Criptografía:
- Cifrado de clave secreta (simétrica)
- Cifrado de clave pública (asimétrica)
- Funciones de mezcla o resumen (hash)
• Sistemas de identificoción:
- Firmo digitol
- Certificado digital
- Distribución de claves. PKI
En esta unidad aprenderemos a:
• Describir e identificar sistemas lógicos
de identificación: firma electrónica,
certificado digital ...
• Utilizar sistemas de identificación
lógica como la firma electrónica o el
certificado digital.
Sistemas de identificación. Criptografía
La frontera entre la Prehistoria y
la Historia la marca la aparición
de los primeros textos escritos.
La frase «ostentar el bastón de
mandm) se cree que proviene
del uso de la escitala, de la
época de la antigua Grecia.
Cuando los mandatarios se
enviaban mensajes cifrados uti-
lizaban el método descrito. El
poseedor del bastón ostentaba
el poder.
  Actividades
l. i,Cómo aseguramos la privacidad
de la información?
Desde que el hombre es capaz de comunicarse por escrito, ha tenido la necesidad de
preservar la privacidad de la información en la transmisión de mensajes confidenciales
entre el emisor y el receptor. Esta necesidad en algunos casos se ha convertido en cru-
cial, por ejemplo en las guerras; la intercepción de un mensaje de las tropas enemigas
podría suponer la victoria. Hoy en día, esas guerras se desatan entre las empresas del
mismo sector, que luchan por expandir su mercado. Estas suelen ser grondes multina-
cionales, con distintas sedes, que precisan intercambiar gron cantidad de información
confidencial entre sus trabajadores. La intercepción de estos datos por compañías de la
competencia les puede hacer perder cantidades ingentes de dinero y de tiempo.
Desde el principio de la historia del hombre surge la necesidad de garantizar la confi-
dencialidad de la información, por eso se han desarrollado diversas técnicas de enmas-
caramiento u ocultación de la información, siendo en la actualidad uno de los principa-
les objetivos que persigue la seguridad informática.
• 2. Un poco de historia de la criptografía
Si analizamos la etimología del término criptografía, vemos que proviene de dos pala-
bras del griego, cripta, que significa 'escondido', y grafía, que quiere decir 'escritura'.
Por tanto podemos definir la criptografía como la ciencia que estudia la escritura oculta,
es decir, aquella que enseña a diseñar códigos secretos y la operación inversa, a inter-
pretar los mensajes cifrados.
Los primeros mensajes cifrados datan del siglo v a.e.; ya entonces los espartanos usaban
la escítala para ocultar las comunicaciones. El método consistía en enrollar una cinta so-
bre un bastón y posteriormente escribir el mensaje en forma longitudinal. Después la cinta
se desenrollaba del bastón yero enviado mediante un mensajero; si éste ero atrapado
por los enemigos, sólo obtendrían un conjunto de caracteres sin sentido. El receptor sólo
podría interpretar el mensaje siempre y cuando tuviese un bastón similar al que se utilizó
para ocultar el mensaje, es decir una vara con el mismo diámetro.
EMCCSEROET I N L OPOPDTCROAIIDCDMEIOEEORNN
Fig. 4.1 . Escítala.
Como podemos ver en la imagen, el mensaje es «es el primer método de encriptación
conocido», pero en la cinta lo que se podría leer es «EMCCSEROETINLOPOPDTCROA
IIDCDMEIOEEORNN».
1. Te proponemos que pongas en práctica este primer
método de encriptación. Paro ello debes utilizar algún
instrumento de clase que te sirva de bastón, puede ser
la pata de la silla, la de la mesa, un bolígrofo ....
Enrolla un papel alrededor del instrumento utilizado
como bastón y escribe el mensaje a tronsmitir según el
método explicado anteriormente.
Envíale el texto a otro compañero y comprueba si ha
sido capaz de descifrar el mensaje.
Comprueba que si un tercer compañero (el intruso)
intercepta el mensaje sin conocer el bastón utilizado
para cifrar la información, no sería capaz de interpre-
tar el mensaje.
)
Sistemas de identificación. Criptografía
A mediados del siglo 11 a.c., los griegos desarrollaron otro método conocido con el
nombre de quien se cree que lo desarrolló, el historiador Polybios. El cifrado consistia
en sustituir cada letra del mensaje original por el par de letras o números que indicaban
la fila y columna en la cual se encontraba. Veamos un ejemplo:
Tabla 4.1. Tabla cifrador de Polybios.
El mensaje que queremos enviar es «el cifrador de Polybios es el primer cifrador por
sustitución de caracteres», y el mensaje cifrado que enviaremos es «AECA ACBDBA-
DBAAADCDDB ADAE CECDCAEDAB BDCDDC AEDC AECA CEDBBDCBAEDB ACB-
DBADBAAADCDDB CECDDB DCDEDCDDBDDDDEACBDCDCC ADAE ACAADBA-
AACDDAEDBAEDC» .
f-______________________ 1 9
Cómo cifrar can el cifrador de Polybios
Como hemos estudiado anteriormente, el cifrador de Polybios sustituía cada carác-
ter del mensaje original por un par de letras o números. En el ejemplo anterior
hemos cifrado la información mediante un par de letras, ahora lo vamos a hacer
mediante números (Tabla 4.2).
Tabla 4.2. Tabla cifrador de Polybios.
Recordamos el mensaje original: «el cifrador de Polybios es el primer cifrador por
sustitución de caracteres».
El mensaje cifrado sería: 1531 1324214211143442 14153534315412243443
1543 1531 354224321542 1324214211143442 353442 4345434424444513243433
1415 13114211134415421543
Actividades "
2. Envía a un compañero un mensaje cifrado mediante el cifrador de Polybios. El
mensaje deberá incluir una pregunta que el compañera deberá contestarte. Así
podréis comprobar si el proceso ha funcionado correctamente.
'- .....;:.,. I ..
, :flf:..
 
4
81
./
4
Sistemas de identificación. Criptografía
                                                                           
  que ... ?
"
En el cuento "El escarabajo de
oro» de Edgar Allan Poe se
relata la resolución de un cripto-
grama utilizando la técnica esto-
dística basada en la distribución
de los caracteres en el alfabeto
inglés.
CDEFGH
En el sigla I a.e. los romanos desarrollan el cifrodor del César, cuyo método consistía en
sustituir cada carácter por otro, resultado de desplazar tres posiciones hacia la derecha
el carácter original del alfabeto utilizado. Veamos un eiemplo:
Mensaie del César a Cleopatro: "sic amate ut sin ete iam viverem non posi!» (de tal
manera te amo que sin ti no podría vivir).
Para traducir el mensaie necesitamos los dos alfabetos el claro y el cifrado (Tabla 4.3).
""""-_ , A BCD E F G
D E F G K
KLMNOPQ
MNOPQRST
Tabla 4.3. Tabla con los olfobetos latinos del cifrador del Césor.
El alfabeto ariginal es similar al del castellano excepto en las letras: H, J, Ñ Y W.
Si nos fijamos en el alfabeto cifrado el mensaie oculto debe corresponderse con el si-
guiente: VMF DPRXI YX VMQ IXI MDP ZMZIUIP QRQ SRVMX
Una de las vulnerabilidades que presenta el cifrador del César es la carrespondencia
existente entre el alfabeto original y el del cifrado. No es difícil descifrar los secretos
de los mensaies si analizamos la frecuencia de las letras. La letra más utilizada en los
mensaies originales es la e, así la letra más utilizada en el mensaie cifrado debe corres-
ponderse con la letra e del alfabeto ariginal.
En el siglo xv Leán Battista Alberti escribiá un ensayo donde proponía utilizar dos o
más alfabetos cifrados, alternando entre ellos durante la codificación. De esta manera
solventa la vulnerabilidad ocasionada por el uso de un único alfabeto cifrado para co-
dificar cada mensaie. Sin embargo, Alberti no logró desarrollar ninguna máquina que
pusiera en práctica su idea, y será Blaise de Vigenere quien en el siglo XVI desarrolle la
idea de Alberti. El cifrador de Vigenere utiliza veintiséis alfabetos cifrados, obteniéndose
cada uno de ellos comenzando con la siguiente letra del anterior, es decir, el primer al-
fabeto cifrado se carresponde con el cifrador del César con un cambio de una posición,
de la misma manera para el segundo alfabeto, cifrado con el cifrador del César de dos
posiciones (Tabla 4.4).
J K M N O W X Y Z A
DEFGH J KLMNOPQRST UVWXYZAB
EFGH JKLMNOPQRSTUVWXYZABC
F G H
G H
J KL MNOP QR S T UV WX y Z A BCD
KLMNOPQRSTUVWXYZABCDE
ZABCDEFGH
J K MNOPQRSTUVWX
ABCDEFGH JKLMNOPQRSTUVWXY
BCDEFGH JKLMNOPQRSTUVWXYZ
Tabla 4.4. Cuadro de Vigen.re.
Actividades
3. Cifra mediante el cifrador del César el siguiente mensaie: «el cifrador del César
tiene muchas vulnerabilidades». El mensaie está escrito en castellano.
-
Sistemas de identificación. Criptografía 4
-------------------
De esta manera el emisor podría cifrar la primera letra can el quinto alfabeto, la segun-
da con el decimo alfabeto, la tercera con el decimoquinto alfabeto, y así sucesivamente.
Para descifrar el mensaje, el receptor debe saber qué línea de la tabla de Vigenere ha
sido utilizada para codificar cada letra, por lo que previamente se han tenida que poner
de acuerdo. Esto se logra utilizando una palabra clave. Vamos a ver un ejemplo.
Queremos enviar el mensaje "LA IDEA ES DE ALBERTI» utilizando la palabra clave "CI-
FRADO».
e F R A D O e FRADOC F
l A D E A E SDEAlBE R T
N N U E D S UlJRlES T B N
Tabla 4.5. Resultado de cifrado.
Para ocultar el mensaje utilizamos la palabra CIFRADO; el praceso consiste en hacer
corresponder la primera letra en claro, "L», con la letra que le corresponde en el alfa-
beto cifrado que empieza por la letra "C», la segunda letra del mensaje en claro "A»
se hace corresponder con su correspondiente en el alfabeto cifrado que empieza por la
letra «1», y así sucesivamente.
La ventaja de este sistema es que no se puede descifrar el mensaje oculto analizando las
frecuencias de las letras ya que una misma letra se corresponde con varias combinacio-
nes distintas. Otra de las ventajas de este método es que se pueden utilizar innumerables
claves.
Todos estos métodos criptográficos se fueran perfeccionando y mejorando según avan-
zaba el tiempo. Es en la Segunda Guerra Mundial cuando se hace imprescindible el
uso de máquinas que cifren los mensajes para así evitar que el enemigo interceptase
información sensible para el desarrollo de las operaciones.
Según los ejemplos vistos anteriormente podemos hacer una clasificación de los méto-
dos de criptografía:
• Sistemas de transposición: como indica su nombre consiste en descolocar el orden
de las letras, sílabas o conjunto de letras. En función del número de transposiciones
podemos clasificar los sistemas de transposición en:
Sistemas de transposición simples: cuando el texto en claro solo es sometido a
una transposición.
Sistemas de transposición doble o múltiple, cuando se realiza una segunda trans-
posición sobre texto que ya había sido cifrado mediante transposición simple.
Con este método se consigue una mayor seguridad.
• Sistemas de sustitución: como su nombre indica se reemplazan algunas letras del
alfabeto por otras o por un conjunto de ellas según el método. Según el tipo de
sustitución se clasifica en:
Literal, se sustituyen letras por letras.
Numéricas, se sustituyen por números.
Esteganográfica, se sustituyen por signos o se oculta el mensaje tras una imagen,
sonido, etc.
Actividades 9)
4_ Clasifica todos los métodos de cifrada estudiados en el Apartado 2, "Un poco
de historia de la criptagrafím), según las categorías especificadas anteriormente.
., "" b' ,.. ?
._ ¿SCL 1c;!5
I
q!,e._ ..
9
Desde tiempos inmemoriales se
han ocultado mensajes dentro
de objetos. Por ejemplo según
se cree los griegos tatuaban los
mensajes en [a cabeza del escla-
vo de mayor confianza y una
vez que el pelo le había crecido
lo enviaban con [a instrucción
de que le raparan la cabeza.
Este sistema se conoce como
esteganografía.
~ / 4 Sistemas de identificación. Criptografía
    ~                         ~ ~                                        
~
Las claves nunca deben estar
apuntadas en papel ni en nin-
gún documenta que pueda estar
al alcance de intrusos.
En la documentación de cripto-
grafía es muy usual utilizar la
figura de una llave para repre-
sentar la clave. El término key
significa 'llave o clave'.
3. Criptografía simétrica y asimétrica
Hoy en día se utilizan fundamentalmente dos métodos de cifrados, el primero de ellos
conocido como cifrado simétrico o de clave privada, el cual utiliza la misma clave para
el cifrado y el descifrado. El segundo, conocido como cifrado asimétrico o de clave pú-
blico, utiliza una pareja de claves para el proceso de cifrado y descifrado.
• 3.1. Criptografía simétrica
Este método se basa en un secreto compartido entre la entidad que cifra el mensaje y
la que lo quiere descifrar, es decir, utiliza la misma clave en el proceso de cifrado que
en el de descifrado.
Si analizamos los métodos utilizados para salvaguardar la confidencialidad de los men-
sajes desde los primeros tiempos de la criptografía hasta mediados de los setenta (prác-
ticamente hasta nuestros días), veremos que sálo se hacía uso de métodos simétricos,
que exigían necesariamente que el emisor y el receptor se pusieran previamente de
acuerdo en la clave que iban a utilizar. El método de Vigenere es un claro ejemplo de
lo dicho.
Supongamos que Virginia y Macarena quieren intercambiar informacián confidencial.
Antes de hacerlo, han de ponerse de acuerdo sobre la clave a utilizar, pues si la recep-
tora no la conociera, le sería imposible leer el mensaje.
Texto claro
Encriptación
Fig. 4.2. Cifrado con clave privada.
Texto cifrado
Texto claro
Desencriptación
Este método tiene dos desventajas: la primera, como podemos deducir de lo explicado,
es la que conlleva el intercambio de claves, ya que si las personas se conocen y están
físicamente en contacto es más o menos fácil comunicarse la clave a utilizar (Virginia y
Macarena pueden quedar e .. intercambiarse las claves que utilizarán), pero si Virginia
y Macarena se encuentran separadas por miles de kilámetros, o incluso no se conocen,
¿cámo se intercambiarían la clave? Mediante un correo electrónico, correo ordinario,
una llamada telefánica, pero todos ellos son medios de comunicacián inseguros; cual-
quier intruso podría capturar la clave elegida, e incluso podría suceder que Virginia co-
municase por error la clave a otra persona que no fuese Macarena, sino que se hiciera
pasar por ella.
~ Actividades
5. Calcula cuántas claves necesitan intercambiar un grupo de cinco personas que
se quieran mandar entre ellas correos electránicos cifrados.
l
a} ¿Cuántas claves son necesarias si el grupo lo conforman diez personas?
b} ¿Qué sucedería si en vez de diez fuesen cien?
)
Sistemas de identificación. Criptografía 4
La segunda desventaja es la cantidad de claves que una persona debe memorizor;
supongamos que Macarena intercambia información confidencial con cincuenta per-
sonas diferentes, con cada una de ellas utiliza una clave distinta y cada cierto tiempo
modifica dichas claves por seguridad. ¿Cuántas claves debería memorizar Macarena?
Innumerables.
"
GPG viene de GNU Privacy
Guard, proporciona una imple-
mentación para el estándar
OpenPGP Me55age, con el obje-
tivo de preservar la confiden-
cialidad de los datos del usua-
rio tanto en el almacenamiento
como en la comunicación de la
información.
Vamos a ver cuántas claves son necesarias cuando cuatro personas intercambian in-
formación confidencial entre ellas utilizando cifrado simétrico. Como vemos en la Figu-
ra 4.3, son necesarias 6 claves diferentes. Cada una de las líneas representa la clave
intercambiada entre las parejas.
Gustavo
Virginia
Macarena
Fernando
Además supone una alternativa
de libre distribución frente a
PGP (Pretly Good Privacy) de P.
limmerman perteneciente a una
empresa que proporciona servi-
cios de soporte para encripta-
ción de datos y comunicaciones.
Fig. 4.3. Gráfico para calcular cuántas claves son necesarios.
Cifrado simétrico con GnuPG sobre lo distribución
GNU/Linux
En esta práctica vamos o aprender a cifrar documentos con
la herramienta GnuPG, utilizando clave privada para inten-
tar asegurar la confidencial del documento cifrado.
1. Para familiarizarnos con las opciones de gpg, en pri-
mer lugar solicitamos la ayuda mediante el comando
man gpg en la consola.
La ayuda nos informa de todas las opciones que podre-
mos utilizar. Estas son numerosas, pero no os asustéis,
para esta práctica debemos fijarnos solo en las siguien-
tes opciones:
- e: cifra utilizado clave privada; para ello nos solici-
tará una "frase de paso», passphrase, que se suele tra-
ducir como 'clave o contraseña'.
-a: guarda el documento cifrado con caracteres ASCII.
2. Para cifrar el documento "Documento_Secreto»
mediante un algoritmo simétrico, debemos utilizar la
opción -e, por lo que ejecutamos la instrucción que se
muestra en la Figura 4.4:
Fig. 4.4. Cifrando Documento_Secreto.
30 Una vez ejecutada la instrucción, la utilidad genera un
documento en el mismo directorio donde se encuen-
tra el archivo a cifrar, añadiendo la extensión .gpg al
nombre de dicho documento (Fig. 4.5).
Caso práctico 2 9
4. Al abrir el archivo cifrodo mediante el editor de texto,
observamos que la herramienta nos ha convertida
nuestro documento en un texto totalmente ilegible, con
caracteres que no se corresponden con los de ASCII.
5. Para que la salida sea en ASCII, debemos añadir a
la orden el parámetro -a. Ahora, tenemos un nuevo
documento cifrado con el mismo nombre y en el mismo
directorio en el que se encuentro el archivo a cifrar, al
que le añade la extensión . ase (Fig. 4.6).
o. ..
!;)r,¡¡ , ("'¡-"Elm!»
, . {,
Archivo Editar

.ll.Ulcar tielTillmlental QocumentOI Aluda
lb El . El
Ji¡
n @I .
Nuevo Abrlr Imprimir ...   Co!l ol! cOp'al Pe-¡¡a1
!tl [J I
1!Hl1!ll[[Il!IIlcelI!l".il' i!'               .
E YfiSSII!l!i2IIIJlAHU' hUift?i}hP11ID1ID' S . I09I1l1.UI OQMIID- nm"llITlt<p
u [!]![!]IIIlIIIl[!]I!!lIT!lIIIl. ,Mi ·(0                  
yO$[[!J(
Flg. 4.5. Documento CIFrado.
lb El . El Ji¡
-
Nuevo Abrl1 Guarda! Imprimir ... Ilehace1 (1)11.! Copm !'eg.J<
D Dccumento.5ecn:to.asc o 1-
• .. ·BEGIU PGP HESSAtiE .. ·•·
Version: GnuPG vl.4.9 (GllO/Linux)
jAOEAIoflCV\Olr7JZhBVgyYjCEljSjdVcdztgtlOCPBOUc90H9pdtntWehllSKIISU
q4d..w4A4KWz8nSAYdtOUR9IJWfn23\uKVrfAkzUIlHC2Fosou50n...urkpBwIl100R
cdiPiwvz 1119Vtjo('(S lUkvI)(l cSe
Yd\\'02sqqniE ....

----.EIIO PGP HESSAGE--'"
Fig. 4.6. Documento cifrado en ASCII.
,
86
Si stemas de identificación. Criptografía
A vez que Whitfield Diffie y
Martin Hellman publicaron el
nueva método se cree que inves-
tigadores que trabajaban paro
agencias de inteligencia militar
también lo habían desarrolla-
do pero por ser investigaciones
secretas no salieron a la luz.
La criptografía asimétrica se utili-
zará para firmar documentos de
manero digital.
3.2. Criptografía asimétrica
En 1976, dos criptógrofos, Whitfield Diffie y Martin Hellmon, publicaron un nuevo mé-
todo criptográfico que solucionaba las desventajas de la criptografía simétrica (la difícil
distribución de claves y el elevado número de claves necesarias).
La genial idea de estos investigadores estadounidenses consiste en que cada una de las
partes involucradas en una comunicación segura tienen una pareja de claves. Una de
ellas, pública, que deberá intercambiar con cada una de las entidades con las que quie-
ra comunicarse mensajes secretos, y otra de ellas privada, y que par tanta, jamás debe
comunicar a nadie. Sí, has leído bien, una de las claves, la pública, se la comunicará a
todo el mundo sin que cree ninguna vulnerabilidad en las comunicaciones, porque con
ella nunca podría un intruso descifrar el mensaje.
Para cifrar un mensaje, el emisar utilizaró la clave pública del receptar, y a su vez, el
receptar descifrará este mensaje haciendo uso de su clave privada. Veamos el procesa
mediante el siguiente ejemplo: supongamos que Fernando y Macarena quieren inter-
cambiarse información confidencial haciendo uso de la criptografía de clave pública. El
primer paso es que cada uno de ellos obtenga una pareja de claves, es decir, Fernando
tendrá dos claves y Macarena otras dos (uno de ellas pública y otra privada). Cada uno
de ellos comunica la clave pública al otro utilizando el método que más sencillo le sea,
pues como hemos dicho anteriormente, no pasaría absolutamente nada si algún intruso
la obtuviese. Cuando Fernando quiera transmitir un mensaje a Macarena, utilizará la
clave pública de esta para cifrarlo y cuando Macarena lo reciba, deberá descifrarlo
utilizando su propia clave privada.
Como se puede ver, se han solventado las desventajas de la criptografía de clave pri-
vada.
Como es lógico pensar, estas claves se generan a la vez y se encuentran relacionadas
matemáticamente entre sí mediante funciones de un solo sentido; resulta prácticamen-
te imposible descubrir la clave privada a partir de la pública. Veamos un ejemplo:
enviamos un mensaje cifrado con una clave pública basada en el praducto de dos
números primos grandes. Cuando el receptor recibe el mensaje debe descifrarlo, y
para ello deberá hacer uso de la clave pri vada, basada en uno de los números primos
que forman el producto que recoge la clave pública. En caso de no conocer alguno
de los números primos que conforman la clave pública sería extremadamente difícil
descifrar el mensaje.
Clave pública
'A\lA\JA' y A \ I ~ \ J A  
Texto claro
Encriptación
Fig. 4.7. Cifrado con clave pública.
Texto cifrado
Clave privada
y
Texto claro
Desencriptación
Como observamos en la imagen anterior, la clave pública es conocida por numerosas
personas, mientras que la clave privada debe ser guardada por el receptor con celo
para no comprometer la confidencialidad de los mensajes.
Generación de un par de claves para usa de cifrado asimétrico
Esta práctica la desarrollaremos mediante la herramienta
gpg en la distribucián GNU/Linux Ubuntu.
1. Ejecutamos la instruccián gpg can el parámetro -gen-
key.
2. Al ejecutar la instruccián la herramienta nas pide que
seleccionemos el tipo de clave deseada. Nos ofrece tres
opciones; la primera DSA y EIGamal que generará las
claves tanto para encriptar como para firmar; la segunda
opcián DSA y la tercera, RSA, generarán un par de claves
para firmar. Seleccionamos la opción 1, que es la opción
por defecto que nos propone la herramienta.
Sistemas de identificación. Criptografía 4
Caso práctico 3 9
3. Una vez seleccionado el tipo de clave a generar, debe-
mos seleccionar el tamaño de la misma. Cuanto mayor
sea la clave, más segura será contra ataques de fuerza
bruta, pero más lento será el proceso de cifrado y des-
cifrado, además de incrementar la longitud de la firma
digital. La herramienta nos permite seleccionar entre
1024 y 4096 bits. Elegimos el tamaño que nos indica
por defecto escribiendo 2048.
4. Por último, debemos especificar el tiempo de validez de
la clave. En nuestra práctica vamos a generar una clave
con un periodo de duración de un mes (escribimos 1 mi.
En caso de necesitar más tiempo podríamos aplazar la
fecha de caducidad.
!rthlvo EdItar Mer AY.uda
adrni n1strador@Jupiter:-$ gpg .. 1 'r---------,ol
gpg (GnuPG) 1.4.9. Copyright (e) 200B Free !:l. ,¡are Foundation, Inc,
This is free software: you are f ree to change and redistribute it.
There is tlD WARRANTY. to the extent permitted by law,
Por favor seleccione tipo de clave deseado:
(1) OSA Y ElGaoal (por defecto)
(2) OSA (sólo firmar)
(5) RSA (sólo '- "rJ
¿SU elección?: 1 2
El par de claves   tendrá 1024 bits.
las claves ElG-E pueden tener entre 1024 y 40
0
" hits de longitud.
¿De que tamaño quiere la clave? (2048) 20<l0 3
El tamaño requerido es de 2048 bits
Por favor, especifique el periodo de validez de la clave.
o ., la clave nunca caduca
en> lO la clave caduca en n dias
<nloW .. la clave caduca en n semanas
<nlora '11 la clave caduca en n /teses
<nloy .. la clave caduca (' años
¿Validez de la clave (O)? 1m 4
la clave caduca mar 20 oct CEST
¿Es correcto (s/n)? s
Fig. 4.8. Generación de la pareja de claves,
5. Además de los parámetros de la clave, la herramienta
nos solicita información sobre nosotros. Debemos
indicarle nuestro nombre, correo electrónico y algún
comentario.
6. Una vez que se introduzca la información del usuario,
se crean las claves. En ese momento la aplicación nos
informa que es necesario generar muchos bytes aleatorios
por lo que es conveniente que mientras se crea la clave
movamos el ratón o trabajemos en otra ventana, etc.
7. gpg necesita una contraseña para proteger las claves,
por lo que nos solicita que introduzcamos una frase. Sí,
nos solicita una frase para hacer hincapié en la impartan-
pub 1024D/15D922Be 2009·89-22
cia de la elección de una buena clave. Debemos tener
especial cuidado a la hora de seleccionar la contraseña,
ya que si algún intruso consigue la clave privada, podría
mediante algún método descubrir la contraseña y tener
acceso a todos nuestras documentos y mensajes cifra-
dos. En las contraseñas no debemos utilizar palabras ni
en castellano ni en ningún otro idioma, debemos mezclar
tanto números como letras mayúsculas y minúsculas, debe-
mos intercalar símbolos, como paréntesis, dólar, etc. Una
buena contraseña es crucial para el uso de gpg.
B. Para finalizar listamos las claves mediante la instrucción
gpg con el parámetro -k.
uid Fernando Delgago (Tecnico de 5eguridad informatica de la
presa SiTour)
sub 204Bg/C1555A7B 2009-09-Z2
Fig. 4. 9. lisIado de claves de Fernando.
l8
----; / 4
Sistemas de identificación. Criptografía

Q Casa práctico 4
Generar un certificado de revocación con lo herramienta gpg poro informar a 105
usuarios que lo clave pública no debe ser usada nunca más
Se recomiendo que inmediatamente después de generar los claves, el usuario cree
un certificado de revocación para lo clave público. De esto manero si el usuario
olvidara lo contraseño o perdiese o viese vulnerado su clave privado por algún
intruso podría publicar en algún servidor de Internet como el HTTP://PGPkeys.mit.
edu: 11371 el certificado de revocación poro informar 01 resto de usuarios que no
debe ser usado nunca más. Uno clave público revocado puede ser usado para
verificar firmas hechos por el usuario en un posado, pero nunca podrá ser usado
paro cifrar datos.
Paro esto práctico utilizaremos lo herramienta gpg con los siguientes parámetros:
- k: listo todos los claves.
-gen-rev oke: genera el certificado de revocacián poro la clave especificado.
Debemos utilizar el siguiente formato: gpg -gen-revoke identificador _
clave, siendo el identificador_clave el númera que identifico lo clave o el nombre
o el apellido del usuario o el correo o cualquiera de los palabras del comentario.
1. Antes de revocar lo clave, debemos conocer su identificación; poro ello listamos
los claves mediante lo instrucción gpg con el parámetro -k.
2. Generamos el certificado de revocación mediante lo instrucción gpg con el
parámetro -gen-revoke. En nuestro coso utilizamos el número que identifico
lo clave poro crear un certificado de revocación poro lo mismo.
3. Respondemos afirmativamente o lo pregunto.
4. Posteriormente debemos indicar lo rozón por lo que se creo el certificado de
revocación. Debido o que lo estamos generando inmediatamente después
de creor lo clave, lo razón de lo revocación no es ninguno de los que nos
propone, por lo que seleccionamos la primera opción ¡introducimos un cero).
Después escribimos nuestra decisión: " Este certificado se creó inmediata-
mente después de crear la clave. Hoy puede ser que esté comprometido o bien
no vuelva a ser usado».
5. Por último, introducimos lo contraseña de lo clave.
6. El certificado de revocación ha sido creado y nos lo muestro en pantalla, advir-
tiéndonos que lo podemos imprimir y después debemos guordarlo en algún
lugar seguro, ya que si alguien se apodera del mismo, podría utilizarlo para
inutilizar la clave.
Todo este proceso lo podemos ver en lo Figura 4.10:
1
B
lPZ(P¡ U'E8Z11 l009· M·20 IIcaduca: 2009-111-2611
\lId llac."n, Sublil lit ¡"11th)
lub 2G.1'g/J.O!06DHf 2009-09-:10 " '.¿Uf. : 1009·10·2011
.cblnhlt.dorOJuplt er:- , gpg ··gen. ruoLe 2
Ifl; IOZ'Pf'JHnn 11)(19·01·]1 Mitarfn. 5cl>til (p",'et or. ¿e Ingt h l a.ou'en'J9
.... n.u ....
¡(ru. un eerUfütl!D de ' IVOC.tU" u ta Clav.l' 3
'D' f nor .UJ. un. ru6n plrl h .tvo¡¡cHn: I
D • No Ir 1110 nl"llUl'I rl16n ,
I ,hv. h. co::prO!'etid.
1 • I I chv. 11. sido ...... phud •.
1 • II ch_. y. no nI' en UIO
Illmionlr 1 aqui) 4
duht6M O I
' ntroduZCI un. dttcrlpcl6n opcional; lC'bt\a con una
      5 clm. Hoy puede 1 ;
Fig. 4. 10. Proceso de creación de certiFicado de revocación.
Sistemas de identificación. Criptografía 4
Intercambiar claves mediante la herramienta gpg
Casa p'ráctico 5 9
Para poder comunicarnos de manera segura, debemos intercambiar las claves
públicas con todos aquellos usuarios con los que queramos establecer una comu-
nicación.
Antes de poder enviar la clave pública a otro usuario debemos exportarla. Para
ello debemos utilizar la herramienta gpg con el parámetro -export seguido del
identificador de la clave (como vimos en el caso práctico anterior como identifica-
dor, podemos utilizar el nombre, cualquier palabra del comentario, el correo ... ).
En nuestro caso, Fernando quiere comunicarse con Macarena, por lo que debe
exportar su certificado (guardar la clave pública en el archivo fernando.gpg).
lB
Archivo fditar :ier rermlnal Ayuda
fernandO@Jupiter:-s gpg ·k G
I
pUb 1924D/1SD9228E 2999-09-22
u1d Fernando Delgago (Tecnico de seguridad informatica de la ero
presa SiTour) <f.delgadO@grnai l.com>
sub 2848g/ClS55A78 2899-89-22
fernandO@Jupl ter:-s 2pg -·output fernando . gpg --export Fernando
fernandO@Juplter:-s I
Fig. 4. 11. Exportación de las claves de Fernando.
Una vez que ha exportado la clave, Fernando debe hacérsela llegar a Macarena
para que esta la guarde en su anillo de claves, lugar donde se almacenan todas
las claves públicas que se poseen.
Suponemos que Macarena ha recibido la clave pública de Fernando. El archivo
fernando.gpg lo ha almacenado en su carpeta personal como podemos ver en la
Figura 4.12.
A continuacián Macarena debe importar la clave de Fernando a su anillo de claves
mediante la herramienta gpg con el parámetro -import y el nombre del archivo
a importar, como se muestra en la Figura 4.12 .
. •
Archivo fditar :ier Ji!nnlnal Ayuda
macarena@Jupiter:-s 15 G
Docur.:entos examples.desktop II:1lÍgcncs Plant illas Videos I
Escritorio fcrnando . gpg ¡'¡ lisica Público
macarena@Jupiter:-S gpg - -import fernando. gpg ¡
gpg : clave lSD9228E: clave pública "Fernando oetgago (Tecnico de seguridad i ntor I
matica de la empresa 5iTour) <f . delgadO@gmail.com>" importada
gpg: Cantidad total procesada : 1
gpg: i!!!portadas : 1
Fig. 4.12. Importación de la clave de Fernando al anillo de Macarena.
En la Figura 4.13 vemos que ahora Macarena posee la clave pública de Fernando.
ArchIvo fdltar yer rermlnal Ayuda
r:1acarena@Jupiter:-s gpg ·k
Ihome/rnacarena/ . gnupg/pubring. gpg
............. . .............. _----
pub 1024D/61C2F898 2099·99- 22 (( caduca: 2099 ·10- 22]]
uid Macarena Subtil (Seguridad Informatica SiTour)  
ail.com>
sub 29489/941888CO 2909 -99· 22 (( caduca: 2999 -19- 2211 1
1
pub 19240/1SD9228E 2999·99·22
uid Fernando Oelgago (Tecni co de seguridad informatica de la ern
presa 51Tourl <f . delgadO@gmail.com> I
sub 2948g/Cl555A78 2999·09-22
Fig. 4. 13. Listado de claves de Macareno.
Actividades 9'
6_ La herramienta gpg,
mediante el parámetro
-output, permite gra-
bar el certificado de revo-
cacián en un archivo.
Vuelve a generar un cer-
tificado de revocación
para la subclave que se
guarde en el escritorio
con el nombre de cert_
revocado.asc.
90
Sistemas de identificación. Criptografía
I principio Kerckhoff es la base
de la mayor parte de los sis-
temas actuales de seguridad,
en los que la seguridad recae
en algo que el usuario sabe
(una clave), algo que el usuario
posee (una tarjeta de identifica-
ción) o algo que pertenezca a
la naturaleza del usuario luna
huella digital).
3.3. Criptografía híbrida
La desventaja de la criptografía de clave pública es la lentitud del proceso de cifrado
y descifrado, que obedece tanto a la comple¡idad de los métodos utilizados como a
la longitud de las claves. Pensemos que una longitud típica de una clave utilizada en
criptografía simétrica es de 128 bits frente a los clásicos 2048 bits que se suelen utilizar
para el tamaño de las claves en criptografía de claves asimétricas.
Otra de las desventajas es el mayor tamaño de la información cifrada con clave pública
frente al tamaño de la misma cuando se cifra con clave privada.
Todo esto nos hace pensar que lo ideal sería utilizar criptografía de clave privada para
intercambiar mensajes, pues estos son más pequeños y además el proceso es rápido, y
utilizar criptografía de clave pública para el intercambio de las claves privadas. Veamos
el siguiente ejemplo: Gustavo quiere intercambiar información con Virginia utilizando
como clave privada "CIFRADO".
Para ello, antes de nada, Gustavo mandará un mensaje cifrado con la clave pública
de Virginia, en el que informa de la clave que utilizarán ("CIFRADO,,), así solo Virginia
podrá descifrar el mensaje y conocer la clave que utilizarán para la posterior comuni-
cación.
4. Algoritmos
Los algoritmos son los métodos que se utilizan para transformar el texto claro en el texto
cifrado. Para aclarar esta definición, vamos a analizar el cifrado por sustitución del Cé-
sar. El algoritmo consiste en sustituir cada letra del texto sin cifrar por otra letra del mis-
mo alfabeto que se encuentra situada en el orden del diccionario N puestos por delante.
N es el valor de la clave, que como podemos ver, junto con el algoritmo, determinará
exactamente la letra que sustituirá a la original.
El principio de Kerckhoff establece que la fortaleza de un sistema de cifrado debe recaer
en la clave y no en el algoritmo, lo cual quiere decir que aunque el algoritmo sea de
dominio público (y este es el caso de la mayoría de ellos en la actualidad), si no cono-
cemos la clave, no seremos capaces de descifrar los mensajes.
Como podemos imaginar, hoy en día se utilizan diferentes algoritmos, algunos válidos
para criptografía de clave privada y otras para criptografía de clave pública. DES,
3DES, RC4, IDEA Y AES son nombres de algoritmos de clave privada y DH, EIGamal,
RSA de clave pública, entre otros.
Los algoritmos de cifrado se clasifican en dos tipos:
• De bloque: llamados así porque dividen el documento en bloques de bits, que por
lo general son del mismo tamaño, y cifran cada uno de estos de manera indepen-
diente, para posteriormente construir el documento cifrado. Cuando se envía un do-
cumento cifrado utilizando un algoritmo de bloque, primero se cifra completamente
el archivo a enviar y luego se realiza su transmisión.
• De flujo: se diferencian de los anteriores en que se cifra bit a bit, byte a byte o carác-
ter a carácter, en vez de grupos completos de bits; son muy útiles cuando tenemos
que transmitir información cifrada según se va creando, es decir, se cifra sobre la
marcha. El algoritmo de nombre AS que se utiliza en la telefonía móvil es de este
tipo, pues según se van generando los bits que hay que transmitir, se van cifrando
uno a uno y poniendo inmediatamente en el aire.
  Actividades
7. Indica cuál es el algoritmo en el cifrado de la escítala y cuál es la clave.
Sistemas de identificación. Criptografía 4
5. Función Resumen
También se conocen por su nombre inglés hash; son funciones que asocian a cada do-
cumento un número y que tienen la propiedad de que conocido el valor numérico, no
se puede obtener el documento. Estas son conocidas por el nombre de funciones de un
solo sentido.
El tamaño de un documento en bits podría ser una función resumen; también podría
serlo, por ejemplo, la función que a cada documento le asocia su fecha de creación. Y
aunque es verdad que estas dos funciones son funciones resúmenes, serían muy pocos
útiles en el mundo de la criptografía, porque no cumplen los dos requisitos fundamen-
tales: el primero de ellos, debe ser muy difícil que dos documentos distintos tengan el
mismo resumen, y el segundo, que debe ser muy difícil, por no decir imposible, crear un
documento a partir del valor de su resumen.
Como vemos, si nos fijamos en el primer ejemplo de la función tamaño en bits de un docu-
mento, no cumple ninguno de estos requisitos, pues es fácil que dos documentos tengan el
mismo tamaño, y aún mas fócil es crear un documento que tenga un tamaño dado.
Esto nos hace pensar que la manero de obtener el valor resumen de un documento em-
pleará algoritmos complejos matemáticamente, para que así pueda cumplir las dos es-
pecificaciones de la función resumen. Algunos de estos algoritmos son el MD5 y el SHA.
El aspecto que tiene el valor hash o función resumen de un documento utilizando el
algoritmo MD5 es lDE928978E2BF219F76ElC5C2A9CCB1A; como podemos ver, un
número escrito en hexadecimal de 32 dígitos, o lo que es lo mismo de 128 bits.
El resultado de aplicar este algoritmo a un documento siempre genera un número de
128 bits.
Sabemos que en Linux las contraseñas de los usuarios se encuentro n en el fichero /etc/
passwd o en versiones más actuales en el fichero /etc/shadow. Como imaginamos, es-
tas contraseñas no se encuentran en texto claro, sino que se almacenan en estos ficheros
utilizando funciones resumen; los algoritmos que más se utilizan son el MD5 y el SHA-
512. Se recomienda utilizar este último pues se considera el MD5 mucho más inseguro.
En el siguiente texto se muestran las contraseñas de dos usuarios, el primero de nombre
Macarena, con contraseña SHA-512, y el segundo Fernando, con contraseña MD5.
A continuación se muestra un extracto del fichero shadow donde se guardan las contra-
señas cifradas de los usuarios de las últimas distribuciones de Ubuntu.
macarena:$6$R977XEKW$TPt4CYwdX3 85zM4BkaOXBS51V4GES 1 n R04PxBOoHys/
qx/BXeEOH6wGW2vID.GRaeUfKhlvIUpg uD/7imHeNu 1: 14595:0:99999:7:::
fernando:$l $U9Cre44W$V2mwkCU1 uH117zqWaqc7L/: 14595:0:99999:7:::
Como se puede observar en las líneas anteriores, la contraseña de Macarena, que utili-
za el algoritmo SHA-512, es mucho más larga y por tanto será menos vulnerable que la
de Fernando, que ha utilizado el algoritmo MD5 para ocultarla.
Actividades 9t
8. Bájate de la página http://www.blisstonia.com/softwore/WinMD5/#download
la aplicación WinMD5, que calcula el valor resumen de un documento utili-
zando el algoritmo MD5.
a) Crea varios documentos de texto.
b) Calcula mediante la aplicación sus valores hash.
c) ¿Son muy parecidos los valores resumen de los documentos?
d) ¿Cómo son los valores hash obtenidos de dos documentos iguales que difie-
ren exclusivamente en una letra?
En muchas páginas web te pue·
des descargar además de un
archivo su valor resumen para
así comprobar si alguien ha
modificado el archivo original
y por tanto su valor no coincide
con el que debería tener.
Sistemas de identificación. Criptografía
Texto claro
Función hash
6. Firma digital
Cuando estampamos nuestra firma manuscrita en un documento, [e estamos dando a[
mismo veracidad y aceptando nuestra respansabi[idad sobre [a que en é[ se diga. Por
eiemp[o, cuando firmamos un contrata de trabaia estamos aceptando [as condiciones que
en este se establecen y por tanta responsabi[izándanas de [as mismas. Cuando firmamos
una declaracián de [a renta, estamos admitiendo que ese es e[ dinero que nos deben de-
va[ver a e[ que (esperemos que na) tenemos que entregar nosotras a [a Agencia Tributaria.
La firma digital viene a sustituir a [a manuscrita en e[ mundo de [a informática. Es decir, si
firmamos de forma digital un documenta, [e estaremos dando veracidad y como sucede
con [a firma manuscrita, no podremos decir que no [o hemos firmado nosotras; por [o
tanto, seremos responsables de [o que en é[ se diga.
La descripción del mecanismo de firma electrónica es e[ siguiente:
• Se calcula un valor resumen del documento, utilizando algún algoritmo como e[ SHA.
• Este valor resumen se cifra uti[izanda [a clave privada de nuestra pareja de claves
púb[ica-privoda (sí, has leído bien, resulta que no sólo se puede cifrar con [a clave
pública, también algunos algoritmos de cifrado asimétrica permiten cifrar con [a
clave privada, en especial [os que se utilizan para firmo digital. Esto permite asegu-
rar que [a única persona que ha podido firmar e[ documenta soy yo, e[ único que
conoce [a clave privada).
• E[ resultado de este valor es e[ que se conoce como firma digital del documento.
Clave pnvada utilizada para firmar
1
Como se deriva del pracesa recién ex-
p[icado, [a firma digital nada tiene que
ver con e[ cifrado del documento en sí.
En ningún momento hemos cifrado e[ ar-
I   I j
Resumen del mensaje Resumen firmado con Texto claro + firma
clave privada
Fig. 4. 14. Esquema del proceso de firmar digitalmente.
chivo, y es que si pensamos en e[ praceso
de [a firma manuscrita sucede que nun-
ca cuando firmamos un papel [o estamos
cifrando. Esto no quiere decir que no se
pueda, también, cifrar y además firmar
e[ documento. También podemos deducir
que dos documentas distintos firmados
digitalmente por una misma persona ten-
drán firmas digitales distintas, pues [os va-
[ores resumen del documento nunca serán
iguales, y por tanto esto diferencia a este
tipo de firma electrónica de [a firma clási-
ca, pues esta última siempre es [a misma
para [a misma persona firmante.
Caso ,,- rédico 6
Firma digital de un documento para asegurar la autenticidad del autor y la integridad del dacumento enviado
Vamos o utilizar [o herramienta gpg con [os parámetros: archivo binario, como ficheros comprimidos, ejecuto-

-clearsign: e[ contenido del documento o firmar no
es cifrado, por [o que es legible para cuo[quier usuario
sin ningún software especial. Solo será necesaria [a op[i-
cación gpg para verificar [o autenticidad de [o firma.
b[es ...
En esto práctica vamos o ver [os distintas opciones
podemos utilizar para [a firma de un documento.
que
• -s: firma con [a clave privada del usuario. E[ resultado
es un fichero comprimido (binario) ilegible.
1. Ejecutamos [a instrucción gpg - -clearsign Docu-
mento secreto.
• - b: se utiliza cuando se desea que [a firma aparezca
en un fichero separado; cuando se quiere firmar un
2. Introducimos [a contraseña de [a clave privada con [a
que vamos a cifrar e[ documento.
(Continúa)
Sistemas de identificación. Criptografía 4
(Continuación)
Casa práctico 6 9
3. Al finalizar el proceso, obtenemos un fichero con el
mismo nombre que el archivo a firmar con extensión
asc (en nuestro caso Documento_secreto.asc). Como
podemos ver en la Figura 4.15, en primer lugar apare-
ce el texto en claro del documento firmado y posterior-
mente la firma.
Vamos a cifrar el mismo documento utilizando el paróme-
tro -s; para ello debemos ejecutar la instrucción gpg
-s Documento secreto.
El resultado es un fichero binario ilegible. Para poder abrir-
lo con el editor de textos le añadimos a la orden anteriar el
parámetro -a, obteniendo el siguiente resultado.
····BEGIII PGP SIGtIED HESSAGE··· · ·
Ha5h: SHAl
Docur:ento secreto Que se enviará a lIacarena fincado.
De esta r:anera nos asegura:os la aut enticidad y la integri dad del n51:O.
·· ···BEGIU PGP SIGIIATURf·····
version: GnuPG v1.4. 9 (GUu/Unux]

/ UwAnj uyYYULD8oH3f upxKhP7Kb9a3GK
"SIo'Il E
·-·- · ElIO PGP SIGIIAT\JRE-----
Fig. 4 .15. Documento firmado con opción - -clearsign.
Por último vamos a analizar la salida que produce la
ejecución de la instrucción gpg -b -a Documento_
secreto.
Como hemos comentado anteriormente se suele utili-
zar cuando se firman documentos en binario, como
los ejecutables, ficheros comprimidos ... La salida es
la firma del documento separada del mismo, como se
puede ver en la Figura 4.17
Archivo fditar yer Buscar Herramientas D.ocumentos Ayuda
I
Nuevo Abrir Guardar Imprimir... Desh;:¡Cel Hch<lccr copi ur Pegar
@ Documento)iecreto.ase IJ I
I-----BEGIN PGP HESSAGE-----
Version: GnuPG v1.4.9 (mlU/Linux)
j A9EAwtlCVW3L r7 J ZhBVgyY j CEl j S j dVCdZfgtl eCPBoUc9BM9pdtnt ltjohhSKWSrl
q4dwW4MHWZBnBAYdtDUR9UWfn231uKVrfAkztiBHCZFosousDnwOrkpaVW8IOBR
cdipiI'Nz lZI9VtJwYs lUkvIXI F4DiWC kmHt2G230eg 1 OEEv P s7VFTCO FBS3y j cSe
YdW02sqqniEw
=AgTN
-----END PGP HE5SAGE-----
Fig. 4. 16. Documento firmado con opción -s.

Archivo fditar yer Buscar !:Ierramientas Qocumentos Aluda
..
..,   I I Deshacer fle!lacer
1lID !
Cort ar Copiar Pegar
lu Documento secreto.ase IJ I
-----BEGIfj PGP SIGtjATURE· .. ••
Version: GnuPG v1.4 . 9 (GtjU/Unux)
iEYEABECAAYFAkq+1WEAcgkQhaSEc)(XZI06gggcgzNqPrsrEH'r14RYpHbWLEjAAEY
pygAOIg6SROBJVmUWJextaBficGyD5Nl
=tlH3j
-----EtlD PGP SIGNATURE· ....
Fig. 4 .17. Firma del documento con opción -b.
Describamos ahora el proceso de comprobación de una firma digital, que a diferencia
de la comprobacián visual de la firma manuscrita, se tendrá que realizar mediante algún
método informático. El que se utiliza es el siguiente:
• La firma se descifra utilizando la clave pública del firmante (has vuelto a leer bien,
pues algunos algoritmos de cifrado asimétrico y en particular los que se emplean
para la firma digital descifran con la clave pública lo que se ha cifrado con la clave
privada), y con ello, como se deduce del método de firmado, se obtiene el valor
resumen del documento.


Se obtiene el valor resumen del documento utilizando el mismo algoritmo que en el
proceso de cifrado, por ejemplo el SHA.
Por último se comparan los dos valores resúmenes obtenidos en los dos procesos
anteriores y si estos coinciden entonces la firma es válida; si estos son distintos la
firma será nula.
Como puedes observar, dado el proceso de comprobacián de la firma, cualquier per-
sona que quisiera comprobar tu firma de un documento necesitaró tener nuestra clave
pública.
- - ,
,
- , .. '(
.}W tb:'
Actividades
9. Comprueba la validez de
las firmas digitales crea-
das anteriormente. Paro
ello deberás utilizar el
parámetro -ver ify de
la herramienta gpg.
93
Sistemas de identificación. Criptografía
Certificado : •
7. Certificados digitales
El certificada digital es un documento que contiene fundamentalmente información sobre
una persona o entidad, guarda su nombre, su dirección, email. .. , y una clave pública
y una firma digital de un arganismo de confianza (autoridad certificadora) que rubrica
que la clave pública que contiene el certificado pertenece al propietario del mismo. Esta
última firma podriamos decir que es la más impartante del certificado, así como la firma
del director de un colegio es lo más importante del certificado académico, pues sin ella
este no tendría validez. Como podemos ver en el ejemplo, no sirve la firma de cualquier
persona, sino que debe ser la del director del centro, por ser la persona en la que se
confía paro dar validez a dicho certificado. Lo mismo ocurre con la firma digital, que
lleva un certificado creado por algún arganismo de confianza; en España es La Casa de
la Moneda y Timbre la que firma los certificados digitales de los usuarios. Estos certifica-
dos nos facilitan muchos de los trámites que debemos realizar con las administraciones
públicas, podemos entregar la declaración de la renta, consultar nuestra vida laboral y
otras muchas gestiones. Todo ello gracias a que el certificado digital establece la iden-
tidad del usuario en la red.
Nombre: Inés Fernández Subtil.
4496430-H
Dirección: La estrella 10
Clave publica: AB56FE77 E9898FE ......... A8899808FAD55 EC8A45FBB45 ..
Fig. 4.18. Firma manuscrita.

General DetaUes I Ruta C'e certificación I
Al igual que existen multitud de formatos para guardar una
imagen (jpg, bmp, png ... ) también existen multitud de for-
matos para los archivos que alrnacenan los certificados di-
gitales. El más extendido y usado en Internet es el estándar
conocido como X.509
Mostrar: I <To_dos> El
CN = SiTourCA
OU c::: Division de certificados
0= SITOUR.5A.
L = Fuentemilanos
5= Segovia
C=ES
E = macarena@sitour.com
V3
jueves, 23 de septiembre de 2 .. .
Macarena Subtil Marugan, Divi .. .
RSA (512  
Motfificar propiedades... I Copiar en archivo... I
Aceptar
Como podemos ver en la siguiente figura el certificado alma-
ceno los siguientes campos:
• Versión, número de serie.
o Algoritmo de firma (identifica el algoritmo utilizado para
firmar el paquete X.509).
o La autoridad certificadora (en la figura emisor).
o El periodo de validez (válido desde y válido hasta).
o El propietario de la clave (asunto.
o La clave pública.
o La firma digital de la autoridad certificadora.
o Huella digital.
o Uso de la clave.
o Dirección web donde se pueden consultar las prácticas
de certificación.
Fig. 4.19. Campos de un certificado.
Sistemas de identificación. Criptografía
8. PKI
PKI son los siglas de Public Key {nfrastructure (infraestructura de clave pública), o lo que
es lo misma, todo lo necesario, tanta de hardware como de software, para las comu-
nicaciones seguras mediante el uso de certificadas digitales y firmas digitales. De esta
manera se alcanzan los cuatro objetivos de la seguridad informática que estudiamos en
la primera unidad: autenticidad, confidencialidad, integridad y no repudio.
Las PKI están compuestas de:
• La autoridad de certificación, también conocida por sus siglas CA (Certifica te Au-
thority), es la entidad de confianza encargada de emitir y revocar los certificados
digitales.
• La autoridad de registro, también conocida por sus siglas RA (Registration Authority),
es la encargada de controlar la generación de certificados. Primera procesa las
peticiones que hacen los usuarios, posteriormente comprueba la identidad de los
usuarios exigiéndoles que les presenten la documentación oportuna que permita ve-
rificar la identidad de los mismos y por último solicita a la autoridad de certificación
la expedición del certificado digital.
• Las autoridades de los repositorios donde se almacenan los certificados emitidos y
aquellos que han sido revocados por cualquier motivo (haber sido comprometidas
las firmas) y han dejado de ser válidos.
• Todo el software necesario para poder utilizar los certificados digitales.
• Política de seguridad definida para las comunicaciones.
En España para realizar numerosos trámites con las administraciones públicas por In-
ternet nos exigen el uso de un certificado digital que asegure nuestra identidad. Dicho
certificado es emitido por la Fábrica de la Moneda y Timbre, autoridad de certificación,
que haciendo uso de numerosas oficinas de la administración pública (tesorerías de la
Seguridad Social, oficinas de la Agencia Tributaria) como autoridades de registro verifi-
can que la persona que solicita el certificado es quien dice ser al presentar el documento
nacional de identidad en dichas oficinas.
Instalación de una entidad emisora de certificados
Caso práctico 7 9
En esta práctica vamos a instalar un servi-
dor de certificados en un host, que tiene
como sistema anfitrión un Windows 2000
Server. Con esto conseguiremos que los
empleados de nuestra compañía obtengan
certificados digitales, tras solicitárselos a
este host. Más tarde los podrán usar para
el envío de correo electrónico seguro y/o
para la firma digital de documentos.
1. Instalamos en nuestro servidor, Jupiter,
el liS, para ello accedemos al panel de
cantrol. Hacemos doble c1ic en el icono
Agregar o quitar programas y dentro
de éste, hacemos c1ic sobre Agregar a
quitar componentes de Windows. En
la lista de componentes marcamos las
opciones que se ven en la Figura 4.20.
-
'i'l 'J'SOl'YiciodoIrOooS.....
o !JI S..ooo do CootlaIo s .......

E_loIIIondo<o-,,>: rulUl
E...-z,<k¡xrijooncb:a 705JJIIoIB

1.7101S .J
  .:J
Fig. 4.20. Agregamos componentes
de Window5.
(Continúa)
4
Sistemas de identificación. Criptografía
Casa práctica 7
(Continuación)
2. Instalamos el servidor de certificados. Volvemos a Agregar o quitor componen-
tes de Windows de la misma manera que en el paso anterior y morcamos la
opción que aparece en la siguiente figura.
" .. _ . .-...,_ ......... .-,,--.u.o.-
_ ......... _---" .. _ .............
;::...:.. ........... ..,P..-

:m.tll .:J
P-*'  
( __
E.................. r.ttU1III
_ .. _ -- --- --- --_ .-
.
Fjg. 4.21. Instalación servidor de certiFicados.
3. Después de pulsar en Siguiente, le indicamos a la aplicación que queremos
instalar una entidad emisora de certificados del tipo Entidad emisora raíz inde-
pendiente (Fig. 4.22).
' ... "' ................ "'--
(,,,,_Il>00'' __ ''''_
... .. _
po Eróidod ......... ...........
rln1illod ....... ..-............. ....:.J
... __ .,,--f:--p-.,-_-=.

ro.m-_
Fig. 4.22. Instalación entidad emisora de certificados.
4. Al hacer clic en Siguiente, se abre un nuevo cuadro de diálogo, en el que debe-
mos especificar el nombre de la entidad emisora, la organización, la ubicación
de la misma, etc. (Fig. 4.23).
_ ..
IJo1""'"
...-
15I'tuUA.
u.idoiI ........... ¡O;;;;;;;;oIo'-:-'
.
-
,-
1_.---
1
1
"';' "01........ ¡u---
••

f-•••• -
1 .... __ ""· ..... -.010 ... _
I

l' 1-
 
,.
Fig. 4.23. Datos de la entidad emisora.
(Continúa) J
Sistemas de identificación. Criptografía
Caso p'ráctico 7 9
(Continuación)
5. En la siguiente pantalla, se nos permite
modificar los directorios que se van a uti-
lizar para guardar los datos referentes a
este servidor de certificados. En nuestro
caso, dejaremos los que propone, por lo
que hocemos elic en Siguiente.
6. Por último nos muestro un mensaje en el
que nos informa que es necesario detener
el servidor de páginas web liS.
Fi' -=Ó>"'_"" ... ""cr.>oU"'._'
--
I
Hemos creado una entidad emisora de certifi-
cados. A partir de este momento, si entramos
en herramientas administrativas vemos una
nueva consola llamado Entidad emisora de
certificados.
Fíg. 4.24. Directorios donde se guardan
105 datos del servidor de certiFicados.
cno¡dps Cerllfic<lte Servu de Mlcrolofl

Fig. 4.25. Menso;e de aviso sobre fa creación del servidor de certificados.
Caso práctico 8 9
Petición y retirada de certificados de una entidad emisora
En esta práctica vamos a aprender cámo debemos solicitar un certificado digital
desde un ordenador de la empresa a la entidad emisora de certificados, que con-
figuramos en el caso práctico anterior.
1. Abrimos el navegador, en nuestra caso Internet Explorer. Escribimos la URL
http://jupiter/certsrv; Jupiter es el nombre del servidor de certificados. También
podríamos haber utilizado la direccián IP del servidor en lugar de su nombre.
Seleccionamos la segunda opcián, Solicitar un certificado, ya que es lo que nos
hemos propuesto inicialmente.
    iN
'" f ..... too J .... f'::,'l """" ......   .. ¡) .. _    
a Senlaosdo""'-'tc.tha_
BIenvenIdo
Use eSle sitio web para solicitar un para su explorador web, su chellle de coneo eledrónico u 0\10 programa seguro
Una vez. que tUlya adqutrido un certificado, pedr;! Identificarse de una forma segura hada otras personas en elweb, firmar SuS
mensajes de torTeO eleCllóllico. cifrar sus mensajes de correo electrónico, y dependiendo del Ilpo de certificado que haya
soli alado.
Selllcclonar un. tarea:
r Recupere el certlflcado CA o la lista de revocación de ceruficados
10 Soocitar un certificado
(" Comprobar un certificado pendiente
rrOODCi'!1Hr..t1oul
.=.J

Fig. 4.26. Solicitud del certificado.
(Continúo)
4
97
Sistemas de identificación. Criptografía
- Sb· ' ,
l' ¿ O losque .••.

Cuando creamos un certificado
que está comprometido debe-
mos revocarlo.
lo podemos hacer mediante la
línea de comandos_ Debemos
escribir en el símbolo del siste-
ma:
certutil -revoke NQ
serie Código_motivo.
los códigos de motivos válidos
son los que se especifican en la
siguiente tabla:
Sin especificar O
Compromiso de clave
Compromiso de CA 2
Afiliación modificada 3
Reemplazo 4
Cese de operación 5
Certificado retenido 6
______________ __________________________ -1
(Continuación)
2. En la nueva pantalla debemos seleccionar el tipo de solicitud; seleccionamos
Certificado de protección de correo electrónico, ya que lo vamos a utilizar para
enviar correo electrónico.
3.
CJoI ..
..   .• ,,,
-_ .... .....
--,_ lto. .. - ... ...
EIIglrtlpo de leUtltud
Eija el Vpo de que le gl5tarla
lO de (eruf¡cadO de usuarin
.- iJ2 . 141. 1 Jj . J . ;;.

  ..
,.. avanzada
Fig. 4.27. Selección del tipo de solicitud.
.:J

Nos pide la información de la persona que solicita el certificado digital, su nom-
bre, e-mail. ..
Relene la slguenle mloonaaón de ¡delllJfl(aoón que ud en su
110mb. jF,man;,
Fig. 4. 28. Identificación de la persona que solicita el certificado.
4. Nos muestra un mensaje de alerta similar al que vemos en la Figura 4.29. Res-
pondemos afirmativamente a la pregunta que contiene el mensaje de alerta, ya
que en otra caso no solicitaríamos el certificado.
Peligro potencial para la secuencia de comandos - _
Este silo web est.S soklando Ln ooevo certflc.wo en su nombre. Sólo los si:Ios web de coriIanta deberÍ5l soIct.et certft:ados en SlJ nombre.
lDesea soiI:iM tri cerficado?
11 No
Fig. 4.29. Mensaie de alerta sobre la solicitud del certificado.
(Continúal
Sistemas de identificación. Criptografía 4
Caso práctico 8 9
(Continuación)
En la última pantalla se nas indica que nuestra certificada se encuentro pendiente,
deberemos esperor unas días hasta que un administradar acepte la solicitud des-
pués de comprobar que las datas enviadas san correctos.
Una vez que sea admitido el certificado, el usuario que lo solicitó deberá recogerlo
en el mismo PC en el que se solici tó el certificado.
, . r
C.rtIfI=..do p.ndl.nt.
Se h.l reobi do SU '" ¡ji t1l, "'4!ndMtt cebe esper¡¡r m QIH U'1 cerllfJ<:adO (¡,.te ' 01010
Vuefa a éste S1bO ...eb lientro ele l>'I!l o CWe:J l lIJra rea.;¡eral Su cel'\Jfi(,dQ
11." , \:", \<1. " '011 ' ''''''' _.0 ,,00.'0"" ' " " r!l.:u:.
Fig. 4.30. Certificada pendiente.
5. En el mismo equipo, en el solicitamos el certificado, debemos retirorl o. Escribi-
mos la dirección http://jupiter.certsrvyseleccionamos la tercera opción, Com-
probar un certificado pendiente.
6.
, ..
I I
i ;.tl.. e . i ¡; ;; l E. E'#J .h,I..\1
e"nv. nldo
UlI 'st' 5100 wt' p,va U'1 etrt&CIOco Oira su IOfb. l u CIt ( oneo &cuónoco 11 0:;0 orl9"ama UIIoI m
q.>! 1U)·a poor& ldefllftaorst Of 161a 10'lIIa UQ".J"i hao. Clill pe<'lOllolS en d .. elI. ftmur IIIS mensa¡es oe CCOleo
IIKDÓlICO. a lfar n'II'I'IU¡f:1 oe coneo eIeaIónco ,m.li Cepencllen:lO celtrpo ere Clm!ftc.ao Q'Je 1\01}'3
50I.cclon., UIII tano:
,. CelIJbCi(IDCA o la Ista de r!"iOClOeoo ce cerofiClOol:l$
,. Sai elar .... ceftJfi caao
ro Ccvn;:lobar U1 ceftJI,cadoptnd<'nle
Fig. 4.31 . Solicitud para retirar certificado pendiente.
El egimos el certificado, que queremos comprobar si ya ha sido admitido.

p .
... . _---
t
v.- I f,oo .... _ "" ... tll-a;---       el ---- ID---........ ·
i'9_ .. 1 I a ·
i
l
O§5e ! i IAI '00 81
43 ..1I!!!i!f1l ":'
Comprobar tln' sollcltud d. cettlncado pondlente
· 1' ·· 11"'''.
. .
Fi g. 4.32. Solicitud para retirar certificado pendiente.
(Continúa)
· Sb'''·
¿ a las que ••••
fI
Paro leer lo información que
contienen los certificadas del
DNI electrónico necesitas un lec-
tor de DNI; algunos teclados lo
incorporan.
Fig. 4.33. Leclar de DNJ
electrónico.
100
Sistemas de identificación. Criptografía
I empleadas se conectan
desde su casa a la red corpo-
rativa haciendo uso de tarjetas
inteligentes que contienen la
información necesaria para el
acceso.
Q Caso práctico 8
(Continuación)
7. Nos dará algunos avisos sobre la instalacián y nos mostrará la opción de insta-
lar el certificado.
Clrtm""do ImlUdo
Fig. 4.34. Emisión del certilicado.
8. Instalamos el certificado haciendo elic sobre Instalar este certificado.
9. Respondemos afirmativamente al permiso que nos solicita para agregar los cer-
tificados.
Este stIQ 'MIlI eot6 In) o n>6s I aste 1IqJpa. PerJrD- qua un 1Ilo 'MIlI <JIII no es d.. con'w.z8 fICtwIce RI5 catfbdcs
un lIo$gO por. El dIQ l'I'eb portIi lnItaIar ClI!tflc.-!os en los qJII no caiIa, lo <JIII poa,' ,1:SlI:1Ir en <JIII P1I'7...a5 qJe no
sm d.. arIIan:a se en este lICJ.IIIlo v lCaIdesen a RI5 detos.
lDMM pennb> QW aste P"OQI'IIfIII los a.tfIca:Ios1 Haoa de en S JI arilo en ...te 1Ilo...b. Haoa de en No si no a:t& en ,y.
Fig. 4.35. Aceptamos añadir el certiFicado.
10. Nos muestra una pantalla en la que nos informa de que el certificado ha sido
instalado.
Por último, comprobamos que el certificado ha sido bien instalado. Abrimos Internet
Explorer y hacemos elic en Herramientas, opciones de Internet. Hacemos elic en la
pestaña Contenido y hacemos elic en Certificados.
        .... "'-I
= lnfonnadón del certlficado
Este está destinado a 105 siguientes propósitos:
oProtegll m rnensajel; di! r;orraa dectr6nico
EmItido por!iTcuCA
Válido desde 22/09/2009 hasta 22/09/2010
7> TIene trlad.sve privada witspOilkiLe a estll .
...., ""' _=. d;: d"' _""':O¡'
Fig. 4.36. Certilicada de Fernando.
Sistemas de identificación. Criptografía
Caso flráctico 9 9
Mandar correo electrónico haciendo uso de un certificado digital utilizando como
gestor de correo Outlook Express
Se supone que el usuario tiene configurada una cuenta de correo en Outlook Ex-
press.
1. Debemos asociar nuestro certificado de usuario a nuestra cuenta de correo.
Para ello en el menú de herramientas del Outlook Express seleccionamos opción
cuentas y hacemos ciic sobre Propiedades.
Internet . , ..... "
Cualquiera di,p ...
Fig. 4.37. Menú herramientas de Out/ook Express.
2. Hacemos ciic sobre la pestaña de seguridad.
'ª Propiedades de Sitour . ' ? IX
G.".,O/ Segy¡idad 0.",,0<1 ..
Cuenta de ceneo

Escriba el nombre que prefiera para referirse a 10$
...." servidOfe$. Por ejemplo, "Trabajo" o ''Servidor de correo
de Microsoft",
¡siloUl
I nfonnoci6n do tnIJlIrio
Nombre:
Drgarización:
Dirección de correo
e\eclrórice:
Subtil Marugan
 
Ditec:dón de re$puesla:
M IncIui le cuenta al recibir correo e1eclrónico o sincronizar
Aceptar
Fig. 4.38. Selección pestaña de seguridad.
Cerrar
(Continúa)
4
Sistemas de identificación. Criptografía
Q Caso p'ráctico 9
(Continuación)
3. En la ventana de Seguridad, hacemos clic sobre el botón Seleccionar del Certifi-
cado de firma sobre el certificado expedido a nuestro nombre. Si no apareciese
nuestro certificado en esta ventana debe ser porque cuando rellenamos la ins-
tancia al solicitar el certificado pusimos uno correo electrónico diferente al que
estamos utilizando.
Fig. 4.39. Selección del certificado.
4. Cuando queramos enviar correo firmado debemos marcar la opción firmar digi-
talmente que se encuentra dentro del menú Herramientas a bien hacienda clie
sobre el icono adecuado.
ÜlI (ompra de billetes ..
- - -- --------
Archivo Edldón Ver Insertar Formato
111 Para: JFernando<ventas)
II! CC:
Asunto: lcompra de billetes
Arlal
La compra de los 10000 billetes de avión encargados por el director .. .
.. -
Fig. 4.40. Envío de correo firmado digitalmente.
I R.
»
La única farma que tiene el destinataria de comprobar la autenticidad de la firma
es mediante el certificado digital del remitente, pues este se ha mandado con el
correo electrónico, por lo que puede comprobar la veracidad de la firma. Además
al tener el certificado del remitente podrá hacer usa de su clave pública para man-
darle correo cifrado can lo que nos aseguramos el na repudio, la confidencialidad
e integridad de la información.
Aplicar mecanismos de seguridad activa describiendo sus
características y relacionándolas con las necesidades de
uso del sistema informático
1. Inventa un método de cifrado simétrico para comuni-
carte de manera segura con un compañera. Describe
sus características.
2. Describe las características del morse como método de
cifrado.
3. Durante la Segunda Guerra Mundial se desarrollaron
numerosas métodos de cifrado para ocultar la información
al ejército enemigo. Realiza una investigación que recoja
los métodos de cifrado utilizados durante dicha época.
4. Descubre el resultado de cifrar mediante Vigenere la
siguiente frase: La máquina Enigma fue utilizada por
los alemanes utilizando como palabra clave «secreta».
5. Cifra mediante el algoritmo del César la frase: "El gran
avance de la criptografía tuvo lugar durante el siglo xx»
utilizando el alfabeto castellano.
Realiza el cifrado de la frase anterior utilizando el
mismo algoritmo con el alfabeto inglés.
¿Has observado alguna diferencia o por el contrario el
alfabeto no influye?
6. Relaciona mediante flechas:
MD5
Escítala
César
Esteganografía
Vigenére
IDEA
A5
EIGamal
Sistema de sustitución
Algoritmo clave privada
Función resumen
Polialfabético
Sistemas de sustitución
Sistema de transposición
Algoritmo clave pública
Algoritmo de flujo
7. Indica el método que se utiliza en el cifrada de la pala-
bra computación:
nóicatupmoc
ocpmtucaóin
0315131621200103091514
8. Descubre la rima de Gustavo Adolfo Bécquer que se
encuentra oculta en el siguiente párrafo:
ehvd ha dxud txh jlph eodqgdphqwh
odv ohyhv rqgdv txh mxjdqgr ulcd;
ha vro ehvd d od qxeh hq rfflghqwh
b gh sausxud b rur od pdwlcd;
od oodpd hq ghuuhgru gho wurqfr duglhqwh
sru ehvdu d rwud oodpd vh ghvolcd;
Sistemas de identificación. Criptografía 4
Comprueba tu    
b kdv.wd ha vdxfh, Iqfolq<;:qgrvh d vx shvr,
do uOr txh oh ehvd, yxhoyh xq ehvr.
Asegurar la privacidad de la información transmitida en
redes informáticas describiendo vulnerabilidades e insta-
lando software específico
9. Instala la aplicación gratuita pgp que podrás descargar
de la página hllp://www.inicioo.com/descarga/win/
seguridad/pgp.htm.
10. Crea las parejas de claves que te permitan realizar
cifrado asimétrico mediante la aplicación gratuita pgp.
11. Cifra un documento utilizando la aplicación del ejerci-
cio anterior.
12. Mediante la aplicación anterior envía mensajes cifra-
dos a tu compañero y descifra los recibidos.
13. Como hemos comentado en el apartado de certifica-
dos, estos nos facilitan muchos trámites por Internet.
Solicita un certificado a la Casa de la Moneda y Tim-
bre accediendo a la página de www.cert.fnmt.es. Pos-
teriormente deberás pasar por la oficina de registro
para identificarte y retirarlo según las instrucciones que
aparecen en la propia página.
14. Consulta los puntos del carnet de conducir con el certi-
ficado digital solicitado en el ejercicio anterior. Solicita
el certificado de empadronamiento.
15. Indica qué otros trámites puedes realizar con el certifi-
cado digital.
16. Consigue un certificado digital de un compañero
y mándale un mensaje cifrado a través de Outlook
Express a su cuenta de correo personal; tu compañero
deberá descifrarlo utilizando también Outlook Express.
17. Investiga lo que contiene en su chip el DNI electrónico,
para ello entra en la página web del Portal Oficial
sobre el DNI electrónico: hllp://www.dnielectronico.
es/Guia_Basica/descrip_fisica.html.
18. Haz uso de la esteganografía para ocultar un mensaje
tras una fotografía.
19. Enumera los componentes de una infraestructura de
clave pública y explica sus funciones.
20. En las últimas versiones de la distribución de Ubuntu las
contraseñas de los usuarios se guardan cifradas utili-
zando el algoritmo SHA512 en el fichero /etc/shadow.
Contesta a las siguientes preguntas:
a) ¿Qué pasos hay que seguir para almacenar las con-
traseñas cifradas utilizando el algoritmo MD5?
b) ¿Qué comando hay que utilizar para que las contra-
señas de los usuarios se guarden en el fichero que J
utilizaban las distribuciones antiguas?
1 /4 Sistemas de identificación. Criptografía
~ ~ = = ~ = = = = ~ ~ ~                          
Esdtala
Palybias
Historia
César
Vigenere
Clasificación --C
métodos criptográficos
    ~ _ . : . . . . . . . : : . _    
Criptografía simétrica
Criptografía asimétrica
Criptografía híbrida
Bloque
Algoritmos -C
Flujo
Función resumen
Firma
Certifícadas digitales
PKI
Transposición
Sustitución
   
Seguridad activa en el sistema
y estudiaremos:
• La seguridad en el arranque y en
particiones.
• Las actualizaciones y parches de
seguridad en el sistema y en las
aplicaciones.
• La autenticación de usuarios.
• listas de control de occeso.
• Lo monitorizoción del sistema.
• El software que vulnera la seguridad
del sistema.
En esta unidad aprenderemos o:
• Instalar, probar y actualizar
aplicaciones específicas para la
detección y eliminación de software
malicioso.
• Clasificar y detectar las principales
incidencias y amenazas lógicas de un
subsistema lógico.
• Aplicar técnicas de monitorización
de accesos y actividad identificando
situaciones anómalas.
• Valorar las ventajas que supone la
utilización de sistemas biométricos.
1 /5 Seguridad activa en el sistema
                                                                           
Debida a los numerosos fabri-
cantes de BiaS que hay en el
mercado, recomendamos consul-
tar el manual de la placa base
para ver las instrucciones espe-
cíficas.
Para entrar en la BiaS debemos
pulsar la tecla Sup o F2 al iniciar
el ordenador, aunque esto real-
mente depende de la BiaS del
equipo. En el libro se ha hecho
uso de la BiaS de VMWare.
l. Introducción a la seguridad del sistema
El título del tema hace referencia a un concepto que vimos en la primero unidad, la
seguridad activa, definido como el conjunto de medidas que previenen o intentan evitar
los daños en el sistema infarmático.
Se trata de estudiar qué mecanismos de protección podemos utilizar en nuestro equipo
infarmática para evitar accesos indeseados de intrusos (personas a programas informá-
ticos).
Aprenderemos a mejorar la seguridad en el acceso al ordenador mediante el uso de
contraseñas en la BiaS y en el gestor de arranque. También aprenderemos a impedir
la carga de un sistema operativo desde dispositivos extraíbles, memoria externa USB,
CD/DVD ... , a configurar las contraseñas en las cuentas, a mejarar la seguridad ante
los ataques definiendo políticas de contraseñas y mecanismos de autenticación, y par
último, auditaremos todas las acciones anteriores.
2. Seguridad en el acceso al ordenador
Para evitar cualquier acceso indeseado a nuestra equipo debemos asegurar el arranque
del mismo mediante el uso de contraseñas.
Si analizamos el procesa de encendida del ordenador, recordaremos la importancia
que tiene la BiaS en el mismo; es la encargada de localizar y cargar el sistema opera-
tiva o gestor de arranque.
2.1. ¿Cómo evitamos que personas ajenas modifiquen la BIOS?
El uso de contraseñas para acceder a la BIOS evitará que personal na autorizado reali-
ce modificaciones indeseadas en la configuración de la misma, así como cambios en la
secuencia de arranque, lo que permitiría la puesta en marcha del equipa desde medias
extraíbles y el acceso a los datos almacenados en el mismo, vulnerando la confidencia-
lidad de estos.
Q Caso pr::r.;: á:.;: c! ::; ic"' o:...:. l ______________________ '"--!
Definimos lo clave de supervisor para proteger el acceso a la BI05
Can esta práctica vamos a proteger el acceso a la BIOS contra personas na
autorizadas y así dificultar el acceso al equipa a dicha personal.
l¿oglCU DI!lbltte A:
J.evICY Dlistll lle B:
• Pr IJ\olry lI.l!lter
• PrINry SluC!
• SCCllIlcary nu ter1
• Secundlry Slaue
• kybo.trd
(I ,Wl .25 111
[lIMbl ..
!lAIY¡re Ulrtual
,,."",
Ul rtul l
11.,,.,,
Stptetl IbIory: 640 IIB
ütlendl!d IItRorlF 2!i 1l20 Ka
Bool - lIlIIl OlillllllJ:l UC Scn:cn: lDl .... 11IiJ
Fig. 5.1. Menú principal BiaS.
<1Ab> . Clhlfl-fab>. or
<Eatm-> selet1.l rie l • .
1. Al entrar a la BIOS
accedemos a la panta-
lla principal (Fig. 5.1).
Nos desplazamos por
el menú hasta la op-
ción Security que se
muestra en la parte
superior de la imagen
(Fig.S.2).
(Continúa)
Superu lsor PasS&IOrd Is: Cleal' A
User PasS&IOrd ls : Cleal'
Se l User PaSS&lOrd LEll l erJ
" "
GIl!
Passuord on Il001 : tD1 Stl bledJ
Fig. 5.2. Menú Seguridad.
B
Ita Speclftc Help
Supen¡ lsor PUSIIIJl'1I
controls atce5!S to the
setup utlllq,.
tt,lin IldUdlUt:¡J
I'IIIIImIIlllUU,t:p utllltot
Securltg __ !!!!!
PUUJ'f Ituut lJ.lt
StJperu lsor PaSS&.lOrd fs : Clear
User Passuord fs : Clear
Fig. 5.3. Introducción de contraseña.
n,llll Ildu,IIlCl'd
Superulsor I'assuord fs : Seh
User Password ls: Clcar
Set lJser Passuord [[nterJ
Se1 Superulsor Passuord [[nter]
Ita Speclflc Help
Enables pesuord entry
on boot
Fig. 5.4. Contraseña Supervisor en arranque de la BIOS.
Seguridad activa en el sistema 5
________ Caso práctico 1 9
(Continuación)
La Figura 5.2 muestra las opciones de seguridad que po·
demos configurar y el estado de las mismas.
A Como podemos ver en dicha figura, la contraseña de
Supervisor está vacía (e/ear); con esta opcián permiti·
mas la modificación de la BIOS a cualquier persona.
Así, un intruso podría acceder a la BIOS y modificar la
secuencia de arranque del equipo (Primero desde CD,
segundo desde LAN, tercera desde HD).
El intruso podría reiniciar el ordenador con un CD pra·
visto de software malintencionado que le permitiría
descubrir a los usuarios y las contraseñas del equipo.
Con la informacián conseguida, tendría acceso a los
datos confidenciales de todos los usuarios del sistema.
• Con el fin de evitar los posibles intentos de modifica-
cián de la BIOS, definimos una nueva contraseña para
el Supervisor.
2. Pulsamos Enter en la opción Sel Supervisor Password
(Definir clave del Supervisor).
3. Se abre un nuevo cuadra de diálogo (Fig. 5.3) en el
que escribimos la contraseña para el Supervisor y pos-
teriormente la verificamos escribiéndola nuevamente
en el campo de confirmación.
A continuación nos avisará de que los cambios se han
realizado· con éxito.
Como vemos en la Figura 5.4 la contraseña de Super-
visor figura como asignada (Sel).
A partir de este momento siempre que queramos ac-
ceder a la BIOS nos exigirá que escribamos la con-
traseña de Supervisor, en caso contrario denegará el
acceso.
4. Otra medida de seguridad adicional que podemos
configurar en la BIOS: evitar que personal no autori-
zado acceda al sistema introduciendo la clave de Su-
pervisor en el momento de arrancar el equipo. Para
ello activaremos la opción de Password on bool (con-
traseña en el arranque). Es decir, la contraseña que
definimos en la BIOS será solicitada al usuario tanto
en el acceso a la BIOS como en el acceso al sistema
operativo o gestor de arranque.
En resumen, con estas medidas hemos evitado que per-
sonas no autorizadas puedan modificar la configura-
ción de la BIOS permitiendo, por ejemplo, el arranque
del sistema mediante dispositivos extraíbles, y acceder
así a los datos almacenados en el equipo vulnerando
la confidencialidad de estos.
5 Seguridad activa en el sistema

Si se te olvida la contraseña de
la BIOS, tendrás que abrir el pe
y quitar durante un rata la pila
de la placa base. Después vol-
vemos a instalarla y ya tenemos
reseteada la BIOS can la confi-
guración del fabricante.
ACtiVidades.
1. Un técnico de seguridad
informática inexperto
tiene protegido el acceso
a la BIOS mediante la
contraseña de Supervi-
sor. Cuando otras usua-
rios pretenden entrar en
la BIOS de los ordena-
dares les solicita la clave
del Supervisor. Este no
quiere comunicar esta
contraseña a los usua-
rios de los equipos e idea
una solución para solven-
tar el prablema: definir la
contraseña de usuario en
la BIOS. Indica los pasos
que debe realizar.
l
2. Desactiva la opción de la
BIOS, en caso de tenerla
activada, que sirve para
encender el equipo de
forma remota a través de
la red.
El gestor de arranque GRUB
(Grand Unirier Boatloader) per-
mite seleccionar entre los distin-
tos sistemas operativos que ten-
gamos instalados en el equipo.
Este gestor es el que habitual-
mente instalan por defecto las
nuevas distribuciones de siste-
mas GNU/Linux.
2.2. ¿Cómo proteger el GRUB con contraseña?
Para evitar que personas no autarizadas tengan acceso a la edición de las opciones de
arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una
contraseña.
q Caso "rédico 2:..-______ _
Definición de contraseñas en el GRUB en modo texto
Durante este proceso, vamos a modificar el fichero que almacena la configuración
del gestor de arranque (GRUB), por lo que es recomendable realizar una copia de
seguridad del mismo, para poder restaurarla en caso de que se produjese algún
error en el arranque como consecuencia de las modificaciones realizadas.
1. Para ello, abrimos un nuevo terminal y tecleamos las instrucciones que aparecen
en la Figura 5.5. Estas instrucciones realizan una copia de seguridad del fichero
menu.lst y la edición del mismo.
root@Jupiter:/home/administrador# sudo cp /boot/grub/menu,lst Iboottgrub/copiamenu.lst
  sudo gedit Iboot/grub/menu.lst
Fig. 5.5. Instrucción para edifor menu .1st.
2. Buscamos la línea #password topsecret.
3. Borramos la almohadilla, es decir le quitamos el comentario y cambiamos la
contraseña topsecret por la que nosotros queramos; en nuestro ejemplo hemos
elegido «patato» (Fig. 5.6). Se guardan los cambios en el fichera menu.lst y
se reinicia la máquina para prabar la modificación realizada.
r
Imprimir... I Deshacer Rehacer ! Cortar Copiar Pegar
swo rd [ ' -- md5 ' 1 passwd
in the first section of a menu file, disab1e a11 interactive
Windows 95/98/NT/2GGG
(hd8,8¡
and entries protected by the
Fig. 5.6. Modificación del parámetro password en el archivo menu . 1st.
Para finalizar reiniciamos el equipo y comprobamos, simulando ser un usuario que
no conoce la contraseña, que no podremos modificar las opciones de arranque
que nos muestra el gestor de arranque.
l )
Seguridad activa en el sistema
5
___     3
Definición de contraseñas cifradas en el GRUB en modo texto
1. Debemos abrir un nuevo terminal y escribir grub.
2. A continuoción, como podemos ver en la Figura 5.7, escribimos el subcomando
rndScrypt que nos permitirá encriptar la contraseña que queramos poner.
3. Escribimos la clave a codificar y el programa nos muestra el password codifi-
cado.
4. Par último, para salir del grub debemos escribir quit (salir).
suppo rted. For
wo rd . TAB possi ble command
completions . Anywhere else TAB l i sts t he possi ble
completions of a devi ce/fi lename. ]
grub> md5c rypt
Password: ***********
Encrypted: SlSgR24C/SrgwwCuiYnkfl4osBpe4mO.
grub> quit
Fig. 5.7. Encriptación de la contraseña.
5. Una vez encriptada la contraseña, deberemos copiarla en el fichero rnenu.lst,
como podemos ver en la Figura 5.8. Fíjate que la línea no es similar a la de la
práctica anteriar, ya que se ha añadido la opción --rndS, que indica que la
contraseña está encriptada.
iñf .'
Archivo !;ditar Ver .Il.uscar Herramientas .Qocumentos Aluda
lb
rE¡
v


I
v
Nuevo Abrir Guardar Imprimir... Deshacer Rehacer Cortar Copiar Pegar

.,
1## password [ ' - -md5 ' 1 passwd
  in t he fi rst secti on of a menu file, di sable all i nteract i ve
(menu entry edi to r and command -linel and entries protected by t he
command ' lock '
lit e.g. passvlOrd topsec r et
- -md5 SlSgLhUO/Sal'178kHK1QfV3P2b2znUoe/
In'.... -- md5 Sl$gR24C/$rgwwcuiYnkfl4osBpe4mO.
fo
1; examples
1# title Windows 95/98/NT / 20ee
1# root (hde,el
1# makeactive
Fig. 5.8. Contraseña de acceso a GRUB cifrada.
11
Las contraseñas para acceder a
los sistemas operativos gestiona-
dos por el gestor de arranque
deben cifrarse. Si nos descubren
la clave que permite acceder a
lo edición del GRUB verían lo
contraseña y por tanto accede-
rían al sistema. Si por el contra-
rio la clave se encuentra cifrada
verían una cadena de caracte-
res sin sentido.
Podemos abrir un nuevo termi-
nal de diversas maneras: pul-
sando ALT + F2, que nos abrirá
uno ventano en lo que debe-
mos escribir gnorne-terrninal
IFig. 5.91 o bien haciendo elic
sobre Aplicaciones, Accesorios
y Terminal.
1::]
o Ejuutar en!Jna wmlMI I Ejecutarton el arthi vo .. ·1
1> r.1 ostrllr la ll sUl de ¡¡plltadones conodd15 b:
( Iiil ''','' I
I Q ,¡;ancelar 1 e l I
Fig. 5.9. Arranque Terminal.
109
Seguridad activa en e! sistema
Q Caso R:.:r"' á"" ct"' ic"' 0'-4..:.. _____________________ --t
Establecer contraseñas al arranque de 105 sistemas operativos controlados por el
GRUB
Con esta práctica evitaremos el acceso a los sistemas operativos gestionados por
el GRUB a personal no autorizado.
1. Editamos el fichero de configuracián del GRUB, menu.lst y al final del mismo
buscamos las líneas donde se define el título del sistema operativo (title) ya con·
tinuación escribiremos password --mdS y la contraseña .
. :" , Q, '" •
Archivo .Editar .a.uscar __       Aluda ______ __ 1
v Guardar I ... I Deshacer r ehacer I c! r c! ar 1': ;;1 v I;
menu.lst 01
## ## End Default Optians ##
title Ubuntu 9.94, kernel 2.6.28·11·generic
password patata
uuid 66d4a68S·9Bde·4B7c·b4d4· 7237cb47799b
kernel /boat/vmUnuz· 2. 6. 2s-11-generic roat::UUID::66d4aSBS -BBde-4B7c'
b4d4-7237cb47799b ro quiet splash
initrd /boat/ ini t rd. irng- 2.6. 28-11-generic
quiet
title Ubuntu 9.84, kernel 2.6.28·11·generic (recovery made)
password ··rnd5 SlSAgZW7/SSl35rvzlRkP!ChgW9pUU9/
uuid 66d4aSB5 ·Bsde·4S7c· b4d4· 7237cb47799b
kernel /boattvmlinuz· 2.6.28 -ll-generic raot=UUID=66d4a885 -8ade-487c-
b4d4-7237cb47799b ro single
ini trd !boot!ini trd. img -2.6. 28-11-generic
.,·,it; tl",'-__ -'lIhIUltJ..L...9.-B4 _____________ ...Jl..J
Fig. 5. 10. Contraseña de acceso al sistema Ubuntu cifrada.
__ --,
110
Establecer contraseña del gestor de arranque mediante lo tionados por el GRUB o personal no autorizado utilizando
aplicación startupmanager en LINUX, distribución Ubuntu uno aplicación visual
9.04, para evitar el acceso a 105 sistemas operativos ges·
Archivo .Editar f¡lquete tonfiguraclón AYlIda
Marcartodas lIp1i GIr I
lbdD
startupmanager
El I Paquete I Versión Instalada I Última
'H startupmanager
1- 1
Grub and Splash screen conflgurntlon
I Obtener captura de pantalla I
.5.ecclones StartUp-Manager configures sorne settings for grub and

Origen
splash screens
(Currently only Usplash). It provides an easy to use
interface.
filtros per.;onaUzadas lt Is origlnally a Ubuntu project. adapted for Debi an.
Besultados de búsqueda I ....=.., __
l!.E.!.quetes listados, 1179 Instalados, o rotos. O eara Instalar/actualizar, O para desInstalar
Fig. 5.11. Gestor 5ynoptic.
1.9.12-
I
El
I
1. En primer lugar debemos instalar la aplicación en
Ubuntu mediante el gestor de paquetes Synaptic, como
podemos ver en las Figuras 5.11 y 5.12.

Instalando software
lOs cambios marcados se estan aplicando ahora. Esto
puede llevar algo de tiempo. Por favor, espere.
Ejecutando disparador post·instalación doc-bqse
O Cerrar esta ventana automáticamente tras aplicarse los cambios con éxito
1> Detalles
[ I
Fig. 5.12. Instalación starfupmanager.
(Continúa)
Seguridad activa en el sistema
5
(Continuación)
____________________________ .....;C::::a:::s:.:: a:..lflráctico 5 9
3. Hacemos clic sobre la pestaña de seguridad, activa-
2. Una vez instalado, ejecutamos el programa accediendo
a Sistema> Administración> Administrador de Arran-
que (Fig. 5.13).
mos la opción de Proteger con contraseño e( cargador
de arranque y escribimos la clave elegida como pode-
mos ver en la Figuro 5.14. Para finalizar reiniciamos la
máquina y comprobamos cámo afecta el cambio a la
configuración del arranque.
ª fIl COntroladores de hardware
'fE Acerca de GNOM E
01' Acerca de Ubuntu
-1t. creador de discos de arranque USB
Fig. 5. 13. Administrador de Arranque.
.,
Administrador de Arranque
-
e x
¡opciones de arranque IAspecto I seguridad IAvanzadol
Opciones de protección
Proteger con contraseña el cargador de arranque
O Proteger con contraseña el modo de rescate
O Proteger con contraseña las opciones antiguas de arranque
Cambiar Contraseña
1:·
COntraseña:
l······
I
l'
COnfirmar contraseña:
l······
I
I Actualizar contraseña I
lA
liij;
Q
COntraseña modificada
1
I I
I   I I
Fig. 5.1 4. Configurando contraseña en sfarfupmanoger.
Actividades
3. Haz el Caso práctico 5 ejecutando el programa direc-
tamente en el terminal.
Recuerda que deberás tener privilegios de administro-
dar para poder realizarlo.
4. Comprueba si el programa startupmanager escribe las
contraseñas en el archivo menu.lst del GRUB cifradas
o en texto clara.
Seguridad activa en el sistema
• 2.3. Cifrado de particiones
En este apartado vamos a estudiar cómo proteger la confidencialidad de los datos
almacenados en los distintos volúmenes del equipo mediante el cifrado de particiones.
Cualquier software de encriptación de disco proteg", la información contra el acceso de
personas no autorizadas.
Casa práctica 6
Ci rar una partición en Windows Para instalar esta aplicación sólo necesita mos 10 MB de
112
Con esta práctica conseguiremos proteger una partición
espacio en disco duro y Microsoft Windows
de Windows, la información no será accesible para aque-
Ilas personas que no conozcan la clave.
l. Nos descargamos DiskCryptor 0.7, lo de scomprimimos
dcrypt que se
a continuación
gunta sobre la
y hacemos doble clic sobre el archivo
Para realizar esta actividad vamos a utilizar un programa
encuentra en la carpeta i386 (Fig. 5.15);
de código abierto, gratuito, DiskCryptor (hHp://www.dis-
respondemos afirmativamente a la pre
kcryptor.de/en/downloads/).
instalación del controlador DiskCryptor.
I Nombre

I Fecha modificación Tipo Tamaño Etiquetas
de_lsf.sys 31/05/200914:50 Archivo de sistema 17 KB
31/05/200914:51 Extensión de la apl ... 140 KB
31/05/200914:50 Aplicación 47 KB
I§ii: derypt
-
31/05/200914:50 Aplicación 123 KB
derypt.sys 31/05/200914:50 Archivo de sistema 136 KB
31/05/200914:50 Aplicación 12 KB

Confirm    
rO Insl.1I DiskCryptor driver?
I¡I¡:!
I
sr
I
No
I
Fig. 5.15. Inslalación del conlrolador DiskCryplor.
2. Una vez instalado ejecutamos la aplicación dcrypt.
,
I!ii: DiskCryptor 0.7.435.90
. . l o l@)1 13
r
Fil e Volume!; Tool5 He1e
I Disk Orives
f>lount
I
I
I
Size I Status I
I
j
(3 TOSHIBA MKl637GSX

I
13 yolumel 1.46 gb WinRE NlFS boot
QeClypt
I
E) ¡;,: 143gb Vistzl NlFS oyo
E) Q,: 1.63 gb Nuevo vol NlFS
I !
"" HI.-DT-ST D\'IlAAM GSA-T2llN
MountAD
oiJ .: O bytes
!::!nrnount AH
I I
IL"" HI.-DT-ST DVORAM GSA·T2llN
G!J E: O bytes
I
Fig. 5.16. Programa DiskCryplor.
(Conlinúa)
Seguridad activa en el sistema 5

(Continuación)
Como hemos visto en la Figura 5.16 la aplicación visualiza
las unidades de disco que puedes encriptar. En nuestro
caso, lo que queremos encriptar es la D:, unidad dedicada
a datos.
Illi: OiskC'}'Ptor 0.7.435.90

..
,
Fil e Volumes
! Disk Orivos
Caso práctico 6 9
3. La seleccionamos y hacemos clic sobre el botón Encrypt
(cifrar). Posteriormente deberemos seleccionar entre los
distintos algoritmos de encriptación (A ES, Twofish, Ser-
pent, AES-Twofish, Serpent-AES, AES-Twofish-Serpent ... )
y hacer clic en el botón Next (siguiente).
-
1= I@] I
13
I

rllount
I
I
Size ! labell...:r=l
statu, 1
1
I
g TOSHIBA MK1637GSX

",crypt
13 yo/umel 1.<6 gb 'f1nRE NTFS boot
º-ecrypt
I
g 143101b Vista NTFS
oY'
'" Q.:
1.63 101b Nuevo vol NTFS
I
I  
-
Mount AlI
\Device\HarddiskVolume3
U;U
U,nrnount Al!
I ¡
Encryption SeWngs
3
A1lO1oritnm: I AES-Twofish-Serpent
!
Vf¡pe Mode: I None
..=J
'.
Fig. 5.17. Selección del algoritmo de encripfación.
4. En la siguiente pantalla, deberemos escribir la contra-
seña de encriptación. Además, en este paso la apli-
cación nos infarma de la vulnerabilidad de nuestra
contraseña según un gráfico. La contraseña que hemos
e
\Device\HarddiskVolume3
Volume Password
password:lzzzzzzzzzzzzzc
confirm:lzcxzzzzzzzzzzz
StabJs: I Correct
Layout: I QWERTY
Password Rating
-
CapsLatin
Medium
5mall Latin
I
!;.ancel
I
Fig. 5. 18. Configuración de la contraseña.
escrito es $1 Nab74c$b!@12 y es considerada de difi-
cultad Media. Pulsamos OK y después de unos minutos
tendremos cifrada la unidad y fuera del alcance de per-
sonas que no conozcan la clave de cifrado.

I
I §.how Password
1:'
I Use Keyñles
l'
!;.eyfiles
1
::::1
"
l'
I
Digits
5pecial 5ymbols
§.ad<
I
OK
I
I
Seguridad acti va en el sistema
q Casa rédica 7
Cifrar una partición en Linux
Vamos a aprender o encriptar una unidad USB en Linux
con el programa TrueCrypt, aplicación gratuita que nos po-
demos descargar de la página hHp:/ /www.truecrypt.org.
Con ello conseguimos que aquellas personas que no co-
nozcan la elave no puedan acceder a la informacián alma-
cenada en la unidad USB.
".
"' .... ,











¡ ... u
1. Para instalar TrueCrypt, debemos descargarnos la ver-
sián para la distribución de GNU/Linux del programa
(en nuestro caso Ubuntu) de dicha página, descompri-
mirlo y ejecutar el programa de instalación.
2. Tras instalarlo, ejecutamos la aplicación y veremos una
ventana similar a la Figura 5.19.
.. I
l' "11" \o1I1um. I
I
lo
; [1 .. S! I 5.1.«&1 . ...
1 a ilI t::!.... uulV.hlllury I ¡ I I ¡
I _ _ Ibol,,,. s.lnl Ctvie.".
:1 MOUl'll I I!IIIO.Mount O.-.im I 1 0111110II1II-"1 I!
,,.
Fig. 5. 19. Ventana principal TrueCrypt.
En la Figura 5.19 vemos una lista de todas las unidades de
TrueCrypt. Como acabamos de instalarlo, no tiene ninguna
de ellas asignada.
3. Para cifrar la unidad de USB, debemos hacer elic en el
botón ereate Volume (crear unidad). A continuación, se
abriró una ventana, en la que se muestran dos opciones:
• ereate an encrypted file container (crear una carpeta
cifrada).
• ereate a volumen within a parlilion/drive (crear una
unidad para una partición a dispositivo).
La primera de ellas es la que el programa recomienda
para el personal inexperto. En este caso na es necesa-
rio formatear la unidad, solo crea una carpeta donde
su contenido será cifrado.
4. La segunda opcián será la que seleccionaremos para
alcanzar nuestro objetivo. La aplicación nos advierte
que al realizar esta elección se formateará la unidad y
cifrará la partición. A continuación, deberemos ver una
nueva pantalla similar a la Figura 5.20 .
Volurnc Type
<J 111andl,d bulCm>I ::!!.!!ci!!J
111.. ,,111, 1p1llft "0/1111 n .. 11 •
1'C1um.,
o HI.IId.n ltU'Cl'l'Il1 .... 1\Jm1
• nuy Ih. )'OY "" by . ,mola""lo r ..... ' " ...
...  
duo! " 1>I""tnl. 1/m1 1 .. ·u! .d h<!:IM...un. l •
• . ,..¡, . lulllOf\I l0lII00.. 'lIVIaUt9 ti .. pnrr.td 10 r-
w ......
'-____________________________ __ un_i_d_ad_. _________________________________ )
5
r
Seguridad activa en el sistema
.... __________________________________ práctico 7 9
(Continuación)
5. Seleccionamos la primera opción Standard TrueCrypt
volumen (crear una unidad TrueCryprt narmal) y hace·
mos clic sobre el botón Next.
6. En la siguiente pantalla (Fig. 5.21), debemos seleccio-
nar la unidad a formatear. Hacemos clic en el botón
Select Device (seleccionar dispositivo).
Volume Location

!ill Heversilve hlstery
A devlc:e-hcsted 1lueQypt vclume can be created wlthln a hard
disk panltlon, sol!d-state drive, USB memory stick, and other
stomge device5.
WARNING: Note that the panltionJdevice wil! be rorrnatted and al!
data currently stered en it wlll be lest.
Fíg. 5.21 . Selección de dispositivo.
Z Aparece una pantalla (Fig. 5.22) con todos los dispo-
sitivos de almacenamiento que tenemos conectados
al ordenador. Seleccionamos el dispositivo USB reco-
nocido en nuestro caso como /dev/sdb 1 de 483 MB.
Dependiendo de la distribución de Linux y de los dis-
tintos dispositivos conectados en el equipo puede ser
reconocida con otro nombre .
... . , .
Oevlce Slze Meunt Olrectcry
--
.... {dev/sda: 10,0 GB
Idev/sda1 3,7 GS {
{dev/sda5 4,7 GS (heme
Idevfsda6 1,6 GS
.... /dev/sdb: 494 MB
{dev/Sdb1 4!B MS /media/disk
IO &anceJar l
8. Posteriormente, como podemos ver en la imagen (Fig.
5.23), debemos seleccionar el algoritmo de encrip-
tación. Las opciones son numerosas, AES, Blowfish,
Serpent, Twofish, AES-Twofish-Serpent ... En nuestro
ejemplo hemos seleccionado el algoritmo AES-Twofish-
Serpent y RIPEMD-160 para generar la clave. A conti-
nuación hacemos clic sobre el botón Next.
Encryption Options
EncryptienAlgerithm--
__________ --'-': 11 Int
Threa ciphors in iiI cascado operating in XTS meda. Ellch bloc\:: is
first encrypted with Serpent !2S6-bit kay), thao wilh l'wcfi$h (2S6.bit
kayl. and finallywith AES (2S6·bit key). Ellth cipher usos its OWI\
key. AlI key5 are mutually ¡m/apandent.
Moro jnfpUVªt!90
Hash Algcrithm
  .. JJJ: ¡ Infpuva!jgo po bp!b BIgQri!bmt
I Q AlIl
da
I I <frev 1I tloxt> I IO &oncelarl
Fig. 5.22. Selección de partición.
Fig. 5.23. Elección del algoritmo de cifrado.
9. Aparece una nueva pantalla (Fig. 5.24) en la que intro-
duciremos la contraseña. En este punto, la aplicación
nos advierte de la importancia de elegir una buena con-
traseña; que no sean palabras que podamos encontrar
en diccionarios o combinaciones de varias. La clave no
debe tener información personal como nombre o fecha
de nacimiento. Una buena contraseña debe ser una
combinación de letras mayúsculas, minúsculas, números
y caracteres especiales, $,+,-@, ... Recomienda que el
tamaño de la misma sea de más de 20 caracteres.
Cuanto mayor sea el número, menos vulnerable será la
contraseña.
TrueCrypt admite contraseñas de hasta 64 caracteres.
(Continúa)
I
5 Seguridad activa en el sistema

______________ ______________________ ________________________ --,
(Continuación)
10. Si activamos la opción Disp(ay password (visualizar clave), podemos ver los caracteres de la contraseña.
Escribimos la elave y hacemos elic en el botón Next.

Volumc Pll.'l'iword
,." ...... "i!; .. .. .. .. .. .. .. .. .. ..
e.mm FOI,,,,,r<I: l!: •••••••••••••••••••••••
   
o u¡.I..,.N ..
• ¡,,,..,_ ... lhot,,,"d,. .......... F .. ....,,¡·.,.."' .... ;
... """, ... _<rlt.Wv¡I • ..,.,¡lhot .. ,Ib.
_¡" ..... '1( .... .
,_ ... , ... .., "'7"., ...... , ..... .• ..nool:lIlOC.' "'Y
, • .,. ... •.. Q... F ... .....-d .......... ..
...... ",. loto ." . ..m ......... ,.,,;01 tIIoru'tn. , ... " ••• •
•• + 01"", , .. o"",,,,'" <h.. po..... '" """""'11 01 rmn
_10 '_ ... .. ). n,.m ....... po.. tl.
.... <.,.",,, • ., .
Fig. 5. 24. Definición de contraseña.
11. A continuación, debemos elegir el tipo de sistema de
ficheros que utilizaremos en nuestro USB. Debemos
tener en cuenta dónde vamos a utilizar el dispositivo; si
solo lo fuésemos a utilizar en Linux, lo formatearíamos
en EXT3, pero si ademós quisiésemos utilizarlo en Win-
dows, deberíamos formatearlo en FAT.
seguir con el proceso dando formato al dispositivo.
Como nosotros lo vamos a utilizar indistintamente en
Linux y en Windows, lo formateamos con el sistema de
archivos FAT.
Antes de formatear la aplicación nos recomiendan que
hagamos movimientos con el ratón. Estos calcularón los
valores aleatorios que se utilizarón para crear la elave
de cifrado. Si estós seguro de que no tienes ningún
dato importante que pudieses perder en el USB puedes
El proceso ha finalizado, la unidad ya estó preparada
poro que todos los datos que introduzcamos en ella
sean cifrados automáticamente, es decir que trabaje de
forma transparente para el usuario.
12. Antes de utilizar la unidad USB debemos montarla
con la aplicación TrueCrypt, para ello debemos volver
a la pantalla inicial de dicha aplicación (Fig 5.19) Y
hacer elic sobre Se(eet Deviee (seleccionar dispositivo).
Se abrirá una ventana similar a la de la Figura 5.22,
donde elegiremos la unidad que hemos cifrado. A con-
tinuación la aplicación solicitará la contraseña. Una
vez que introducimos la contraseña, la unidad se monta
como truecryptl (Fig. 5.25).
Lugares 1 Sistema f!¡@ O
!,
([C) Carpeta personal
1:
¡¡;¡ Escritorio
I
O Documentos
I!
O Música
l '
ID Imágenes
El Vídeos
Equipo
W Ubuntu 9.04 i386
{;d Disquete
Soporte de 507,5 Mi S
IQ
I
1'= tnuecryPtl l
¡;m DQd
-
Fig. 5.25. Unidad montada.
Seguridad activa en el sistema 5
• 2.4. Cuotas de disco
La mayoría de las sistemas operativos poseen meconismos pora impedir que ciertos
usuarios hagan un uso indebido de la capacidad del disco, y así evitar la ralentización
del equipo por saturación del sistema de ficheras y el perjuicio al resto de los usuarios
al limitarles el espacio en el disco.
Las cuotas de disco se pueden configurar en función de varios criterios, según usuarios,
grupos o por volúmenes.
Veamos esto último con ejemplos:
• Supongamos una familia de tres miembros, Macarena, Fernando y Gustavo. Podría-
mos establecer una cuota de disco para Gustavo de 2GB, para Macarena de 2GB y
para Fernando que suele manejar planos que ocupan mucho espacio, le permitimos
una cuota de 20 GB. Es decir, cada usuario puede tener una cuota distinta en fun-
ción de sus necesidades; no tienen por qué tener todos la misma.
• Supongamos la empresa de construcción SiCom, en la que los usuarios se encuen-
tran clasificados por grupos, Contabilidad, Arquitectos y Dirección. Repartiremos
el sistema de ficheros entre los diversos grupos en función de las necesidades de
los mismos. El grupo de Contabilidad suele trabajar con archivos Excel y Word, de
pequeño tamaño, al igual que el grupo de dirección.
Sin embargo, el grupo de Arquitectos necesitan mucho espacio, ya que suelen tra-
bajar con herramientas CAD. En función de las necesidades anteriores y el número
de usuarios adscritos a esos grupos se definen las cuotas, 20 GB para el grupo de
contabilidad, 8 GB para el grupo de dirección y 1 TB para el grupo de arquitectos.
• Supongamos que en un PC hay dos particiones, una de las particiones podría tener
cuotas de usuario muy restrictivas y en la otra partición tener otras cuotas menos
limitadas o incluso ni siquiera tenerlas.
o Activación y uso de cuotas de disco en Windows
Para activar las cuotas de disco en una partición en Windows
debemos seguir los siguientes pasos:
Herramientas CAD. Son aplica-
ciones de Diseño Asistido por
Ordenador.
... .
Las cuotas de disco en Windows
solo se pueden utilizar sobre
volúmenes con sistemas de fiche-
ros NTFS.
Cuidado con ser excesivamente
restrictivo con la cuota.
Podríamos impedir incluso el ini-
cio de sesión de un usuario, por
no tener suficiente espacio para
crear su carpeta en Documents
and Settings.
Debemos hacer clic en el botón derecho sobre la partición
donde queremos establecer las cuotas y elegir la opción Pro-
piedades.
General Heuamienlas Hardware I Compartir Cuota '-_______ -,
Habilitamos la administración de la cuota seleccionando la ca-
silla (Fig. 5.26).
I Estado: Las cuotas de disco estén deshabilitadas
q{labilital laadministrllción de cuota
e:pacio de dl:CO a u:uali01: Que e:.:ced"n et lími te de cuota
Si solo queremos hacer un seguimiento del uso del sistema de fi-
cheros por parte de los usuarios y grupos no seleccionaremos la
siguiente opción que muestra la Figura 5.27, Denegar espacio
de disco a usuarios que excedan el límite de cuota.
Seleccionar el limite de cuota pr edeterml rllldo p<:ra trl e:te
Fig. 5.26. Cuotos.
.v-.
""". ,_ ........
'n'" '-. ..
¡¡ .. "'. \ ........
... <t. ' .........
.. "'.
¡¡ .. "".
Iil.,,,,.

¡¡.,"'.
,,il ., ....
. ¡; . -,,¡
c ...... j ,.;:., ...
. ." "
ll" '"
""
" .. ,

'"
.,.., ,,,

u ... , ,, , ....
",
'"
¡""""
... ..... ,
¡" """
s:.."""
• 1,10 Fmi\ar u:o de di:co
Llm:tar e:;ncio de di:co a
lirrr. te
el nivel di; éi dvl!llenc.a en IS1!1 lírnlte

I LI _'-'.J
v
I
    de regi stro de cuola pera e:le volumen
o Regl:tr.;,r cUOindo un u:uario 11m:te de cuola
O Aeg::l rar :U:t::O cU:'lido un u:ualio eMced::. nivel de adyerlenci¡¡
[ Valores da cuota ..
Aceptal Cancellll I
I,p!:car
Seguridad activo en el sistema
Para ejecutar el visor de suce-
sos podemos escribir evenfvwr.
msc en la consola o en el menú
ejecutar de Inicio, o ir a Panel
de Control> Herramientas
Administrativas > Visor de
Sucesos.
Actividades
l
5. Piensa de qué forma un
administrador de un ser-
vidor de correo electró-
nico podría asignar 100
MB de espacio en disco o
usuorias de paga y 5MB
01 resto de usuari os regi s-
tradas.
6. Creo un usuaria y osíg-
no le uno cuota de ton solo
1 MB. ¿Puedes arrancar
una nuevo sesión con este
usuario? Justifico lo res-
puesto.
Si por el contrario queremos limitar el espacio del sistema de fi cheros a los usuarios,
debemos definir lo capacidad de disco de lo que van a disponer cada uno de ellas,
así como del nivel de advertencia y activar la opción de Denegar espacia de disco a
usuarios que excedan el límite de cuota.
Propiedades de Disco IDeal (e:)
• Estada: lM ewtas de mctl edán deshabitada:
o Habitar la admristración de cuota
o Denegar espacio de lisctl a lmlare: que excedan ellrmie de cuot.,
SeIecc:ions ellrttie de cuolapedetenmaoo par., lIJeVOS usuarios enWe vobnen:
O No 5rMet UUI de disco
0l.ri<>.,...;ode_. l' 11 GB vi
Est"¡¡¡ecet el rive! de en
Seleccionar las opciones de de cuota para este volumen:
O Aegi$trar suceso cuando Ir!lmlaño exceda su I(mite de CI..IOla
O Aes;wet suceso cuando Ir! tu rivel de .advertencia
Vm e: de cuala. ..
Fig. 5.27. Limitación de espacios .
Si se marcan los dos opciones que aparecen al final de la Figura 5.27, el sistema ope-
rativo registraría los eventos, haber superado el nivel de advertencia o haber superado
el límite de cuota, en el visor de sucesos.
El usuario puede ver mediante el visor de sucesos dicha información (Fi gs. 5.28 y 5.29).
11 Visor de sucesos -- - -- - [)@]l:8}
------ - -

Propfedades de Suceso
Suceso I
Fecha:   Qligen: Nlfs
---.!J
Hora: 17:56:36 Calegorfe: Disco

Tipo: Información Id. suceso: 36
InfDrmadYI 16/0712009 17.56:36 rtfs Disco
16/07/2009 17:55:59 SeM:e Cottrol Manaoer
.......
'6/07/2009
17:55:52 Setvi::e eooool M.wger .......
Usuario: ANA3\Pedro

Equipo: ANA3
16/07/2009 17:5:52 SeM:e (<<tro! Manager .......

'6/07/2009
17:55:4i _""'01",,- .......
16/07/2009 17:55:44
-""'"""-
.......
Un uwario ha alcanzado su umbJaI de cuota en el volumen C:.
Para obtener más información. vea el Centso de ayuda}' soporte téMCO en
http://oo.microsolt.com/lwlinkJevents.asp.
Datos: 0 Bytes O YJord
0000: 06 00 44 00 az 00 9Z DO __ D ... O.
§I
000 8: az 00 00 00 Z4 00 04 40 •••• f; •• [J

0010: 00 00 0 0 00 00 00 00 00 . ... .. ..
:Yl


i
[ Cancela¡
I
[
I
Fig. 5.28. Visor de sucesos.
Fig. 5.29. Propiedodes de suceso.
118
I
.
Seguridad activa en el sistema 5
o Cuotos de usuorio en UBUNTU
Para gestionar las cuotas de discos en Linux vamos a utilizar la herramienta de confi-
guración del sistema conocida como Webmin. Esta herramienta no viene instalada por
defecto con el sistema operativo, así que tendremos que instalarla utilizando el gestor
de paquetes Synaptic o utilizando el comando apt-get.
En este caso, vamos a realizarlo utilizando la orden apt-get. Debemos seguir los po·
sos que se detallan a continuación.
Para que el comando apt-get funcione e instale correctamente esta herramienta, debe-
mos añadir el repositorio http://download.webmin.com/download/repository sarge con·
trib al final del fichero sources.list mediante la orden gedit, como vemos en la
Figura 5.30.
root@ana
root@ana-desktop:-# gedit letc/apt/sources.list
root@ana-desktop:-# cd Iroot
root@ana-desktop:/root# wget http.llwww.webmin.com/jcameron-key . asc
··2999-07-20 13:97:59-- http://http.//www.webmin.com/jcameron-key.asc
Resolviendo http .... falló: Nombre ó servicio desconocido.
wget: no se puede resolver la dirección del equipo ahttp.n
root@ana-desktop:/root# wget http://www.webmin.com/jcameron-key.asc
·-2909-07-20 13:98:39--
Resolviendo www.webmin.com ... 216.34.181.97
Conectando a www.webmin . comI216.34.1S1.971:S0 ... conectado.
Petición HTTP enviada, esperando respuesta ... 2000K
Longitud : 1329 (l,3K) [text/plain]
Guardando: ajcameron-key.ascn
la8%[ >] 1.329 --.-K/s en 9s
2889-a7-28 13,88,43 114,a Ha/51 'jcameron-key.asc' guardado [1329/1329)
root@ana-desktop:/root#
Fig. 5.30. Comondos.
A continuación, debemos ejecutar los siguientes tres comandos que aparecen en la Fi-
gura 5.30 para añadir la clave pública, pareja de la privada, con la que se ha firmado
el repositorio.
Por último, actualizamos e instalamos la herramienta webmin, mediante la ejecución de
los siguientes comandos (Figs. 5.31 y 5.32).
1111
'. " ff
En caso de no tener instalado el
paquete quota ¡permite definir
las cuotas de disco en Linux) usa·
remos la orden apt-get ins-
tall guota.
iJlliij ••
Archivo .Editar yer !ermlnal AY.IIda
root@Jupiter:/hor::e/adr.linistradorl apt-get update
Obj http://es.archive.ubuntu.com jaunty Re\ease.gpg
6J'Chlvo .l;ditar yer AyJ,ida ,-___ ______ ;
  apt-get instan weomin El
Obj http://security.ubuntu.coCl jaunty·security Release.gpg
Ign http://securi ty. ubuntu. coc! j aunty· Translation·es
Ign http://securi ty. ubuntu. COel j aunty· security/restricted Translation-es
Ign http://securi ty. ubuntu. coc! j aunty· security/universe Translation·es
19n http://securi ty. ubuntu. COel j aunty· securi ty/llml tiverse Translation-es
Des: 1 http://es.archive.ubuntu.co!:! j aunty/main Translation·es [606k61
Obj http://security.ubuntu.coC! jaunty·security Release
OOj http://securi ty. ubuntu. cor.! j aunty· security/main Packages
Obj http://download .... ebmin.coCl sarge Release.gpg
19n http://down\oad .... eor.lin.col1 Translation·es
Obj http://security . ubuntu. cor.! j aunty· security/restricted Packages
OOj http://security.ubuntu.coCl jaunty·security/mdn Sources
OOj http://security . ubuntu. COI1 j aunty· security/restricted Sources
Obj http://securi ty. uOuntu. COCl j aunty· security/universe Packages
Obj http://security.ubuntu.col':l jaunty·security/universe Sources
Obj http://security . ubuntu. COI':I j aunty· security/mul tivef5e packa!f!s
Obj http://securi ty. ubuntu. coc! j aunty· tivene Sources
Obj http://download .... ebr.lin.colll sarge Relea5e
19n http://download.webmin.col':l sarge/contrib Packages
Obj http://download .... eblllin.cor.l sarge/contrib Packages r;-1
16\ 11 Translation-es 114035/60SkB 16\1 12.3kB/s 405
.
Fig. 5.31. Orden apt-get update.
Fig. 5.32. Instalación webmin.
120
Seguridad activa en el sistema
Si no tienes una partición inde-
pendiente para /home, puedes
crear una nueva partición y rea-
lizar el caso práctico sobre esa
partición.
Para ejecutar la aplicación tendremos que abrir un navegador web, en nuestro caso
Firefox, e ir a la siguiente dirección https://localhost:10000. Es muy probable que al
acceder a dicha dirección el sistema nos devuelva un error como el que se muestra en
la Figura 5.33.
localhost:l0000 usa un certificado de seguridad no válido.
No se confía en el certificado porque está firmado por sí mismo.
(Código de error: sec_error_untrustedjssuer)
Fig. 5.33. Error del certificado.
Para solucionar dicho error debemos crear una excepción.
A continuación aparecerá una página como la que se muestra en la Figura 5.34.
archivo f-ditar Hiz.torial Marcadores Herramien¡as AY.I.I.da {
" re O ti§ I!§] https:fl10cal host:lOOOO/ 1" I "'l.
f;jj Más visitadosv . Getting Started Headlinesv
Terminado
Login ti) WehOiIn - I
You must enter a usemame and
pas5word to login to the Webmin server
on localhost.
Username lroot
Password
O Remember login
permanently7

localhost:l0000
Fig. 5.34. Formulario de conexión a lo aplicación Webmin.
Introducimos como usuario al administrador root y la contraseña del mismo. A continua-
ción veremos una nueva ventana como la que se muestra en la Figura 5.35.
,."" .. ""
" .... !<ro>
".,...""
"o .......
u", ....
u,..,_ ...
 
u " ", ..
tJ. " ....  
(' <,' ''"' ...   ....
...
o"" ...
I A
, . lo •. "'"
• .. "m .... '"..".
""" .... g ... '.m
'_.n ... ' ....
CPU ," O<l_,.., • •
.... ""'.....,.
"", .. , ........ ,.
'-", .... "'.p ...
Fig. 5.35. Pantalla inicial webmin.

_.
         
...... ,··"·"'I"""' ... ..
'n'U"""'.""""'.".",,"'"',,
"',"""' .....   ... "'.j
" •. ,. . .. " .. 1. " ..... "'.,
, ••• ....,. ... ..",.., ... ''''' .... .. '' ...... 001. ...... ' _
""'". p.e> ' ....... j ro UW. "'" <" ""...".,.,. ...... 01
1-01,-""",- 1
_.- --
". 1
l '
1,'
l '
1,'
li
... ...,.",""""u
Como podemos ver, este programa es una aplicación web que se puede utilizar para
configurar multitud de opciones del sistema.
Seguridad activa en el sistema
Como vemos en la Figuro 5.35, la página de entroda tiene un marco a la izquierda con
un menú. Escogemos la opción Sys/em (sistema) y dentro de esta la opción Disk and
Ne/work Filesys/ems (Disco y Sistemas de archivos en red). Una vez realizada la selec-
ción, el marco de la derecha se actualiza visualizando todos los sistemas de archivos de
nuestro equipo (Fig. 5.36).
- e o [§l
Ii! MIiI ... . iu do. - 5tart.d Q u t l'! H .. :'"C'='_-___ _
lO')"" rool M,dul. Co"¡ig
Disk and Network Fllesystems
I Add moun!. I T)"pl' =====::::¡ ,!j: I
D llllbmin
e S)"ll m
1- ) IICH "
5" ,,01, Does ..
o
4\1
"'
.nd Shutclo·""
Ch.ngo p."wo,d.


 
MaUllllld.-. typa Und In Ulft' S ..... d'
FoI.. y".m
logf"" Rot.t,on
r·!:ME T)'pl P"'g,am,

IluM",gP,., . " ..
Sch.dulod Comm.nd.
sch"dul , d (,on lob.
sch .... ,. ..
5)":om OoCumOnl"li,"
sysl om leg'
U •• " .nd Group.
[) Slrw ..
o oth . ..
.m,
I (Roc!
,horno

¡m. d.a¡,d,cmO
¡ml d.:o¡fIoFPYO
Idov¡,hm
/d"'/pt.
... . 2l.gon.",/VOI.I<I .
•• ,unty
!homl/omilio/.q.fo
.. ystom Iprod
Unu.<N.tive f .... Y' I.m l .. tl )
Unu. l i " ;"'" f'",y" . m I b 'JI
VlrtullMomol)'l , WlIp)

UnmownT)"p.
S"l5fS
RAM Di. \: II mpl.1
fW.l Oi, k II mpl. ,
RAM o;,\: IImplol
fW.l o .. k II mpl.)
PT5 fd"Y' I. m
fW.l Di,\: IImpl.1
SECUMYf5
FU5E.GVFS· fU5E· OA.EMOtJ
o Nl tworlring
I ,o. ddmollnt I T)"p .: I ""pi. fd .. yollm (ti.)
e u " ·v, od . h d,!"
   
Fig. 5.36. Disk and Nelwork Fi/esys/ems.
."
Pl n nian w:th 10 •• 5<7·9817· 16. 99c ¡ . ¡¡51
wrth ID 5:¡dl l c47· caa7·4772·bl ¡¡·¡coced .. lI. o
Pan nion -...th 10
/ doWICdO
fl oppy d-.\: o

v.riock


devpl s
"" ncutll)"h
'1.f •• fuII.d • • mon
: l
,,, ,,,

'"
.. ,

,,'
.. ,
'" '" ,.,
'"
'"
,,,
,,, ,.,

'" " ., ,,,
,"
., .. ,
'"
., ,,,
'"
'"
.. , ,.,
,,, ,,,
.. ,
';'
Ioc llha.! :ICOCO U
De todos ellos nos vamos a centrar en el directorio /home, que está montado en una
partición independiente y es la idónea paro activar las cuotas de usuario, por ser en
ella donde se guardarán todos los archivos de los mismos. En el marco de la derecha
de la página, seleccionamos con el rotón la opcián /home, que nos llevará a una nueva
pantalla (Fig. 5.37).
• ..,;.hdo.- . G, Ung SI.,"d DI..al •• I HU.r.no.-

lO;"""",
[J w.bm"
O Sy>lom

Ch. n"P,,,.r.;d.
5 .... Mounl l
Mounl no .. '
Edlt Mount
l!homo IQ 51nU3GlI/ fr uU31lB
...... rul mounl at boct O s ...... 0 00(\' ......
ID ,",01Oll O Unmount


F' ''Y'um,

'og • .r, Rou "on
' ""ME Ty.>, .. """m.

""""n, P'o<o" ..
S,h,dul, d
Sd"dul,dC"n),b.
soh" o Pa<";"
S,.""" D.,"m,"'."'"

ehlCl< nt .. ylI, m al bool1 O
Un"" II.U ... fU.. .,...I, m
Un "
0 5 ...... "
0 01" . ..
O U.,,,,,run9
U H. nI"oro
O C .... I ..
UV"""" "" ü .
Somh: 1
A •• _ . ...... , _ , __
TOrmino do
Fig. 5.37. Edil Mounl.

O oth •• drlli,.
A110.... &,u\lon 01
Mo .. " .. r. 'o \\lounl 11<1.
o y" ® Aut on Dn 8fTO'
O n. (i "o 11IIIIIIII
Q R, .. rvo 'PO< . lo. Uro up
O h. (!I I "

En esta nueva página, tendremos que poner la opción Use Qua/as? (¿usar cuotas?) con
el valor User only (sólo usuario), pues vamos a aplicar las cuotas de disco por usuario
y no por grupos.
El siguiente paso consistirá en establecer las cuotas que queramos a cada uno de los
usuarios del sistema. Para ello elegiremos en el marco de la derecha la opción Sys/em
(Sistema) y en ella la opción disk qua/as (cuotas de disco), como podemos ver en la
Figura 5.38.
5
121
122
Seguridad activa en el sistema
----------- ----------------------
. e o Tii'i\' & ] http'J¡localho.t :IOOOO/
lIÍ.ilado.- Oo Gltting slanld Sll Llt .. t H ..
tos,n,r".t
el Wl bmin
o Sysum
Help .•
r.lodul o Co,.(,g
Disk Quotas
Fl!lIlvslem l\IPII MOUl1ll1d Fram statu. AclJan
"<. 1
eootup S¡'utdo",n
I'ao<w"""

Panition with ID 52d( lc4 7·0aa7 ·4772·b.l l·lcec6daa lfu u n r ouotas Active Quet.. !
e i.k and ttot"'",.

83Ckup
L<lg fi lt
r·I!ME Type Program.
PAMAuthonll<at<cn
Running Prcc . .. u
I Edil Uu rQu.lu : 1 [1 ====JI Q Ent., or 011"1 I unr. Ind Ihi, bUlton lo lIÍ"whi. quol .. on aH fd.'Y'tom • .
htlp'1¡1ocl!hc.t:IOOOO/quctoJ
Fig. 5.38. Cuotas de disco.
En esta nueva pantalla aparecen los sistemas de ficheros poro los que se hayan estable·
cido cuotas de disco, que como se ve, solo se ha realizado en la partición /home. Si
morcamos con el ratón la opción /home, iremos a una nueva pantalla que contiene una
línea por cada usuario del sistema (Fig. 5.39).
e.rchivo Hiltorill /:I1" l do,", Hlmomiontls
(JIo GltI1ngSlanod IDLIIluIHud!in .. -
'"
LC\j1n:rcct
Cl Wlbmin
/·\o¿ul. l"de<
Help..
Fllesystem Quotas
El Syst l m
OoclUp Shutde,.",
change Pauwo,d,
C".
C". "nO tt.tv.'crx
Fd lSjf>tem.
Fd uy.tem 8.'.up
Log
Typ. .. m.
PAM Al.<\h.r.t,calron
p'Oto ....
Sch.d"l.d
Schod"lod C,onJob.
Pa:kao.,
Ttrminl do
Al User Quotas on I hol:le
Un, 11.1 quelo, 1
o rocl 34.65 MB
O pope  

I

, "'
un!:miUd
Unlimit.d
. "'

solee' •• loct ron. 1 ed;t gfa, . trmo. I eh".
I updat, S, I"I.d UII ... I
no
,
Fig. 5.39. Cuotas de los usuarios.

ur.!mdt d
u<>lm:t. d
unJ;mt.d
unlan:tld
ul'!!:mit.d
locllho.I,IOOOO Ü
Por último, sólo nos quedo seleccionar los usuarios o los que queremos asignarles cuotas
de disco y establecer las mismas. Para ello se seleccionará el usuario elegido, apare·
ciendo uno nueva pantalla como la que se muestra en la Figura 5.40.
e.rchivo ¡¡dil o, H!.1lorial t:!1" adc,.. HI""miln¡81 "rIIoa
- e (3 S' (§l
!l:JMá.lIÍ.nado.· CJo oIUi1l; Stand Eil Lltnl H .. dl:n.. •
Login, .oel
!I w.bmin
[l Sysl lm
"'
••
Hl lp ..
QUDln fa nr"p. on J h ...
Edlt User Quota
Boclup ond Shutd,,,,,
ehan;.
Ci'\:Ouetn.
50ft kltobyt .. llmll O Ur.!,rTÚt.d \i) Ha,d Idlobyto IImlt O Un!,m,'ud lIiI
Di . \: ,"drlotw",\:
F.I "y,r. m.
Filo'y,r em nat!:up
lag Fd . llotaloon
Type
PAM ;"l.<\he"toc.toon
P'm .....
s,h. durod eemm.nd.
s , h.dul . d (renJ ob,
Scftw3r. • •
Sl"'tom Cecumenr.t.:n

Kllobytos used 5.7] M8 Av .. lI.. ble spa, . O" dllk 1.85 GB 1011111.65 G8 Jr ..
5011 m. llmll @   O r==::J Ha,d 111 . Ilmll @I untm;l l d O r==::J
FU.. u lld 171 A\l3113blo ni .. on dis k 122400Iol ll/ 121947fr ..
I Updlto I
I U,t All o".t .. 1
(1".lhi. b"lI en lo d"pl.y a ti.1 cI.nJ,lu)'1t.m. on...t.thlhi. " .. r hll d .. k quet ... ..,th \0 Ihom.
.. Ro¡urnteu,.rL<t
lo,"tho.I:IOOOO U
Fig. 5.40. Asignación de cuota a usuario.
Uno vez definidas las cuotas, hacemos dic sobre el botón Update (actualizar). Si quisié·
sernas poner cuotas a otro usuario, repetiríamos el proceso anterior.
Seguridad activa en el sistema 5
3. Autenticación de los usuarios
Según la Real Academia Española, autenticar se define cama "dar seguridad de que
alguien a alga es la que representa a parece».
Los métodos de autenticación, en nuestro caso, son los mecanismos que una máquina
tiene para comprobar que el usuario que intenta acceder es quien dice ser.
Estos métodos se pueden clasificar en tres grupos, en función de los medios que se va-
yan a utilizar para identificarse:
• Algo que el usuario sobe y que el resto de las personas desconocen: es lo más
utilizado. Lo usamos poro acceder a nuestra cuenta de correo electrónico, para
conectarnos a T uenti. .. (utilizamos un nombre de usuario y una contraseña que solo
conocemos nosotros).
• Algo que el usuario posee, por ejemplo, una tarjeta de identidad.
• Alguna característica propia del usuario, rasgos físicos o comportamientos. Ejem-
plos: la huella dactilar, característica utilizada en el DNI para identificarnos; la reti-
na, la manera de teclear ... A este tipo de medidas se le conoce como mecanismos
biométricos.
Hay sistemas de autenticación que combinan distintos métodos para alcanzar un mayar
grado de seguridad; pensemos cuando vamos a sacar dinero de un cajero automático,
que primero debemos insertar nuestra tarjeta de crédito (algo que poseo) y luego solicita
el número de identificación, PIN (algo que conozco).
3.1. Políticas de contraseñas
En la mayaría de los equipos infarmáticos, la autenticación de los usuarios se realiza
introduciendo un nombre y una contraseña. Cada usuario tiene asignado un' identifica-
dor y una clave, que permitirán comprobar la identidad del mismo en el momento de la
autenticación.
Como es lógico pensar, la seguridad del sistema va a estar fuertemente relacionada con
la buena elección de la contraseña y la confidencialidad de la misma. Par este motivo,
las empresas suelen tener definidas políticas de contraseñas donde se establece la lon-
gitud mínima de la misma, su formato, el tiempo que será válida, etc.
A continuación, vamos a estudiar las características que debe cumplir una buena con-
traseña:
• No deben estar formadas por palabras que encontremos en diccionarios, ni en
español ni en ningún otro idioma, ya que cualquier programa de fuerza bruta lo
descubriría con facilidad.
• No deben usarse sólo letras mayúsculas o minúsculas, porque se reducirían las com-
binaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef.
• No deben estar formadas exclusivamente por números, por el mismo motivo que en
el caso anterior. Ejemplos: 273456, 373009.
• No debemos utilizar información personal: nombre de nuestros familiares, fecha
de nacimiento, número de teléfono ... ya que cualquier persona cercana a nosotros
podría descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en
las preguntas que te realizan determinadas páginas (correos electrónicos) cuando
no recuerdas la contraseña.
• No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier pro-
grama creado para este fin lo descubriria en un corto espacio de tiempo.
• No debemos repetir los mismos caracteres en la misma contraseña.
Actividades 9J
7. Define una política de
contraseñas para la red
del aula. Dicha política
deberá incluir los siguien-
tes apartados:
• Objetivo del documento.
• Ámbito de la aplicación
(a qué usuarios influye).
• Formato de las contrase-
ñas.
• Longitud de las contrase-
ñas.
• Tiempo de vida de la
contraseña.
• Forzar el historial de
contraseñas.
• Indica tras cuántos in-
tentos se bloqueará la
cuenta.
,.
~  
5
24
Seguridad activa en el sistema
o No debemos escribir lo contraseño en ningún sitio, ni en papel ni en documentos
electrónicos que no hayan sido encriptodos.
o No debemos enviarlo en ningún correo electrónico que nos la solicite.
o No debemos comunicarla a nadie por teléfono.
o Debemos limitar el número de intentos fallidos. Si excede el número máximo de inten-
tos permitidos, el usuario debe quedar bloqueado, par lo que tendrá que ponerse en
contacto con el técnico de seguridad. Es lo que ocurre en los cajeros automáticos, si
te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con
ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se
descubra el número secreto.
o Debemos cambiar las contraseñas de acceso, dadas por defecto por los fabricantes
de routers y otros periféricos, que nos permiten el acceso a la red.
o No debemos utilizar la misma contraseña en las distintas máquinas o sistemas, ya
que si nos la descubren, haríamos vulnerables el resto de equipos a los que tenemos
acceso.
o Las contraseñas deben caducar y exigir que se cambien cada cierto tiempo, al me-
nos una vez al año.
o No debemos permitir que las aplicaciones recuerden las contraseñas.
Por lo tanto, las contraseñas deben ser cadenas de caracteres que incluyan tanto le-
tras mayúsculas, minúsculas, números y caracteres especiales sin ningún tipo de lógica
aparente. La longitud de la misma debe ser superior a ocho caracteres, aunque lo más
recomendable es que supere los quince.
Algunos consejos para poder recordar la contraseña, ya que como hemos comentado
anteriormente no podremos escribirla en ningún sitio, sería elegir palabras sin sentido
pero que sean pronunciables, o bien elegir la primera letra de una frose que recordemos
por ser parte de una canción que nos gusta, o de algún recuerdo, por ejemplo: «Nací
el 6 de junio del 65 en Madrid cerca de las 6 de la madrugada», Ne6dJd6eMcdl6dlm;
para complicarla, se puede poner algún símbolo especial en una posición que podamos
recordar.
Si cumplimos con todas las recomendaciones expuestas anteriormente, haremos que
cualquier intruso que intente descubrir la clave de acceso mediante programas de fuer-
za bruta, como John the Ripper o similares, tenga que perder mucho tiempo y desista
del proceso.
Recordad, una controseña mal elegida o mal protegida puede suponer un importante
agujero en la seguridad del sistema.
Para aquellos de vosotros que no tengáis mucha imaginación para crear claves, hay
multitud de programas que os permiten generar contraseñas con las características que
vosotros queráis. Ejemplos de esos programas son Max Password y Password Generator.
~ Actividades
8. Descargaos la aplicación John the Ripper (www.openwall.com) y comprobad
los tiempos que tarda en descubrir contraseñas:
o Formadas por una palabra que podéis encontrar en el diccionario, por ejem-
plo patata.
o Formadas solo por números 373009.
o Formadas por palabras invertidas, por ejemplo patata al revés, atatap.
o Formadas por palabras en otros idiomas, computer.
o Formada por un conjunto de caracteres sin sentido: $lAh%4Unb89{3.
Seguridad activa en el sistema
5
3.2. Sistemas biométricos
Los sistemas biométricos, se utilizan para autenticar a los usuarios a través de sus rasgos
físicos o conductas.
Estos sistemas se están popularizando en la actualidad; podemos encontrar portátiles
que nos obligan a autenticarnos para acceder a su sistema operativo a través de la
detección de la huella digital.
Otro caso similar nos lo encontramos en Disney World, la identificación de los usuarios
que paseen entrada válida para varios días, se realiza mediante sistemas biométricos; de
esta manera, se evita que un grupo de amigos saquen entradas para varios días aprove-
chando el descuento y que posteriormente accedan al parque en distintas días repartidos
en pequeños grupos.
o ¿Cómo funciona un sistema biométrico?
El funcionamiento del sistema biométrico se compone de dos módulos, el de inscripción
y el de identificación (Fig. 5.41 l.
El primero de ellos, mediante sensores, lee y extrae la característica que identifica al
usuario, almacenando el patrón en una base de datos.
El módulo de identificación lee y extrae la característica que reconoce al usuario. Ese
patrón es comparado con los que se tienen almacenados en la base de datos y se de-
vuelve la decisión sobre la identidad del usuario.
, - - - - - - - - - - - --- -. - - - - - - - - - - - - - - - - - - - -- - -- - - - - - - -- - - - - - - _. - - - - - - - - - - - - .
. .
Extracción
I Rasgos  
Lectura
--n
patrón
sensores
'-- ----- ---- ---- -----1 Módulo de inscripción , _. - -- - --- -- -- -- --  
j - - - - - - --- - - - -- - - - - - - - . - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- -U
I
Lectura Comparación :
: sensores patron patron :
[ Rasgos
: . u - u - . .. -- - -- - u u I Módulo de identificación 1-- ----- --- --- . --- . -
Fig. 5.41. Funcionamiento de un sis/ema biométrico.
Los tipos de sistemas biométricos más populares son:
o Verificaciones anatómicas:
- Mano: huellas dactilares, geometría, venas.
- Rostro: geometría.
- Patrones oculares: retina, iris.
o Verificación del comportamiento:
- Timbre de la voz.
- Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario.
- Longitud y cadencia del paso.
Fig. 5.42. Sistemas biométricos.
y 5 Seguridad activa en el sistema

3.3. listas de control de acceso
Las listas de control de acceso, también conocidas por su sigla en inglés ACL, mejoran la
seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios
que tiene un usuorio de forma individual sobre un determinado fichero, es decir, permi-
ten o limitan el acceso a los archivos de manera individual sin tener en cuento el grupo
al que pertenece el usuario.
Q Caso práctico 8
Definir listas de control de acceso en Ubuntu 9.04 para res'
tringir el acceso a los archivos
la palabro elave «ael» en las opciones de montaje de
dicho fichero.
1. Para poder hacer uso de las listas de control de acceso
debemos comunicarle al sistema en qué particiones
vamos a querer usarlas. Para ello, necesitamos configu-
rar el fichera /etc/fstab.
2. En nuestro caso, además de las particiones de root
y swap, tenemos una tercera dedicada al almacena-
miento de datos; en esta última, vamos a configurar
la lista de control de acceso; para ello modificamos el
fichero fstab (Fig. 5.43), añadiendo la línea corres-
pondiente a dicha partición (Fig. 5.44.)
Los sistemas de ficheros montados con ACL, tendrán
Para comprobar que la distribu-
ción de LINUX sobre la que vas
a trabajar soporta ACL, debes
utilizar el comando grep, como
se muestra en la imagen.
_ ...
,",,, .,, '''''''"''''- .,
g::::;':.;:,,,::-;:,"".'
" .. ",,,,,,,,,,,.,
"",,, .m,,,, " ."". ""_,
   
"",,,,,,,,,,,,,,,,,,,,'1
Fig. 5.46. Comprobación ACL.
Para configurar las listas de con-
trol de acceso (ACl) debemos
realizarlo bajo el perfil de admi-
nistrador.
,archivo ¡;:ditar Yer Jl!rm .... I"C"' ;:. I..:A"' ,, üd"" ______________ r:1 1
aiiiiliifst rador@Jupiter:: 5 su
Contraseña:
root@Jupiter:/hor.:etadr.linistradorll gedi t /etc/fstab
Fig. 5.43. Edición de fichero fstab.

00 ...• -
. " .i\i)j!3)o¡¡¡3IT1l = @i
Archivo ,Editar yo< fluscar Qocumentos Aluda
[()
El
I
I
Ret: acer I
M
I@ I v
"" Nuevo Abrir Imprimir ... Deshacer Cortar Copiar Pegar
Gl fstab
01
11 letc/fstab: static file systern information.

11 Use ' vol id --uuid' to print the universally unique identifier tor a
11 device; this rnay be used with UUID= as a more robust way to name devices
11 that works even if disks are added and removed . See fstab(5).

11 <file system;:. <tnount poinb <type;:. <options;:. <dur.lp;:, <pass;:.
proc Iproc proc defaults
, ,
11 / was on ¡dev/sdal during installation
UUID=3d399d92 -e635 -43eb -9f4d -a1787971 ffle / ext3
relatime,errors=remount-ro 9 1
# /home was on Idev/sda5 during installation
UUID=97f379ae-93aS-4668 -b949 -ded3a139cce7 /home exO
relatime
,
2
11 swap was on ¡dev/sda6 during installation
UUID=2e99a71 f -5dfa-491 f -897b-d74d9161a35d none swap
'"
, ,
¡dev/scd9 /media/cdrom9 udf,iso9669 user,noauto,exec , utf8 9
,
Idev/fd9 Ir.ledia/floppye auto rw,user,noauto,exec,utf86
,
/dev/sda5 Ir.:edia/datos auto rw,user,auto,exec,ac19
,
I
Texto plano" 11 Ancho de la tabul ación: B" 1 I..n 17, eol1 INS
Fig. 5.44. Fichero fstab.
3. A continuación, procederemos a montar la partición nuevamente (Fig. 5.45).
Actividades
9. ¿Qué diferencias hay
entre el uso de las ACL y
el de la orden chmod?
•• 1, • J • _ •
• - • • t
.Brehivo .Editar yer Terminal Ayyda
root@Uupiter:/ home/administrador# mount -o remount,acl /dev/sdaS
root@Jupiter:/home/administrador#
Fig. 5.45. Remon/or unidad.
v
[1,
(Continúa)
= .
archivo Editar yer Iermlnal Ayuda
root@Jupiter:¡hot.le¡adminlstrador# ls -1 G
total 348 1
1
drwxr-xr·x 2 administrador administrador 4896 2099-87-31 22 35 DocUr.Jcnto 5
drwxr·xr·x 2 administrador administrador 4096 2009-09-82 23 41 Escritorio
·rw-r··r·· 1 administrador administrador 3572089-07-312233 examples.desktop
·rwx····-· 1 administrador administrador 94677 2089-87-22 18 41 gedit . png
-I"W)("'--- 1 administrador administrador 3B868 2889-87-22 18 52 getfacl.pn[l
drwxr-xr-x 2 administrador administrador 4896 2089-87-31 22 35 Ir.Ja[lenes
-rwx"'--- 1 administrador administrador 72664 2089-87-22 10 50 listado de fiche
ros . png
-rwx- - - - - - 1 adr.'linistrador administ rador lB157 2889· 87 - 22 Hl: 47 r.Jontaj c _ png
drwxr-xr-x 2 administrador administrador 4896 2889·87-31 22:35 r-hisica
·rwx----·· 1 administrador administrador 19165 2889·67·22 18:32 pantallazol.png
.rwJ(-- •••• 1 administrador administrador 18383 2069·67·22 18:38 pilntaltazo . png
drwxr·xr·x 2 administrador administrador 4096 2809-07·31 22:35 Plantillas
-!"\J·r··r·· 1 root root 332809-09·02 23:53 prueba
dl"l/xr·xr·x 2 administrador administrador 4896 2089-87·31 22:35 Público
-rwx······ 1 administrador administrador 33834 2889-07-22 10:56 sctfacl.png
drwxr-xr-x 2 administrador administrador 48962889-87-3122:35 Videos
root@Jupiter:¡heme/administrador#
Fig. 5.47. Ficheros de un directorio.
11:1
I

An:hivo "ditar yer TermInal Ayuda
r oot@Jupiter:/hor.le¡adr:1inistrador# getfacl    
# file: prueba
# owner: root
# group: roet
user:: ru-
group:: ro.
other:: r--
reot@Jupiter:/heme/administrador# getfacl
# file: .
# owner: administrador
# group: administrador
user:: rwx
group:: r-x
other: : r-x
roo t@Jupiter:/home¡administrador#
Fig. 5.48. Resullada comando getfacl.
an:hivo Editar yer Terminal AYlJ.da
root@Jupiter:/home/administrador# setfacl -m user: fernando: rw- prueba
root@Jupiter:/home/administrador# getfacl prueba
# file: prueba
# owner: root
# 9 roup: root
user:: N-
user: fernando: n.o-
group::r-·
r:msk:: 1"1/'
other:: r-'
.
root@Jupiter: ¡heme/administrador#

L Fig. 5.49. Resullado comando setfacl.
Seguridad activa en el sistema 5
Casa práctico 8 9
(Continuación)
Para realizar el ejemplo, root ha creado un fichero lla-
mado prueba.
4. A continuación, mediante el comando getfacl,
vamos a ver la información que almacena la lista de
control de acceso del fichero prueba y del directorio
actual.
Nos informa del nombre del fichero, del propieta·
rio, del grupo y lo que más nos interesa, los permi·
sos del propietario (user::rw·), del grupo (group::r .. )
y del mundo (other::r .. ). Lo mismo para el directorio
actual (Fig. 5.48).
5. A continuación, vamos a darle permisos a Fer-
nando, para que pueda leer y modificar el fichero
prueba. Paro ello, debemos utilizar el comando
setfacl con la opción «·m», que nos permite
modificar la ACL, y por último, comprobamos que
se ha realizado la modificación solicitada (Fig. 5.
49).
Seguridad activa en el sislema
q Casa 9
Definir listas de control de acceso en Windows utilizando el comando cacls
para evitar el acceso a los ficheros a usuarios no autorizados
l . . Para la realización de esta actividad debemos tener creados al menos dos usua-
rios: Usuario 1 y Usuari02.
2. En la carpeta Mis Documentos del Usuariol, crearemos otros dos directorios:
Confidencial y Datos compartidos.
3. El Usuario 1 quiere permitir que Usuari02 pueda leer documentos que hay alma-
cenados en Datos compartidos. En estos momentos eso es imposible, el Usua-
ri02 no tiene permisos para acceder a Datos compartidos. ¿Qué podemos
hacer? Modificar la lista de control de acceso para permitirle entror a la carpeta
Datos compartidos. Además, debemos permitir el acceso a la carpeta Usuario 1
de Documents and Settings y al directorio Mis Documentos.
Paro ello debemos ejecutar la instrucción cacls, cuya sintaxis es:
Cacls fichero /parámetros
Los parámetros son:
11.- Cambia las ACLS de los archivos especificados en el directorio actual yen
todos sus subdirectorios.
le.- Modifica la ACL en vez de reemplazarla. Este parámetro es muy importante,
supongamos que queremos darle permisos al Usuari02 y no utilizamos este
modificador; entonces se reemplaza la ACL antigua por la nueva, no permi-
tiendo al Usuario 1 acceder a su información.
Ic.- Fuerza la modificación aunque encuentre errores.
Ig usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total).-
Concede derechos de acceso al usuario.
IR usuario.- Suspende los derechos al usuario.
Ip usuario:perm.- Sustituye los derechos del usuario especificado.
Id usuario.- Deniega el acceso al usuario especificado.
La instrucción cacls permite modificar las listas de control de acceso a los ficheros.
Según la sintaxis anterior, debemos ejecutar el comando que aparece en la
Figura 5.50.
Fig. 5.50. Modificación ACL del directorio actual y subdirectorios.
El resultado es que el Usuari02 puede entror a todos los directorios y ficheros
que cuelguen del directorio Usuariol, o lo que es lo mismo, puede visualizar
cualquier documento de dicho usuario.
Como toda la información del Usuario 1 está almacenada en dos carpetas, Con-
fidencial y Datos Compartidos, para que no tenga acceso el Usuari02 al direc-
torio Confidencial del Usuariol, debemos ejecutar la orden de la Figura 5.51.
"
_ [J x
C: ' D'U. llm·nl . "mi     ' " :: ll,'¡'!ul )" " l . "Mi :.. ,lu¡;"rU'nlw.'( oIlJ ¡!Iclle!.,I" / c / 11 11:"1111:1
, 1\' Iní! : N
Fig. 5.51. Denegación de acceso a carpeta confidencial.
Seguridad acliva en el sislema 5 '-...C
----------------------------------- I
• 4. Vulnerabilidades del sistema
Los sistemas operalivos son pragramados y sometidos a numerosas pruebas anles de
ser lanzados al mercado, pero no se descubren sus verdaderas vulnerabili dades hasta
que los «expertas en seguridad" (hackers, crackers, virus .. . ), lo someten a sus duras
pruebas. Entonces, esos agujeros son corregidos con la mayor celeridad posible por los
programadores del sistema.
Por el lo, siempre debemos mantener el sistema aclual izado.
4.1. Evitar vulnerabilidades en Windows
Poro evitar los vulnerabilidades en Wi ndows, debemos mantener el sistema aclualizado
con los últimos parches. Esto lo podemos realizar de distintas maneras:
Windows praporciona un servicio de aclualizaciones automáticas a lravés de la Web,
denominado Windows Update, ubicado en windowsupdate.microsolt.com. Si nos co-
neclamos a esta página, el servicio analiza el sistema operativo y determina las acluali-
zaciones que es necesario descargar.
Olra manera es configurar el sistema operalivo paro que realice las descargas de las
acluali zaciones automáticamente. Para ello debemos pulsar el balón Ini cio de Wir,dows
Vista, hacer clic sobre el Panel de Control y seleccionar la opcián de Windows Update
(Fig. 5.52).
l!!f:J i]J
...
"'-_ SoL

1_. -=t v.-........

Fig. 5.52. Panel de control.
--- ........-
[i) 'i> <&
o,ac.... ... ... 0,-. ..
..., ... ... -- -

, ...... ...... ........... ,
_,:Mf



_.
-
-
,-


w_
".-
w_
-." ,,-
A conti nuación, se abre una nueva ventana simi lar a la que se mueslra en la Fi gura 5.53.
\'linrlaw> Upd.te
[@
         
.. ,,"""' . ....-. ... .......
I
-_ ... --.....
....¡.. ... __ ,.-..w_
__ ... _ Joto, . InlG!
.... :ten.ld.", ...
_ _ .... ...,,-.,....oie" __ ..
...... , .... UO! ..
Fig. 5.53. Windows Updote en Windows Visto.
Windows publica las actuali za-
ciones los segundos martes de
coda mes, conocido como Patch
Tuesday (martes de correccio·
nes), a no ser que sea una adua·
]¡zación crítica, en ese caso se
publica según se termine.
5 Seguridad activa en el sistema

En esa ventana podemos buscar actualizaciones, cambiar la configuración, consultar
el historial de actualizaciones, restaurar actualizaciones ocultas y ver las preguntas fre-
cuentes sobre el proceso de actualizar el sistema.
Como estamos intentando configurar las actualizaciones automóticamente, debemos
hacer dic en la opción Cambiar configuración, que se muestra en el marco izquierdo
de la Figura 5.53.
00 .. Wi!ldaws Upd.!!! • úmbiar configuf.ciOn
Elija la forma en que Wi ndows puede instalar las actualizaciones
(ulndo ti equipo HU cantct.do, Windaws puede comprobar lutom'tic.mente In adu.liucicnH e
imt.llIlu I/undo uu ccnfigu,',ión. Cuando utén dilponiblu nuevll .dll. liucienes, plltde instabtlu
.ntH de ap'g,r ti equipo.
Informacién soln!! ActuJIi::Jdont5 lutomal icJs de Window!
ri:ll, @InsUlar.ICt!WIDdonesluwm!t1umente(recomendado)
V [mUlu nuevu .ctulli:.tciones.:
1101l051011llU .I,ln
CI Busca! . du.liuciones, pero ptrmítirme elegir si desto descargarlu t instllllln
rL'JII e No bUSC4r 'du,linciona (1\0 recomendadD)
W El equipo str' misvulntllblt •• menua¡ dt seguridad y problunas de rendimiento sin Ju
IctualÍIadcnes más redmtes.
Actuali",cicnes recomendadas
O lnduir lu actuaJi::adonu recomendadu cad. ve..: que se descar!luen o instalen actualizadones, g
clda vu que recib. un. nclifi"ción ,obre tJln.
Nota; u posible que Windcws Update se actulli,e lulom'liclmenle antu de que busque ctras
actualÍIldones. Lea la   de nnv3cid. d I'nu .
0 Aceptu II C.ncetn I
Fig. 5.54. Configuración Actualizaciones.
En la nueva ventana (Fig. 5.54), seleccionamos la primera opción, Instalar actualizacio-
nes automáticamente (recomendado), definiendo cuándo queremos que se instalen las
nuevas actualizaciones. Como sabemos que Windows suele publicar las actualizaciones
los martes, lo podemos configurar para que se instalen los viernes a las 20:00 horas,
de esta manera, nos aseguramos que no han dado problemas los parches publicados.
Otra opción que podemos seleccionar en la misma ventana es Descargar actualizacio-
nes, pero permitirme elegir si deseo instalarlas; como su nombre indica se descargan las
actualizaciones, pero no son instaladas hasta que no demos la oportuna orden.
Otra selección posible es Buscar las actualizaciones, pero permitirme elegir si deseo
descargarlas e instalarlas; de esta manera, no se descargan las actualizaciones, ocu-
pando espacio en el disco duro hasta el momento en que las instalamos.
Por último, podemos optar por no buscar las actualizaciones; en ese caso somos los
responsables de acceder a la página de Windows Update y determinar las actualiza-
ciones que necesitamos para mantener nuestro equipo sin vulnerabilidades.
De la misma manera que mantenemos actualizado el sistema operativo, debemos
mantener actualizado los programas que tenemos instalados y, por supuesto, el fir-
mware de los distintos periféricos que conectamos al equipo: router, switch, etc.
Como perderíamos mucho tiempo consultando la página de cada fabricante para ver si
han publicado nuevas actualizaciones de las aplicaciones instaladas, podemos utilizar
algunos de los numerosos programas gratuitos que existen. Estos se conectan a Internet
y nos informan de si hay nuevas actualizaciones publicadas que aún no tengamos ins-
taladas.
Algunos ejemplos de dichos programas son APPGET, SUMO, LOGICIEIMAC.COM,
APPFRESH, UPDATE NOTIFIER (http://cleansofts_org), etc.
Seguridad activa en el sistema
• 5. Monitorización del sistema
Con lo monitorización del sistema vamos a poder auditar los eventos que se han produ-
cido en nuestro equipo.
5.1. Monitorización en Windows
Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr.
msc. En la Figura 5.55, podemos ver que guarda información de los sucesos de aplica-
ción, seguridad y sistema.
------ -
- - - - -
--
IJ Visor de sucesos

"""""
AaJ6n Vo< Ayud.
I
.. .. [il111!@ I @
I
fl¡JI
" . <0. .
I V= de """'" (loc"l
r
,1 """"'60 Nombre I 1100 I I TarMio
\1 Seguridad
Iill Apl<odón Regl ... Registros de error de aplicac ...

L
!¡ S"tstemo!l
Iill Seguridod Regi ... Registro de audiroria de seg ...

Iill"''''''''
Regl ... Registros de error del sistema

"

Fig. 5.55. Visor de sucesos Windows.
Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt,
ubicados todos ellos en el directorio %SystemRoot%\system32\config.
Es muy impartante configurar correctamente el tamaño y el acceso a los mismos. El
tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el
sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren
sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,?ncargados
de la seguridad del sistema.
5.2. Monitorización en Linux
Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Siste-
ma > Administración> Visor de archivos de sucesos.

- ....
. " -  

.Archivo fditar Ayyda
Xorg.O.log
.
- -
3 oo ;;;;¡i Jupiter SU[18114]: Sep
Xorg.20.log
Sep 300:22 :11 Jupiter su[18114]: pam unix( su:session): se
V" auth.log
Sep 300,22 ,11 Jupiter dbus -daemon, Rejected send message' l
Sep 300: 27:11 Jupi ter su[18114]: pam_unix(su:session) : se
miércoles, 2 sep -
Sep 300:27:17 Jupi ter gdm[2759]: pam unix(gdm:session): s
jueves. 3sep
Sep 300: 27: 28 Jupiter gdm[2759]: pam-unix(gdm:session): s
auth.log.O
Sep 300:27: 28 Jupiter gdm{2759]: pam-ck connector(gdm:ses
Sep 3 00 :27: 2B Jupiter gnome -keyring -daemon[ 18441] : adding
boot Sep 3 00 :27 :35 Jupiter dbus -daemon: Rejected send message,
bootstrap.log
=Sep 3 00 :27 :35 Jupiter dbus -daemon: Rejected send message,
daemon.log
- Sep
3 00: 27 :35 Jupiter dbus-daemon: Rejected send message,
Sep 3 00: 27: 35 Jupiter dbus -daemon: Rejected send message ,
daemon.log.O Sep 3 00 :27 :36 Jupi ter dbus-daemon: Rejected send message ,
debug
Sep 3 00:27 :36 Jupiter dbus -daemon: Rejected send message,
Sep 3 00:27:36 Jupiter dbus-daemon: Rejected send message,
I
debug.O
Sep 3 00:27:36 Jupi ter dbus-daemon: Rejected send message,
dmesg Sep 3 00:27:36 Jupiter dbus -daemon: Rejected send message,
dmesg.O
Sep 3 00 :27:36 Jupi ter dbus -daemon: Rejected send message,
dpkg.log
Sep 3 00 :27:36 Jupi ter dbus -daemon: Rejected send message.
El
v ( '"
IIL
303 lineas (78,4 KiB) - última actuali zación: lllu Sep 301: :022009
Fig. 5.56_ Visor de sucesos Linux.
5
5 Seguridad activa en el sistema
                                                                                           
Vocabulario

Lag. Es el registro de un evento
que se produce en el sistema.
viene de weB lOG.
132
Para simplificar lo auditoría, Linux tiene un conjunto de comandos, que se especializan en el
registro de los distintos eventos. Poro auditor los entrados 01 sistema utilizaremos el comando
last (Fig. 5.581, poro auditor los accesos fallidos usaremos el comando lastb (Fig. 5.591 Y
poro los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601.
Los ficheras donde se guarda la información se encuentran ubicados en el directorio
/var/log (Fig. 5.571.
administradon@Uupiter:/var/log$ 15
apparmo r kern .log . 2. gz
i1pt dmesg lastlog
auth.log dmesg.e lpr.log
auth. log.e dmesg.1.gz mail.err
auth . log . l.gz dmesg.2.gz ma11.1nfo
auth .tog . 2.gz dmesg.3 . gz mai1.109
boot dmesg. 4. gz llIail.warn
bootstrap.log dpkg.log messages
btmp dpkg .10g.1 messages.9
btmp.l exi m4 messages.l . gz
ConsoleKit fa11109 messages . 2.gz
cups fontconfig.log neli S
daemon.log fsck pycent ralo log
daeman. tog. a gdm samba
daemon . log . l . gz insttltter syslog
daeman. lag. 2 .gz jockey.log syslog . e
debug jockey.log.l syslog . l .gz
debug . e kern.tog systog . 2.gz
debug . l . gz kern.tog . a syslog.3.gz
debug.2.gz kern.tog.l . gz syslog.4. gz
administ rado r@Jupiter:/var/10g$
Fig. 5.57. Ubicación /ogs de Linux.
syslog . 5. gz
udev
unattcndcd-upgrades
user .log
user.log.o
user .10g.1. gz
user.log . 2. gz
wpa supp11cant . log
\</pa: supplictlnt . lag . l . gz
wpa_supplicant.log.2.gz
wpa_supplicant.log. 3.gz
wpa_supplicant.log. 4. gz
wtmp
wtmp.l
Xorg.9.1og
Xorg.9 . 1og.o1d
Xorg.29.1og
A continuación, vamos a ver unos ejemplos de los comandos vistos anteriormente.
Archivo bfitar ')[er Jenninal Ayyda
root@Jupiter:-# last
fernando pts/2
fernando ptS/ 2
root ptS!l
administ pt5/9
administ ptS/5
administ pt5/4
administ ptS/3
administ pt5/2
administ pt5/1
administ pts/o
192.168.1.35
192.168.1.35
jupiter
:9.9
jupiter.locat
jupiter.locat
:0.0
jupiter
jupiter
:0. 0
Fig. 5.58. Resu/lado comando lasto
Archívo .;:ditar Ver Jermínal Ayyda
ana@ana-desktop:-$ lastb fernando
lhu Sep
Thu Sep
Thu Sep
Thu Sep
Thu Sep
Thu Sep
Thu Sep
Thu Sep
Thu sep
Thu sep
.
3 00:52 5titl togged in
3 00:46 00:47 (00:00)
3 00:45 stitt togged in
3 00:43 5t1tt togged in
3 00:38 . 09:38 (00:00)
3 00:37 . 09:38 (00:91)
3 00:31 . eO:38 (00:07)
3 90:30 . 00:38 (00:97)
3 00:30 - 00:38 (00:08)
3 00:29 . 00:38 (00:08)
.' . ... (;;;,¡
El
I
fernando tty7 :0 Thu Ju\ 23 13:49 . 13: 49 (66:66)
btmp begins Thu Jul 23 13:49:28 2989
ana@ana-desktop: -$ lastb
Fig. 5.59. So/ido comando lastb.
Archivo .Editar ')[er Jenninal Ay.uda
root@Jupiter:-# lastlog · u fernando
Nombre Puerto De
fernando pts/2 192.168.1.35
root@Jupiter:-#
Fig. 5.60. Resu/lado comando lastlog.
Último
jue sep 3 09:46:59 +9290 2099
Seguridad activa en el sistema
5
6. Software que vulnera la seguridad
del sistema
En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... )
como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del
sistema.
6.1. Clasificación de los atacantes
Los atacantes se pueden clasificar según el tipo de ataque:
• Hackers: son personas con grandes conocimientos informáticos y telemáticos (exper-
tos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar
los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulne-
rabilidades. La principal motivacián de los hackers es seguir aprendiendo y mostrar
las vulnerabilidades de los sistemas al mundo. En ningún caso buscan un beneficio
econámico o dañar la estructura del sistema. Podríamos hacer un símil con una
persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha
llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado
allí, para informar de la vulnerabilidad de la misma. También son conocidos como
hackers de sombrero blanco.
• Crackers o hackers de sombrero negro: el término hacker fue utilizado por los me-
dios de comunicación de forma genérica, para referirse a cualquier intruso en un sis-
tema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers
inventaron una nueva palabra para designar a aquellas personas que rompían las
barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban
un beneficio económico o bien porque por venganza dañaban las estruc.turas de los
sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers
criminales, hackers cuyas intenciones son maliciosas.
• Phreakers: son expertos en telefonía. Son conocidos como los phone crackers, los
crackers de la telefonía, buscan un beneficio económico saboteando las redes tele-
fónicas para realizar llamadas gratuitas.
• Ciberterroristas: san expertos en informática y en intrusismo en la red, que ponen sus
conocimientos al servicio de países y organizaciones para el espionaje o sabotaje
informático.
• Programadores de virus: son expertos en programación, en sistemas y en redes, que
crean pequeños programas dañinos, que por uno u otro motivo llegan a la red y
se distribuyen con rapidez ocasionando daños en los sistemas o en la información
almacenada en los mismos.
• Carders: atacan los sistemas de tarjetas, especialmente los cajeros automáticos.
• Sniffers: lo podríamos traducir como colilla, son las personas que se dedican a es-
cuchar el tráfico de la red, para intentar recomponer y descifrar los mensajes que
circulan por la misma.
• lammers: también conocidos como wannabes o script-kiddies o c1ick-kiddies, son
chicos jóvenes que sin grandes conocimientos informáticos, se creen verdaderos hac-
kers y se lo hacen creer a los miembros de sus pandillas. Estos sólo se han descar-
gado herramientas o programas de Internet para realizar ataques informáticos y los
han puesto en marcha sin saber cómo funcionan. Los verdaderos hackers muestran
una gran repulsa hacia los lammers.
• Newbie: son los hackers novatos, empiezan a aprender y van superando los prime-
ros retos para llegar a ser verdaderos hackers.
Luser es el término que utilizan
Jos atacantes para referirse al
usuario que va a ser atacado.
Es la abreviatura de Local USER.
La palabra hacker ha sido i-
zada erróneamente por la pren-
sa para referirse a aquellas per-
sonas involucradas en cualquier
acto que ataque la seguridad
informática, sin tener en cuenta
el fin del misma.
Seguridad activa en el sistema
6.2. Tipos de ataques
Podemos hacer una primera clasificación de los tipos de ataques según los objetivos de
seguridad que vulneran.
• Interrupción, este tipo de ataque vulnera la disponibilidad de un recurso del sistema
o de la red. El recurso no podrá ser utilizado. Ejemplos, denegación del servicio,
el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de
un disco duro, cortar una línea de comunicación, deshabilitación de un sistema de
ficheras (umount).
r
Interrupción
Fig. 5.61. Interrupción.
• Intercepción, ataca la confidencialidad. Un intruso accede a información almacena-
da en nuestro sistema o al que hemos trasmitido por la red, es decir, la información
ha caído en manos de personal no autorizado. Ejemplos, captura de información en
la red o copia de archivos no autorizada.
Intercepción Fig. 5.62. Intercepción.
• Modificación, ataca el objetivo de integridad. Los datos han sido manipulados por
personal no autorizado en algún momento entre su creación y su llegada al destina-
tario. La información que se dispone después de un ataque de estas características
no es vólida ni consistente. Ejemplos, las modificaciones de programas para que
realicen acciones diferentes a las prapuestas originalmente, modificar un mensaje
transmitido por la red, DNS spoofing, ...
Modificación Fig. 5.63. Modificación.
• Fabricación, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones
destinadas a conseguir que el praducto final sea similar al atacado de forma que
sea difícil distinguirlo del original. Por ejemplo, el phising.
ot:.JI'J-----l O =F=abrica=ción=
\
Fig. 5.64. Fabricación.
Seguridad activa en el sistema 5
Otro tipo de clasificación se puede realizar en función de la forma de actuar de los
ataques:
• Spoofing o suplantación de la identidad: la técnica de spoofing (engaño o falsea-
miento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de
switch como elemento de interconexión entre los diferentes Pe.
Este ataque consiste en falsear algún dato de un PC atacado. Existen distintos tipos
de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en en-
gañar a la tabla arp que los equipos guardan en memoria, tabla que simplemente
asocia una dirección física o mac de una tarieta de red con su IP (Fig. 5.65).
Fig. 5.65. Tabla ARP de PC atacado antes de realizar ARP Spoofing.
Con esta técnica de engaño podemos hacer creer a un PC atacada que la dirección
física de otro PC, también atacado de la red, es la del PC del atacante, consiguiendo
con ello que todo el trófico de red entre los dos PC atacados pase por el PC del atacante
(Fig. 5.65); es lo que se conoce como man in the middle (hombre en medio):
En la Figura 5.66 podemos ver como la MAC de la dirección del PC atacado
(192.168.0.134) ha sido modificada con la dirección física (00-Of-ea-16-8e-59) que es
la dirección física del atacante.
Fig. 5.66. Toblo ARP del PC otocodo tros el ARP Spoofing.
Otra versión de este tipo de ataques es el DNS spoofing o engaño de DNS, que consis-
te en falsear la respuesta del servidor DNS sobre una petición y darle una dirección IP
diferente a la real. Es decir, que cuando un PC atacado pide por eiemplo la IP de www.
mibanco.es a su servidor DNS, el equipo atacante falseará el paquete de datos de los
DNS con la respuesta y le puede engañar dándole la IP de otra equipo cualquiera. Así
en vez de conectarse a su banco se conectaría a otra PC diferente pudiendo falsear la
pagina de entrada de su banca electrónica y capturando sus claves de acceso a la misma.
Veamos estas dos técnicas mediante una próctica realizada con el programa CAIN que
te puedes descargar de la página http://www_oxld.it/cain_html.
El comando ARP permite ver
o modificar los entradas de la
tabla de IP-MAC.
Seguridad activo en el sistema
  Caso práctico 10
ARP spoofing y DNS spoofing
En esta práctica, vamos a hocer que cuando un usuorio desde un PC atacodo
resuelvo lo IP asociada al nombre www.google.com. en vez de contestarle con la
dirección real , obtendrá como repuesta la IP de un equipo de nuestra red.
Antes de hacer el DNS spoofing tendremos que realizar un envenenamiento de
la tabla ARP, para osi cambiar las tablas Ip·MAC del PC atacado y del router y
redirigir todo el tráfico que va desde el PC atacado hacia el router a través del PC
del atacante.
Como vemos en la Figura 5.67 antes del ataque, el DNS resuelve la dirección de
Google can su direccián IP real (209.85.229.147) .
Fig. 5.67. Ping a la dirección www.google.com.
Después del atoque, el atacante modifica la dirección devuelta par el DNS por una
dirección que el atacante configura a través de la aplicación CAIN. Para realizar
esta práctica debemos seguir dos sencillos pasos:
1. El primero, crear una entrada de envenenamiento ARP (Fig. 5.68). Con esto con·
seguiremos que todo el tráfico entre PC atacada y el router sea redireccionado
al PC del atacante.
Fig. 5.68. Entrada de envenenamiento.
2. El segundo paso, consiste en introducir una entrada de DNS spoofing (Fig. 5.69)
consiguiendo que cuando el atacado se quiera conectar a Google realmente se
conectará al equipo con la IP 192.168.0.134. (Continúa) I
Seguridad activa en el sistema
  ~
_________________ ,¡: c:::; o.:;; so::..práctico 109
(Continuación)
l'J'R-tMAPS(O)
APR-ltW'5(O)
j\ffi-SIPS(O)
,
192.1l1li.0.134 ~ 6
Fig. 5.69. Entrada de DNS spaafing.
Como se puede ver en la siguiente imagen, cuando hacemos un ping a Google
desde el equipo atacado devuelve la dirección que ha configurada el atacante
(192.268.0.134).
Fig. 5.70. Resultada de la entrada de DNS spooting.
Como es lógico pensar, esta técnica se puede utilizar para cometer fraudes en
intranets o redes corporativas reenviando al atacado a una pógina muy similar a
la original, pero falsa, por lo que el intruso podrá ver sus claves.
Contra este tipo de ataques podemos luchar creando las tablas ARP de los equipos
expuestos de forma estática mediante el comando ARP.
Sniffing o análisis de tráfico: como hemos comentado en el epígrafe de tipos de atacan·
tes, este tipo de ataques consiste en escuchar el tráfico de la red.
En las redes de área local que utilizan el HUB como medio de interconexión entre
los equipos, esta técnica se convierte en un juego de niños; como sabemos, los hubs
o concentradores repiten toda la infarmación recibida por cada uno de sus puertos.
Para dificultar el uso de esta técnica, debemos sustituir los concentradores por switchs
o conmutadores, ya que estos últimos al tener definidas las tablas de direccionamiento
(CA M Control Addressable Memory) sólo mandan la información recibida por el puerto
adecuado. Pero es tan fácil como utilizar una técnica de MAC flooding, que consiste en
saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento
y terminen funcionando como concentradores, es decir, que reenvían la información
recibida por todos los puertos por no saber por cuál de ellos debe enviarla.
MAC. Media Access Control,
es un número de 48 bits que
generalmente se expresa como
12 digitas hexadecimales, y que
identifica de forma única a cada
tarieta de red ethernet.
i /
5
Seguridad activa en el sistema
   
q Caso práct.:: ic::: o:.,.l:..l=---________ _
Comprometer uno sesión telnet entre dos equipos atacados
Para la realización de esta práctica hemos utilizado tres
equipos conectados a la misma red mediante un switch.
Volveremos a utilizar la misma aplicación que en el caso
próctico anterior, CAIN, con la que envenenaremos me-
diante la técnica del ARP spoofing el trófico generado en-
tre los dos PC atacados consiguiendo visualizar el conteni-
do de la sesión telnet entre los mismos.
Fig. 5.71. Envenenamiento del tráFico entre dos PC
Fig. 5.72. Inicio sesión fe/neto
1. Como puedes ver en la siguiente imagen (Fig. 5.71),
se está envenenando el trófico entre dos PC; uno con
la dirección IP 192.168.0.134, que será el que inicie la
sesión telnet, y otro con dirección IP 192.168.0.136 que
es quien tiene en ejecución un servidor telnet.
2. En el siguiente paso, vamos a ver como el sniffer escu·
cha el tráfico generado entre los dos PC atacados
durante una sesión de acceso remoto.
En primer lugar Emilio inicia una sesión telnet autenticándo·
se mediante su nombre y usando como contraseña patata
(Fig. 5.72).
En la siguiente imagen, vemos como el sniffer mediante la
aplicación CAIN ha sido capaz de comprometer nuestra
sesión telnet (Fig. 5.73). El intruso ve el nombre de usuario
y la contraseña utilizados para la conexión y posterior-
mente la ejecución del comando dir realizada durante la
sesión por el atacado.
: [7: lota [7: lefa [10: ah (10: af u o [10: 9fama [10: 101'11 D [10:Ufll a [la: 12fl1l1 a [lo: l11'oa [lO: 14 f
0(3:31'
[7: 3. fdlda [7: ] 5fri a (7; 36fr D [7: ] 7f
Fig. 5.73. Te/ne! comprometido.
Seguridad activa en el sistema 5
• Conexión no autorizada a equipos y servidores: este tipo de ataque consiste en des-
cubrir distintos agujeros en la seguridad de un sistema informático y establecer con
el mismo una conexión no autorizada. Ya sea porque hemos descubierto las con-
troseñas de algunos usuarios, como en el caso práctico anterior, o bien utilizando
aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir
el acceso al equipo desde el exterior.
• Intraducción en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos
o gusanos son conocidos como malware, programas malintencionados, que infectan
nuestro equipo dañando de múltiples formas nuestro sistema.
- Los virus son programas que se propagan entre los equipas. Su código se adjun-
ta al de otro programa existente en el sistema para facilitar la propagación del
mismo y causar los daños para los que han sido diseñados por el creador. La
característica principal es que su código ha sido escrito con la intención de que se
vaya replicando para así infectar el mayor número de equipos posibles. Ejemplos
famosos de virus son Barrotes, Viernes 13 ...
- Las gusanos son diseñadas con el mismo fin que los virus, que se propaguen por
la red. Se diferencian en que éstos no necesitan la intervención del usuario, ya
que no se adjuntan a ningún otro programa, sino que son distribuidos de manera
completa par la red consumiendo en la gran mayoría de los casos un gran ancha
de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos
ejemplos famosos de este tipo de programas son Sasser y Blaster.
- Las troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayo-
ría de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se
pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.
Estas daños varían desde aquellas que no realizan ningún perjuicio al equipo infectado
hasta otros que realizan verdaderos destrozos irreversibles en nuestro sistema.
Para evitar el ataque de este tipo de programas se han comercializado aplicaciones de-
nominadas antivirus que mantienen actualizadas sus ficheros de firmas parci detectar y
eliminar los programas con código malicioso. Ejemplos de antivirus son Panda, Norton,
AVG, etc. Todos ellos tienen antivirus on-fine (en línea) que en la mayoría de los casos
sólo permiten detectar si nuestra máquina está infectada.
Es aconsejable tener instalado un antivirus, teniendo en cuenta que todos ellos ralentizan
tonto el arranque como el normal funcionamiento del equipo por consumir recursos del
equipo.
actlvescan2-0
""' ,"""""' ''' ...... , ,,,...
...." ... .., ...... ..,.. ... '-w""' •• , ,,, __ .... _ • ., .... '."n"" ••    
............. .. . ",'"" .. """"""'_ .. ..,."' ''' .... ....
..',,,, .. , .... """"
""' ......          
''''''''''0:.'''. '',,,,,,,,,,
Fig. 5.74. Anfivirus online de Panda.
Puedes descargarte una versión
demo de 30 días del antivirus
ESET en http://demos.eset.es/.
En el sitio podrás elegir entre
ESET NOD32 Antivirus o ESET
Smart Security. Puedes solicitar
más información a tu profesor.
.. . 'J'
Debes cambiar las contraseñas
que ponen por defecto los fabri-
cantes a los distintos periféricos
que nos permiten la conexión a
Internet paro evitar conexiones
no autorizadas a los mismos.
Algunos virus famosos:
• El vi rus FORM hace sonar los
días 18 de cada mes un pitido
por cada tecla pulsada. Esto
simplemente se puede consi-
derar una broma más o menos
incómoda.
• El virus VIERNES 13 borra los
programas utilizados en dicho
día afectando exclusivamente
a los archivos ej ecutables.
• Generic Backdoor, permi-
te a los intrusos acceder de
manero remoto al ordenador
afectado, por lo que compro-
mete la confidencialidad de la
información almacenada en el
equipo .
• Sasser, es un gusano que
aprovechando una vulnerabi-
lidad de Windows, apagaba
el equipo .
• Elk Cloner, programado por
Rich Skrenta a los quince
años de edad, es considera-
do el primer virus desarrolla-
do y expandido por la red .
Afectaba a los equipos con
sistemas MAC instalado.
5 Seguridad activa en el sistema

Q Caso próctico ::...,: 1.:: 2 __
Configurar el análisis en busca de virus y otras amenazas
del Antivirus Panda
Como hemos comentada anteriormente, los antivirus ralen-
tizan el arranque de los equipos debido al análisis en bus-
ca de malware que realizan en cada uno de los arranques.
l.eJ.ID.!.JLJ'

Internet SecurltYJ
0'-
Amillsrs en busca de virus y otras amenazas
...... n ... 10lla mlPC
@ • ., ..... r 1, o¡'cuDd" d • • fl.lIi ,,,
ANlbu rt l to", o
AIIaliu t otro •• I_ o.
Detectil r vulnerablll dedes
Fig. 5.75. Anólisis Panda.
2. En el marco derecho de la Figura 5.76 hacemos e1ie en
Programar la eiecución de anólisis. Aparece una nuevo
ventana (Fig 5.77) en la que se nos muestran dos balo-
nes; el primero de ellos permite generar un nuevo análi-
sis y el segundo permile modificar la configuración del
análisis programado. En nuestro coso queremos modifi-
car la periodicidad del análisis, por lo debemos hacer
e1ic en el botón Configurar anólisis .. .
:3' Confi gurar análisis
Editar elementos a analizar
Pulsa en Editar para seleccionar los que serán
Editar ...
Conflguradón del análisis
..cJ Pulsa on eontigtnción para modificar las prcpiedodos del anOtisls, si
no se aplicará la configuración por defl!:do.
I ConfiQuractón... 1
Configuración de la programadón
tf!jJ Pulsa en planificación para moáficar la programaOón análisis.
I Plantftcact6n .. .
8Ceptar 1 1 1
Fig. 5.77. Configuror análisis.
Por ello vamos a cambiar lo configuración del análisis paro
que no se realice en todos los arranques sino sólo los vier-
nes.
1. Una vez arrancado el antivirus debemos hacer e1ic
sobre la pestaña Analizar (Fig 5.75) .
C3 Programar la ej ecución de análisis

Anánsls programados
I O Actualmente estID definidos los slgulentes anatisis programados.
<0
I Nuevo enálsls, .. Aná!r!:is al nao de WJI'Ido.'1S
ConfIourar análisis .. ,
_.Ilor. 1 1
Aceptor 1I Cancel" 1
Fig. 5.76. Progromar análisis.
3. En la siguiente pantalla (Fig. 5.77) hacemos e1ic sobre
el botón Planificación.
4. Aparece una nueva ventana en la que podemos definir
cuándo queremos que se haga el análisis. Como quere-
mos que se realice todos los viernes debemos hacer e1ic
sobre lo último opción, seleccionando en el desplega-
ble el día (en nuestro caso Viernes), en el que queremos
que se haga la comprobación (Fig. 5.78).
o ConfigunI::ión del W fosit .¡ Inicio de Wirul oWJ uu
An'hIs I AccIone5 ! Alertas PrO\ll"lIII'IIIdot '-_____ _____ _ ,
  __ _
fJ> IrdtII Cll!1 que perioOOdad qo,RrH (¡\Ir; se ef«b:ie el an.fuis 61 iOOa.
O ......
O Ctd&
OCtd& 6es
0 "" H
Fig. 5.78. Configuración de la periodicidad del análisis.
Seguridad activa en el sistema 5
• Keyloggers: la traducción literal de esta palabra, registrador (Iogger) de teclas (keys),
nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta
maliciosa para conocer todo lo que un usuario escribe a través del teclado, incluso
a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos exis-
ten herramientas hardware y software. Los periféricos diseñados para tal fin pueden
ir desde un teclado en apariencia idéntico a uno normal pera que contiene una me-
moria no volátil donde almacena la información escrita o bien mediante un pequeño
dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado.
• Denegación del servicio: este tipa de ataque también es conocido par sus siglas:
DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con
el propósito de interrumpir el servicio que están ofreciendo. Es conocido el ataque
DoS que realizaron piratas informáticos de la antigua Unián Soviética y que paralizá
el acceso a Internet de los estonios, tras la decisián del gobierno del país báltico de
retirar una estatua que conmemoraba a los muertos soviéticos durante la Segunda
Guerra Mundial. También son conocidos los ataques de este tipo lanzados contra
los servidores raíz del sistema de nombres distribuido DNS, con el fin de dejar
Internet paralizada al no poder disponer los usuarios del servicio de resolucián de
nombres. Entre los múltiples tipos de ataque DoS se pueden destacar los siguientes:
- La mayoría de los ataques de denegación de servicios son realizados al unísono
desde múltiples máquinas que han sido convertidas en zombies por crackers de
la red, llamándose en este caso DDoS, ataque de Denegacián de Servicio Distri-
buido.
- Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un
tamaño de bytes muy grande, lo que bloqueaba las conexiones en los antiguos
sistemas operativos; en los actuales este tipo de ataque está subsanado y por tanto
se puede considerar como historia.
• Inundación de peticiones SYN: más conocido por SYN Flood, consiste en hacer una
peticián de establecimiento de conexián a un servidor y no responder a su acep-
tación de conexián, bien sea porque se falseó el paquete de petición con una IP
falsa o por alguna otra causa. Este tipo de ataque provoca una saturación en las
conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden
llegar a producir un colapso del servicio ofrecido con la consiguiente denegación
de servicio. Mediante el simple uso del comando netstat (comando que nos per-
mite ver el estado de las conexiones) se puede ver si estamos siendo víctimas de un
ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers
que paren el tráfico de IP que puedan ser falseadas.
• Dialers: también conocidos como marcadores telefónicos, se hicieron muy famosos
a principios de los años noventa cuando la mayoría de la gente se conectaba a
Internet mediante módem.
Son programas de conexión a Internet mediante módem, que realizan una llamada
a un teléfono con tarificación especial, como aquellos que empezaban por 905.
Estos pragramas actuaban sin la intervención y sin el consentimiento del usuario pro-
vocando una factura telefánica desorbitada. Hoy en día con las conexiones ADSL
los dialers casi han desaparecido en la mayoría de los hogares.
• Ingeniería social: es un ataque que afecta al objetivo de confidencialidad de la
seguridad informática. Esta técnica consiste en obtener información secreta de una
persona u organismo para utilizarla posteriormente con fines maliciosos. Habitual-
mente los ingenieros sociales utilizan el correo electrónico, páginas Webs falsas,
el correo ordinario o el teléfono para llevar a cabo sus planes. Los ejemplos más
llamativos de estos ataques son el phising y el uso de una máquina atacada para
la envío de spam.
.' Vocabulario
9
Zombie. Ordenador en el que
un hacker de sombrero negro
ha conseguido instalar software
malicioso para hacerse con el
control del mismo.
Spam. También conocido como
correo basura. Correo habitual-
mente de publicidad que no ha
sido solicitada.
141
Seguridad activa en el sistema
Actividades
10. El navegador Internet Ex-
plorer a partir de la ver-
sión 7 incluye la funcio-
nalidad Filtro de suplanta-
ción de identidad.
Paro configurarlo debe-
mos acceder a las Opcio-
nes avanzadas del menú
de Herramientas (Opcio-
nes de Internet).
En la ficha de Opciones
avanzadas podremos acti-
var la comprobacián auto-
mática de sitios web en el
apartado de seguridad.
De esta manera siempre
que accedamos a una
página comprobará su
autenticidad inmediata-
mente.

Phishing: es una técnica de engaño al usuario, que intenta adquirir información
confidencial del mismo suplantando la identidad de otros personas, organismos o
páginas WEB de Internet. Uno de los métodos de Phishing más utilizados hoy en
día consiste en colgar en Internet una página que es copia idéntica de alguna otro,
como puede ser la de alguna entidad financiero o banco.
El engaño consiste en que si alguien confunde esta página falsa con la original
e introduce en ella sus datos personales como puedan ser el número de tarjeta
o el PIN de la misma, estos números se les manda directamente a los creadores
de la estafa, que consiguen así tener en su poder información que puede com-
prometernos.
La manero de no caer en estas estafas es tener en cuenta que nunca los bancos ni
organismos oficiales piden a través de correos electrónicos datos confidenciales.
También debemos mirar con cautela las direcciones URL de las páginas visitadas,
pues sucede a menudo que si la dirección real es por ejemplo www.mibanca.es.
la dirección que utilizan este tipo de delincuentes para diseccionar la página será
algo así como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una
pequeña diferencia que a primero vista no se notará pero que obligatoriamente
ha de tener.
Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros,
pero actualmente estos ataques han afectado a otros organismos, como el INEM,
Cámaras de Comercios de diferentes ciudades y últimamente a la Agencia Tributaria
(Fig. 5.78).
En este último caso, el ataque consiste en la remisión de un correo electrónico que
informa que el receptor del mensaje tiene derecho a un reembolso de impuestos
inexistentes. Pero para poder disponer del dinero, el receptor debe enviar los núme-
ros de cuentas bancarias y tarjetas de crédito.
, ., GOII [ UIO
tWJ O[UI».I.II I ;& Agencia Tributaria
Pc!lil;ll  
D RSS I Mapa Web I Accesibi!il:llld I Ayuda
la Agencia Trlbutarla
Inldo :. La Agenda Tri butaria ) Sala de prensa
Notas de prensa
o El Ministerio de Economia y Hacienda a.dyierte de un intento de fraude a través de Internet que utiliza su nombre y su
imagen
15.jullo.2009. Gabinete de Prensa
Agencia Tnbutaria
El engaño hace referencia a un reembolso de impuestos inexistente.
14 de julio de 2009. El Ministerio de Economia y Hacienda ha detectado hoy un importante envio de comunicaciones por correo
electrónico en el que se utiliza fraudulentamente su nombre y su imagen.
En el envio se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale supuestamente
beneficiado. Para poder disponer del dinero hay que aportar datos de cuentas bancarias y de credito.
El Ministerio de Economia y Hacienda, a Iraves de la Agencia Tributaria. ha tomado las medidas necesarias para perseguir este
intento de fraude y recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la
petición de datos bancarios. Ni el Ministerio de Economía y Hacienda ni la Agencia Tributaria solicitan información confidencial, ni
mimeros de cuenta, ni numeras de de los contribuyentes. por correo electrónico.
Fig. 5.79. Configuración momento análisis.
142
-seleccione portal- ... I Ir al portal I
(1 On,Io' Virtual )

I del ccntnbuyente
CaM de Servicies
CertirJC8dcs Eledr6niCcs
Descargll de prcgrllffi3s de ayuda
Modelos y IcrmuillrloS
Acceda directamente
UCrm.:!wn y cri!eri:ls intcl1lrellltivcs
Preguntas Tli:ulllrUs (.¡FORMA) la
Enlaces relllcionDdos
I,Iinislelio de Eccnorr6 y [8
Aplicar mecanismos de seguridad activa describiendo sus
características y relacionándolas con las necesidades de
uso del sistema informático
1. En multitud de noticias podemos leer que el despecho
de los empleados dispara el robo de información en los
empresas. El 28% de lo sustracción de información se
produce o través de los memorias externas USB. Paro
evitar dichos robos podemos deshabilitar estos o través
de la BIOS.
Accede a la BIOS y desactiva los dispositivos USB.
Otra forma de protegernos contra dichos robos es des-
activando dichos dispositivos USB a través del sistema
operativo. Enumera los pasos que has realizado para
desactivar dichos dispositivos a través del Sistema Ope-
rativo.
2. Spoof Guard es una herramienta que nos ayuda a dis-
cernir si estamos siendo víctimas de un ataque malin-
tencionado de spoofing o de phising. Esta aplica-
ción añade un semáforo en la barra de herramientas
del navegador que nos indica la peligrosidad de la
página.
Descarga el programa de la página http://crypto.
stanford.edu/SpoofGuard/, instálalo y comprueba que
dependiendo de la luz del semáfaro lo página que visi-
tas no ha sido atacada o por el contrario es una posi-
ble página web fraudulenta.
3. Modifica el fichero de configuración del gestor de
arranque (GRUB), rnenu_lst, para que bloquee el
arranque del test de memoria.
Indica los pasos que has realizado para alcanzar el
objetivo.
4. Descarga la demo de la aplicación Biopassword de
http://smortadvisors.net/biapassword/demo.php, ins-
tálala, configúrala y comprueba que si escribe otra per-
sona diferente o la que ha realizado el mádulo de ins-
cripción lo reconoce y produce un error diciendo que
tu forma de escribir no se corresponde con el patrón
regi strado.
5. Descarga el antivirus AVG de http://free.avg.com/, ins-
tálalo y haz una comprobación del estado de tus dispo-
sitivos de almacenamiento.
Aseguror la privacidad de la información transmitida en
redes informáticas describiendo vulnerabilidades e insta-
lando software específico
Seguridad activo en el sistema 5
Comprueba tu aprendizaje "
6. En un pequeño colegio es necesario que los alumnos
compartan los equipos de un aula de informática. Los
perfiles de los alumnos que comparten el aula son:
• Alumnos de gestión administrativa. Estos utilizan los
equipos para aprender mecanografía y el paquete
ofimática de Microsoft.
• Alumnos de construcción que utilizan Autocad paro
la realización de planos y PRESTO para el cálculo
de presupuestos.
• Alumnos de un curso de JAVA, los cuales utilizan un
compilador de dicho programa.
Se ha observado que los alumnos del curso de JAVA
se dedican a instalar juegos en los equipos de manera
indiscriminada, por lo que se están vi endo perjudica-
dos sus compañeros.
¿Cómo podemos solventar la situación? ¿Qué medidas
tomarías?
7. Esta actividad se deberá realizar en grupo. Descarga
de la página web http://www.effetech.cam/download/
el programa MSN sniffer e instálalo en uno de los equi-
pos de la red.
Otros dos compañeros deben hacer uso del Messenger
manteniendo una conversación entre ellos.
¿Puedes ver la conversación mantenida desde tu
equipo?
En caso de que la respuesta sea negativa ¿Por qué no
puedes visualizarla? ¿Cómo podrías llegar a visualizar
la conversación?
8. Descarga EffeTech HTTP Sniffer de la página Web
http://www.effetech.com/download/ e instálalo en uno
de los equipos de la red.
Otro compañero debe visitar distintas páginas Web.
¿Puedes ver las póginas que visita tu compañero? En
caso de que la respuesta sea negativa, ¿por qué no
puedes visualizarlas? ¿Cómo podrías ll egar a visualizar
las páginas que visita tu compañero?
9. Captura las contraseñas de inicio de sesión de otros
usuarios de tu red y envíalas al crackeador de contrase-
ñas para más tarde intentar averiguarlas.
¿Qué método utilizas para averiguarlas? ¿Fuerza bruta,
diccionario o Rainbow tables?
144
Seguridad activa en el sistema
--------------------------
Seguridad en el acceso -(
al ordenador
---
Cifrado de las particiones
Cuotas de disco
Evitar acceso a BIOS
Proteger el gestor
de arranque GRUB
-(
Políticas de contraseñas
Autenticación de los usuarios
Sistemas biométricos
Monitorización del sistema
Tipos de atacantes
Tipos de ataques
Software para evitar ataques
lLD ri1 U (9] cdJ
Seguridad activa en redes
y estudiaremos:
• Seguridad en la conexión a Internet.
• Protocolas seguros.
• Seguridad en accesos en red.
• Seguridad perimetral.
• Monitorización en redes cableadas.
• Seguridad en redes inalámbricas.
En esta unidad aprenderemos a:
• Minimizar el valumen de tráfico
na deseada utilizando sistemas de
seguridad.
• Aplicar medidas para evitar la
monitorización de redes cableadas.
• Clasificar y valorar las propiedades de
seguridad de las protocolas usadas en
redes inalámbricas.
• Identificar la necesidad de inventariar
y controlar las servicias de red.
I ,

 
r
~  
7 6 Seguridad activa en redes
l. Seguridad en la conexión a redes no fiables
Cada vez que nos conectamos a Internet se produce un intercambia de información
entre nuestro equipa y la red. Este intercambia es necesaria paro que podamos acceder
a la información y servicias de Internet, pera si na tenemos garantías de seguridad es
necesario limitar la información que es enviada, ya que en otro caso podría ser utilizada
sin nuestro consentimiento.
Pensemos en la infarmación que se transmite cuando navegamos por la Web -estamos
enviando la dirección IP de nuestra máquina y la página Web desde donde hemos lle-
gada- a cuando participamos en servicias de noticias y foros, donde enviamos nuestra
dirección de correo electrónica, par e¡empla. Si alguien se hace can esta información
podríamos vernos afectadas par grandes volúmenes de tráfico no deseado y ser victi-
mas de un ataque de denegación de servicia.
Ningún dispositiva, par sencilla que sea, está libre de sufrir un ataque, par la que es muy
importante minimizar las pasibilidades de que esta ocurra. Existen diversas herramientas
que nas permitirán proteger los equipos de la red, como los cortafuegos y los proxys,
que veremos en las Unidades 7 y 8, Y las técnicas y herramientas que abordaremos en
las siguientes apartadas de esta unidad.
TwiHer se cae víctima
de un 'ataque malicioso'
Facebook también ha sufrido problemas
similares, aunque más limitados
El popular sitio de 'microblogging' Twitter
ha anunciado que ha sido víctima de un
«ataque malicioso», concretamente un
ataque de denegación de servicio (DoS),
algo que ha dejado sin acceso al servicio
a millones de usuarios durante un espa-
cio de tiempo de al menos dos horas a lo
largo de la tarde.
En un breve comunicado en http://status.
twitter.com, la compañía ha anunciado
que se están "defendiendo de un ataque
de denegación de servicim>, y anuncian
que el sitio ya funciona, aunque advierten
que siguen defendiéndose del ataque y
tratar de recuperar la normalidad.
La otra gran red social, Facebook, tam-
bién ha sufrido problemas similares,
aunque más limitados. Los usuarios de
la página vieron retrasos al registrarse y
al actualizar sus perfiles. Un portavoz de
Facebaok ha indicada que la Web había
sufrido al comienza del día "problemas
de red vinculadas a un aparente ataque
de denegación de servicim>.
Desde aproximadamente las 15.00, hora
española, Twitter ha estada inaccesible
o can serias dificultades para el acceso
de sus millones de usuarios en toda el
mundo durante varias haras. La noticia
de la caída de Twitter ha dado ensegui-
da la vuelta por la blagosfera en toda el
mundo.
[ ... ] Se llama ataque de denegación de
servicio a la manera de sobrecargar de
peticiones a un servidor, de manera que
el alud de solicitudes llega a un punto en
el que el servidor na puede atenderlos y
deja de dar servicio a los usuarios.
MADRID, 7 DE AGOSTO DE 2009
(elmundo.es)
Seguridad activa en redes 6
1.1. Spyware en tu ordenador
Navegar por Internet, recibir correas can archivos adjuntas a inclusa instalar algún pro-
grama con licencia Freeware sin leer sus condiciones de uso pueden traer un invitada
inesperado a nuestro equipa, un spyware.
Pera, ¿qué es un spyware? Su nombre, formada por lo conjunción de las palabras spy y
software, viene del de las clósicos espías, cuya misión era la de recopilar información y
enviarla a sus contactas para que estos pudiesen beneficiarse de ella.
Un spyware es, en definitiva, un pequeña programa que se instala' en nuestro equipa
can el objetivo de espiar nuestros movimientos par la red y robar nuestras datas, de
moda que a través de él puede obtenerse información como nuestro correo electrónico
y contraseña, la dirección IP de nuestro equipo, nuestro teléfono, páginas buscadas y
visitadas, así coma cuánto tiempo se pasa en ellas, u otros datos igualmente importan-
tes como las descargas realizadas, las compras que hacemos por Internet e incluso el
número de tu tarjeta. A medida que recopilan esta información la envian a empresas de
publicidad de Internet para comercializar con nuestros datos.
Este tipa de software se instala sin que tengamos conocimiento de ella y trabaja en se-
gundo plano, de moda que no nos damos cuenta de su presencia, aunque existen una
serie de indicios que pueden alertarnos de que están ahí:
• Cambian las póginas de inicio o búsqueda del navegador.
• Se abren pop-ups por todos lados, incluso aunque no estemos conectados ni tengamos
abierto nuestra navegador, llenando la pantalla, como puedes ver en la Figura 6.1 .
• , . .... 't ..
Fig. 6.1. Pop·ups.
• Aparecen barras de búsquedas de sitias como Hatbar, etc., que na podemos eliminar.
• Falsos mensajes de alerta en la barra de Windows (al lado del reloj) de supuestas
infecciones que no podemos eliminar. Este tipo concreto de malware se denomina
rogueware o fakeav (de «FAKEAntiVirus»), y se aprovecha de la falta de formacián
de los usuarios para tratar de instalar un programa de dudosa finalidad.
• Cuando navegamos por Internet hay veces que no se llega a mostrar la pagina Web
que queremos abrir, ya que el tráfico de red va cada vez más lento.
Actividades 9'
1. Busca información sobre
diferentes herramientas que
permitan bloquear spyware
u otro código malicioso en
nuestro equipo.
2. Instala y estudia el fun-
cionamiento de la herra-
mienta SpywareBlaster,
que puedes descargar
desde: www.infospyware.
como
Otra herramienta alterna-
tiva que puedes analizar
SuperAntiSpyware, que
puedes descargar desde
http://www.superantispy
ware.com.
Malware. Es la abreviatura de
Mal;cius Software. Es el término
que engloba todo tipo de pro-
grama cuya finalidad es dañar
o causar un mal funcionamiento
de un sistema informático.
,
Seguridad activa en redes

q Caso prácti."' co "-' l __________ _________ _
Detección de Spyware/Malware y Virus con HijackThis Para hacernos con una primera idea de qué nos indica cada
d
una podemos seleccionarla y pulsar Info on selected Item ... 1 •
HijackThis es una herramienta gratuita para Win ows que
nos permite detectar y eliminar intrusos de nuestro equipo.
HijackThis no distingue entre las entradas seguras e inse·
guros en sus resultados, pero nos permitirá seleccionar y
quitar manualmente las entradas indeseadas del sistema.
Cuenta con un foro de ayuda para usuarios inexpertos don·
de, si subimos el log proporcionado por la herramienta, se
nos informará de cuales son las referencias de los elementos
causantes de los problemas de nuestra equipo y cámo eli·
minarlas, en ocasiones utilizando herramientas adicionales.
1. Descarga HijackThis desde su página oficial, www.
infosyware.com, e instálalo en tu equipo. En esta misma
página puedes encontrar el manual de la herramienta
y el foro de ayuda.
2. La instalación apenas dura unos segundos y aparecerá
el menú de inicio de la aplicación, que puedes ver en
la Figura 6.2. Selecciona la primera opcián Do a sys-
tem scan on/y, para analizar tu equipo.
1= ![3.'RE3
I! Da l'PI.m Kln ,lid AVI llogfiIe
I Da, Kan only
Opm 0","1 HijldlThls Qulck5tart
Fig. 6.2. Menú de HijackThis.
3. En unos instantes se habrá generado un registro en la
siguiente pantalla de la herramienta (Fig. 6.3).
4. Cuando empezamos a trabajar con esta herramienta el
problema en detectar qué entradas son las que
hay que corregir.
,
. ,
,
,
.. ,
  :
:
,
,
"
, "
tI.
:i.,fu -"'=-.J - - I

Fig. 6.3. Resultado del análisis de Hijack This.
Nos mostrará una ventana similar a la de la Figura 6.4,
donde se indica que la entrada Rl corresponde a las pá-
ginas de inicio y el asistente de búsqueda del lE. Como
vemos, la información aparece en inglés, pero si tienes al-
guna duda puedes consultar el manual, donde encontrarás
la información en castellano.
011liltd ¡nlolmlticn cm itlm 111,
A RC9iJlryy. luf thU huI/un I;l"1.Ud Ind 11 nal plllllnl in. dtflult
Windll'W' ¡nshll no/ lIudcd, pOllibly in. eh,ng,dtE Sil/eh
PI;" 5tlrt Pli" 5urc:h BI. Plg. cr5nrc:h AniJllnt.
(Adicn tlk,,,, Rfg;Jlry y. lul j, o;I. I".d)
Fig. 6.4. Información de la entrada R 1.
5. Una alternativa más aconsejable si somos usuarios
inexpertos es consultar el foro de ayuda, como hemos
hecho en este caso. Las entradas que nos indican que
debemos corregir son las que aparecen ya selecciona-
das en la Figura 6.3. Pulsamos FixChecked (marcado
con un 2 en la misma figura) para limpiar el equipo
y aceptamos que los registros se borren permanente-
mente. Así nuestro equipo quedará libre de malware.
Actividades
Analiza el significado de los registros eliminados en el Caso práctico 1, que
l puedes ver ella Figura 6.3.
Seguridad activo en redes 6
• 2. Protocolos seguros
En ocasiones, cuando nos conectamos a determinados servidores, podemos ver que la
dirección Web que aparece en nuestro navegador comienza con https, en lugar de con
el habitual http. Esto se debe a que nos acabamos de conectar a un servidor seguro, que
encriptará los mensajes que nos envíe por la red para que salo nuestro equipo pueda
interpretarlos.
2.1. Protocolo HTTPS
El protocolo HITPS es la alternativa segura al uso de HITP. Sus siglas corresponden a
Hyper/ex/ TronsFer Pr%ca/ Secure, es decir, protocolo seguro de transferencia de hiper.
texto y se emplea para conexiones a páginas Web en las que hay que proteger los
datos que se intercambian con los servidores.
El objetivo de HTTPS es proporcionar una conexión segura sobre un canal inseguro. Se
basa en el intercambio de claves y el uso de certificados válidos, verificados por una
autoridad de certificación que garantiza que el titular del mismo es quien dice ser, de
modo que un atacante no pueda hacerse pasar por, por ejemplo, nuestro banco.
Podemos verlo de manera habitual cuando accedemos a las páginas Web de tiendas en
línea, servicios donde sea necesario enviar datos personales o contraseñas o entidades
bancarias, como se muestra en la Figura 6.5.

  =::==
__ -_ o '-'

es> =-_=,:;--
p ""-;::"="''''.,,.
Q =::-.:.,..-._._.
   
... _ .. _ .. -... . - ---
.... _-
"_ .. _M __ , _
l ·
... _--_._._ ... _._------_.-
-_.-_.-...
.
..... ---- -_.
Fig. 6.5. Accesos mediante hltps.
l
Actividades "
4. El protocolo https es también utilizado por los servidores de correo electrónico,
como gmail, pero no siempre está activado. Investiga cómo configurar una
cuenta de correo de gmail para activar https, protegiendo así nuestros datos.
5. Un navegador no siempre identifica un certificado como. válido para acceder a
un servidor usando https, en general debemos rechazar dicho certificado pero
hay veces que estamos seguros de la confianza del sitio Web. Conéctate a moa·
dle.dit.upm.es utilizando firefox y realiza los pasos necesarios para agregar una
excepción para este certificado.
HTTP trabaja por defecto el
puerto TeP 80 Y HTTPS lo hace
en el puerto TeP 443.
Seguridad activa en redes
2.2. Protocolo SSH
I otros protocolos seguros
como SSL (Secure Socket Layer),
que se usa principalmente para
trasferencia de hipertexto pero
ofrece la posibilidad de usarlo
como alternativa segura en otros
protocolos.
El protacolo Secure Shell (intérprete de órdenes seguro, SSHI nos permite acceder a
equipos rematas o través de una red y copiar dotas que residen en ellos de formo segu·
ra, utilizándose cama alternativo al uso de Telnet. Cualquier equipo puede configurarse
como servidar ssh, incluso nuestro PC doméstico, tanto si utilizamos coma sistema apeo
rativa Windaws cama si usamos Linux, instalando una pequeña aplicación y configurán·
dolo adecuadamente.
Su formo de trobaiar es similar a la de Telnet, pera incorpora técnicas de cifrada que
protegen la información que viaia par la red, de moda que un snifler na pueda hacerse
con el usuaria y la contraseña usados en la conexión, ni otras datas que se intercambian.
Caso práctico 2
Instalación de un servidor SSH en Windows XP
En este coso próctico veremos cómo realizar uno instala·
ción básico de un servidor ssh sobre un sistema Windaws,
de moda que podamos conectarnos con él de forma rema·
ta y seguro.
1. Descargamos OpenSSH poro Windows desde http://
sshwindows.sourceforge.net/. El archiva descargada
tiene formato .zip, así que extraemos el eiecutable que
contiene y hocemos doble clic sobre él poro comenzar
lo instalación.
2. El asistente de instalación nos guiará en los posos que
hemos de realizar paro llevar o coba lo instaloción.
Aceptamos la licencio e instalamos todos los campo·
nentes del paquete en C:\OpenSSH.
3. Durante el proceso de instalación nos aparecerá uno
advertencia como lo que ves en lo Figura 6.6, que nos
indica que debemos modificar el archivo passwd poro
poder conectarnos posteriormente 01 servidor y donde
encontrar lo información necesaria paro realizar dichos
cambios, en el paso 6 veremos como hacerlo. Acepto·
mas y finolizará lo instalación.
4. A continuación es necesario añadir los grupos de usua·
rios de la máquina y crear los usuarios que van o tener
acceso o lo información contenido en el servidor, poro
lo que debemos trabaiar desde lo línea de comandos
de Windows. Vete 01 botón de inicio, y en eiecutar
escribe cmd y util izo el comando cd paro situarte en el
directorio C:\OpenSSH\ bin.
@ OpenSSH for Windows 3.8.1pl-l Setup
."."""'"
Please wait wh!e 0penSSH for WndcrNS 3.8. 411-1 Is being instaeed.
@ OpenSSH for Windows 3.a,lpl-l Setup
A Before starting the OpenSSH service you MUST edit the
V C:\OpenSSH\etc\passwd file. Ifyou don't do this. you will not be able
to log in through the SSH server. Please rud the readme,txt or
quickstart.txt file for information regarding proper setup of the. pa5swd
file.
Aceptll r
Fig. 6.6. Advertencia de /a insta/ación de SSH.
5. Podemos añadir grupos locales (con lo opción -11 o
de dominio (con lo opción - dI, según lo instalación de
nuestra red, de modo que se adecue el uso de esta
herramienta (típicamente de Uni xl o sistemas de Micro-
solt. En nuestro coso utilizamos los grupos locales, que
añadimos 01 fichero de configuración utilizando lo pri·
mera orden que ves en lo Figuro 6.7.
6. A continuación añadimos 01 fichero C:\OpenSSH\etc\
posswd los usuarios que vayan a tener acceso 01 ser·
vidor, como nos indicaba el aviso de instalación (Fig.
6.61. los usuarios pueden ser locales (-11 o de dominio
(-dI, como los grupos.
" C:\WINDOWS\system32\cmd.exe :. ..
  - 1 » __ 'c tc ' !P'()U)) El
e: ' OIle n S SII ' h in \Id -1 ) > • • ' e t e ' 11<\ :;:. \Id
Fig. 6.7. Advertencia de /a instalación de SSH.
(Continúa) )
___ _____________ ......:C:::!, aso Práctica 2 9
(Continuación)
7. Como último paso modificamos la carpeta a la que nuestro usuaria acce·
derá por defeda. Para ella abrimos utilizando el bloc de notas el archi vo C:\
OpenSSH\etc\passwd, donde vemos la siguiente línea:
Admini strador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Admi
nistrador, S-1-5-21-3229328970-1540965953-2558274665-50O:/home/
Administrador:/bin/switch
/home/Administrator señala a la carpeta por defedo de Windows para el
usuario administrador (C:\Dacuments and Sellings\administradar). En nuestro casa,
queremos que se acceda a la carpeta C:\DatasServidor. Para acceder al disco C:
hemos de usar una notación un tanto especial, propia de OpenSSH /cygdrive/c/,
de moda que modificando la línea quedaría:
Administrador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Ad
ministrador,S-1-5- 21-3229328970 -1540965953-2558274665-50 0:/
cygdrive/c/DatosServidor :/bin/switch
8. Sólo queda arrancar el servicio. Podemos arrancarlo desde la opción Servicios
de Herramientas Administrativas (panel de control) o utilizando la orden net
start opensshd desde la línea de comandos y el servidor SSH comenzará
funcionar (Fig. 6.8).
Fig. 6.8. Arranque del servidor SSH.
9. Podemos comprobar que el acceso es correcta testeando desde el mismo servi·
dor, recuerda que en la instalación uno de los componentes era el cliente ssh.
Para ello abre otra consola de línea de comandos y escribe ssh adminis-
trador@jupiter, que corresponden al usuario y al nombre del equipo, tras lo
que te mostrará la advertencia de uso del servicio. A continuación te pedirá la
contraseña del usuario (Fig. 6.9). Escríbela y accederás a la carpeta del servidor
SSH que definimos en el punto 7. Para salir basta con que escribas exit.
Seguridad activa en redes
6
Actividades "
6. Realiza el proceso de
instalación de un servi·
dor SSH sobre un equipo
con un sistema operativo
Linux. Puedes utilizar el
mismo paquete que para
Windows en su versión
correspondiente. Encan·
trarás los archivos y la
documentación necesaria
en hllp://www. openssh.
com/
151
Seguridad activa en redes
Es el acrónimo de Virtual
Private Network, red privada
virtual.
Muchas grandes empresas estón
apastando por el te letra bajo. Sus
empleados realizan las mismas
funciones que harían en la ofici·
na pera desde sus propios domi-
cilios, conectándose a los servi·
dores de la empresa mediante
redes privada vi rtual es.
3. Seguridad en redes cableadas
Tradicionalmente los redes cableadas se han considerado más seguros que las redes
inalámbri cos, de las que hablaremos en el Apartado 4.
Pensemos simplemente en la red local de uno oficina, una red aislado y confinado en
un edificio, cerrar la puerto y denegar el acceso 01 reci nto bastaría paro protegerla de
intrusiones.
Desgrociodomente esto no es ton sencillo: el uso de Internet y la evolución de las comu-
nicaciones han hecho que los emplazamientos de los equipos de uno mismo red no sean
únicos, sino que puedan situarse o miles de kilómetros de distancio, pero sigue siendo
necesario mantener la conectividad entre ellos.
Lo necesidad de proteger los redes, tanto cableados como inalámbricos, es indudable,
pero, ¿cámo lograrlo? En esto unidad abordaremos cámo protegernos de las intrusi ones
externos o nuestro red mediante el uno de redes privados virtuales (VPNI y como detec-
tor y contrarrestar los intrusiones internos.
3.1. Red privada virtual (VPN)
Comunicar equipos remotos de modo directo es imprescindible en muchos organizacio-
nes, independi entemente de donde se encuentren físicamente, y esto necesidad crece
cada día más.
Los redes privados virtuales permiten, mediante el uso de Internet, establecer esto co-
nexión realizando una inversión econámico bastante moderada. Además, como utilizan
protocolos de seguridad, el acceso o los recursos tiene carácter privado, por lo que
uno persono podría acceder o los datos de la empresa en la que trabajo con la misma
tranquilidad que si se encontrase en su oficina.
o ¿Qué es una VPN?
Uno VPN o red privado virtual es, básicamente, uno red virtual que se creo dentro de
otro red, habitualmente Internet.
Paro un cliente VPN se trato de uno conexión que se establece entre su equipo y el servi-
dor de su organizacián, pero lo manera en que se realizo esta conexión es transparente
paro él, simplemente los datos le son enviados de lo mismo manera que si llegaran o
través de lo LAN o la que se conecto.
o ¿Cómo funciono una VPN?
Los VPN se basan en establecer un túnel entre los dos extremos de lo conexián y usar
sistemas de encriptoción y autenticación para asegurar la confidencialidad e integridad
de los datos que se transmiten.
Lo autenticación en redes virtuales es parecido 01 sistema de inicio de sesián (utilizo un
usuario y su contraseño" pero es necesario tener especial cuidado con lo seguridad de
estos datos, por lo que lo mayoría de los VPN usan sistemas de autenticación basados
en el uso de claves compartidos.
Uno vez establecido lo conexión, los paquetes de datos se envían encriptados o través
del túnel virtual (que se establece sobre Internetl. Poro encriptor los datos se suelen utili-
zar claves secretos que son solo válidos mientras dure para lo sesión.
o Instalación y configuración de una VPN
Cuando implementemos una VPN, será necesario realizar lo instalación y configuración
de dos portes bien diferenciados, el servidor y el cliente.
Seguridad activo en redes
los sistemas operativos Windows, por ejemplo, incorporan una utilidad para establecer
redes privadas virtuales de un modo sencillo y guiado, mediante la configuración de una
conexión de red avanzada.
Existen muchas aplicaciones software que nos permiten crear VPN, que ofrecen dife-
rentes niveles de seguridad y posibilidades distintas para lo configuración. Es el caso
de Hamachi logMeln, que puede utilizarse aunque tu equipo esté detrás de un proxy o
utilices un router NAT para conectarte a Internet.
Creación de una red privada virtual
Caso p'ráctico 3 9
Como ya hemos visto, el uso de redes privadas virtuales permite estoblecer canales
de comunicación seguras entre equipos remotos. logMeln Hamachi es una herra-
mienta que nos permitirá configurar nuestra propia VPN, tanto en el lado del servi-
dor como del cliente, y establecer una lAN virtual con hasta 16 equipos de modo
gratuito. En este caso práctico realizaremos la instalación del servidar y crearemos
una nueva red a la que posteriormente se conectarán los clientes.
Configuracián del Servidor Windows
1. Entra en la página Web de logMeln, http://secureJogmein.com/US/home_ospx,
y en Products selecciona logMelnHamachi.
2_ Descarga la herramienta para empezar a trabajar. Es conveniente que te registres
antes; es gratuito y podrás centralizar lo gestión de tu red utilizando tu cuenta,
que se asociará a la aplicación. la aplicación que debes descargar se denomina
Hamachi.msi, la encontrarás siguiendo las instrucciones de uso alternativas.
3_ Haz doble clie sobre Hamochi.msi y ejecútala para comenzar la instalacián.
Selecciona el lenguaje correspondiente en la primera pantalla (Fig. 6.10) Y
pulsa siguiente hasta que aparezcan los términos de la licencia. léela'y acepta,
si estás de acuerdo.
4_ En la siguiente pantalla te indica que para facilitar la gestión, se asocia la insta-
lación a la cuenta con la que te has registrado (Fig. 6.11).
Lengullge Selection
.... ICt.t> I I c..aI I
Fig. 6. 10. Insfalación de LogMeln Hamachi .
Asocillr el diente 11 una cuenta de logMeln
' •• I .... ....... blliorCHdol..OO"lo"'I\ImId'II .. PIIOdcn_
.""'.....udol..OO"lo/n.
5I .. tnudo""'I'IslaIoá:!n ......
....cLIdI:>, .. .......  
Fig. 6. 11. Cuenta asociada.
5. Con posterioridad veremos que es posible modificar los datos asociados a la insta-
lacián, y asociar, si no se había hecho ya, una cuenta de carreo electránico, así que
pulsamos en Siguiente. Aparecerá uno pantalla donde seleccionar la carpeta en que
se realizará la instalación. Dejamos la carpeta por defecto C\Archivos de Programa\
logMeln Hamachi\ o C\Program Files\logMeln Hamachi. También seleccionamos
Crear un acceso directo en el escritorio y procedemos a instalar. Una vez que con-
cluya la instalación, seleccionamos en la última pantalla Ejecutar Homochiy pulsamos
Terminar.
(Confinúo)
6
153
6 Seguridad activa en redes
----------------------------------------
q Caso práctico 3
(Continuación)
6. La aplicación se ha instalado correctamente. Para que se le asigne una IP virtual,
es necesario pulsar el botón de encendido. En este caso la dirección asignada es
5.125.76.223 (Fig. 6.12). El resto de equipos que formen parte de la red virtual se
conectará a esta dirección IP.
Z Si ahora pulsamos en el menú Sistema en Preferencias se abrirá una pantalla
como la que muestra la Figura 6.13, correspondiente a la opción Estado. El
menú de la derecha nos permite realizar modificaciones en la configuración que
se ha establecido por defecto, como el nombre del equipo (Jupiter).
ff) loqMrTn Ht1Il1C1ChP - )(
_, 1'110' J      
n IS.125.76.223!1 P I
g lupHer
Fig. 6.12. Pantalla
de conexión.
StalU. and Conflnuratlon -

Clerte VPN de HetMchI, versión 2.0,1.62
DIente
ID de dente: 09Z.Q97-759
Ncicnb'1I: cambiar ...
Cuenta de
'-1m
protocolo MlIvo do li5lI8di
Di"ea:I6n: 77.212.193.229:12975
Fig. 6. 13'. Pantalla de Estado.
8. Pulsamos ahora en Seguridad. En esta pantalla se localiza la clave pública RSA
del servidor, que servirá para realizar la autenticación (Fig. 6.14). En esta lista
se irán añadiendo las claves públicas de los equipos con los que conectemos.
9. Si no deseamos utilizar una clave pública en la configuración avanzada de
Configuración podemos cambiar la opción de autenticación y utilizar una con-
traseña (Fig. 6.15), aunque no es recomendable. Para ello basta con hacer clic
sobre Autenticación y seleccionar como valor contraseña, tras ello hacemos
doble clic sobre Contraseña y escribimos la clave elegida. En la pestaña de con-
figuración podemos configurar otras opciones como ocultar a los miembros de
la red que no estén conectados.
Fig. 6.1 4. Pantalla de Seguridad. Fig. 6. 15. Pantalla de Configuración.
(Continúa)
Casa flráctico 3 9
(Continuación)
10. El siguiente pasa es crear la red a la que se unirán las clientes, para ella pulsa·
mos en Red, Crear una nueva red de malla, como se muestra en la Figura 6.16.
11. Se abrirá una pantalla (Fig. 6.17), donde daremos nombre a la red (que no
puede estar ya siendo usado), y la protegeremos con una contraseña, que debe-
remos proparcianar a aquellos clientes que queramos formen parte de nuestra
VLAN.
Fig. 6. 16. Crear una nuevo
red.
(reate a cUent-owned (ll network
Network name II S:::I.=bcl:::,_ _ -,-_-,--,--=c-_.,..--,--,=--,--J
IntroduzaJ un nombre p&.! red,oEste nombre lo utiiz.ván
0' ------ --------------
l og in to (reate a new managed (ll network
Fig. 6.17. Datos de la nueva red.
12. La red se mostrará ahara en la pantalla principal de LogMelN Hamachi (Fig.
6.18). En estos momentos el equipa jupiter, el servidar, es el único equipo que
está conectado a la VPN.
A medida que se unan nuevos miembros a nuestra red, irán apareciendo sus
nombres debajo de Sl.bcle, hasta un máximo de 16, que es el máxima de
miembras en la versión gratuita de esta aplicación. La versión de pago permite
ampliar el número de usuarios conectados, haciendo que su uso para empresas
sea viable.
fJI LogMeln   - X
S,:\o-rn, ¡:.
1m! 5.125.76.223
a lupiter
IleQ] 5IJIdO
;;;:==

Fig. 6.18. Red SI.bele.
- ,
Seguridad activa e n redes
6
~ / 6 Seguridad activa en redes
        ~                                                                    
156
Como ya hemos visto antes, en toda VPN la conexión tiene dos extremos, uno que pode-
mos denominar servidor, donde hemos creado la red virtual y al que han de conectarse
el resto de equipos, situados en el extremo del cliente.
la configuración de un cliente es más sencilla que la de un servidor, ya que únicamente
ha de crear la conexión y especificar la red con la que esta se realiza. logMeln Hama-
chi puede ser utilizado tanto en equipos Windows como en equipos Linux, aunque en
este sistema operativo aún se está en versión beta y se trabaja desde el terminal.
~ Casa práctica 4
Instalación y configuración de un cliente para una red VPN
En las organizaciones se trobaja con distintos sistemas operativos, por lo que es
habitual que haya necesidad de interconectar equipos funcionando con Windows
y Linux. Aprovechando la red que hemos creado en el caso práctico anterior, nos
conectaremos a ella desde un equipo con Ubuntu, a través de una VPN creada con
logMeln Hamachi.
1. Descarga el paquete de instalación desde http://files.hamachi.cc/ linux! En este
caso práctico vamos a realizar la instalación del paquete hamachi-0.9.9.9-20-
Inx.tar.gz. Guárdalo en la carpeta donde vayas a realizar la instalación, en este
caso /root. Recuerda que debes de ser el administrador del equipo.
2. Descomprímelo utilizando la orden de la Figura 6.19, se generarán las carpetas
y archivos de instalación en el directorio hamachi-0.9.9.9-20-lnx, donde debe-
mos situarnos con cd.
namacnl·a. 9.9.9-20-tnxl
hamachi-O. 9.9.9-20-tnx/Hakefile
hamachi -O. 9.9. 9-20-tnx/lICENSE
hamachi-e.9.9 . 9-26-1nx/REAOME
hamachi-B.9.9.9- 2o-tnx/LICENSE. tunctg
hamachi -0.9.9.9' 20-1nx/ LICErlSE. openssh
hamachi-e.9.9.9- 20-tnx/LICENSE.opensst
hamachi-O.9.9. 9-29-1nx/hamachi
hamachi-e .9.9.9-20-tnx/tuncfg¡
hamachi-e. 9.9.9-20-1nx/tuncfg/Hakefile
hamachi-e.9.9.9-20-tnx/tuncfg/tuncfg.c
hamachi-6.9.9.9-20-1nx/tuncfg/tuncfg
hamachi-e . 9.9.9 -2o-tnx/CHANGES
root@jupiter:-# cd hamachi-B.9.9.9-29-lnx
Fig_ 6.19. Descomprimimos Hamachi.
r.gz
3. Instalamos el cliente con la orden make install, tal y como puedes ve en la Figuro
6.20. Hamachi para Linux está listo paro funcionar.
copying hamachi into l usr/bin ..
creating hamachi-init symlink ..
Compiling tuncfg . .
Copying tuncfg into Isbin ..
Hamachi is installed. See REAOME tor what to do next .
root@jupiter:-/hamachi-9.9.9.9-29-lnx#
Fig. 6.20. Inslalamas Hamaehi.
(Conlinúa)
'---
(Continuación)
Casa práctico 4 9
4. El cliente empieza a funcionar cuando ejecutamos el comando tuncfg (que
está en el directorio del mismo nombre); para ellos debemos escribir las árdenes
de la Figura 6.21.
ArthIvo Editar AVüda
root@júpl 9.9. 9·20-lnxI cd tuncfg/
root@juplur: 9. 9. 9-20-lnx/tuncfgl ./tund!!
tuncfg: a1.relldy running
root@Jup1ter:- /haltach1-0.9.9.9-10-lnx/tunc fo'
Fig. 6.21. Arrancamos el cliente.
---
5. Las siguientes árdenes que veremos nos permitirán crear el perfil de un nuevo
usuario y unirnos a la red Sl.bcle, que creamos en el servidor Windows en el
Caso práctico 3. En la Figura 6.22 vemos la orden que hemos de ejecutar para
informacián de la cuenta .
• •• m !l' • • Gi [i'j • tID{JilJ'ji!1iEI! lClf
AlUlivo A)'llda
root@jupite r: -0.9.9. 9-   har.Jachl· lnl t
Inlt1I1Uzlng H8t:1l1chl conflgufatlon (froot/.hllmachil. Please wait __
generatl ng 2048·bit RSA keypair .. ok
aaking ¡ rootl.ha:aachl directory .. ok
saving Hoot! .hal=.ach1tcUent .pub .. ok
saving ¡ root/.haDilchi/cUent.pri .. ok
.. ok
Authentication infornaUon hils been created. Hamachi can now be started with
  surt ' cor::nand IInd then brought onUne with 'haruchi login'.
root@juplter:-/hamachl-0.9. 9.9·10-1ml! tuncfg' I
Fig. 6.22. Creación de Información de la cuenta.
6. En la Figura 6.23 ves como debemos arrancar el demonio (servicio) Hamachi
con el comando start. Para detenerlo bastará con sustituir slart por slop.
Afd¡ivo EdItar Y.er ]l!rmlnal Ay¡.¡da
root@Jupiter:- /ha3ilchi -O.9. 9. 9-28-1nx/tuncfgl hcmachi stllrt
Starting HMachi hacachi-lnx-O_9.9. 9·20 . . ok
root@jupiter:-/haDilchi·O.9. 9.9-20-1nx¡tuncfgl I
Fig. 6.23. Arrancamos el servicio.
7. Como es la primera vez que nos conectamos, nuestro máquina no tiene ningún
nombre. Podemos dejar que tome uno por defecto pera es conveniente asignár-
selo mediante la orden de la Figura 6.24.
root@Jup1ter:-/haraachi-0.9. 9.   set · nick jupi terLinux
Setting nicknar.e .. ok
root@jupiter:-/ha1lilchi-O.9.9.9-20-1nx/tuncfg' I
Fig. 6.24. Asignamos un nombre 01 equipo.
8. Ejecutamos la arden hamachi login antes de realizar la conexión con la
red de destino, para poder ser identificados y nos unimos a la red, mediante el
comando join seguido del ID que tiene asignado dicha red, en nuestro coso
Sl.bcle (Fig. 6.25).
,,--ro - I
ArchiYO fditar Y.eJ :rmnlnal Ayuda
rootOjupi ter:-/!la;::achi -O. 9. 9. 9-20- tnx/ tuncfgl haoachi joln SI.bcle
Password:
Join1ng SI.bcle .. ok
root@jup1ter:-/haroachi-O.9.9.9-20-1nx/tuncfgl I
Fig. 6.25. Nos unimos a lo red.
(Continúa)
Seguridad activa en redes
6
~ / 6 Seguridad activa en redes
- - - - ~ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
~
Hamachi es usado en muchos
servidores de juegos para
conectar a diferentes jugadores.
q Casa práctica 4 _____________ ___ ____ _I
¡Conlinuación}
9. Por defecto, codo vez que nos conectemos o este servicio lo haremos en el
mismo estado en que lo abandonamos la última vez, es decir, si cuando ejecuta-
mos la orden stop estábamos en línea, la siguiente vez que ejecutemos la orden
start directamente estaremos en línea. Como es la primera vez que vamos a
unirnos a la red, por defecto aparecemos como no conectados, así que debe-
mos utilizar el comando go-online (Fig. 6.26) . Cuando queramos desconec-
tarnos, sin cerrar lo aplicación, usaremos go-off line.
Going ontine in SI . bcle , _ ok
root@jupiter:- / hamachi · e . 9.9. 9-29-1nx/ tuncf g#
Fig. 6.26. Clienle en línea.
10. Por último, vemos si en la red hay más miembros conectados. En este caso jupi -
ter (el servidor) está en línea, como ves con la orden list (Fig. 6.27).
[SLbelet
'" 5. 125.76.223 jupiter 192.16B.l.33 :1e36
5. 126 . 2e6.176 jupiter2
root@jupiter:- ¡ hamachi-e.9.9. 9-29-1nx/tuncfg#
Fig. 6.27. LisIo de usuarios de lo red.
11. En la Figura 6.28 del equipo jupiter vemos que hay un nuevo usuario conectado
en la red. .
~ lonMpIn H"rn"t( hi' -
x
: . ~ ~ .  
,., _ ,1>
m 5.126.76.223
1upiler
I o SLbde
- 1
o j;.Jp.(erZ
lO' jo..pter\.hDI:-5.2.15.132. -¡
Fig. 6.28. Equipos coneelodas o lo red SI.bele.
~ Actividades
7. En la Figura 6.28 puedes ver que se ha unido a la red otro equipo llamado
jupiter2. Configura un cliente Windows con este nombre y realiza los pasos
necesarios para que se una a Sl.bcle.
8. Busca información sobre otros paquetes software que permitan crear redes pri-
vadas virtuales y compara sus características con LogMeln Hamachi.
Seguridad activa en redes
6
3.2. Detección de intrusos
Como hemos visto, podemos evitar los intrusiones externas utilizando redes privada
virtuales, pera ¿qué hacer cuando las intrusas ya están en nuestra red?
Detectar intrusiones es una tarea muy compleja para la que se ha ido desarrollando un
software específico denominado sistema de detección de intrusiones, IDS.
Estas aplicaciones suelen ser propietarias y muy complejas de utilizar, por lo que su uso
suele limitarse a grandes redes que requieren una seguridad muy concreta.
Aunque existen sistemas que utilizan conceptos tan avanzados como la inteligencia
artificial, la mayoría se basan en el uso de bibliotecas de normas, que describen las
condiciones del tráfico para técnicas de ataque o intrusiones ya conocidas.
Los IDS son un paso adelante en las funciones que implementan los cartafuegos, a los
que dedi caremos la unidad siguiente, y algunas de sus funcionalidades suelen integrarse
en ellos, aunque a un nivel mucho más bajo.
Existen varias herramientas interesantes de detección de intrusos pera su uso es bastante
complejo, algunos ejemplos más representativos son Tripwire Enterprise y Snort:
• Tripwi re Enterprise, que permite detectar los acciones en la red que no se ajustan a
la política de seguridad de la empresa, e informar de aquellos que necesitan espe-
cial atención.
Ofrece soporte para Windows y Linux, además de para entornos virtuales, como las
creados con VMWare, pero es una aplicación propietaria, pensada para grandes
redes con un tráfico y un número de usuarios muy elevado.
• Snort, que es una aplicación de código abierto que permite tanto la detección de
intrusión como su prevención.
Existen versiones para sistemas Windows, aunque el grueso del proyecto se desarro-
lla para entornos Linux. En cualquier caso, será necesario instalar algunos paquetes
adicionales que garanticen el funcionamiento de la aplicación, en el caso de las
distribuciones Linux, par ejemplo, se instalarán Libpcap, PCRE, Libnet y Barnyar, que
tambi én son de código abierto.
Este IDS escucha el tráfico de la red en tiempo real y lo relaciona con una serie de
normas ya predefinidas, que pueden descargarse desde Internet. Cuando encuentra
alguna coincidencia alerta sobre ella, hace un lag de dicho tráfico o lo ignora, se-
gún se haya indicado en la norma.
3.3. Arranque de servicios
Un servicio de un sistema operativo es una pequeña aplicación que corre en segundo
plano y da soporte a este, para permitirnos tener funcionalidades como, por ejemplo, el
uso del protocolo SSH, que ya conoces.
El número de servicios que se pueden instalar y utilizar en un equipo es innumerable,
pero debemos de tener en cuenta que, cuantas más acciones queramos que haga auto-
máticamente nuestro sistema operativo, peor será el rendimiento del equipo. Y no solo
eso, sino que es posible que también estemas poniendo en peligro su seguridad.
o Servicios en Windows Vista
En su búsqueda por evitar que se ejecuten automáticamente servicios no deseados, Win-
dows Vista incarpora el UAC, control de cuentas de usuario. Si bien es una herramienta
útil para usuarios inexpertos, ya que refuerza la seguridad del sistema evitando que se
ejecuten programas innecesarios o dañinos, como pueden ser los virus, resulta bastante
molesta en ocasiones, especialmente cuando se van añadir nuevos programas al sistema.
Con la utilidad UAC activada será necesario autorizar específicamente cada acción o
cambio de configuracián que realicemos, como activar el firewall de Windows (Fig. 6.29).
lOS. Es el acrónimo de "IIIU51(m
Detection Systems, sistemas de
detección de intrusiones
Puedes conseguir una versión
evaluación de Tripwire a través
de su Web:
http://www.tripwire.com
Toda la información del proyec·
to Snort puedes encontrarla en:
http://www.snort.org
Actividades  
9. Busca otros paquetes IDS
en Internet y realiza una
tabla con su nombre, su
fabricante (o grupo de
trabajo) y sus característi·
cas básicas.
Seguridad acti va en redes
Actividades
10. Busca información sobre
las servicios que arranca
automáticamente Windows
Vista y decide si conviene
deshabilitarlos para me¡o-
rar el rendimiento de tu
equipo.
Cc:iirttOl de cucntu de usu,rio
Windows necesita su permiso para continuar
Si usted inide en, uc.ióo. puede c.ontinuar.
Configuración de Flrew,U de Windows
Microsoft Windows
I 'ontinu.f 1I Cancelar I
El Control de cuentas dI! usuario le a)'\lda a impedir cualquier cambio no
autorizado en el equipo.
Fig. 6.29. Con/rol de cuenta de Windows Vis/a.
En el caso de que tengamos ci ertos conocimientos y herramientas adicionales para
proteger tu equipo, o mientras estemas realizando instalaciones programadas de pro-
gramas, como reconfigurar los servicios de Windows, podemos desactivarlo desde el
Panel de control > Centro de Seguridad. La opcián correspondiente se localiza dentro
de las Opciones de Configuración Adicional.
Para acceder a los servicios instalados en el sistema operativo debemos abrir, en el
panel de control, las herramientas administrativas. El ob¡etivo que debemos tener en
mente es uno que ya hemos tratado a lo largo del libro, no tener nada instalado o en
funcionamiento, que no vayamos a necesitar.
La lista de servicios de Windows Vista es mayor que la que ofrecía Windows XP y se
prevé muy similar a la de Windows 7, ya que varios de ellas se han divida para dotarnos
de mayor control (Fig. 6.30) . Si hacemos clic con el ratón sobre el nombre del servicia
vemos también una pequeña descripción del mismo.
-_.,,-
4o .. !0 r:¡ 1IY!! n "
'''''''- ¡I''---=---
11 =.-_::::.
';: ... _. __ .. _ ... - .......... -
.. ---.. _ ..... '-
.:. ---........ _, ....... - "-
t:. __ .. .. ...
I
':- 1 .. :::::: -
  Q_ .. -...... .. ,,_ row ___ __
1 __ .. _ ....... <l _ .. _..... o ............ .......
... _ .. - ClO _ ... _ .. " .... . _ _ o ...
<l _ ....... _ _ _
ClO _ .. _ CNO .... _ o __ _ _
:: _ ..... .. ...."-",,, - -
:: _ ...... . '- -
:: _ .. _ c::u.
t:. _ .. _ .. _ .. _ . .. .......
t:. _ .. ,, _
.. -
.. 0- _ _
.... - --
t:, . _ .... _ _ _
-_ ... . _ .. _ .. _ .. _ ,- .--
Q ........ .. .. '- ' - - , ___
.:: c .... .. .. .-... .......... . _ _
_ a-.. _ .. _
:¡ ........ .--.. --
:;: a-.-.
Fig. 6.30. Servicios de Windows Vis/o.
.
l'
Dentro de estos servicios encontramos algunos que pueden suponer un riesgo paro la
seguridad de nuestro equipo si no se inician en un entorno controlado, u otros servicios
peligrosos, por lo que puede ser conveniente desactivarlos. La difi cultad suele encon-
trarse en determinar qué servicios son peligrosos, y distinguirlos de aquellos que hemos
instalado nosotros. Buscaremos:
• Servicios que no llevan descripción (los del sistema operativo la incl uyen), aunque
los que hayamos añadido al sistema no tienen por qué incluirla.
• Servicios cuya descripción está en un idioma distinto al de instalación de nuestro
sistema operativo.
• Servicios que se arrancan con cuentas no utilizadas para propósitos de administración.
• Servicios cuya ruta de acceso al e¡ecutable sea Windows.
• Servicios con un nombre extraño.
Desactivar un servicio en Windows Vista
Caso p'ráctico 5 9
En ocasiones debemos desinstalar alguno de los servicios de Windows, bien par-
que queramos mejarar el rendimiento de nuestro equipo o porque seo un servicio
potencialmente peligroso. En este coso vamos o desinstalar el servicio Telnet, para
evitar que puedan conectarse o este equipo de formo remoto no segura.
1. Abre la lista de servicios de Windows y localizo el servicio Telnet. En este coso el
servicio ya está iniciado, ya que se lanzo automáticamente can el inicio de sistema
operativo (Fig. 6.31) .
.......... ....... v .. ..,..
  • • u I t
C. 5a>U:1 (IoaIuJ .:,j -.-. C\IdoIO
Fig. 6.31. Seleccionamos el servicio Te/net.
,...,.. do ..
:==0
.
J ,
2. Hocemos doble clic sobre el servicio y se
obre su ventano de propiedades. Desple-
gamos los opciones de tipo de inicio y
seleccionamos Deshabilitado.
Telnct p,.,,¡:iedadosr ...... ¡¡o baIJ
.,.".
3. El servicio seleccionado yo estaba i ni-
ciado, por lo que es conveniente que lo
detengamos de inmediato. Paro ello pul-
samos sobre Detener, que aparece en
el menú de lo izquierdo que correspon-
diente al servicio (Fig. 6.30).
4. En coso de que desees volver o activar el
servicio, o habilitarlo paro que se active
de modo automático, tienes que realizar
este mismo proceso pero seleccionando
el tipo de inicio que desees y pulsando
""""
-...., O"" .. dII !
Ibltnd! .......,., :
"""

--,

.... _
qcU:Ie:

TlPQden::i:l :
1
   
I
1

11 "'- I I
p-
I I "'"'''''' I
..   ... nc.


L- .-J
1-- 1
I '"""" I
C-J
Iniciar. Fig. 6.32. Deshabilitamos.
o Servicios en Ubunlu
El manejo de servicios en Linux, denominados habi-
tualmente demonios, es parte esencial de la adminis-
tración de este tipo de sistemas. Ubuntu 9.04 ha mini-
mizado,el tiempo de arranque del sistema operativo,
en parte cargando un menor númera de servicios al
inicio, lo que, además, facilita la administración.
Podemos acceder a los servicios instalados desde
el entorno gráfico del sistema operativo, pul sando
sobre Sistema y seleccionado Administración, don-
de está la opción servicios que ves en la Figura
6.33. Desde aquí podemos activar y desactivar
servicios con un solo clic.
... __ ............ .

·1
o 0
GnUolft
.... -pad6n' .... -r
101 CnUoIn ... dIo"" ........ __
! 101 'lt GnU6n'" - ... jaqold)
1
101
GcsU6n ......... ¡."",1It
le @GcIl:"' ..... """ ....... ¡1wttfJt
1
;l GcIUoln ele .. "pIGol 1""!u7""nl"t(p]
     

Fig. 6.33. Servicios en Ubuntu.
Seguridad activo en redes 6
El servicio de Administración
conexión de acceso remoto es
necesario si en tu equipo vos
a establecer una red privada
virtual. En otro caso es conve·
niente deshabilitarlo para evi·
tar accesos no autorizados que
pudiesen hacerse con el control
del equipo.
1 /6 Seguridad acliva en redes

I á Ejemplos
En el Caso práctico 4 hicimos
uso de alguno de los comandos
anteriores para manejar el servi-
cio hamachi. En la Figura 6.34
podemos ver cual es la orden
que hemos de escribir parar esle
mismo servicio.
_ uooovoo _ ... ..
..... 1 .. ""'·"_ ... ·····1·"' ... , ........ _ .. , ,, ..
  .. , .... ·\ ..." ... ' .. 1
Fig. 6.34. Parada de un proceso.
Según el Inslilulo Nacional de
Esladíslica, desde el año 2006
se observa un estancamiento
en el uso de los ordenadores
de sobremesa, mientras que los
porlátiles han crecido un 4% de
2006 a 2007 y un 6% de 2007
a 2008, siendo en este último
año de un 40 %.
El uso de banda ancha en los
hogares en el año 2006 ero de
un 30 %, en el año 2007 de un
40 y en el año 2008 de un 45 %.
Fig. 6.35. Wi·Fi con antena.
Los verdaderos posibilidades paro controlar los servicios estón en el uso de lo línea de
comandos. Los servicios instalados en el sistema se encuentran en lo carpeta /etc/ init.d
pueden arrancarse, pararse, etc., con el uso de cuatro modificadores:
• sta rt : arranCamOs el servicio.
• stop: paramos el servicio.
• resta rt: reiniciamos el servicio.
• status: nos informo del estado del servicio.
4. Seguridad en redes inalámbricas
En los últimos años, los necesidades de comunicación en los empresas y en los hogares
han cambiado mucho, y no solo en la velocidad de los conexiones o Internet. El uso de
ordenadores portótiles y otros dispositivos móviles como por ejemplo teléfonos móviles,
consolas portables o PDA se ha disparado en los últimos tiempos. Este tipo de equipa-
miento exige conexiones inalómbricas que permitan la movilidad. Los ventajas y las
inconvenientes que proporcionan los redes inalómbricas son:
Movilidad: nos permite conectarnos desde
cualquier punlo ¡dentro del alcance de la red
inalámbrico).
Escalabilidad: podemos añadir equipos fácil·
mente y con un coste reducido.
Flexibilidad: permile colocar un equipo en c
ualquier punto Ino es necesaria una toma de
red). .
o
Menor rendimiento: el ancho de banda es
mucho menor.
Seguridad: cualquiera que esté en el alcance
de lo red puede aprovechar una vulnerabilidad
pora colarse en la red o descifrar los mensajes.
Interferencias: la red es mucho más sensible a
interferencias.
Tabla 6.1. Ventajas e inconvenientes de los redes inalámbricas .
Existen varios tipos de conexiones inalómbricas: Bluetooth, Wi-Fi (puedes ver uno adaptador
Wi-Fi en la Fig. 6.35), 3G (puedes ver un adaptador 3G en lo Fig. 6.36). Nos vamos a
centrar en las redes Wi-Fi, por ser las que proporcionan el acceso o una red de órea local.
Fig. 6.36. Módem 3G USB.
' ~     d   d     ; ~     "do" 6 '-C-'
- - - - - - - - - - - - - - - - - - - - - - - ~ - - - - - - - - - - - - -
4.1. Tecnologías Wi-Fi
El estándar IEEE 802.11 define los dos primeros niveles de la capa OSI para las redes de
área local inalámbricas (WLAN). Los protocolos estándar que permiten la comunicación
inalámbrica son:
802.11a 5GHz 50 metros 54 Mbit!s
Sufre menos interferencias porque no es la banda de los teléfonos móviles y
otros electrodomésticos, sin embargo es mucho más sensible a los obstáculos.
802.11 b 2,4GHz 100 metros 11 Mbit/s
La frecuencia de 2,4 es menos sensible a los obstáculos, pero en esta frecuen-
cia trabajan muchos electrodomésticos que provocan interferencias.
802.119 2,4GHz 100 metros 54Mbit!s Las interferencias sufridas son las mismas que en 802.11 b.
802.11 n
2,4GHz
y5GHz
100 metros 600 Mbps
Aunque el estándar se publicá de forma definitiva en septiembre de 2009,
ya existían anteriormente dispositivos que cumplían un borrador del estándar
llamado 802.11 draft n.
Los dispositivos de este tipo son compatibles con todos 105 protocolos anteriores.
Tabla 6.2. Protocolos inalámbricos estándar.
Es importante tener en cuenta que los dispositivas electrónicos Wi-Fi que interactúan
entre sí pueden seguir diferentes estándares, y tendrán que ser compatibles entre ellos
para poder comunicarse.
Algunos dispositivos Wi-Fi son compatibles con varios de estas estándares. Cuando un
punto de acceso permite por ejemplo los protocolos 802.11b y 802.11g, si lo configura-
mos correctamente podemos conseguir que se conecten a él estaciones con dispositivos
802.11b y 802.11g.
Existen otros protocolos na estándar como por ejemplo 802.11 g+ que aumentan la velo-
cidad de comunicación con las estaciones que soportan estos protocolos.
Actividades 9t
11. Una pequeña empresa como SiTour comienza con 2 empleados. Tiene la espe-
ranza de triplicar el personal en el próximo año. Han alquilado un local en el
que no hay instalación de red. Analiza las ventajas y desventajas de la red ina-
lámbrica para este caso.
12. Analiza el uso que haces tú en tu vida diaria de algún tipo de comunicación ina-
lámbrica. Intenta identificar que tipo de comunicación inalámbrica se está produ-
ciendo.
13. Consulta en alguna tienda online cual sería el coste de un router inalámbrico y
tres adaptadores Wi-Fi, dos para portátil y uno para el ardenador del aula.
14. Revisa la solución que propusiste para la actividad anterior y averigua si todos
los elementos que seleccionaste son compatibles. Si no lo son, escribe por qué.
15. ¿Qué protocolos estándar permiten los dispositivos <dntel Wi-Fi Link 5100" y
«Linksys WUSB600N,,?
16. ¿Qué protocolos permiten las puntos de acceso SMCWEB-N y WRT54GX4?
17. Son compatibles los interfaces de la Actividad 15 con los puntos de acceso de
la actividad 16?
18. ¿Qué diferencia en coste hay entre montar una red con tres equipos 802.11 g y
802.11 n?
,
, ,-
·,!,t1JA:L
163
6 Seguridad oclivo en redes

•• , ' - -'o
Voc<lb.ulono ". ':.
Es uno lopologio de red
en [a que la comunicación
se produce directamente entre
dos equipos, sin un punto de
acceso.
Es recomendable no utilizar una
conexión Wi-fi para configurar
el rouler, debido a que cuan-
do cambiemos la configuración
podremos perder la conexión.
4.2. Conceptos de redes Wi-Fi
Aunque, como ya estudiaste en el módulo «Redes locales» también existe la topología
ad-hoc, lo más habitual es la topología infraestructura (Fig. 6.37) en la que existe un
punto de acceso que es el encargado de gestionar el proceso de comunicación entre
todas las estaciones Wi-Fi.
En primer lugar para que un cliente pueda comunicarse can la red tiene que estar
asociado al punto de acceso y para poderse asociar tiene que pasar un proceso de
autenticación. Una vez pasada este proceso, la estación quedará asociada al punto de
acceso y podrá comunicarse con este y a través de él con otros equipos.
Estación 1
Fig. 6.37. Estructura de una red Wi-Fi.
Caso práctica 6
Red Wi-Fi obierta
w
,
AP
Estación 2
PDA
Montar una red inalámbrica abierta para dar salida a Internet a todos los equipos
que quieran conectarse a ella.
1. Accedemos a la configuración del punto de acceso (o router ADSL Wi-Fi) a
través del navegador, poniendo su dirección IP. En el caso de la Figura 6.38 la
dirección del punto de acceso es 192.168.1.2.
También puedes acceder a un simulador de algún router. Te proponemos el
router linksys WRT54GX4 (http://uiJinksys.com/files/WRT54GX4/1.00.09/Wi-
reless.htm) o puedes buscar otro de linkSys en http://uiJinksys.com/_
- .
--
o          
........ -
,"'." ..
, ......
Fig. 6.38. ConFiguración básica
Comtrend.
Wrele-'..s tktwOI'k Mode : ';"';;:: ," :: 1 ____
Wrele:¡:¡ NdwOI'k N.lme (SSD) : __ ..J
..... eless Chllmd: I Aul a J v I
..... eless SS[) Broadc;¡sI: :
(Auto !vi
tl- ® Enable O
Dlsable
Fig. 6.39. Configuración básico LinkSYS.
(Continúo)
(Continuación)
Casa ¡:>ráctica 6 9
2. Accedemos a la sección de configuración Wi-Fi básica. Aquí hay que tener en
cuenta que cada fabricante utiliza una aplicación de configuración diferente
(Figs. 6.38 y 6.39), por lo que tendremos que buscar las opciones e incluso dis-
poner del manual del punto de acceso. Dentro de la configuración básica pone-
mos el SSID (Service Set Identifier), que es el nombre que tendrá la red Wi-Fi.
3. Por último accedemos a la sección de Seguridad Wi-Fi y ponemos autenticación
abierta y seguridad deshabilitada (Figs. 6.40 y 6.41) para los routers inalámbri-
cos Comtrend y linkSys .
Do . leo w.
\\1 , .. ...
o ....
\\Ir .. ... •
.... . _ 'd
.. .., w.
ti ..... "" .
--
. - . - ,
"',",,, h ,. ,. """ . . ....., .",,,.,,, ,. , . .. ,,, ,j,,, I,
.."" ... " ... ",,.,, .,, ,, ........ ...... ,, , .. ,, ... . ,,, .. "
"""' "',, .. , ....     ....       .. ","
c" ..     .. '"1" . .. . '''", ... .. .. ",.",, "'
II . ..... . . , ... , .. ,¡"
Fig. 6.40. Seguridad Camtrend deshabilitada.
Sectdy
Fig. 6.41. Seguridad LinkSYS deshabilitada.
4. Conectamos uno de los conectores RJ45 del punto de acceso a la red cableada
habitual de clase y ya podemos conectar un ordenador por Wi-Fi al punto de acceso.
Ten en cuenta que el estándar 802.11 no modifica el nivellP, así que usaremos la
misma configuración IP de siempre.
Como puedes comprobar nos podemos conectar a la red que hemos creado sin
utilizar contraseña.
4.3. Seguridad Wi-Fi
En el caso práctico anterior hemos configurado un punto de acceso para permitir el acce-
so sin seguridad a la red. Como has podido comprobar cualquier cliente que tenga una
tarjeta de red inalámbrica compatible con el punto de acceso, podrá conectarse a la red.
Esta no es la situación deseada. Lo que habitualmente queremos es contra lar quien se
conecta a nuestra red. Para ello podemos aplicar varias medidas de seguridad, que se
pueden agrupar según el nivel en el que aplican:
• Nivel físico: en este nivel podemos intentar controlar la señal producida por los puntos
de acceso y las interferencias recibidas. A través de la utilización de diferentes antenas
podemos intentar conseguir que la señal salga lo menos posible de los límites deseados.
• Nivel de enlace: en el nivel de enlace hay mucha variedad de medidas que pode-
mos tomar para conseguir este objetivo:
Controlar el acceso a través de una contraseña común para todos los clientes.
Controlar el acceso a través de una caracteristica del cliente, como par ejemplo
la dirección MAC o un nombre de usuario y contraseña.
Actividades
19. ¿Hay alguna forma de obligar a un punto de acceso a que utilice un estándar
802.11 determinado si es compatible con varios? Describe el procedimiento a
seguir en el de clase.
Seguridad activa en redes 6
Aunque pueda parecer sorpren-
dente/ inicialmente los provee-
dores de servicios de Internet/
cuando instalaban un router ina-
lámbrico, dejaban la red Wi-Fi
abierta.
165
6 Seguridad activa en redes

5. Seguridad WEP
CRC es un código de comproba-
ción que se calcula a partir de
las datas y se añade al paquete
para que en el destina se pueda
comprobar que na ha habido
variación de los datos durante
la transmisión.
WEP (Wired Equivalen! Privocy) es el sistema de cifrado estóndar que se utilizó inicial-
mente para el cifrada del protocola 802.11. Intenta dar a los redes inolómbricos la
seguridad que se tiene en los redes cableadas. La principal diferencio entre las redes
cableadas e inolómbricos es que en los redes inalámbricos puede intentar entrar en lo
red cualquier persono dentro del alcance, aunque seo fuero de lo empresa, mientras
que en uno red cableada hoy que tener acceso físico a dicha red, es decir, hoy que
estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones
de trabaja tienen que compartir una clave (clave WEP). Esta clave puede ser según el
estándar, de longitud 104 bits (13 caracteres) a 40 bits (5 caracteres).
Se suele hablar de WEP 128 o
WEP 64, pero realmente estos
128 o 64 bits son el tamaño de
la contraseña WEP y el vector
de inicialización juntos.
Por ejemplo se habla de WEP
128 porque es uno clave de 104
bits más los 24 bits del vector de
inicialización.
Clave
WEP
Vec. lnj
(IV)
Fig. 6.42. Funcionamiento WEP.

I Cabecera
Datos
I GRC
I
¡


¡ í
Cabecera IV Datos CRG
WEP util iza un algoritmo llamada RC4 para a partir de lo clave WEP y de un vector de
inicialización de 24 bits (también llamada IV), generar una secuencio aleatorio, llamada
semilla, lo cual utilizaró para cifrar lo comunicación can el punta de acceso. Puedes ver
un esquema del algoritmo en la figuro 6.42.
El resultada es una trama en la que la cabecera y el vector de inicialización van sin cifrar
y tonta las datas cama el CRC van cifradas.
q Caso p' ráctico 7
Seguridad WEP en el punto de acceso
Configurar el punta de acceso para utilizar una clave WEP
de 128 bits y proteger así el punta de acceso.
l. Abre en el navegador la página de configuración del
rauter.
2. Configura tal y cama se describió en el cosa práctica
anterior el nombre de lo red.
3. Accede a la sección de seguridad inalámbrico. La
encontraras tal y cama la dejamos en el cosa práctica
anterior, es decir, cama la ves en las figuras 6.40 y 6.41.
Es recomendable que hagas estas casas prácticas can
varias puntas de acceso (par ejemplo, el del aula y el
de tu casa) parque las herramientas de configuración
san di ferentes. Si realizas esta tarea en tu casa, haz
primera una copia de seguridad de la configuración
del rauter para poder restaurarla pasteriarmente y de-
jar toda cama estaba.
4. Selecciona WEP cama moda de seguridad (figs. 6.43
Y 6.44).
_ ..... . _.,
• .:;;':::.:'''::: .. .....
_ ..... M' ........ , ••• .... .............. .. _.
..   .... _" ..... _. o.,
, ... ·• •• v .. .. __ ,_ ' •• _ . , ....

"" .... ....
. ·." ... ... ·, .. ..... .. .-;g
Fi g. 6.43. WEP en Rou/er Com/rend.
(Con/inúal
Seguridad activa en redes
6
(Continuación)
Caso "rádico 7 9
!O<oa.al,,-, I\\I!P , ... 1
-'-:
Oot""'''''''''': <J , O l o , Q 4
  . ... 1
K.. ' :
" .. 3 :
KI,. '
Fig. 6.44. WEP en Router linksys.
VIlr t! tss Sttll nDS' Encr)p1lcn Utl""
5. Seleccionamos como encriptación WEP, 128 bits, e introducimos la
clave WEP que queremos poner (por e¡emplo, ,,$1 Nab74c$b!@l»)
en alguna de las casillas llamadas clave (Figs. 6.45 y 6.46). Si la
controseña la ponemos en la casilla llamada clave 1 (key 1) es impor-
tante poner que la contraseña que tiene que usar por defecto es la
clave 1.
Enl., 13 A:'CI! Ol::!(l h •• ¡d.clm.! digil1101 l::!O·bll
t ncrypllon h.l'1.
5ecaKy trlode:
Anoclllllon Mode :
1- !vi
Iv I
DeflNll Trllllsml Key:
®1 O 2 O l O ..
I 128 bh26 hex digls I v I ve> EnctypUon :
IJ.l:¡ojook I\.y3:
K.y:
I
[±J
I :'.vtfAppl y I
I Generllle I
I<cy 1 :
I(cy 2:
Kcy 3:
Key":
Fig. 6.45. Clave WEP en Comtrend. Fig. 6.46. Clave WEP en linbys.
En algunos router dependiendo de la longitud de la cade-
na que pongas como contraseña puede entenderse que lo
estás escribiendo en hexadecimal o en ASCII. Por e¡emplo
la contraseña que hemos puesto es de 104 bits, que son 13
carocteres ASCII, pero que en hexadecimal son 26 dígitos.
Ten cuidado de escribir correctamente la controseña.
6. Guardamos los cambios y ya podemos conectar un
cliente al punto de acceso JUPITER utilizando seguridad
WEP de 128 bits.
____________________
Existen dos métodos a trovés de los cuales un usuario puede autenticarse con un punto
de acceso WEP:
• Abierta (open): la estación puede autenticarse sin necesidad de utilizar la clave
WEP, simplemente con solicitar la asociación, el punto de acceso dará por asociada
a la estación. Después de este proceso de autenticación la estación solo podró co-
municarse con el punto de acceso si conoce la clave WEP utilizada para encriptar
la comunicación.
• Clave compartida (shared key): cuando una estación envía una solicitud de asocia-
ción al punto de acceso, este envía un texto sin cifrar a la estación, llamado "desa-
fío». El punto de acceso solo asociará a las estaciones que devuelvan correctamente
cifrodo con la clave WEP dicho texto.
Aunque pueda porecer más seguro shared key, no lo es, porque cualquier estación
inalámbrica podría atrapar tanto el paquete de desafío como el mismo paquete cifrado
y con esta informacián asociarse correctamente con el punto de acceso e iniciar un
ataque a nuestro punto de acceso. Se recomienda el método de autenticación abierto.
Actividades
20. Configura el punto de acceso para que utilice seguridad WEP 64 y la contra-
seña que tú el;¡as.
Modo monitor en un di I
de red; es el que nos permite
coger todos los paquetes que
circulan por la red a la que
estamos conectados aunque no
vayan dirigidos a nosotros.
En este modo ponemos la tarjeta
cuando utilizamos Wireshark.
167
__ _____ ________________________________ __
Este proceso basado en Linux
para sacar las contraseñas
Wi-Fi se ha hecho muy famo-
so en los últimos años y se
han creado distribuciones espe-
cíficamente desarrolladas para
auditorio de redes inalámbricas
como WifiSlax o WifiWay.
q Caso flráctico 8
Comprobación de seguridod Wi-Fi
Utilizando una distribución Ubuntu sacar la contraseña de una red inalámbrica con
seguridad WEP 64.
1. Instalar sobre Ubuntu el paquete aircrack-ng ejecutando el comando aptitude
install aircrack-ng (para el desarrollo de este caso práctico se ha utili-
zado Ubuntu 8.10, the Intrepid Ibex).
2_ Ponemos el interfaz inalámbrico en modo monitor utilizando el comando air-
mon: airmon-ng start wlanO. Start indica que se quiere arrancar el modo
monitor (stop para parar) y wlanO es el nombre del interfaz inalámbrico. Si esto no
funciona, es probable que tu interfaz no sea capaz de trabajar en modo monitor.
Puedes investigar en hl1p://www.aircrack-ng.org/doku.php?id=compotibilily_drivers
sobre la compatibilidad de la tarjeta Wi-Fi.
Archivo Editar Ver Terminal Solapas Aluda
root@jupiter:/# airmon-ng start wlan0
Interface Chipset Driver
wlan0 Realtek 8I87L rU8I87 - [phy0]
(monitor mode enabled on mon0)
root@jupiter:/# I
                     
Fíg. 6.47. E;ecución de airmon-ng.
Si todo funcionó correctamente, ahora tendrás un nuevo interfaz con el nombre
que te ha indicado el resultada de airmon-ng (Fig. 6.47). Puedes comprobar que
tienes ese nuevo interfaz ejecutando el comanda ifconfig.
3. Utilizamos ahora el comando airodump-ng para detectar los puntos de
acceso que tenemos a nuestro alcance (Fig. 6.48):
Airodump-ng monO
BS:IA:2B:19:8B:EA 188
99:93:C9:E6:9A:2B 211
BSSID STATION
3
11
#/5 eH ENe CIPHER AUTH ESSID
e a 11 54 \'/EP
1 a 8 54 \'/EP \1JEP
PWR Rate Lost Packets Probes
JAZZTEL
JUPITER-
Fig. 6.48. Resultado de lo ejecución de airodump.
4. En el resultado de la ejecución anterior ya tenemos toda la información necesa-
ria para poder escuchar todos las paquetes que genera la red Jupiter. Para ello
utilizamos el comando airodump, pero indicándole:
• BSSID: dirección MAC del punto de acceso, según la Figura 6.48 el punto
de acceso JUPITER tiene la MAC OO:03:C9:E6:9A:2B.
• El fichero en el que queremos que salve los datas capturadas. Lo llamare-
mos jupiter. (Continúa)
6 Seguridad activa en redes
                                               
Caso práctico 8 "
(Continuación)
• También le indicaremos el canal en el que tiene que escuchar. En nuestro
caso y según la Figura 6.48 es el canal 8 (está indicado en la columna CH).
• Además indicaremos que guarde solo los vectores de inicialización, que
son los que nos permitirán descifrar la contraseña. Eso lo haremos con el
parámetro --ivs.
• y el interfaz por el que queremos que escuche los paquetes: monO
El comando a ejecutar será: airodump-ng - -channel 8 --ivs --bssid
00:03:C9:E6:9A:2B --w jupiter monO.
arc.hivo ¡¡ditar Ierminal Atyda
eH 8 1 ( Elapsed: 19 mins 1 ( 2009-99-28 09:04
aSSIO PWR. 1\)(0 aeacons l/Data, #/s eH Ha ENC eIPHER AUTH ESSIO
OO:Ol:C9:E6:9A:28 219 100 6269 83744 155 a 54 WEP WEP OPlI JUPITER
8SSIO STATION PWR. Rate lost Packets Probes
00:03:C9:E6:9A:2a 00:OE:ls:68:95:99 209 54-54 o 81397
Fig. 6.49. Resultado oirodump-ng poro JUPITER.
Para acelerar este proceso puedes conectar otros equipos a la red JUPITER y des-
cargarte en cada uno algún fichero grande de Internet.
En la Figura 6.49 puedes ver el resultado después de 10 minutos ejecutando ai-
rodump-ng. Ha capturado 83744 paquetes válidos para descubrir la clave (155
paquetes válidos por segundo). También puedes ver en esta figura que la autenti-
cación (columna AUTH) es abierta (OPN, open) . .
5. Cuando hayamos capturado unos 10000 paquetes de tipo IVS, intentamos
sacar la clave con el comando aircrack-ng al que le pasaremos:
• BSSID: dirección MAC del punto de acceso.
• El tamaño de la contraseña WEP, en nuestro caso 64.
• Y el fichero en el que están almacenados los datos. Los ficheros almacena-
dos son jupiter-Ol.ivs, jupiter02.ivs ...
El comando a ejecutar será: a ircrack- ng -b 00:03:C9:E6:9A:2B -n 64 ju-
piter*.ivs
archivo ¡;,ditar Terminal Atyda
Airerack-ng 1.0 rel
(OO:OO:OOJ Tested 595773 keys (got 8729 IVs)
KB depth byte(vote)
9 9/ 33 4A(11529) 76(11520) C8(11520) 01(11520) EF(11520) F2(11520)
1 2/ 7 55 (13856) 9A( 11056) 08(12288) 69(12288) 90 (12032) SC (11776)
2 01 6 59(14336) es(12800) AO(12544) 05(11776) OE(11776) 1E(11776)
3 10/ 13 98 (11264) 24 (11808) 18 (11088) 70 (11008) AA (11008) F7 (11008)
4 1/ 15 54(12544) 6C(12288) Fl(12032) 05(11776) 51(11776) 58(11776)
KEY FOUNOI ( 4A:55 :50:49:54 1 (ASCII : JUPIT I
Oecrypted correctly: 100%
Fig. 6.50. Resultado oircrack-ng para JUPITER.
Como se puede observar en la Figura 6.50 después de 10 minutos capturando
paquetes hemos sido capaces de encontrar la contraseña (JUPIT). En el caso de
haber utilizado una contraseña de 128 bits, hubiéramos necesitado un poco mós
de tiempo, pero el proceso es el mismo.
" '/./
. 4 q.
l
Puedes encontrar muy buenos
vídeo-tutoriales sobre esfe pro-
ceso en lo página de Wi-FiSlax
Ihttp://www.wi-Fislax.com/
manuales/videos.phpl
Actividades "
21. Aprovechando los vídeo-
tutoriales de la página
de Wi-Fislax, investiga
que otro tipo de ataques
se pueden realizar sobre
WEP.
22. Elige un tipo de ataque
de los anteriores y haz
tu mismo un tutorial de
cómo utilizando el ataque
que has elegido se puede
averiguar la contraseña.
23. Repite el proceso utili-
zando seguridad WEP
128 y mientras tanto
prueba el ataque que
seleccionaste en la activi-
dad 22.
169
Seguridad activa en redes
  Es una tecnología
dar que permite basar el acceso
a la red en la autenticación a
través de usuario y contraseña.
Actividades
24. Comprueba en la docu-
mentación técnica del
dispositivo Intel Wi-Fi Link
5100 que es compati-
ble con WPA2 y con el
método de encriptación
AES.
6. Seguridad WPA
Debido a los problemas de seguridad descubiertos en el estóndar WEP, el comité de
estandarización 802.11 i comienza a investigar una nueva solución. Después de una
publicación no definitiva del trabajo de este comité, y dado que se retrasaba la defini-
tiva, el grupo The Wi-Fi Alliance creó WPA como una solución intermedia entre WEP y
el definitivo 802.11 i. Basándose en el 802.11 i definitivo Wi-Fi Alliance publicó WPA2.
Los estándares WPA y WPA2 se centro n en asegurar el proceso de autenticación y el
cifrado de las comunicaciones. En ambos estándares se proponen dos soluciones para
la autenticación, una empresarial y otra para pequeñas empresas y hogares.
• WPA Empresarial: requiere de la utilización de un servidor RADIUS independiente
para gestionar la autenticación de los usuarios a través de un nombre de usuario y
contraseña.
• WPA Personal: utiliza un método de autenticación que requiere compartir una clave
entre todas las estaciones de la red. Es más apropiado para pequeñas empresas y
hogares porque no requiere de la utilización de un servidor RADIUS.
• 6.1. Seguridad WPA personal
WPA Personal utiliza PSK (Pre-Shared Key) o clave precompartida para el proceso de
autenticación. Con este sistema, el administrador asigna una contraseña de entre 8 y 63
caracteres en el punto de acceso. Esta contraseña también tiene que introducirse en la
configuroción de las estaciones inalámbricas que quiero n utilizar la red.
Durante el proceso de autenticación se negocia entre las estaciones y el punto de ac-
ceso la sucesión de claves que se van a utilizar para cifrar la comunicación posterior.
Cada estación negocia su propia clave, por lo que las claves utilizadas por cada esta-
ción son diferentes, y además cambian cada cierto tiempo.
De esta forma solo durante el proceso de asociación se utiliza la clave compartida.
Posteriormente, duronte el intercambio de información, no se utiliza para cifrar la co-
municación, sino que se utiliza la clave que han negociado entre el punto de acceso y
cada estación, y además la contraseña utilizada para ello cambia cada cierto tiempo
de forma automática.
Existen dos tipos de encriptación en WPA:
• TKIP (Protocolo de integridad de clave temporal): es un protocolo que partiendo
de una clave (que no es la pre-compartida) compartida entre el punto de acceso y
todas las estaciones, genera nuevas claves diferentes por cada cliente y renovables
cada cierto tiempo. Para ello mezcla la clave original con la dirección MAC y con un
vector de inicialización. De esta forma cada estación utiliza una clave independiente
para encriptar la comunicación.
• AES (cifrado avanzada estándar): es un algoritmo más robusto y complejo que TKIP.
Es preferible utilizar AES que TKIP, por ser este mas avanzado y seguro. Como in-
conveniente requiere hardware más potente.
No todos los dispositivos Wi-Fi son compatibles con todos los estándares. Antes de
configurar el punto de acceso para trabajar, por ejemplo, con WPA2-personal, hay
que comprobar que las estaciones que se van a conectar son compatibles con dichos
estándares.
El tipo de ataque que de momento se sabe que se puede llevar a cabo contra un punto
de acceso que implemente este tipo de seguridad es el de fuerza bruta, utilizando un
diccionario contra los paquetes que se intercambian durante la autenticación. Son espe-
cialmente sensibles los puntos de acceso que incluyen contraseñas cortas y contraseñas
formadas por palabras o combinaciones de estas.
________________ práctico 9 9
Seguridad WPA Personal
Configuración del punto de acceso de SiTour para utilizar la seguridad WPA-Per-
sonal teniendo en cuenta que hay dos portátiles en la empresa: uno tiene la tarjeta
Intel Wi-Fi Link 5100 y el otra la Intel Pro/Wireless 2200BG.
1. Revisar en la documentación de ambas tarjetas inalámbricas con qué estánda-
res son compatibles.
La tarjeta que menos compatible es la 2200BG, que solo es compatible con
WPA y con el algoritmo de encriptación TKIP (no admite AES). Por este motivo
la configuración que tendremos que utilizar el el punto de acceso, si queremos
que ambas tarjetas accedan a la red, es WPA-TKIP.
2. Abre en el navegador la página de configuración del router.
3. Configura tal y como se describió en el Caso práctico 6 el nombre de la red.
4. Accede a la sección de seguridad inalámbrica.
5. Para activar la seguridad WPA personal en puntos de acceso diferentes, hay
que seguir pracedimientos muy diferentes. En general en todos ellos y depen-
diendo de las versiones de los firmware, habrá que activar una opción que pon-
drá una de las siguientes frases: WPA personal, WPA2 personal o WPA-PSK. El
procedimiento en los router Wi-Fi Comtrend y LinkSys es como se indica en las
Figuras 6.51 y 6.52.
"'1Ir.1 ..
Thl. pago . 1I...... y" " 1.   . .. ,u,it(I .. lu, .. . r'h • .,.;"r ... L.A" • •• H u c an
' Ulhonli . , li,n molh.d ... lo. Un; dI!' . n'l'Jpll, n • • poolly nh.lIl1 " n,vo."' k.yl. rtq" 1r
"'; 111,,, n. t.-., '" .nd. p.,If( lh•• n' 'Ypli on .lrtn; th
CII ,k "Appl!" l o ,onU; " ,. l h. n i .. I ... '"u' it¡ .pllo",.
\'/ PA     li .y;
WPA CroU? R,I.ty In,,, ... I'
WPA En,rf pli.n:
lIiEP En' lyp U. n
IwpA.PSK!vI
1 .... • ........... ..

I "'''+AES!vI
I Oisabled j .... 1
Fig. 6.51. WPA en Comtrend.
Seartv rAode:
Enay¡tIan AJgorlhns : I ntP 1 .... 1

Grcql KeV Renewlll: 13600 l aeconds
Fig. 6.52. WPA en LinkSys.
Teniendo en cuenta que nuestra tarjeta 2200BG solo es compatible con WPA,
tendremos que deshabilitar la opción WPA2 Personal (poner disable en el des-
plegable) y activar la opción WPA Personal.
6. Escribimos la contraseña pre.compartida en la casilla contraseña tal y como se
ve en las Figuras 6.51 y 6.52. Par ejemplo, «$1 Nab74c$b!@1», aunque en un
entorno real es muy recomendable utilizar una contraseña mucho más larga.
7. Activamos como método de encriptación TKIP (Figs. 6.51 y 6.52); si activamos
TKIP+AES, estarán ambos disponibles y será también compatible con ambas
tarjetas.
8. Por último, podemos modificar cada cuanto tiempo se renovará la contraseña
que utilizará cada estación para encriptar la información transmitida al punto
de acceso. Esta opción aparece como WPA Graup Rekey interval en Comtrend
y Graup key Renewal en LinkSys. Con el valor por defecto de una hora será
suficiente.
Seguridad activa en redes
6
Seguridad activa en redes
Si para generar una contraseña
utilizamos 65 caracteres ASCII
(255 caracteres) habrá 65255
pasibilidades diferentes.
Tu red inalámbrica WPA-PSK
será segura siempre que utilices
una contraseño muy largo y esto
no incluya palabras de diccio-
nario.
6.2. Seguridad WPA empresarial
E[ principal inconveniente para todos [os sistemas de seguridad inalámbricos anteriores
es que es necesario que todas [as estaciones de trabajo conozcan [a contraseña. Esto es
un problema porque cuanta más gente conozca [a contraseña más riesgo hay de que
esta contraseña acabe [legando a manos no deseadas. A[gunos de [os riesgos son [os
siguientes:
• Pérdida de equipos: si uno de [as estaciones de trabajo que habitualmente se conec-
ta a [a red inalámbrica (por ejemplo un portátil o una PDA) se perdiera sería muy
sencillo que otra persona pudiera descubrir [a contraseña que tiene configurado e[
sistema operativo con programas como por ejemplo Wire[essKeyView.
• Ingeniería social: [os propios usuarios podrían facilitar esa informacián siendo vícti-
mas de ingeniería social, por ejemplo a través de una [[amada te[efánica. También
es posible que [a faciliten a un conocido (conscientes de [o que están haciendo).
• Dificu[tad de cambio de contraseña: puesto que [a contraseña es utilizada por mu-
chos equipos, no se puede cambiar con cierta frecuencia ya que habría también que
reconfigurar estos equipos.
Estos inconvenientes son derivados del hecho de que en [as anteriores configuraciones
todas [as estaciones comparten [a contraseña Wi-Fi (ya sea WEP o WPA).
La estructura necesaria para poder utilizar [a arquitectura WPA empresarial es [a que se
muestra en [a Figura 6.53.
Servidor Aadius
(Servidor de
autenticación)
LAN
Estación
(Peticionario)
Fig. 6.53. Esquema WPA empresarial.
Aouter i ~   i
(Autentificador)
Internet
E[ estándar B02.1x es un estándar que se diseñá para proporcionar autentificación en
e[ nivel de enlace. Por tanto no es algo específico de seguridad Wi-Fi, también puede
utilizarse en redes cableadas. Según especifica e[ estándar B02.1x se definen tres e[e-
mentos:
• E[ peticionario: es [a estación de trabajo, que está intentando acceder a [a red (en
nuestro caso Wi-Fi).
• E[ autenticador: es e[ elemento encargado de permitir e[ acceso o no a un peticiona-
rio. En nuestro caso es e[ punto de acceso.
• E[ servidor de autenticación: es e[ encargado de comprobar [a identidad del peticio-
nario y permitir o negar e[ acceso, informando a[ autenticador.
.. Actividades
25. Descárgate e[ programa Wire[essKeyView y ejecúta[a en [a estación de trabajo
que has conectado a[ punto de acceso, para conseguir [a contraseña.
__________   ¡:»ráctico 10 pi
Seguridad WPA empresarial
Instalar un servidor Radius, configurar el punto de acceso para que utilice WPA
empresarial y configurar un cliente para utilizar la red Wi-Fi.
Como ya hemos visto en la Figura 6.53, tenemos que tener los siguientes elementos:
• Un servidor Radius que estará conectado a la red cableada, que en nuestro
caso será un Ubuntu sobre el que instalaremos la aplicación freeradius.
• Un punto de acceso que configuraremos para utilizar WPA empresarial.
• y una estación inalámbrica, para lo que utilizaremos un equipo con Windows
7 instalado (también puedes utilizar Windows XP o Windows Vista).
Comenzoremos instalando el servidor Radius
1. Conexiones físicas necesarias. Lo más habitual es tener conectado el servidar
Radius a la red cableada en la que está conectado el punto de acceso. Si esta-
mos utilizando un router inalámbrico (Fig. 6.54) conectamos el equipo que uti-
lizaremos como servidor Radius directamente al router. También conectamos la
red de clase en el router para que podamos tener salida a Internet a través de
la red del instituto.
Radius
192.168.1.10
Router inalámbrico
192.168.1.100
Router instituto
192.168.1.1
Fig. 6.54. Esquema WPA empresarial y Radius en el aula.
Internet
Estación
192.168.1.101
2. Configuraciones IP. Todos los equipos tendrán que estar en la misma red IP.
Es recomendable que para seguir este caso práctico repitas el esquema de la
Figura 6.54 en tu cuaderno poniendo las direcciones IP de tu Aula.
3. Instalacián de Freeradius. Freeradius es un software que incluye un servidor Radius
gratuito. Instalamos Freeradius en nuestra servidor Radius de clase (debe tener ins-
talado Ubuntu) dando doble c1ic sobre el paquete software de Debian que nos
praporcionará el profesor.
4. Configuración de los usuarios de Radius: Los usuarios que utilizando una esta-
ción inalámbrica quieran conectarse a la red, tendrán que tener un usuario con-
figurado en el servidar Radius, y si no, no podrán acceder.
Los usuarios en el servidor Radius se configuran en el fichera /etc/freeradius/
users. Es un fichero de texto plano que podemos editar por ejemplo con gedit
(sudo gedit /etc/freeradius/users). Dentra observaras que hay cuatro usuarios ya
definidos, que son macarena, virginia, fernando y gustavo. Para definir nuevos
usuarios tendrás que seguir el siguiente formato:
NombreUsuario Cleartext-Password := «ContraseñaUsuario».
(Cantinúa)
Seguridad activa en redes 6
Seguri dad activa en redes
-------------------------------
q Casa p. t::r.:: á:::; ct::: ic::: a:..l .:.:0::.... _____________ _____ ____j
(Continuación)
5. Configuración de los clientes del servidor Radius. Los clientes del servidor Radius
son los elementos de la red que solicitan a los usuarios que se autentiquen. Es
decir en nuestro caso un cliente del servidor Radius es nuestro punto de acceso.
Cada cliente tendrá que conocer una clave que también tiene que conocer el ser-
vidor Radius para poder comunicarse con este.
Los clientes del servidor Radius se configuran en el fichero /etc/freeradius/
clients.conf. También es un fichero de texto así que podemos abrirlo con
gedit (sudo gedit /etc/freeradius/clients.conf). En este fichero ya hay definido
un cliente que es de la IP 192.168.1.100 (siguiendo el esquema de la Fig. 6.54).
Modifica la IP 192.168.1.1 00 par la que tenga el punto de acceso en tu esque-
ma. Como ves la contraseña es «SiTouD>.
6. Cuando hayamos terminado la configuración de Radius, iniciamos el servicio
con el comando /etc/init.d/freeradius start.
Configuración del punto de acceso:
7. Accedemos a través del navegador a la configuración de seguridad inalám-
brica del punto de acceso.
V"" ,,, ,, SoW"'t
1hi, •• ; .... "", • • ," <lnfi l "" .. ' "noy h""" • • '"" ... .. '.uLA."'n" d . ..        
n . ...... ,.Ih. nti, "'...... ",,,,,. , ' ot, .n""'. n. ".<of, ...,.Ut" • no ...... " l. .. .
" . u'". nti .. " .... , . .. "" .. n ..... .. n"'. "ly lh • • """'; ...... n.1h
... ' . ..     ... " ' ... .. ' "nly . Flj . "'
1I. ......... Ih. ""• • U • • •
      ...... '
AAO,u. , p .. .. " ..

j ......
WPAEn, ,.,..U. n
[n::1P 1 ... 1
1 Dil abl ed l .... 1
Fig. 6.55. Comtrend WPA empresarial.
Sea. l y r.1ode:
WPA Enlerprise
1 WPAMflA2 Enlerprl::1I ¡" 1
l""""' lvl
WPA2 Enlerprlsll 1 Oisllble 1" 1
fncrypUon AlgorlM\$ : 1 TKI' 1'" 1
RAOIUS 5erver Atklfess :11 92 l. . §:::]
RADIl/SPOft : 11 812 1
Enlerpfi:e Iley :
Key Renewlll li'neoul : l!oo 1 ceconds
Fig. 6.56. UnkSys WPA empresarial.
8. Seleccionamos la seguridad WPA empresarial.
9. Ponemos la dirección IP de nuestro servidar Radius (según la Fig. 6.54 es
192.168.1.10), el puerta (1812) y la clave que hemos puesto para el punto de
acceso en el servidor RADIUS (SiTour) para los router inalámbricos Comtrend y
linkSYS (Figs. 6.55 y 6.56).
Configuración del cliente:
-_ ...... ...
...... __ .. )( Q
<:::: ..
.. -
,-.. , ..... -.. -
 
__ .. _---- - - --
.. .... . .,.,
- :::;::-..:::=::::::,:"'_ .. _ - - . .. .... .... . ....
Fig. 6.57. Redes y recursos en Windows 7.
0 '5 ¡¡¡ me': :! . W.QI.!J
lQo .. ..
l
__ .rid ____ _ ...
..... ...... oode>on ol _ "" __
_ I'ndododoodolodctocb 1"I>o<<Ior-II C ...... do_.................... f)
Fig. 6.58. Administrar redes inalámbricas W7.
(Continúo) J
Caso práctico 10 9
IContinuación)
10. Dentro del Centro de redes y recursos compartidos seleccionamos en el menú
de la izquierda la opción Administrar redes inalámbricas (Fig. 6.57) yen la ven-
tana Administrar redes inalámbricas pulsamos sobre Agregar para añadir una
nueva red inalámbrica (Fig. 6.58).
11. Seleccionamos la opción Crear un perfil de red manualmente (Fig. 6.59) para
poder elegir la configuración de la red inalámbrica a la que nos conectaremos.
En la siguiente pantalla (Fig. 6.60) introduciremos los datos de la red Wi-Fi a la
que queremos conectarnos:
• Nombre de la red: JUPITER.
• Tipo de seguridad: WPA empresarial.
• Tipo de cifrado: TKIP (como puedes ver en las Figs. 6.55 y 6.56) .
Después pulsamos Siguiente y en la ventana que aparece seleccionamos la
opción Cambiar la configuración de la conexión para poder personalizar el
resto de los parámetros de la conexión.
tfI <-_·_ .... -
... _ .. -.... ........ _---,
• c..._ ...... ... ... .. r.. __ ... ... _,... __ ..... _._
r (....-.. __ 10I00I ... _ ... _
Fig. 6.59. Asistente nueva red inalómbrico
W7.
""'""- . 11> r"*"", ,, ,o rIo.,.lo";"di""'I.Me, ,
'----- -
Fig. 6.60. Conectar manuolmente.
12. En la ventana Propiedades de la red inalómbrica (Fig. 6.61) seleccionamos la
pestaña Seguridad. Los datos de configuración que aparecen en esta ventana
son los que introdujimos antes, por lo que deberían estar todos correctos. Una
vez comprabado esto pulsamos sobre el botón Configuración.
--1
"' .. ..- 1_ O!J
1JoI""'''' 1"" O!J
", .. ,, _ .. ....-.. -
!_" ..... _ !J"I.'I) 0!J 1IE5C:]
g----_ ... _--
"' .. _-
Fig. .61. Propieda es
de Red W7.
..
)--,
r ....... "'_ .. __
..
r _ •• >'.0"' ......
1
..
a _ _ ",
J
amQlo!INI __
a .. __
a_ ..........
a _ _ _ _
C_c.t __ ........
,f'
••
-' "
:.;"
_._ .. -
1 ..... _ ..... _1'11
a u;¡¡:¡¡;:::¡

r __ .. _ ._
r-.. __ .. _II. __ ........
( ...... _ ..
Flg. 6.62. Propledodes
EAP W7.
M@!ffi§!f§J,ji4Li· ltj
'
r.ii
Fig. 6.63. Prop EAP MSCHAPv2 W7.
(Continúa)
 
Seguridad activa en redes 6
76
Seguridad activa en redes
Si tuviéramos un dominio en el
que estuvieran incluidos todos
los equipos de la red, tendríamos
la autenticación centralizada
(todos los usuarios y contraseñas
estarían en el directorio activo).
De este modo podríamos con-
figurar el servidor Radius para
que utilizara estos usuarios y
así los usuarios no tendrían que
utilizar un nombre de usuario
y contraseña¡ sino que el siste-
ma operativo lo gestionaría de
forma transparente con las cre-
denciales del inicio de sesión.
  Caso "ráctico 1 O
{Continuación}
13. En la ventana Propiedades de EAP protegido (Fig. 6.62) deseleccianamos la
opción Validar un certificado de servidor. Esta opción es la que permite al
cliente validar un certificado del servidor antes de conectarse con él para com-
prabar la identidad del servidor. Para poder utilizar esta opción habría que ins-
talar en esta estación inalámbrica el certificado del servidor, que se encuentra
en /etc/freeradius/certs del disco del servidor.
14. En la misma ventana (Fig. 6.62) pulsamos sobre el batán Configurar que apa-
rece ollado del protocol o EAP-MSCHAP-v2, que es el método de autenticacián
que se usará entre el servidor Radius y este equipo.
15. En la ventana propiedades EAP Mschapv2 (Fig. 6.63) deseleccionamos la
opción para que no utilice los usuarios de Windows, sino que solicite un usuario
y contraseño al conectarse.
Como en la ventano Propiedades de la red ina{ómbrica teníamos configurado
que recuerde las credenciales, una vez que introduzcamos unas credenciales
válidas, na nos las solicitará más.
16. Aceptamos todas las ventanas, y en breve el sistema nos solicitará una creden-
cial, es decir, un nombre de usuario y contraseña válidos en el servidor (Fig.
6.64). Introduciremos uno de los usuarios que están configurados en el fichera
<<users» del servidor Radius y ya tenemos conexián a la red inalámbrica.
Seguridad de WlndDWS • x
Autentlcacl6n dI! red
Escriba sus aedendales dI!! usuMio
B ..
Fig. 6.64. Aulenlicación de Red.
Utilizando la seguridad WPA empresarial se aumenta la seguridad y la flexibilidad, ya
que podemos modificar la contraseña de un usuario o cancelarlo sin que esto afecte al
resto. Esto supone una notable mejora con respecto a WPA-PSK en redes con muchos
usuarios, como por ejemplo podría ser tu instituto (si compartiera una red inalámbrica
para todos) o en una universidad.
  Actividades
26. Configura el servidor RADIUS paro que utilice además de los usuarios vi rginia,
macarena, Fernando y gustavo otros dos usuarios que tú elijas. Comprueba que
lo has hecho correctamente conectando a la red inalámbrica con esos usuarios.
27. Conecta un equipo con Linux a la red inalámbrica.
28. ¿Podría una PDA con Windows Mobile 6 Profesional conectarse a una red WPA
empresarial?
29. ¿Qué tipo de seguridad pondrías en una red inalámbrica para una empresa
como SiTour, descrita en la Actividad 11, en la que hay Ires trabajadores?
Asegurar la privacidad de la información transmitida en
redes informáticas describiendo vulnerabilidades e insta-
lando software específico
1. Busca información sobre otros protocolos seguros y rea-
liza una tabla donde incluyas el nombre del protocolo,
su uso y el puerto en el que trabaja, incluye también los
protocolos HTTPS y SSH.
2. Para conectarnos a un servidar SSH necesitamos utili-
zar un cliente ssh. Existen numerosos programas que
nos permiten realizar esta conexión, muchos de los cua-
les tienen versiones portables. Busca información sobre
diferentes clientes para conectarte con un servidor ssh
y sus características.
3. SiCon está a punto de firmar un contrato que le repor-
tará importantes beneficios económicos con una cono-
cida multinacional de la Construcción; se celebra una
reunión en un hotel del centro, a cierta distancia de las
oficinas de ambas empresas. A última hora y como con-
dición previa a la firma, la multinacional solicita ver las
cuentas de SiCon del último año. Estas cuentas están
almacenadas en un servidor ssh en la sede de SiCon
y eres una de las pocas personas que tiene acceso a
él. Indica qué procedimiento seguirías para acceder
al servidor si únicamente dispones de un portátil y la
conexión Wi-Fi del hotel.
4. SiCon ha decidido ofrecer a uno de sus empleados la
opción de trabajar desde casa (teletrabajo). Para rea-
lizar las primeras pruebas hasta que establezcan un
sistema de conexión remota definitiva van a estable-
cer una VPN utilizando el sistema operativo Windows.
Indica los pasos para configurar la VPN en tu equipo
para conectarte con el servidor de SiCon, cuya direc-
ción IP es 72.123.0.l.
5. Hamachi nos permite, como sabes, crear VPN entre
equipos Windows y Linux. Utilizando un equipo Linux
crea una nueva red, que llamarás SiCon, cuya contra-
seña es redSiCon.
6. Conecta un equipo Windows a la nueva red SiCon
creada y comprueba que hay conectividad entre
ambos equipos.
7. Trabajando por parejas, realiza una lista con las venta-
jas y desventajas que tendría para SiCon crear su VPN
con el servicio de Windows o utilizar software espe-
cífico, si lo que desea es promover el teletrabajo, de
modo que el número de empleados que trabaja desde
sus domicilios aumente progresivamente.
Seguridad activa en redes
  ~
Comllrueba tu a¡:>rendizaje "
Aplicar mecanismos de seguridad activa describiendo sus
característicos y relacionándolas con los necesidades de
uso del sistema informático
8. Entre los servicios de Windows existe uno que ofrece
almacenamiento protegido para información confidencial.
Para aumentar la seguridad de tu equipo configúralo para
que se inicie automáticamente al arrancar el equipo.
9. Configura una red inalámbrica para tu clase con segu-
ridad WPA-PSK. Elige una contraseña segura tú mismo.
Analiza los riesgos que corre tu red al comunicar a los
usuarios (tus compañeros) la contraseña que has elegido.
10. ¿Qué tipo de red Wi-Fi recomendarías al hotel de la
Actividad 3 del Comprueba tu aprendizaje, si el hotel
te dice que muchas empresas tienen reuniones impor-
tantes en sus salas?
11. La empresa SiCon quiere desplegar una red 802.llg
con seguridad WPA-personal en sus oficinas, que tie-
nen una dimensión de 200 m'. Se ha comprobado que
con un solo punto de acceso no es suficiente, así que
colocarán dos puntos de acceso. ¿Qué configuración
tendrán que tener los puntos de acceso para que las
estaciones inalámbricas puedan cambiar de un punto
de acceso a otro de forma transparente?
12. Poneros de acuerdo dos grupos (con dos puntos de
acceso entre los dos grupos) en la configuración del
apartado anterior y llevarla a cabo en vuestros puntos
de acceso. Comprobad el resultado.
13. La empresa SiMotor se ha trasladado a una nave indus-
trial que no dispone de instalación de red. Para des-
empeñar su trabajo tienen portátiles repartidos a lo
largo de la nave, que tienen que estar conectados en
red para que pueda funcionar la aplicación que uti-
lizan. Necesitan que cada usuario tenga una cuenta
de conexión Wi-Fi diferente porque tienen una ratación
de personal alta. Construye una red inalámbrica de
demostración con dos usuarios y configura dos equipos
que utilicen la red con dichos usuarios.
14. En la nave de SiMotor parece que la señal no llega
a todos los equipos. Prapones utilizar dos puntos de
acceso estratégicamente colocados pero que ambos
sean la misma red inalámbrica y por supuesto utilicen el
mismo servidor Radius. El gerente de SiMotor no acaba
de creer que todo vaya a funcionar, así que pide una
nueva demostración. Junto a otro grupo de la clase (jun-
tando dos puntos de acceso) haced la demostración de
que todo funciona correctamente.
15. Investiga sobre los hotspot. ¿Crees que sería útil poro el
hotel de las Actividades 3 y 8? Haz un gráfico de cómo
quedaría la red.
,
Segun
    ____________ =========
.--,-- . . ------:- .. . -..
SSH
HTIPS
r-! Red privada virtual
J

-'
Sistemas de defección
J

- ...
.. ....
de intrusos
...
. ..
-
Arranque de servicios
802.11 0
802. 11b
802.11 g
802. 11 n
WEP
Personal
;-[
...
WPA
Empresarial
.
lUl fid(¡)J(d
Seguridad de alto nivel en redes:
cortafuegos
y estudiaremos:
o Las funciones principales de los
cortafuegos.
o Los tipos de cortafuegos que .existen.
o Las arquitecturas de cortafuegos.
o El filtrado de paquetes y reglas de
filtrado.
o La instalación y utilización de
cortafuegos.
o Los lag s y registros de actividad.
En esta unidad aprenderemas a:
o Instalar un cortafuegos en un equipa
a servidor.
o Configurar las reglas de seguridad
a aplicar en un cortafuegos.
o Identificar la necesidad de
inventariar y controlar los servicios
de red.
7 Seguridad de alto nivel en redes: cortafuegos
Zona desmilitarizada (DMZI. Red
aislada que posee aplicaciones
disponibles desde el exterior.
Actúa como zona de seguridad
intermedia entre la red local y la
red externa.
1. Seguridad de alto nivel
Durante este curso hemos hablado en varias ocasiones sobre los objetivos principales
que se buscan con la seguridad informática, especialmente de la integridad, la confiden-
cialidad, la disponibilidad y el no repudio de la información.
Hasta ahora, nos hemos centrado en cómo podemos proteger nuestros equipos y mejo-
rar la seguridad de la información que contienen. En las dos próximas unidades iremos
un poco más lejos, y habláremos de dos mecanismos de seguridad de alto nivel: los
proxys, a los que dedicaremos la siguiente unidad, y los cortafuegos, que trataremos
en esta.
La seguridad de alto nivel persigue reducir al mínimo posible los elementos que pueden
amenazar la confidencialidad, integridad y disponibilidad de la información. Para ello,
se centra en actuar en un menor número de elementos sobre los que se mantiene un
control más estricto, es decir, manteniendo un equipo intermedio que gestione ciertos
parámetros de seguridad, nos será posible establecer unas medidas algo más suaves
en los equipos que constituyen la red de una empresa, entre los cuales se desarrolla el
trabajo. La seguridad de alto nivel está orientada al trabajo con servidores y redes de
comunicaciones, especialmente Internet, que es, en definitiva, la red más insegura de
cuantas podamos utilizar.
Es fundamental tomar las decisiones técnicas que más convengan a las necesidades
de la red con la que estemos trabajando, tanto a nivel de hardware como de software,
así como establecer distintos niveles de seguridad, principalmente centrados en quién y
cuándo podrá acceder a un servicio concreto, pero hay dos elementos imprescindibles
que han combinarse, que son, como ya se ha mencionado, los cortafuegos y los proxys.
Una estructura típica que mantienen un gran número de empresas es la que ves en la
Figura 7.1, donde se reflejan estos dos mecanismos, que sirven como barrera ante posi-
bles intrusos. La configuración de una red doméstica, como la que habitualmente tienes
en casa, es mucho más simple, como puedes ver en la Figura 7.2, donde el router ejerce
como cortafuegos.
Modem-router
Internet
Fig. 7.1. Estructura de red empresarial.
Internet
,----,=,----d   I
Rcuter Servidor Web
Modem-Router
Firewal1
Red doméstica
Fig. 7.2. Estructura básica de una red con cortafuegos.
Seguridad de alto nivel en redes: cortafuegos 7
2. Cortafuegos: qué son y para qué sirven
Los cortafuegos, también conocidos por su nombre en inglés Firewafl (literalmente «mura
de fuego»), son uno de los principales mecanismos empleados para mantener la segu-
ridad de alto nivel. El término original hace referencia a los muras a prueba de fuego,
utilizados para evitar que se extienda un incendio. En el mundo de la seguridad infor-
mática, el fuego será cualquier amenaza que pueda provenir del exterior de nuestra red
o trate de salir del interior de ella.
Como recordarás, en la primera unidad del libro definíamos un cortafuegos como un
sistema que audita y evita los intentos de conexián no deseados tanto desde los equipos
hacia la red como desde la red hacia los equipos. Concretando un poco más, conviene
aclarar que un cortafuegos puede ser tanto un dispositivo hardware como software,
es decir, podemos tener una máquina diseñada específicamente paro esta funcián o
utilizar una aplicación que se instala en uno de los equipos conectados a la red. En la
Figura 7.3 puedes ver la estructura de una red básica donde se ha instalado un equipo
que actúa como cortafuegos, ocupándose de filtrar todo aquello que sale y entra a la
red de área local.
Equipos de la Red Local
Servidores de la organización
accesibles desde el exterior
Fig. 7.3. Arquitectura Screened Roufer.
Internet
El cortafuego se ocupa de filtrar los paquetes a partir de unas reglas, generalmente
definidas por el administrador de la red, teniendo en cuenta las direcciones IP origen
o destino y el servicio de red con el que tienen relacián. A lo largo del tema veremos
cómo se realiza este filtrado de paquetes y el procedimiento para establecer las reglas
para realizarlo.
La función primaria de un cortafuegos es delimitar zonas con distintos niveles de segu-
ridad. En su implementación más sencilla (screened router) se pueden identificar dos
zonas, una zona segura, situada tras el cortafuegos, y una zona no segura, que corres-
ponden a Internet, tal como vemos en la Figura 7.2, donde el módem actúa como deli-
mitador entre zonas. Los módems que los ISP proporcionan a los usuarios que controtan
con ellos la conexión a Internet incluyen actualmente los elementos necesarios para blo-
quear, por ejemplo, las conexiones entrantes a través de determinados puertos, aunque
es posible establecer niveles mós detallados, como el que se muestra en la Figura 7.3.
En esta figura vemos que los servidores de la organización que son accesibles desde el
exterior no pertenecen a ninguna de estas dos zonas, sino que se sitúan en una zona
propia, denominada zona desmilitarizada, que se gestiona con unas reglas diferentes a
las que se aplican para los equipos de la LAN.
Actividades ~
1. Estudia la instalación de la red local disponible en tu clase e identifica los   i ~
rentes equipos (PC, routers, etc.). Realiza un esquema detallado de la misma
utilizando una herramienta de diseño como Packet Tracer.
2. Realiza una tabla con las principales diferencias entre los cortafuegos hardware
y software.
Bastión. Máquina dotada
sistemas de seguridad pero vul-
nerable a ataques ya que está
abierta a Internet, actúa como
punto de contacto de la red
interna con el exterior.
7 Seguridad de a lto nivel en redes: cortafuegos

Caso práctico 1
Activoción del Cortafuegos integrado en Windaws Vista
Siempre que usamos un equipo debemos dotarlo de todas
las medidas de seguridad posi bles, como un cortafuegos,
bien sea el que integra el sistema operativo u otro que
deseemos utilizar.
82


1. Accede al panel de control pulsando sobre la tecl a de
Inicio de Windows y selecciona el centro de seguri-
dad, que aparece señalado con un círculo en rojo en
la Figura 7.4.
..!;\l
bl
19
fi
...... 8.,. . .... .,....y e_DJo C....".d.
h. td.o". ....... loIicio ...........



<_o cm"1"" ut..
d.hl:ko; PC
O

<-
( ....u.de
.....;.

"''1°
il
""""
(Ji!
I1É!J
1A
¡ .... "" .. ... h"n .. .. y f ...... 1 ..... •
, .. _&lid.
fu"" .. 11m • .....". ..
• 1It<l<d", .;,..., ..

. dtnOniw. ..... .
Fig. 7.4. Panel de control: centro de seguridad.
2. En el centro de seguridad dispones de una serie de
mecanismos que te facilitarán proteger tu equipo, entre
ellos el cortafuegos integrado en el sistema operativo.
Accede 01 Firewall de Windows a través del menú que
verás en el lateral izqui erdo, se mostrará una pantall a
simil ar a la que puedes ver en la Figura 7.5.
Nota: También puedes acceder di rectamente al corta-
fuegos desde el panel de control (Fig. 7.4) .
Firewall de Windows
r;,...,..1I de WindllW:l putdc OYU'¡1l • prevenir que p;" ln inlcrmllic gi o ,Qft wl fC
m.Jinttfl cionl do cbtrng.n 1« .. 0 1I .quipo . I' ... de Inlfmo1 O l. rrd.
El tquipo no Ini protegido: aC1Jn fi rl l'llll d, Wmdowl
I


Ubiu ciCn d. 1m RItd pUlI' ,.
3. Procede a activar el cortafuegos pulsando sobre cam-
bi ar la configuracián, te aparecerá una pantall a como
la que muestra en la Figura 7.6, donde debes activarlo.
Después pul sa Aplicar y Aceptar y comprueba que el
cor tafuegos aparece como activado.
íI Conf.gunlci6n de Firew::,;;" " "' ;;:;¡ Wi ¡; .""""' :=:------
Fi'ewal de aVlda .. ¡rDIrgor .... lJlt UIUlIflcs sin
aulnfU..oon o SOftwllf t Dbl2n¡¡llf'l aazso al a través de
IntnnetDdeln'l , ed.
$ (') Adhr.Ido
Esta anfr"uadlin no lJlt crigI:n tlItc:rnD se CDrIHU:
al eq.ipo, t:m:p1U1Iq.II!b I.1Iidu
& 'RWIU de vr .. .d ....... no es1iu\.I",:lo ' ,
c.llfogu" ci¿n ,« cmmdl.d, pi" pctcgtl ti
"'1,,1,,0. ,("" .. , l. ' r.nfmy •• ciCn ' Prcm. nrlo;!_Z
;C.fI".l .... ' l.
<cnfin" ,,,¡Ón
Sdta:JDnt .,. 1a -*In WIInb lO! red ni
IbiraOOnts_M'(¡O&'&S. Se crril:r .. y

Fig. 7.5. Firewafl de Windaws.
@ (no
e ta de \'fnlclws,
\'-"'erllble lIac:t.tsoS l'DautIlriLxIDs D a SOftwllft
 
Fig. 7.6. Activación de Cortafuegos.
(Continúa)
_
_ ___
Seguridad de alta nivel en redes: cortafuegos _
Casa práctico 1 9
(Continuación)
4. Para personalizar tu cortafuegos puedes acceder a su
configuración como hemos visto en el punto 3 o otro·
vés del firewall de Windows con configuración avan-
zada que encontrarás en Panel de control> Herramien-
tas administrativas, que puedes ver en la Figura 7.7. Allí
podrás configurar más opciones .
. Ii Fi rewaU de
Firewan de Window. con . egu .. .
WndcnCOl'1 ""'
Wnd:lI'rI. Imptlrtar directiva ...
II-;====================E E:xportardirectiva".
Inlradut ciún
Poñl\ do domInio
'?J   di! WnóoWlI a5lii  
6) '" """"'"" .... m· _;dM= ,"" ,,;. """"odM.1
@  
Perfil privado
g FrewaJ de Wnóo .. ohI:sadiVado.
El porfil público IISt,; activo.
@ FreYraJ di! Wndoll"1 a'llá
  de Fire'NaU de \·/indo-....li
'"
RCll i urar predderminado!
v"
@ Actual i,ar
I;:J PIIJpiedade¡
Ayuda
Fig. 7.7. Firewall de Window5 con seguridad avanzada.
Además del filtrado de paquetes, el uso del cortafuegos nos ofrece una serie de servi-
cios adicionales muy útiles par prateger el buen uso de nuestra red y nuestras servidores,
que tienes en la Tabla 7.l.
Bloqueo de tráfico no
autorizado
Ocultación de equipos de lo
lAN
Registro del tráfico
Redirección de tráfico entrante
Limitación de ancho de banda
Seguimiento de tráfico y
monitorización de ataques
Restringe servicios de Internet, bloqueando páginas Web o el trá-
fico proveniente de un rango de direcciones IP.
Oculta equipos para que no sean detectados por posibles
cantes.
Dado que el cortafuegos se instala en la frontera entre la red
interna y la externa, detecta todo el tráfico que entra y sale de la
red, por lo que se puede almacenar su actividad.
Redirige el tráfico entrante a la organización a la zona DMZ,
tondo que llegue a los equipos locales.
Limita el ancho de banda utilizado por un protocolo o un tipo de
tráfico
Genera estadísticas con datos sobre el ancho de banda
mido, permitiendo detectar, por ejemplo, si desde un determinado
equipo se está descargando un alto volumen de datos
tes de Internet.
Monitoriza los ataques desde el exterior para tomar medidas
como el bloqueo del análisis de puertos para evitar los ataques
más habituales.
Tabla 7.1 . Otras funciones de un cortafuegos.
_ _ ___ _
J Seguridad de alfo nivel en redes: cortafuegos
' '9it __ . 11
1
1
 

Fig. 7.8. Cortafuegos persono/.
Los sistemas Windows Server
también incorporan un corta-
fuegos con una estética y fun-
cionalidades similares a los de
Windows XP o Vista. Poro que
sea eficaz debes mantener siem-
pre tanto el sistema operativo
como el propio cortafuegos
actualizados.
3. Tipos de cortafuegos
Existen dos criterios de clasificación principales de los cortafuegos, uno basado en la
tecnología implementada y otro en su ubicación dentro del sistema.
e 3.1. Según su ubicación
La ubicación de los cortafuegos va intrínsecamente relacionada con el sistema que se
quiere proteger. Podemos distinguir entre dos tipos de cortafuegos en función de donde
se localicen:
• Cortafuegos de sistema o personales.
• Cortafuegos de subredes.
Rodlazo dI! I¡Mico no autorizado
Trafico aulorilac/o
Fig. 7.9. Cortafuegos de Subred.
Los cortafuegos de sistema o personales restringen la comunicación no autorizada can
un equipo, actuando como un sistema de defensa perimetral, mientras que los cortafue·
gas de subredes protegen toda una subred en conjunto (actuando como único punto de
entrada).
o Cortafuegos personales
Actualmente se han extendido mucho las conexiones de banda ancha en los hogares y
quienes las utilizan también necesitan proteger sus equipos y datos.
Los cortafuegos personales surgen como respuesta a la necesidad de proteger los equi·
pos pertenecientes a redes privadas porticulares, por ejemplo, las que se instalan en
nuestros domicilios para permitirnos conectarnos a Internet.
Este tipo de cortafuegos se instala en el equipo del usuario y proporciona cinco funcio·
nes principales:
• Permite supervisar todas las conexiones con el exterior, incluyendo los accesos a
servicios de Internet.
• Permiten monitorizar los programas locales que tratan de acceder a Internet para
que el usuario pueda decidir si permite que lo hagan o no, como vamos a hacer en
el Caso práctico 2.
• Proporciona mecanismos para bloquear los posibles intentos de intrusión al equipo u
otros ataques (como el ataque de denegación de servicio) .realizados desde Internet.
• Realiza un registro de todas las conexiones realizadas desde el equipo.
• Algunos de ellos incorporan filtros anti·spam, así como detección de virus u otros
códigos que pueden ser perjudiciales para el equipo.
Este tipo de cortafuegos podían adquirirse como programas individuales cuando comen·
zaron su andadura, como ZoneAlarm, aunque en la actualidad lo más habitual es que
se integren en un paquete de seguridad, que incluya funcionalidades de antivirus, como
los proporcionados por Panda o McAfee, o integrados en los propios sistemas operati·
vos, como es el caso del cortafuegos que incorpora Windows XP o Windows Vista, con
el que hemos realizado el Caso práctico l.
Seguridad de alto nivel en redes: cortafuegos 7
Permitir el acceso a Internet de una aplicación a través del cortafuegos de Windows Vista
Casa práctico 2 9
En ocasiones instalamos aplicaciones o través de los cua-
les vamos o proceder o recibir paquetes de datos, como
los clientes FTP, y poro su correcto funcionamiento es nece-
sario autorizar el intercambio. En este caso vamos a pro-
ceder a autorizar al cliente FTP FileZilla, que es de libre
distribución.
2. Accede al panel cortafuegos de Windows, tal y como
hiciste en el Caso próctico 1. El cortafuegos debe estar
activado paro poder configurar las excepciones de
seguridad, como, en el caso que nos ocupa, permitir el
acceso de una aplicación a Internet.
1. Instala FileZilla en tu equipo, puedes descargarlo desde
http://filezilla-project.org/.
3. Pul sa en la opción Permitir un programa a través del
firewall de Windows 1 que aparece en el menú de la
izquierda o directamente en Cambiar lo configuración
2 , (Fig. 7.10).
I c::rl l!l li!iQ!l '
Firewall de Windows
..... ,II deWindaw> oyud.u i ptevenil que   info,.","ico, o ,oltw.,.
m. lintcncion.ldo obtrngl n . tcaO II lI"<¡uipo. ''''''6 d.lntcmeto
¡ t emo me un lit,wlll .. P"tc9f'
<1 Fil hOaD de \'(lIIdows ol proteger el equipo
L. , con";""es d. cntr.d. que no 1ie"I ... nirogun. =cp<:ión ",Lin bl"'lu ... dn.
Mo,I,., unl notifi c. ción <UlndO un P,09" ml bloquc.do: SI
Red publk.
Fig. 7. 10. ConFiguración del Firewoll de Windows Vis/a.
4. Se obre una nueva ventana con tres pestañas. En la
pestaña Excepciones, que se muestra en la Figura 7.11,
podemos abrir los puertos concretos de una aplicación
o autorizar las conexiones de un progroma, como hare-
mos en este caso, pulsando en Agregar programa ...
5. Selecciona el programa poro el cual queremos autori-
zar el poso de paquetes, y pulso Aceptar.
'1
Pn>o7...... l1JOI"to
o .......... .,.m".....t.I
0""*" .,....;.,,....,\.1 "" "" ..... dt\llncl..,.
O ..........
o_ .. ...;.,...,..,\.1dt_
O_.,....,.;" ...... \.1dot.r ... _ .....


Oku,¡, _lJDdo \\........
0 ..... ....,. ...... \.1
Oc..ctw; doI..-..md<kvm;
 
... t7.-... Prapcd.odo:s I r..oo.-"IO ... 1
Fig. 7. 11 . Agregor programa al Firewol/ de Windows.
I
~  
Seguridad de alto nivel en redes: cortafuegos
Interfaz. Conexión física y fun·
cional entre dos aparatos o sis-
temas independientes.
Si un atacante consigue robar
tu sesión puede realizar opera-
ciones en tu nombre como, por
ejemplo, cambiar tu contraseña
de correo.
Nivel de aplicación
o Cortafuegos de subredes
los cortafuegos de subredes tienen como objetivo aplicar uno política de seguridad a
un grupo de sistemas desde un único punto. Para ello lo primero que debe hacerse es
agrupar los sistemas en zonas de seguridad, de modo que se aplique las mismas reglas
a los equipos que forman parte de cada zona, y puedan aplicarse distintas reglas a
distintas zonas.
los cortafuegos se ubican en los interfaces entre zonas, de modo que siempre debe de
haber un cortafuegos entre una zona y otro, ya que son los que aplican las reglas de
seguridad.
En el caso de los cortafuegos de subredes sus principales funciones son:
o Autarización de servicios (entrantes y salientes).
o Control de acceso o los servicios basándose en lo identidad del usuario o equipo.
o Registro y monitorización de accesos o lo red.
El uso de los carta fuegos de subred permite establecer uno protección global, lo que nos
permite relajarnos en la protección individual de codo equipo, estableciendo un único
punto de implantación de lo política de seguridad. Esto facilita su adminislración y, dado
que los ataques se producen sobre un único sitio, hoce más sencilla su vigilancia.
3.2. Según su tecnología
Según lo tecnología que utilizan se distinguen cuatro tipos de cortafuegos: cortafuegos
a nivel de paquete de dotas, cortafuegos o nivel de circuito, cortafuegos a nivel de apli.
cación y cortafuegos transparentes:
o Cortafuegos que actúan a nivel de paquetes de dotas. Este tipo de cortafuegos
trabajo a nivel de red de lo pilo de protocolos OSI (Fig. 7.12) y para determinar
que paquetes IP debe dejar posar mira tonto las di recciones origen y destino de
los mismo como los puertos que se utilizan. Este tipo de cortafuegos es el
más sencillo y utilizado, ya que ofrece muy buenos prestaciones y un boja
consumo de recursos y ancho de banda.
Servi cios de red a aplicaciones
Nivel de presentación
Representación de datos
Nivel de sesión
Comunicaci ón entre dispositivos de la red
NIvel de transporte
Conexión extremo-extremo y
fi abilidad de datos
Nivel de red
Determinación de ruta e 1 P
(Direccionamiento lógico)
Nivel de enlace de datos
Direccionamiento ffsico
(MAC y LLC)
Nivel tísico
Señal y transmisión binaria
1,
1:
')
, ,
o Cortafuegos que actúan o nivel de circuitos. Actúa en el nivel de
sesión, además de tener en cuento los direcciones IP y los puertos,
también miro lo información relati vo o lo sesión y los números de
secuencio de los paquetes enviados. Se sobe, por tonto, qué paquete
se espera recibir en coda instante, por lo que se pueden prevenir
ataques como el robo de la sesión.
o Cortafuegos que actúan como pasarelas de aplicación, en el nivel de
aplicación de la pilo de protocolos. Estos cortafuegos analizan todos
los paquetes de datos de un determinado servicio en su conjunto,
no como paquetes independientes, por lo que son exclusivos para
un servicio. Es necesario uno pasarela de aplicación o gateway por
cada servicio, así que consumen más recursos y suelen necesitar un
software específico en los equipos de los usuarios.
o Cortafuegos transparentes. Actúan a nivel de enloce, determinando
qué paquetes posan o no en función del resultado de evaluar una
serie de reglas. Son indetectables para los atacantes yo que no tienen
uno dirección IP.
Fig. 7.12. Modelo 051.
Seguridad de 0110 nivel en redes: cortafuegos 7
4. Filtrado de paquetes
No todos los paquetes de dotas que se envían de un equipo a otro son una amenaza,
pera tampoco es necesario que todos ellos lleguen 01 sistema de destino. Esto implica que
hay que decidir qué paquetes deben alcanzar su destino y cuáles han de ser descartados.
El filtrado de paquetes es la técnica más usada para establecer un cortafuegos y es por
ello por lo que le vamos a dedicar una especial atención.
4.1. Parámetros utilizados para filtrar paquetes
Cada paquete IP proporciona en su cabecera informacián que puede utilizarse para
determinar qué paquetes pasaran y cuáles serán descartados, como las direcciones
origen y destina, a los puertos origen y destino, al protocolo, al tipo de mensaje ICMP
y al tamaño del paquete.
Un router, por ejemplo, puede comprobar no solo estos campos sino parte del contenido
de los datas del paquete, de modo que puede saber la página Web desde la que pro-
cede o si el paquete tiene realmente el tamaño que se indica en su cabecera. Un router
que permita el filtrado de paquetes podrá ser configurado de uno de las tres siguientes
maneras para manejar los paquetes que salen y entran a través de sus interfaces:
• Bloquear todas las conexiones externas, excepto las conexiones SMTP para permitir
que el equipo reciba correo electrónico.
• Bloquear las conexiones de sistemas considerados no seguros.
• Permitir conexiones de correo electrónico, FTP, etc. Pero bloquear otros servicios
¡como TFTP) que se consideren peligrosos.
Para poder llevar a cabo cualquiera de estas tres acciones es necesario tener confi-
guradas una serie de reglas, que se irán consultando, en orden, paro determinar qué
paquetes pasan o no.
Impoi;\ónt.e
 
Es usual que usar un cortaFue-
gos ofrezca mayor sensación
de seguridad en una red, pero
nunca debe sustituir a otras
medidas sino complementarlas.
Usar un cortafuegos no implica
que no sea necesario ocuparse
de mantener la integridad y
seguridad en las máquinas de
la red interna, ya que si un ata-
cante lograse llegar a acceder a
la red automáticamente tendría
el control de dichas máquinas
sin necesidad de realizar más
acciones.
------  ____________ ...:: C=as:.:o::.J:;. Rráctico 3 9
Configurar el cortofuegos de Windows Vista paro que per-
mita hacer un ping al equipo
El uso del comando ping para determinar si se tiene co-
nectividad con otro equipo es bastante usual, y para que
funcione correctamente es necesario permitir las mensajes
ICMP ¡¡nternet Control Message Protoco/) de echo. Para
ello debemos configurar las políticas de seguridad en la
configuración avanzada del firewall de Windows Vista en
el equipo a cuya dirección IP vamos a hacer pingo
L Realizamos un ping a la dirección IP del equipo de
nuestro compañero de la izquierda, y observamos en la
Figura 7.13 que el tiempo de espera para la recepción
de paquetes se agota. Esto se produce ya que la confi-
guración por defecto del cortafuegos de Windows no
responde a las peticiones de los mensajes de control.
Fig. 7. 13. Ping con petición echo no habilitado.
2. El receptor del ping debe modificar la configuración de
su cortafuegos. Accedemos a la configuración avan-
zada del cortafuegos; si no recuerdas cómo, vuelve
al Caso práctico 1, para definir la regla de entrada
correspondiente o la recepción de echo ICMP.
IContinúa)
Seguridad de alto ni vel en redes: cortafuegos
Q Caso práctico 3
(Continuación)
3. En el menú de la izquierda hacemos doble dic sobre
reglas de entrada. Se abrirá un listado donde busca-
mos Archivos e impresoras compartidas (petición de
echo: ICMPv4 de entroda).
4. Hacemos dic sobre ella con el botón derecho del ratón
y habilitamos la regla, como puedes ver en la Figura
7.14. El icono de la derecha de la regla cambiaró y
aparecerá en verde .

, , .
. cy-:¡
. .c- __ - .-
du"Ua;!, )
 
"' ....... ,
Fig. 7. 14. Habilitación de lo petición ICMP echo.
5. Realizamos un nueva ping al equipo de nuestro compa-
ñero de la izquierda (la misma dirección IP del paso 1),
en esta ocasión veremos que los paquetes si son
recibidos correctamente, tal y como se muestra en la
Figura 7.15.
Fig. 7. 15. Ping correcto.
Actividades
3. Al instalar en un pe una
aplicación P2P no siem-
pre funciona correcta-
mente, no permitiendo
la descarga de paque-
tes al equipo. ¿A qué se
debe? ¿Qué debes hacer
y cómo para permitir la
recepción de los paque-
tes a tu equipo?
4.2. Reglas de filtrado
Los parámetros de los que hemos hablado han de organizarse para que el cortafuegos
pueda consultarlos, en la que se denominan reglas de filtrado. Las reglas de filtrado nos
permitirán establecer políticas de seguridad para nuestro sistema, evitando los accesos
no autorizados sin crear inconvenientes a los accesos que sí queramos permitir. Estas
reglas se suelen expresar como una tabla de condiciones y acciones que se consulta
hasta que se encuentra con la regla que permita tomar una decisión, lo cual hace espe-
cialmente importante que las reglas se establezcan en orden de prioridad de actuación
y que los administradores las revisen periódicamente.
La estructura real de estas tablas dependerá siempre del sistema con el que estemos
trabajando, pero si comprendes su funcionamiento general podrás aplicarlas a la es-
tructura de tu sistema consultando la documentación del mismo sin mayor complicación.
Un ejemplo de una tabla teórica es el que puedes ver en la Tabla 7.2, donde tienes
una serie de reglas definidas en función de las direcciones IP origen y destino y de los
puertos origen y destino, donde se indica si se permitirán los paquetes provenientes de
esas direcciones.
2
3
192.168.1.2 1533
192.168.10.3 1400
192.168.128.2
192.168.128.2
21
21
Permitir
Permitir
Seguridad de alto nivel en redes: cortafuegos 7
••
Tabla 7.2. Eiemplo de reglas de filtrado.
En el ejemplo se han establecido dos reglas correspondientes a los paquetes que llegan
desde las direcciones IP 192.168.1.2 Y 192.168.10.3, desde las puertas origen 1533 y
1400 respectivamente, para permitir el paso de los paquetes que van al equipo con
dirección IP 192.168.128.2 Y puerto 21, que es el puerto reservado para el control del
protocolo FTP.
Actividades 9'
4. Fijándote en las reglas de
la Tabla 7.3, determina
qué efecto tendría que el
orden de las reglas 4 y 5
se intercambiase.
Las reglas pueden agruparse en tres tipos:
• Autopratección del cortafuegos: no se permitirá ningún datagrama dirigido directa-
mente al firewall.
• Reglas de salida, que pueden ser permisivas o restrictivas. Si son permisivas, se
prohíben las excepciones y el resto se autoriza; si son restrictivas, se prohíbe todo
excepto las excepciones permitidas.
• Reglas de entrada: está todo prohibido excepto aquellas excepciones que específi-
camente hayan sido autorizadas.
S_ Analiza si existe algún
problema si al cortafuegos
llega un paquete desde la
dirección IP 154.44.0.1
con destino a la dirección
IP 194.22.10.2. ¿Llegaría
el paquete a su destino?
Justifica tu respuesta.
J-_____________________ ________ ___ 4 9
Análisis de las reglas de filtrado de una tabla teórica
En el siguiente caso práctico vamos a analizar con un poco
más de detalle el efecto de las reglas establecidas en la
Tabla 73, donde se definen una serie de acciones de res-
puesta ante los paquetes recibidos desde determinadas
direcciones.
1. Cuando en la tabla aparece un asterisco u otro sím-
bolo similar debes interpretar siempre que puede ser
cualquier valor. Además, en el momento en que se
encuentra una coincidencia, se ejecuta la acción corres-
pondiente y termina, es decir, no evalúa las siguientes
reglas.
2. Si al cortafuegos donde se implementan estas reglas
llega un paquete desde la red 154.44.0.0 se permitiría
su pasa hacia cualquier red de destino.
154.44.0.0 • •
2 154.44.10.2 •
192.168.128.0
3 • • 193.55.0.2
4 • • 194.22.10.1
5 • • 194.22.10.0
Toblo 7.3. Reglas de filtrado.
3. Si llega un paquete con dirección origen 154.44.10.2
y dirección destino a la red 192.168.128.0, se permitirá
que pase, independientemente de los puertos utiliza-
dos.
4. Si llega un paquete con dirección destino 193.55.0.2 y
puerto destino 21 (FTP), se denegará el paso, es decir,
el equipa destino no está autorizado para utilizar el
protocolo FTP.
S. Todos los paquetes que llegan con dirección IP destino
194.22.10.1 tienen permitido el transito, en función de
la regla número 4.
6. Pero el resto de equipos de la misma red (194.22.10.0)
no recibirán tráfico, ya que la regla 5 deniega el tran-
sita de paquetes.
o • .

Permitir
• Permitir
21 Denegar
• Permitir
• Denegar
, /, .
" I}
- "     . ..,
189
~ / 7 Seguridad de alta nivel en redes: cortafuegos
        ~                                 ~                                
. .. . .
NAT (Network Address Trans/a-
lian). Protocola que modifica la
dirección IP de un paquete que
pasa par un dispositiva de red.
Permite enmascarar las direccio-
nes IP privadas de una subred
detrás de la dirección IP pública
en un router, de modo que todas
las peticiones vayan dirigidas a
una fuente en vez de a muchas.
El eiemplo más claro de reglas de filtrado podemos verla en el sistema de redes Netfilter
de Linux, que se gestiona a través de una utilidad que se denomina iptables, la cual se
maneia desde el terminal. La estructura básica de este comanda es la siguiente:
# iptables -table [COMMAND] chain rule-specification [aptions]
Donde:
o table permite filtrar paquetes (filter), implementar NAT (nat) a enmascarar direccio-
nes IP (mangle), lo que recordarás son funciones básicas de los cortafuegos, entre
otras opciones.
o COMMAND indica que acción se va a realizar (-A para añadir una orden, -D para
borrar, etc.)
o chain indica una regla ya definida en alguna de las tablas.
Las opciones del serVICIO ipta-
bies se detallan en la ayuda de
linux, a la que puedes acceder
utilizando la orden: man ipta-
bles.
o rule-specification hace referencia a la regla de filtrado que vayamos a defi-
nir, si permitimos o denegamos el trafico, entre otros.
o options permite depurar la regla indicando aspectos como el protocolo, el puerto,
etc. Usaremos alguna de estas opciones en el Caso práctico 5.
Es importonte gumck! ,. las configuraciones de cortafuegos que definamos con esta orden
ya que solo son válidas mientras el equipo está encendido y se perderian al apagarlo. Si
queremos que las reglas se apliquen cuando se inicie el equipo, debemos almacenarlas
en el archivo /etc/iptables.rules.
q Caso p'ráctico 5
Herramienta iptables de Linux
Vamos a utilizar los comandos que nos permitirán configu-
rar la herramienta iptables, integrada en las distribuciones
linux para la configuración de cortafuegos, estableciendo
varias reglas de filtrado que nos permitirán proteger nues-
tro equipo. En cada una de las imágenes siguientes irás
viendo los comandos que debes eiecutar para conseguir
la configuración que se indica en cada punto del caso
práctico.
Archivo Editar Ver Terminal
root@jupiter:-# iptables -L
Chain INPUT (policy ACCEPT¡
target prot opt source
Chain FORI1ARD (policy ACCEPT)
target prot opt source
Chain OUTPUT (policy ACCEPTJ
target prot opt source
root@jupiter:-#
Fig. 7.16. Reglas ya deFinidas.
3. El comando básico para trabaiar (iptables) tiene
numerosas opciones. En la Figura 7.17 puedes ver el
comando utilizado para denegar cua:quier intento de
conexión a la red externa (asociado a OUTPUT). Una
1. Abrimosla consola de GNU/Linux. Recuerda que nece-
sitarás tener permisos de administrador para configurar
las reglas del cortafuegos.
2. Comprobamos las reglas que ya puedan existir usando
la orden iptables y la opción -L o --listo Como es la
primera vez que vamos a eiecutarlo no debería haber
ninguna, como aparece en la Figura 7.16.
destination
destination
destination
vez que eiecutes el comando utiliza el navegador para
conectarte a cualquier página de Internet, como www.
google.com, verás que no es posible.
(Continúa)
----"
(Continuación)
Utilizamos lo opcián -P para asociar la arden a la entrada
o salida ya que estamos definiendo una opción que afecta-
rá a todo el trafico en uno u otro sentido, dependiendo de
las reglas concretas que definamos.
4. En la Figura 7.19 puedes ver el comando utilizado para
aceptar trafico entrante (asociado a INPUT) y tráfico
saliente (asociado a OUTPUT).
5_ Habitualmente lo que queremos no es bloquear todo el
tráfico, sino permitir algunos servicios, como por ejemplo
ID
archive ¡¡dilar Terminal ,Solapas AlUda
raat@jllpiter:-,\Iiptables - p  
root@jupiter:-,\I 8
Fig. 7. 17. Deniega trófica saliente.

',.
';;t
jJ¡ u! ¡fj)
-
..

Hi¡tanal I::!;rtadarn Herramient a, "",d.

9
-
e o
I J. ¡ hIW¡""""" gaagluom/ 1:::1 !ICHo ".. '\1
IJMh ...,.itada"" Started g Utest Hndl, nes ....
.
!
Servidor no encontrado
I
Fire fox no puede encontrar e l servidor en \"I\'Iw.google .com.
• Comp11Jebe que la no tiene errores de escritura del
tipo ww.ejemp!o.com en tugllr de www.ejemplo.com
,
• SI no puede cllrgllf nlngunll p&ginll, comp11Jebe 18 cone¡(lón de
red de su ordenador.
su oro.ena,oor o pro egl 05 por un a 1
proxy, asegúrese de que Flrefo¡( tiene permiso p8r8 Ilcceder a
laweb.
I
f\e,nt ent ar I

Ttrrnlnodo
Fig. 7. 18. Conexión denegada.
S' ' !g¡Ij T· Ll¡}r._
archIVO Editar ver Te rminal ,Sl1lap¡u
root@jupite r :-# i ptables -P IUPUT ACCEPT
root@jupiter:-II iptilbles -P DUTPUT ACCEPT
root@juplte r :-II
---' 8
11
El
Fig. 7. 19. Acepta trófico entrante y saliente (según futuras reglas) .
6. Escribe las árdenes mediante iptables para:
• Permitir todo el tráfico web de entrada en el equipo.
L
. En el punto 5 del Caso práctico 5 permitimos eltró-
fico correspondiente al protocolo ssh (puerto 22).
pero ahora deseamos bloquearlo ¿cómo podemos
hacerlo?
Seguridad de alto nivel en redes: cortafuegos 7
Caso práctico 5 9
el tráfico desde el puerto 22, que corresponde al proto-
colo ssh. En la Figura 7.20 puedes ver lo orden necesaria
para añadir (usando la opcián -A) esta regla.
6. La dirección IP 192.168.1.33/24 estará autorizada
para enviar y recibir todo el tráfico de la red, paro ello
debes definir las árdenes que ves en la Figura 7.21.
7. Una vez que hemos definido las reglas, es muy proba-
ble que deseemos guardarlas para utilizarlas en futuras
sesiones, tal y como puedes ver en la Figura 7.22.
". !J
Brchrvo ¡¡dltar Ierminal AlUda   ___ _
r aat@jupite r:-II iptables -A IIlPUT ' p tcp -- dport ssh - j ACCEPT
roat@jupite r:-#
Fig. 7.20. Trafico del puerto 22 permitido.
w;!! ' 1m:
arth;.,o Edila. Jerman .. 1 Sol¡¡pn
l ptobles--:¡-WPuT "sourte 1'12.1I1B.1.]] - j ACCÉPT- El
lptobles -A OUTPUT " desUnatian 192.168.1.33 .J ACCEPT I.l
raotOj upiter:-' .
Fi g. 7.21 . Tráfico desde y hacio uno dirección IP autorizado.
mnr: l!!Tr.
e.,¡hivo Ed,tar Terminal AlUd¡¡
root OJuplter :-' .. l et c/iptables .rules
rootOJupiter :-/t I
Fig. 7.22. Reglas guardadas en el fichero iptables.rules.
=
Actividades "
• Guarda los cambios en el fichero iptables.rules y
visualizalo poro comprobar que las reglas se han
añadido correctamente.
/

Seguridad de alto nivel en redes: cortafuegos
  es un sistema operati-
vo de código abierto basado en
UNIX que centra su desarrollo
en la seguridad prooctivo y la
integración de lo criptografía.
Puedes encontrar loda la infor-
mación sobre este proyecto en:
www.openbsd.org.
5. Uso de cortafuegos
En todo sistema es conveniente tener instalado y funcionando un cortafuegos, ya sea
en un ordenador personal donde utilicemos el cortafuegos integrado en el sistema ope·
rativo, o en una red de una empresa, donde necesitaremos herramientas algo mós
sofisticadas. En este apartado daremos unas pautas a seguir para elegir correctamente
el cortafuegos que cubra tus necesidades y veremos un cortafuegos comercial, Kerio
WinRoute Firewall, que se utiliza en servidores Windows pero que dispone de clientes
para Windows, Mac y las últimas versiones de linux Ubuntu y Debian, por lo que puede
trabajarse en remoto desde diversos equipos.
5.1. Criterios para elegir un cortafuegos
Antes de instalar un cortafuegos es necesario tener en cuenta una serie de factores que
nos permitirón elegir o configurarlo del modo mós acertado para nuestro sistemas, y que
se recogen en la Tabla 7.4.
Política de seguridad del sistema
o la empresa
Nivel de monitorización y control
Económico
Localización
Elementos Físicos
Sistema operativo
La configuración según ellrófico o servicios a bloquear.
Hay que decidir cómo se va implementar (que se permitirá y
que se denegará).
En función del valor de lo que vamos a proteger será necesa-
rio un desembolso mayor o menor.
Existen diversas arquitecturas de red que podemos elegir o
utilizar cortafuegos personales en los equipos.
Equipos necesarios, uso de bastión, routers, etc.
Sistema operativo del bastión o del equipo sobre el que se
instala el cortafuegos.
Tabla 7.4. Criterios de elección de cortafuegos.
• 5.2. Instalación y configuración de un cortafuegos comercial
Existen numerosos cortafuegos que podemos elegir para instalar en nuestros sistemas.
En este apartado hablaremos de Kerio Winroute Firewall, trabajaremos con la versión 6
del mismo en un servidor Windows, y veremos cómo es posible el acceso a este servidor
desde Internet en un equipo Linux que tiene instalado Kerio VNP Client.
Actividades
7. SiTour va a instalar un cortafuegos en su red de ordenadores para que su per-
sonal no pueda acceder a servicios de Internet, como la descarga de películas,
y debe decidir si desea definir reglas de salida o reglas de entrada. Indico cuól
de las opciones sería la mós conveniente para este fin y por qué.
8. Antes de instalar nuevo software en tu ordenador es imprescindible comproblar
que el equipo cumple con los requisitos para realizar la instalación. Busca infor·
moción sobre cuóles son los requisitos recomendados si deseamos instalar Kerio
WinRoute Firewall.
Seguridad de 0110 nivel en redes: corla fuegos 7
Instalación de Kerio WinRaute Firewall en un servidor Windaws
Caso práctico 6 9
En el siguiente caso próctico vamos a instalar el cortafue-
gos Kerio Winroute. Uti lizoremos el asistente de configu-
ración para ponerlo en funcionamiento y dotar a nuestro
equipo de una mayor seguridad.
1. Descarga Kerio Winroute Fi rewal l Server desde la
página Web de su fabricante: www.keri a.com.
2. Antes de comenzar con la instalación, desactiva el
praxy para evitar futuros problemas. Ejecuta el archivo
y acepta los términos de la licencia, después de leerl as.
Sigue las instrucciones del asistente de instalación para
instalar la versión completa del firewall en la carpeta
por defecto C:\Program Files\Kerio o C:\Archivos de
Programa\Kerio. Si el programa deteela algún confl ielo
con otro servicio del sistema, deshabilítalo como se
muestra en la Figura 723.
3. A continuación nos pide que definamos los datos de la
cuenta de administración del cortafuegos, tal y como
ves en la Fi gura 724.
ft) Kerio Wi!.lrd
...
5Yltem Servke Confbct


 
""""""'-
o...!I Co, .. ,,,l ón Inlemet (ICS)
8 =--Ú'::rlU!ll :"':1> a
j:, D!!leccl dn SSDP
 
j:, Dhpollllvo UPnJI
@Ddub:1t..-  
••  
de!N!>lt.d   ap:lOrIe no Io.Ibo!b q..ets.::e".

1 <"' ... 11

1 1
'"""'"
1
Fig. 7.23. Deshabilitar seuicios en conflicto.
..;:s Kerio Admin;¡tr,, ¡M,n
p @I
"
Ar<hvo EóLr 'kr
Iv
,....,
"'1 NI.ocva
"'º'"



""""",

G
... ,

B
rbttnd=l$1JIia:
1
Crlnl:".uer\t, 1 ...... 1
1
I
"""'"
II .....
'""""
I
i2I
Fig. 7.25. Acceso Consola de Administración.
4. Kerio bloquea todo eltrófico de Internet antes de rea-
lizar la configuración inicial. Dado que se va a insta-
lar en local, esto no seró un problema, así que pulsa
Siguiente y, a continuación, Instalar.
5. Una vez que hemos instalado la aplicación es necesario
configurarla. Abre un navegador de Internet, verás que
ahora no te es posible visual izar ninguna Web ya que el
cortafuegos está rechazando todas las conexiones.
6. Para comenzar a configurar el cortafuegos accedemos
a la consola de administración que incorpora dando
doble dic en el icono lPl que aparece a la derecha de
la barra de tareas, donde se pedirá el usuario y con-
traseña administrador que definimos en la instalación,
como puedes ver en la Figura 7.25.
7. La primera vez que nos conectamos aparece un asis-
tente de configuración. En primer lugar identificamos el
ti po de conexión. Nuestro servidor se conecta directa-
mente a Internet, así que elegimos la opción Un único
enlace de Internet· Persistente.
tJ leMa WinRouL! W,t,lId
¡",¡;¡,,¡
LI Qlellt. de ildmlnh tr3ddn
""!3!r@i)



Al Ls mt.\LsQj¡n, este pveda utllw LI CMS:b a.mns:r.sa31
CDleaJr a Llwontll ...
   
!;<In1T.l$eiIJ : 1 ......
  I ...
,


1
<Alroh
11

1 1
'"""'"
1
Fig. 7.24. Cuenta de Administración.
de de.e:l c;¡"
P<*b.:I wisIte • pJ.;N i di! 1

O  
i(l
_.
"""""
Puetb d. W\q!rl Pufr"md.4 ... =
"'""' =
"""' ..
..

"""' ..

"''''
= """' ..
U
Ea !:.'fTl' ro> ,,",-o II
" .. =1<" ........
" el POPl 1"0'
"""",
,.
"""' =
.......
.. ,
la Td1t:: ro> ""'-, n
I
..... ltJI
I

1 1
""""
1
Fig. 7.26. Servicios a los que se do permiso. IContinúol
-Y7
Seguridad de alto nivel en redes: cortafuegos
Q Caso p'ráctico 6
(Continuación)
I.!d Asistente de reglits de red
Po!illca entrante 6 de 7
8. Tras elegir la conexión can Internet, podremos permi-
tir el acceso a todas los servicias (ilimitada) a a una
lista de servicias. Seleccionamos la lista de servicios
por seguridad, como puedes ver en la Figura 7.26, ya
que con la primera opción no tendremos constancia de
a que servicios daríamos acceso, un gran error desde
el punto de vista de la seguridad.
SI hay servidores ejeaJtár'tdose en su LAN que: qu.! estén disponbles desde: Int.eme:t,
9. En el siguiente paso seleccionamos las opciones para
crear reglas usando los servicios de Kerio.
10. En el Caso próctico 8 instalaremos un cliente VPN en
Linux para acceder desde Internet a nuestro firewall,
de modo que permitimos que este sea accesible, como
muestra la Figura 7.27.
Este es el último paso del asistente, el cual generará
las reglas básicas correspondientes a esta información
cuando pulsemos finalizar.
espedñque!os a continuación. Si no, o salte esta pág,na.
I "".-IP
'"'"'
1
Agregar .. ,
11
ErliIM,,,
11
<1<'''''
1
1
<Atrás
1
I - le>
11. Abre un navegador y comprueba que puedes acceder
a Internet desde tu servidor, dado que la regla corres-
pondiente se ha generado. Fig. 7.27. Firewall con acceso desde Internet.
Q Caso p'ráctico 7
Configuroción de Kerio WinRoute Firewall en un servidor Windows
1
1,
Ca,,,,,",
1
,
Configuramos ahora alguna de las funcionalidades del 1. En la opción Política de TráFico del menú de la consola
cortafuegos, lo que nos permitirá tener una visión de cómo te aparece un resumen de las reglas que hay defini-
se trabaja con este tipo de software y de las normas bási- das en este momento en el cortafuegos, que deben ser
cas para proteger el equipo. como las que ves en la Figura 7.28 .
.. -
.. :;-, c_
¡¡¡:- §'§: ",=-= ::j ===1
• ;J,............ , ..
..... """ lB __ . '_ 1.1 _ 1" - '" I
1111_._ ..... :'1 -- "... .,
t2 ........ ""' . I .-
1Ii _
1lI" __ '"""'" :;, .,.,
Ú._"," . -
!!I _ .. _ 'lo "'''
   
.!l. '._ .. _"
_ _
"d_._
..
't "" ..


El ...... ...
e )$...... . _ :;, _ .,
.-
.-
,=

10" __ • :< I I
1:' I
,
;
Fig. 7.28. Políticas de TróFico.
lo esperado), en cuyo no habilitamos el Servidor
DHCP. En la pestaña Ambito agregaremos nuestra
red: 192.168.1.0, como se muestra en la Figura 7.29.
La dirección IP asignada al servidor es la primera:
'!
l'
2. Agregaremos nuestra LAN al cortafuegos, para así
determinar qué queremos permitir o prohibir en los
equipos. En el menú de la izquierda seleccionamos
la opción Servidor DHCP. La configuración depen-
derá de si nuestros equipos tienen IP estática (que es 192.168.1.1.
(Continúo)
/
¡-
Seguridad de alto nivel en redes: cortafuegos 7
-------------------
Caso práctico 7 9
(Continuación)
3. Habilitamos el reenvío DNS hacia nuestros servido·
res DNS, que dependerán del proveedor de Internet,
para lo que en la opcián DNS seleccionamos el reenvío
personalizado y los agregamos como ves en la Figura
730, donde se utilizan las direcciones 80.58.61.250 y
80.58.61.254.
Ámbito de dire«i6"
-
¡,Q DNS
- , 1 .....
Dem:c;;;, de árrbito
lo'Gl
Pmlcrll dreaión: 1192.168. 1.3 I tJtina cfreajón; 1192. 168. 1.254
I
ru;...,,;,
Mascara de red: 1255. 255.255,0
I
1-···1
o H&iililr de rowmo [1'15
1C3 Ag"!l"
-
EJI ",r,) @.3 , EJiJ
ResoU:ión [1'15 =
TtlO de cmsUla [M
"""""
O Habittar Ci!CfIe para rápida dec:cnsu
@ Uorra".. Cl:lfn.ita D'4!;
1192.158. 1. 1
SI el norrbre c:nsUtado ctIi""ocide:
Puerta de erke predeterninada:
I Ulllizar reemi:J
I
Den ...
I
l'
l· I
I
!1l Ser.idor de l'1CII1"b"e de dorrénio: 1192. 158. 1, 1
I DNS de leerMe pemite'1 (", n d'!
I
1
[] 5e!vidI:r de l1CfI'b-e WlNS;
I I

O Nootte de domno:
I I
rlotrbre 1l'IS,1ted   ONS
Si IJ drero:in lP l5 =Jtil o:::n::ide 0Jn 13
I
IM'-··· I
I 1/ 1
I
I
_.
I
O Noemw
I
_'"
i 1
""""'"
1
@ odan¡.,
em'Íll" anoUla alfa bs 2I"oidor(e!lJ D'lS:
,!"-:!ffí-.o, ·k81IFf'#
I
Fig. 7.29. Agregación de /AN.
' ,
UIúzN IUlm y ctm1I (; 1 p.ya 1:11IT!!da!I
1-··· 11
Edti::f ...
1
Q,J!t;¡r
1
_ ...
11
""'""
I
Fig. 7.30. Agregación de DNS.
Caso práctico 8
Instalación de Kerio VPN Client en Ubuntu
9
En las organizaciones no es habitual trabajar directamente detalladamente los pasos que se han de realizar para es·
sobre los servidores, sino conectarse a ellos en remoto. tablecer la conexión.
Kerio permite que lo hagamos incluso desde fuera de la
1. Descarga el cliente de Kerio para Ubuntu desde su web
red y desde distintos sistemas operativos, como Windows,
Mac o Ubuntu, siempre que tengamos privilegios de admi·
www.kerio.com, que se compone de dos paquetes:
nistrador.
o kerio.kvc
El cliente para Linux aún está en fase beta pero su insta·
o kerio.kvc.source
loción resulta muy interesante para darnos una idea de la Guárdalos en /root.
facilidad para utilizar este servicio que se busca conseguir.
2. Antes de comenzar la instalación es necesario tener ins·
Para realizar una configuración completa se recomienda
talados varios paquetes, e jecuta la orden de la apl·gel
utilizar el cliente VPN de Windows, cuyo manual explica como se muestra en la Figura 7.3l.



8rchivo gditar Y'er Terminal Ayuda
A
root@jupiter:-# apt·get install bzip2 module·assistant debhelper openssl.
-
-
Fig. 7.31. Instalación de paquetes necesarios. (Continúa)
,
195
Seguridad de allo nivel en redes: cortafuegos
q Casa práctico 8
(Continuación)
3. En primer lugar es necesaria construir el modula para
el kernel e instalarla, can las órdenes que te aparecen
marcadas en raia en la Figura 7.32.
5. Par última, instalamos el paquete correspondiente al
demonio, cama ves en la Figura 7.35, tras la cual se
iniciará automáticamente.
4. Durante la instalación del modula nas apareceró un
asistente de configuración donde debemos indicar el
nombre del servidor, indicamos que detecte automáti-
camente su huella, el usuaria y su contraseña, cama ves
en las Figuras 7.33 y 7.34.
6_ También puedes iniciar, parar a reiniciar el cliente
manualmente can la arden # /etc/init.d/kerio-
kvc {start I stop I restart}, respectivamente.
!r.I! 1 n
BcIwo Edh. Jerminal s.olapa.
aa 11 1 -1 enll- " . e d
pmlilCefl le 110 se ettillnada.
1029B f1t.herlls y directorios i nSllllldos actual ctntc. 1
lIeu-..pa:¡uetandll Iu! ri,,·hc-satl'(C Ide kcrlll ·kvC-$our ce 6.1.0-6161·1 atLdeb) .
Confl gurand" kl! rlll-kvc-source 16.7. 0· 6161 -11 ... -
  aUl o-lnH¡u ¡ kerl o-kvc. sllurcc !
Actualizad. ¡ "S ficheras i nfos de l u paquetes 1
Ilbtcnl.mdo las fuentes de la ve rsi on del núcleo: 2.6.27·7·generlc
EncabuadDs del núclfo disponibles en lusrlsrc/llnux-hnders·2.6.27·7·gener i c
Crcando enlace sir::bólicD ...
apt·get i ns tall bulld -e5sentlill
Leyenda list" de paquet n ... Hecha
Creanda á.bol de dcpcndcncJas
l eyendo la Jnforr.acJÓn de estada . .. Hecho
buHd·essentlal ya está en su versión c.is r eeJenlo.
I! actualizados. 11 se instalarán. 11 para eUr.llnar y no act ualizados.
IHechol
unpack
Extrattlng the package tarball. pl ease wait ...
...odass/packages/ del ault. JII · bui \d KVEflS: 2. e.27-1 · gener lc KSRC_/usrls
,1
rC/Unux KDRE...·2.6.27·7.14 B
Fig. 7.32. Instalación del cliente.
Kerio VPN client Kerio VPN client
Enter a user name. Please enter host name of your Kerio VPN server.
Kerio VPN server: User name:
Juplter tmin!"'iu;t;r.rm
<Aceptar> <Cancelar> <Aceptar> <Cancelar>
Fig. 7.34. Configuración del cliente VPN de Kerio.
Fig. 7.35. Configuración del cliente VPN de Kerio.
Fig. 7.33. Instolación del demonio.
Actividades
9. Desde la consola de odministración del servidor con-
figurar las transferencias FTP para que los usuarias no
puedan descargar archivas avi a mpg.
6
11. Ejecuta el cliente VPN en Windows y realiza un
pequeña manual en las posiblilidades que te ofrece.
12. Busca cortafuegos para servidores Linux y realiza un
cuadra con sus características principales. 10. Instala en cliente VPN para Windows y realiza un
manual que describa su procesa de instalación.

Seguridad de alto ni vel en redes: cortafuegos 7
6. Arquitecturas de red con cortafuegos
La arquitectura más sencilla consiste en utilizar un firewall de fillrado de paquetes que
permita o bloquee el paso de los paquetes mediante las listas de control de acceso,
como es el caso de la arquitectura screened router (Fig. 7.3). Pero para una organiza·
ción con muchos equipos es muy difícil establecer las reglas de filtrado correctamente
para satisfacer las necesidades de la red. Por este motivo hay arquitecturas de red que
combinando hardware y software ofrecen mejores niveles de seguridad.
6.1. Dual-Homed Host
La arquitectura dual·homed host se basa en el
uso de equipos con dos o más tarjetas de red.
Una de estas tarjetas se conecta a la red interna
que se quiere proteger y la otra a una red exter·
na, normalmente a Internet, como puedes ver en
la Figura 7.36.
Los equipos de la red interna verán al bastión a
través de una de las tarjetas de red y los equipos
externos a través de la otra, pero el tráfico entre
ambas redes estará aislado. Todo el tráfico debe
pasar a través del firewall instalado en el bastión
y si queremos permitir algún servicio (como ver
páginas web) habrá que usar un proxy en el baso
tión, lo que es un inconveniente, ya que no todos
los protocolos admiten su uso. Además, si un ata·
cante se hace con el bastión, tendrá acceso a la
red interna de la organización.
6.2. Screened Host
Red interna
I
                                ~
Fig. 7.36. Arquitectura dual·hamed has/.
La arquitectura screened-host combina el uso de un router con un bastión, de modo que
el fillrado de paquetes se produce en primer lugar en el router. El bastión es el único
sistema al que se puede acceder desde el exterior, como puedes ver en la Figura 7.37.
Cuando un equipo de la red interna quiera acceder a Internet habrá dos opciones de
configuración:
• El router permitirá la salida de algunos servicios, como la navegación Web, a las
máquinas de la red interna filtrando los paquetes por lo que sus regios de fillrado
pueden ser complejas.
• El router prohíbe todo el tráfico de la red interna con Internet y si se desea acceder
a algún servicio hay que hacerlo a través de la máquina bastión, igual que en la
arquitectura dual-homed hos!.
Se pueden combinar ambas opciones, de modo que haya servicios controlados por el
router y otras a los que se acceda a través del bastión.
En cualquier firewall es recomen-
dable bloquear lodos los ser-
vicios que no se util icen desde
el exlerior, especialmente NIS,
NFS, X-Windows y TFTP.
• Un equipo con dos
puede actuar como un router,
enrutando los paquetes que
recibe a Iravés de una de ellas
hacia la otra.
• Algunos routers incluyen fun-
ciones básicas de filtrado de
paquetes, lo que añade segu-
ridad a la red ya que pueden
eliminar parle del tráfico no
deseado antes de que actúe
el cor tafuegos. A estos routers
se les lIoma screening rou/ers.
Actividades"
13. Los rauters Cisca son muy utilizados en las empresas
por su fiabilidad. Busca información sobre los proble-
mas de seguridad que puede presentar lOS (sistema
operativa propio de estos rauters) y comparálos con los
habituales en un sistema operativo.
14. ¿Cuál crees que es el principal inconveniente de usar
la segunda opción de configuración de la arquitectura
screened·host?
Seguridad de alto nivel en redes: cortafuegos
Recuerda mantener siempre
actualizado el sistema operativo
del equipo bastión y no instales
nada que no sea necesario en
él. Es también conveniente que
tenga instalado un cortafuegos
personal, como ZoneAlarm.
Internet
Bastión
Fig. 7.37. Arquitectura screened-host.
Esta arquitectura es cada vez menas utilizada ya que si un atacante consiguiese hacerse
con el contral del bastión o del rauter, de cualquiera de los dos, tendría acceso a la red
interna.
6.3. Screened subnet
El bastión se aísla en una red perimétrica, la zona DMZ (De-Militarize Zone), que se
sitúa entre la red externa y la red interna, limitada par dos routers, como ves en la Figura
7.38 que muestra un esquema típico de una arquitectura con zona desmilitarizada. El
router externo filtra la entrada de trafico desde la red externa y la salida hacia la misma,
mientras que el router interno se ocupa de filtrar el tráfico generado y dirigido por y
hacia los equipos de la red interna.
    Router externo
Internet
Zona desmilitarizada (DMZ) I
Red interna
Fig. 7.38. Arquitectura screened-subnet.
Es una arquitectura más compleja pero también mucho más segura que las anteriares.
Utilizándola hemos eliminado el principal problema que presentaban las dos anteriores,
ya que, como recordarás, cuando un atacante conseguía controlar el bastián, tenía ac-
ceso a los equipos de la red interna. Ahora, para llegar al bastión, tiene que superar
primero las medidas de seguridad del carta fuegos externo, y aunque lo consiga y se
haga con el control de esta máquina, la red interna seguirá protegida.
Actividades
15. Razona qué tráfico estará permitido o no en cada zona de la arquitectura scree-
ned-subnet (por ejemplo, especifica si el trófico desde la red externa a la zona
DMZ estará permitido o prohibido).
16. Otra implementacián de la arquitectura screened-subnet consiste en usar un solo
router con tres o más interfaces de red. Dibuja su esquema y analiza si ofrece
el mismo nivel de seguridad que el esquema de la Figura 7.38. Identifica que
tráfico está permitido y cuál restringido según esta estructura.
Seguridad de alto nivel en redes: cortafuegos 7
Z Monitorización y 1095
Los registros de actividad de un sistema, que habitualmente se conocen como logs, per-
miten detectar incidentes y comportamientos no habituales. Esta información, especial-
mente cuando los logs corresponden a un servidor o un equipo de red, resulta sumamen-
te útil para localizar fallos en las configuraciones de los programas o cambios que se
hayan hecho sobre dicha configuración. Permite también detectar si se ha desconectado
al dispositivo del sistema y controlar el uso de recursos par parte de los usuarios. Ade-
más de proporcionan información sobre el rendimiento del sistema, que puede resultar
útil para detectar cuándo un equipo está empezando a fallar.
Z 1. Registro de actividad de los sistemas operativos
Los sistemas operativos incorporan lag s donde registran información sobre qué usuarios
y en qué momento abren o cierran una sesión, qué procesos están en ejecución dentro
del sistema, las aplicaciones que son ejecutadas por los usuarios, el uso de los recursos
que hacen (impresoras, escaners, etc.) así como los posibles problemas de seguridad.
En los sistemas operativos Windows se utiliza el visor de eventos para analizar los lag s
del sistema, como ves en las Figuras 7.39 y 7.40, donde tienes el visor correspondiente
a Windows Vista y Ubuntu 9.04 respectivamente.
t.! YIP:< ... .,......"

.". 10/C'il/C'il
Cuando se monitorice la red es
necesario informar a los usua-
rios de que se está haciendo,
ya que de no ser así podríamos
incumplir la ley de protección de
datos, al registrarse información
confidencial, tal y como ya estu-
diamos en la Unidad l.
Puedes acceder al visor de even·
tos de Windows en las herra-
mientas administrativas incluidas
en el Panel de Control y al visor
de Sucesos desde un terminal
con el comando:
$ gnome-system-lag &
G 1 .. " .. . _ ......
.. . ' ; .... .....-,.. ..... .
Te,,,,,,,,,,..,..,.., ... _
......... ".j ..
duman.lo; Sop ID 05: 53:311 ¡up, ur.y. loga ruurt. ¡
S. p 1005: 53:311 ¡ Upl u r anac, pn(411<1 2): .Job · cron. a .. l y·
_ .
Sop 1005:53:38 ¡uplter anac, on(4842): tJo, ,,,,,l ! " t (¡ jet
Q""""''''''
IJ ""' ..... "' ..... " .. 1,,'. , .
..... ,,,', ... -
e ...... ,. ' .. """ll,-, l' _
m .... ; ..

u .. ,.I09

Sop 1005: 01:515 ¡ upltor kern. l: ( :2005.0502421 p. ll<l u' .' í
Sop 1005: 01: 57 j up, t . r ke rnol: ( ¡>()05 . S5D1COl
Sep 10 OC5:0;¡ : 42 ¡"P' to' n",.syn''''-Ultl ng. : so>l uU S
S. p 1000:03:42 ¡ Up ' U "J. I...., r1<,...n. g. r: 501u nq ,\
s.,p 10 ' 00: 03: 42 ¡ UP'!!' n",· dupatchor •• cucn: n",_dlSpnd!
Sl p 1000:03: 42 j upl u rn",. d • • pat che, •• cucn : S<:n pl ' , . r
( ... u. m". > > Sep 10 OIl : ml : ll ¡ up.tor . ..... : cn.man.g. r (SO<'iD) : IImJIIG1
lo" mor ",1, .. , "" db ", m 10 0Il : OS: 1I¡up.tor •· .... l on. ""'n.q.' (SOOO) :
1 , ] 4 5' Sep 100ll : OS: 13jup.u, bonobo . act! va ncn • • o,ver [g.J'UV'1
, o ,0
5
,', 10 0!l : 0tl :14 ¡ up. u r . cp, d: ch. nt connlct ed ,,"" (¡JO: ,
:: : : lO 15 n l' U :;;-'!....¡n M : M:I,;   ntl."""""'"".!ff=i
&.\ .. ,11 llLimPiar l
SSH lin.OI [SSl .2 Kla)· a<lu.li, .'¡6n: Thu 5. p 10 07 ,OB:S7 ¡OOg
Fig. 7.39. Visor de eventos de Vista.
Fig. 7.40. Visor de eventos de Ubuntu.
En el menú de la izquierda de la Figura 739 puedes ver los registros sobre los que esta
herramienta proporciona información:
• Registros de Windows: muestra información de errores, advertencias o información
del sistema operativo y sus aplicaciones, así como información de seguridad, donde
muestra los registros de éxito y de fracaso de los servicios auditados, por ejemplo,
si un usuario ha podido iniciar la sesión.
• Registros de aplicaciones y servicios, cuyo contenido puede variar ya que incluyen
registros independientes para los programas que se ejecutan en el equipo, así como
registros más detallados relacionados con servicios específicos de Windows.
Haciendo doble clic sobre un suceso o evento se abrirá una ventana con información
detallada que permite interpretar el tipo de error producido.
Actividades
17. En el visor de eventos de Windows selecciona un error, como el 5002, y averi-
gua por qué se ha producido.
Todos los ficheros logs de linux
pueden ser editados manual-
mente para su consulta. En el
caso de Ubuntu se guardan en
los directorias que cuelgan de
/var/log.
19
Seguridad de 0110 nivel en redes: cortafuegos
Puedes encontrar más informa-
ción sobre el proyecto syslog en
www.syslog.org.
De igual modo, los sistemas linux incluyen aplicaciones para poder visualizar los logs,
como es la herramienta System Lag (sucesos del sistema) en Ubuntu, al que puedes
acceder a través del menú Sistema, dentro del grupo Administración. Este visor gráfico
incluye, entre otras funcionalidades, un calendario y utilidades de filtrado, como puedes
ver en la Figura 7.40.
Además de los registros de sucesos del sistema operativo, existen programas indepen-
dientes que permiten gestionarlos, como la herramienta syslog, pensada para centrali-
zar todos los registros en un servidor y analizarlos ¡untos.
Z2. Registros de actividad del cortafuegos
Los cortafuegos incorporan sus propios registros de actividad, especialmente útiles para
analizar los bloqueos de accesos no autorizados que se hayan detectado y las activida-
des anormales que puedan haberse producido en el sistema.
Q Caso práctico 9
lO
Registros de Kerio Winroute Firewoll
En este caso práctico vamos a localizar y analizar el re-
gistro de actividad del cortafuegos Kerio en el servidor, lo
que nos permitirá tener una información más precisa de lo
que ha ocurrido en el sistema y ha sido detectado por este.
1. Accedemos a la consola de configuración del cortafue-
gos siguiendo los mismos pasos que vimos en el punto
6 del Caso práctico 7, solicitará el usuario y contra-
seña.
2. En el menú de la izquierda del cortafuegos aparece
una opción denominada registros que contiene los
informes de actividad guardados por el cortafuegos.
[pi Registros
0 Iml D &J
"'"

-
-
...

¡g¡
"'aI1"Ii-9
....
Existen distintos tipos, como puedes ver en la Figura
7.41.
3. Seleccionamos el registro denominado Web, que nos
permitirá analizar las páginas Web visitadas desde los
equipos de la red, mostrando informaci ón como la que
aparece en la Figura 7.42.
4. Al analizar este registro, el administrador descubre que
desde la dirección IP 192.168.1.34 se ha estado acce-
diendo a wsinos online, y que el usuario de la máquina
192.168.1.5 ha estado buscando casas rurales para sus
vacaciones.
@) [tJ
l2J
[ij
- ""
h'.

""'"
Fig. 7.41. Tipos de Registros de Kerio Winroute Firewoll .
,
i i
. 'P'"'
,
." .... "'''' .....

W I!;; Esbdo ' .
.
e
¡::
, , ,
    .
)- lJ) e!ert
,
! ,
e¡ conlio¡!
,
, .
,
. ··E
I
l:j Olt'f'lr:tion
, ,
1:1 -    
¡:¡ ...  
Q e<T1I'
. .


[S htl;!
:::
..
,
1!) rca.nty

,

:i) ",""
:::
. ,
i'í .....
00"
, ,
..
,

,
" "'" , ..
.!l! ' a ............. 111"''''

Fig. 7.42. Registro Web.
Aplicar mecanismos de seguridad activo describiendo sus
característicos y relacionándolos con los necesidades de
uso del sistema informático
1. Los cortafuegos nos ofrecen muchos ventajas pero tam-
bién presentan limitociones_ Realizo uno pequeño tabla
con los ventajas del uso de los cortafuegos y sus limita-
ciones, puedes servirte de Internet para buscar informa-
ción sobre estos temas.
2_ Existen uno gran cantidad de cortafuegos comerciales
en lo actualidad. Busco información de vorios de ellos
en Internet y realizo uno tabla comparando sus princi-
pales característicos, incluyendo dotas como su fabri-
cante, precio, etc.
3. Usando el esquema que realizaste en lo Actividad 1
de lo unidad, analizo si en lo red local de tu clase hoy
establecidos distintos áreas de seguridad e identifíco-
los. En coso de que lo red no tuviese cortafuegos en tu
esquema, ¿en qué equipol s sería más adecuado ins-
talarlo? ¿es necesario que se dispongo de uno zona
desmilitarizado o DMZ?
Asegurar lo privacidad de lo información transmitido en
redes informáticos describiendo vulnerabilidades e insta-
lando software específico
4_ Abre el puerto TCP 7225 en el cortafuegos de Win-
dows.
5_ Repite lo operación con el puerto UDP 4661.
6_ El registro de seguridad del firewall de Windows, tanto
XP como Vista, está desactivado por defecto. Actívala
poro que puedan registrarse los intentos de conexión
(paquetes recibidos y enviados) e interpreto el conte-
nido que aparece tras recibir un ping desde el equipo
de un compañero.
7. Realizo la instalación del cortafuegos personal ZoneA-
lorm en tu equipo (no olvides desactivar cualquier otro
cortafuegos). Tras la instalación aparecerán globos de
información poro que permitas o deniegues la conexión
de los programas instaladas en tu equipo, toma la deci-
sión que consideres adecuada y justifícalo.
8_ Autoriza un programo de los instalados en tu equipo,
como Office, para que pueda acceder a Internet.
9_ Realiza un Telnet al equipo de tu compañero de 01
lado. ¿Puedes comunicarte con su ordenador? En
caso negativa añade su dirección IP o la zona de con-
fianza de ZoneAlarm, ¿qué ocurre 01 ejecutor Telnet?
Seguridad de alto nivel en redes: cortafuegos 7
Comprueba tu    
10. Realizo una tabla teórica de filtrado, como la vi sta en
la unidad, para la red 192.168.0.0, que cumpla las
siguientes condiciones:
• Todos los equipos de la red podrán ver páginas Web
por el puerto 80.
• Los equipos 192.168.0.3 y 192.168.0.4 podrán
enviar paquetes al puerto de FTP de la máquina
193.55.0.2.
• La dirección IP 192.168.0.25 se utiliza para equipos
visitantes, de modo que no se le permite enviar tráfico
de ningún tipo.
• Desde lo red 194.2.10.0 se han sufrido varios inten-
tos de intrusión, por lo que todo el tráfico tanto de
entrada como de salida hacia esto red no se permite.
Recuerdo que debes ordenar las reglas de modo que
no se produzcan incongruencias con el enunciado
(empiezo con lo más restricti va hasta la más general).
11. Utilizando iptables genera las reglas del ejercicio ante-
rior con las opciones que sean necesarias. Recuerda
que en lo ayuda de Linux tienes todos los posibilidades
(man iptables).
12_ En función de las reglas de filtrado generadas en
la Actividad 10, ¿crees que llegará a tu equipo un
paquete' proveniente de la dirección IP 194.2.1O.13?
¿Se podrán enviar paquetes a la dirección IP
194.12.10.13 desde la dirección IP 192.168.0.3?
13_ Configura Kerio Winroute Firewoll para que el equipo
192.168.1.5 de tu red esté restringido. En caso de que
esta dirección na corresponda con ninguno de los equi-
pos de la red local de tu clase utiliza la de un equipo
de la red.
14. Prohíbe el acceso a la pagina Web www_iuegos.
com, u otra similar, en Kerio Winroute Firewall , poro
cualquier usuario. Nota: si estas usando la versión de
evaluación, que no incluye el filtro Web, no podrás
comprobarlo en el navegador pero si verás la regla
configurada.
Identificar lo necesidad de inventariar y controlar los ser-
vicios de red
15_ Kerio Winroute Firewoll permite limitor el ancho de
banda para la redes P2P. Configura el límite de des-
carga en 100 Kb/s (download) y el de carga en 25
Kb/ s (upload).
16_ Analiza e interpreta la información del registro http
generado por Kerio Winroute Firewall en el servidor.
Seguridad de 0110 nivel en redes: cortaFuegos
¡   ______ c_o_rtofUegOS ___
'" Proxy
.....
Según su ubicación
....... _ ....;:;.;
Según su tecnología
De autoprotección del cortafuegos
Salida
Entrado
router
Dual-Homed Host
Screened Hosl
--......;;
Screened Subnet
-.-..._-"
--(
Cortafuegos software
Cortafuegos hordware
Cortafuegos personales
Cortafuegos de subredes
Actúan a nivel de paquetes de datos
Actúan a nivel de circuitos
Actúan como pasarelas de aplicación
Transparentes
Qj H'il ndCOlCd
Seguridad de alto nivel en redes: proxy
y estudiaremos:
o Características y funcionamiento de las
Proxy.
o Instalación y configuración de un proxy.
o Filtrar acceso y tráfico en el proxy.
o Métodos de autenticación en un proxy.
o Monitorización del proxy.
En esta unidad aprenderemos a:
o Identificar la necesidad de inventariar y
controlar los servicios de red.
o Instalar un proxy.
o Configurar un proxy aiustándose o unas
necesidades dadas.
=
Seguridad de a llo ni vel en redes: proxy
Internet
Red interna
Fig. 8.1 . Esquema de red con Proxy.
\ ,
• ... ...
, \
yl !5t bet,
Add lo: I blinklisl I del
@ CUAL es mi ip?
193.200.150.82 "'-"<l
Mi tlircccjoll jp:
IP País: ~ Seychell es
IP estado: Beau Vall an
IP ciudad:
IP latitud:
IP longitud:
Proveedor:
Organización:
Netspeed:
Vi ct oria
-4.6167
55.4500
Anonymous SA
Anonymous SA
C,bl./DSL
Fig. 8.2. Mylp con Proxy.
1. Introducción
En la unidad anterior hemos estudiada que la función principal de
un cortafuegos es añadir seguridad a la empresa cuando esta hace
de proveedora de servicios, es decir, controla y regula los accesos
a la red interna desde el exterior.
El uso principal del proxy, en cambio, es controlar el acceso que
desde la red interna se hace de Internet: añade seguridad a la
empresa cuando esta hace de consumidora de servicios, como por
eiemplo, cuando desde dentra de la red de la empresa se lee el
correo electrónico de Gmail o se consultan páginas Web.
~  
Un proxy desde un punto de vista general es un equipo que hace
de intermediario, es decir; se encarga de realizar acciones en repre-
sentación de otros. Dicho 'en términos informáticos, es un equipo de
la red que se encarga de recibir peticiones de recursos de red de
los equipos clientes y gestionarlas por ellas, respondiéndoles a sus
peticiones cuando hayan terminado dicha gestión.
Aunque como ya hemos dicho un proxy es un concepto más gene-
ral , habitualmente y sobre todo desde el punto de vista de la seguri-
dad hace de elemento de la red por el que pasa todo el tráfico entre
la red interna y la externa (Internet), encargándose de realizar las peticiones externas
en nombre de los equipos de la red interna y descartando aquellas peticiones que na
cumplen las reglas establecidas por el administrador.
~ Actividades
l. ¿Qué es la navegación anónima par Internet? ¿Qué ventaias tiene?
q Caso práctico 1
Funcionalidad del Praxy
\.
En este caso práctica vamos a comprobar la funcionalidad de un Praxy como he-
rramienta de seguridad, pera también cama herramienta que utilizan los hackers.
Existen numerosos servicios de praxys gratuitos en Internet que te permiten navegar
sin deiar tu dirección IP registrada.
1. Para comprobarlo vamos a acceder a www.myip.es. que nos dirá cual es nues-
tra dirección IP.
Cama puedes comprobar, todos los que estamos en la misma clase navegamos
desde la misma dirección IP públ ica, e incluso nos dice cuál es nuestra localiza-
ción aproximada.
2. Ahara vamos a acceder a esta página, pera a través de un praxy web gratuito.
Entra en www.anonymouse.org, selecciona el idioma inglés y escribe en esta
página la dirección www.myip.es. Verás que la dirección IP que nos está
poniendo es diferente (ahora parece que nos indica que pertenece a las Islas
Seychelles) . Esto es porque la petición a myip.es no la estamos realizando noso-
tros directamente, sino que la está realizando anonymouse.org y después nos
está mandando el resultado.
Hay expertas que tratarán de localizar un praxy como el tuyo, que por despiste
esté abierto y les permita acceder a otros lugares de Internet con tu dirección IP (en
lugar de la suya).
Seguridad de 0110 ni vel en redes: proxy
• 2. Características del proxy
Sus características más importantes san:
• Permite definir los permisos que tienen los usuarios de la red interna sobre los servi-
cias, dominios y direcciones IP externas. Por ejemplo, permite definir que el usuario
Fernando tiene acceso a Gmail, pera Macarena no.
• Todas los usuarios de la red interna comparten una única dirección IP (a un conjunta
de direcciones), de forma que desde el exterior (Internet) na se puede diferenciar a
unas de otros.
• Puesta que toda el tráfico que circula de la red interna hacia Internet y viceversa
pasa por el proxy, se puede auditar el usa que se hace de Internel. Podemos por
ejemplo ver qué páginas se consultan can mayar frecuencia, qué usuarias hacen
mayar consumo de ancha de banda, etc.
• Permite almacenar las páginas recientemente consultadas en una caché para au-
mentar el rendimiento de la red. Es decir, cuando se consulta una página se almace-
na en la caché del praxy para que si posteriormente se vuelve a consultar se pueda
servir más rápidamente.
Utilizar el complemento SwitchProxy
Caso p'ráctico 2 9
Configurar el navegador Firefox para que, utilizando el complementa SwitchPraxy,
modifique el proxy a través del que navegamos cada cierto tiempo.
Can esta conseguiremos ser un paca más invisibles en Internet y comprobaremos cama
la segunda característica de las praxys (todas las usuarias de la red interna comparten
una única direccián IP) puede ser utilizada para aumentar la seguridad a cama herra-
mienta hacker.
1. Descarga el complemento SwitchProxy de la página de complementos para
Firefox (hHps://oddons.mozillo.org/es-ES/firefox/) e instálalo.
2. Busca en Internet una lista de proxys gratuitos. Puedes encontrar una en http://
www.proxys.com.or/ a en hHp://www.webproxy.com.es.
3. Copia en un fichero de texto diez proxys con su dirección IP (o nombre de domi-
nio) y su puerto. Tienes que poner un proxy (dirección a dominio:puerto y sin
espacios) por línea.
4. En la nueva barra de herramientas (Switch Proxy Toolbar) pulsa sobre el botón Add.
Selecciona la opción Anónjma (Ananimous) y pulsa sobre el botón Continuar (Next).
5. Ponemos una etiqueta al proxy (Proxy label), por ejemplo invisible 1, e indicamos
la ruta del fichera de texto (en File) que acabamos de crear; después pulsamos
sobre el botón Cargar (Load).
6. También podemos especificar cada cuánta tiempo queremos que cambie el
praxy que se está utilizando (Change Proxy Every) indicando un valor en segun-
dos. Pondremos 60 segundos.
7. Salvamos los cambios. De nuevo en el navegador, seleccionamos la lista de proxys
que acabamos de crear (invisible 1) Y pulsamos sobre el botón Aplicar (Apply).
Comprueba de nuevo accediendo a www.myip.es que la localización que está
detectando es diferente a la real y además está cambiando cada 60 segundas, lo
que hace que sean más difíciles de seguir tus pasos en Internel.
I
Esto tiene como principales inconvenientes que puede ser bastante lento (por ser
un servicio gratuito y tener muchas clientes) y que puede que veas las páginas que
visites tal cual son (par ejemplo, las verás sin imágenes) .
Si utilizas un praxy y i
una página que ya tiene almace-
nada en su caché, te devolverá
esa que él conserva, por lo que
puede que no sea la última ver-
sión de dicha página. Esto se
puede solucionar actualizando
la página en el navegador (pul-
sando F5).
Ya     d •• ,. "'."" cod ••• m.,

3. Funcionamiento del proxy
Los equipos que pertenecen a una red que tiene instalada un proxy, cuando se comu-
nican con el exterior a través de uno de los protocolos activos en el proxy, en realidad
están intercambiando paquetes con el proxy, y es el proxy el que intercambia paquetes
con los equipos del exterior, de forma que cuando este recibe respuesta, a su vez con-
testa a los equipos internos.
It:Jl I pe Fernando
Servidor
www.eacnur.org

=I@=I=====--
Red interna
Fig. 8.3. Esquema IP can Praxy Sitour.
Actividades
2. ¿A qué direccián IP res-
pondería el servidor web
www.eACNUR.com. a la
l
direccián de PCFernando
o a la direccián del proxy?
Red local
Siguiendo los pasos de la Figura 8.3 que representa el esquema IP de SiTour, el equipo
PCFernando solicita la página www.eACNUR.com. Esta solicitud llega al proxy, y este
tras comprobar que cumple las reglas establecidas, envía la petición a www.eACNUR.
com en su nombre, es decir, como si fuera él mismo el que estuviera interesado en esta
informacián. Además anota qué equipo le solicitá la página para después poderle
contestar. Cuando la información es· enviada por www.eACNUR.com al proxy, este
contesta al PCFernando con la información solicitada. Hay que tener en cuenta que
www.eACNUR.com en ningún momento llega a «conversar» con PCFernando, sino que
siempre lo hará a través del proxy.
Para comprender un poco más en detalle el funcionamiento de una red cuando utili-
zamos un proxy vamos a centrarnos en una petición sencilla de un equipo de la red a
google.com.
Cuando un usuario solicita una página Web, como por ejemplo en la Figura 8.4 www.
google.com, construye un paquete en el que el origen es su dirección IP y el puerto es
uno aleatorio y libre asignado por el sistema operativo (por ejemplo, IP 192.168.1.72 Y
puerto 5230). Como destino puesto que está utilizando un proxy pone la dirección y el
puerto del proxy 182.168.1.1 y puerto 80.
Internet
192.168.1.1
80.38.1 .106
192.168.1.72
Solicitud
Origen
192.168.1.72
Puerto: 5230
Origen
80.38.1.106
Puerto: 3000
Destino
192.168.1.1
Puerto: 80
Destino
209.85.229.105
Puerto: 80
www.google.com
Fig. 8.4. Esquema proxy solicitud.
Seguridad de alta nivel en redes: proxy
Cuando la solicitud llega al proxy, este genero un paquete como si fuero él mismo el que
realiza la consulta, es decir, genera su propio puerto cliente aleatorio y pone su propia
IP como origen (IP 80.38.1.106 Y puerto 3000). Con respecto al destino, pone la IP que
corresponde con la petición del cliente, es decir, wwwogoogleocom, 209.85.224.105, y
el puerto correspondiente al servicio Web 80.
De esta manera cuando la solicitud llega a Gaogle, en el paquete sala hay referencias
al proxy, es decir, a la dirección IP 80.38.1.106.
Cuando Gaogle responde a la solicitud (Fig. 8.5), responde a la dirección y el puerto
que recibió como origen en la solicitud: la IP 80.38.1.106 y puerto 3000. Cuando llega
la respuesta al proxy, este tiene que modificar de nuevo la cabecera con el destino que
le corresponda y se pone él mismo como origen.
Internet
192.168.1.1 80.38.1.106
92.168.1.72 ! j 209.85p9.105
~ ~ ~ ~ ~ ~             ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
.es Respuesta
~ I
Origen
Destino
Fig. 8.5. Esquema proxy respuesta.
192.168.1.1
Puerto: 80
192.168.1.72
Puerto: 5230
Pero, ¿cómo sabe qué destino le corresponde?
192.168.1.72:5230
192.168.1.50:6350
Origen
Destino
. • • 1 •
209.85.229.105
Puerto:BO
80.38.1.106
Puerto: 3000
80.38.1.106:3000
80.38.1.106:3001
Tabla 8. l. Tabla de estado del proxy.
www.google.com
La Tabla 8.1 es una tabla de estado que crea el proxy para saber a qué equipo de la
red interna le corresponde cada paquete que le llega de la red externa. Por ejemplo
el paquete de respuesta que llega de Google al puerto 3000 del interfaz 80.38.1.106
del proxy, tendrá que enviárselo al equipo 192.168.1.72, porque así está anotado en
la primera fila de la tabla de estado del proxy. Esta tabla la va construyendo el proxy
según va recibiendo solicitudes (es decir, cuando los equipos de la red interna acceden
a servicios de la red externa.)
Actividades ~
30 Teniendo en cuenta la configuración física de tu aula de prácticas, si tuvieras
que colocar un proxy para controlar el acceso a internet desde tu aula, ¿dónde
lo harías? ¿Necesitarías algún material adicional?
40 ¿Tiene la compañía Microsoft algún proxy? ¿Cómo se llama? ¿Cuáles son los
requisitos del sistema para poder instalarlo?
50 Haz dos gráficos similares a los de las Figuras 8.4 y 8.5 representando la forma
de acceder a Internet en el instituto desde el ordenador de clase. Supón que en
el instituto tenéis un proxy.
60 Continuando con la actividad anterior desarrolla la tabla de estado del proxy
que le correspondería.
Seguridad de alto nivel en redes: proxy
-------------------------------
4. WinGate
WinGate es un software de la compañía QBIK bastante conocido que hace las fun·
ciones de proxy en una red sobre un sistema operativo Windows. La versión utilizada
durante el desarrollo de este libro ha sido la 6.6.
4.1. Instalación
Un aspecto importante de la instalación de un nuevo proxy en la red es su localización
físico. Lo ideal es que el proxy esté situado físicamente en el único punto de unión de la
red interna y la externa (Fig. 8.3), de esta forma los equipos conectados a la red interna
no podrán salir al exterior sin pasar por el proxy.
Para comenzar con la instalación primero descárgote el programa de la página http://
www.wingate.com/(después lo activaremos para tener 30 días de evaluación). Descár·
gate también la documentación del programa y la documentación de instalación.
Q Caso práctico 3
Preparación de la red de close para la instalación de un proxy
Vamos a reproducir esta situación en el aula utilizando un equipo con dos tarjetas de red (o una máquina virtual con
dos interfaces de red), un cable cruzado y otro equipo (Fig. 8.6).
1. El equipo que tiene dos tarjetas de
red lo vamos a utilizar como servidor
proxy y el otro equipo como cliente.
Una de las tarjetas de red del proxy
la conectamos a la red de clase.
2. La otra tarjeta de red la conectamos
utilizando el cable de red cruzado al
cliente.
3. El interfaz del proxy que está conec·
todo a la red de clase lo montendre·
mas con la configuración IP habitual
de clase. Ponemos el nombre «Red2 -
Solida Interne!» para identificarlo más
fácilmente.
Equipo que hace
de Praxy
Configuración
habitual
IP: 1 92.168.50.1
Máscara: 255.255.255.0
O
4. Para la otra red, que estará formada
por un interfaz del proxy y el inter· Fig. 8.6. Esquema clase con proxy.
faz del cliente, elegiremos la red
192.168.50.0/24, por lo que pondre·
mas al proxy la IP 192.168.50.1 Y la
máscara 255.255.255.0 (sin puerta
de enlace y sin DNS). Al igual que
antes cambiamos el nombre de este
interfaz, lo llamaremos «Red1 - Red
Local". La figura 8.7 muestra el resul·
todo de ejecutar el comando ipeon·
fig después de la configuración del
proxy.
5. Para la interfaz del cliente pondremos
que se configure por DHCP. Fig. 8.7. Configuración IP proxy.
Internet
Equipo que hace
de cliente
Seguridad de alto nivel en redes: proxy
Iniciamos lo instalación de WinGate en el equipo que hará de proxy (debes tener con-
figurados los interfaces antes como se ha visto en el Caso práctico 3), y lo primero que
nos preguntará es si queremos instalar el servidor o el cliente; seleccionamos instalar
WinGote Server.
Nos informará del lugar del disco donde se instalará (si es necesario modificarlo en tu
sistema, indica en este paso una carpeta alternativa para la instalación). También nos
informa de la posibilidad de manejar los usuarios ya creados en la arquitectura NT. No
seleccionamos esta opción porque crearemos nuestros propios usuarios.
Más adelante nos preguntará si queremos instalar ENS (Fig. 8.8). Lo instalaremos, por-
que este complemento nos permitirá utilizar NAT. Seleccionaremos también la opción
que aparece más abajo como Protect Server on bootup ... , porque hará el arranque de
WinGate más seguro.
Activaremos también la auto-actualización para mantener el proxy actualizado con los
últimos parches de seguridad.
En la siguiente pantalla nos pide que activemos el programa (Fig. 8.9). Es muy impor-
tante que no pases de esta pantalla sin activarlo, así que pulsa sobre el botón Activole
y sigue los pasos.
4.2. Configuración inicial
ENS InstaJlaJion
Fig. 8.8. Instalación ENS.
Actil'aJirrn Requircd
.................. _ ....... " ............... .....
. ,.. .... __ .... . _-,g_ ..... - .....
... ...... .-'" -
;!) ---....... . _. __ . .... ,,_ ..
... _ "' _ ... . ... JII ... "'"
::w-t ... .. ...... ....... _..-.
101._,.-' ... _ .. __ ... ...
... ,_-.. ,.. .............. '. '''''''''d .... _ ...

Lo primero que tenemos que hacer después de la instalación (después de reiniciar) es F· 89 A t· . .
Ig. .. c ¡vac/on,
comprobar que la instalación se ha hecha carrectamente. WinGate genera un nuevo
servicia llamada QBIK WinGate Engine que llevará a cabo toda la funcionalidad de
WinGate. Habrá que comprobar que el servicia está activa y que se inicia de forma
automática.
Para controlar este servicia podemos utilizar la consola de servicios de Windows servi-
ces.msc (en esta consola la encontraremos cama QBIK WinGate Engine) a un icono que
nos aparece en el área de notificación llamada WinGate engine que nos permite
si pulsamos el botón derecha iniciar el servicio (slorl engine) o parar el servicio (slop
engine).
Después iniciaremos GateKeeper, que es el centro de gestión de nuestro servidor proxy
(Inicio> Todos los programas> WinGale > GoleKeeper). El usuario que nos crea por
defecto para poder conectarnos al servidor recién instalado es «administrado,,>, sin con-
traseño. Por tonto, dejamos los datos que nos aparecen por defecto (tal y como ves en
la Fig. 8.10) Y pulsamos sobre el botón OK. Nos pedirá que modifiquemos lo contraseña
por seguridad.
" "í(JQIBJ
'"
,..
""""
....

¡;¡

é
Control
"'"

' . :..J
AcaIunl deld3:
U:emame ]Acmni:ttalor
PII;:woId
I
r U: e ClIlenl \ll1I1dow11ogll

5 .. '<1"
1""""
,..
roo-
p I lag ro lo LO!2lnucl'li1e
r U;e lhele del!il; nelllline lo Iogil
c.... I
1
 
Al
Fig. 8. 10. Conectar GateKeeper con nuestra instalación de WinGate,
Para evitar problemas a la hora
de conectarse los clientes a
los servicios de nuestro proxy,
vamos a desactivar el cortafue-
gos de Windows del equipo que
hoce de servidor proxy, aunque
uno vez probado y funcionando
deberíamos activarlo de nuevo e
incluir excepciones para los ser-
vicios y puertos que finalmente
dejemos activos.
GateKeeper permite lo admi-
nistración remota del proxy, de
forma que teniendo GateKeeper
en un equipo de lo red podemos
administrar de forma remota
varios proxy WinGote diferen-
tes.
Seguridad de alto nivel en redes: proxy
Por defecto y según lo instala-
ción que hemos realizado de
WinGate, el proxy está ges-
tionando las peticiones a tra-
vés de NAT (Network Address
Translation o traducción de
direcciones de red) y no del ser-
vicio de proxy. Veremos esto con
más detalle en el Apartado 4.4.
Para terminar can la configuración de nuestro proxy, debemos indicar a WinGate qué
interfaz tenemos conectada o la red local y qué interfaz tenemos conectada al exterior.
Para ello vamos a la pestaña redes (networks), Figura 8.11, pulsamos con botón derecho
sobre el interfaz conectado 01 cliente (interfaz de red local) y seleccionamos Propieda-
des.
JD GeteKeeper - connected lo WlnGate on localhost '1.
GOP Setvice
mis Se/vice
s ...
Remole Control SeMce 80B
POP3 Serve. 110
SMTPSetver 25
143
Fig. 8.11. Configuración de Interfaces en WinGate.
lAN or tiQh-Speed Internet:  
lAN or HiQh-Speed lnternet
lAN or Hioh-Speed Internet EnabJed
r AN nr KiI1h_<;n",.ri Intl\rnl'.t N,.tw .....k r.v.1ooi I
Dentro de las propiedades seleccionamos la opción Red interna protegida (internal pro-
tected network), que le indica o WinGate que ésta es la red interna (Fig. 8.12). Paro
el otro interfaz seleccionamos la opción Red externo no seguro (external untrusted net-
work), coma vemos en la Figura 8.13.
-1- Redl - Red Locel Status
W'hallype 01 nelwork does lhi, adapt er comecl lo?
r Auto delect
r. AA intema! prolecled network
r AA exlelnel oolrwted network (e.!jI. !he Internet]
r A secu:ed eKlernal network {OM2]
,-.
1. 0Gbp:
Pocket::
Sen! - - Received
2107 1071
Ii oK 1I c..oc.l
Fig. 8.12. Propiedades Interfaz local.
x ..L Red2 - SaMa Internet Status _.
WMllype of nelwolk doe: this adaptel CO!VloeCl to?
r Auto detect
r AA intelnel prol ected nelwork
r. AA eKlelnal U"IlMled network (e.!jI. the Internet)
r A :ecured eKletnal nelwork IDMZl
Enllbled
1.0Gbps
Packel :;
Sen!. - - Received
1831 I 1631
OK c..oc.l
Fig. 8.13. Propiedades Interfaz externo.
x
Para comprobar que todo lo que hemos hecho funciona correctamente, arrancamos el
cliente que teníamos configurado con DHCP y comprobamos que recibe uno dirección
IP de forma automática y correcta.
Ya podemos comenzar a navegar con el cliente y comprobar con GateKeeper en la
pestaña Actividad que el equipo cliente aparece (Fig. 8.14).
Seguridad de alto nivel en redes: proxy
P GateKeeper - connected to WinGate 00 localhost  
Winsock Redirector S ...
GDP Service
DNS Service
Remole Conlrol Service
POP3 Server
SMTP Server
IMAP4 SelVe,
f9J Email
la Caching
/iIiI Schedule,
@lDiale,
Extended NetwOIking
For Help, press Fl
®
Pluglns
- (Administrator - Authenticated
WinGate login: Register for everything
t-JAT: TCP Connectlon to 209.85.227.113:80
NAT: TCP Connection to 74.125.43.101 :80
NAT: TCP Connection to 74.125.43.101 :60
NAT: TCP Connection to 74.125.43.102:80
NAT: TCP Connection to 74.125.43.102:80
NAT: TCP Connection to 74.125.43.102:80
NAT: TCP Connection to 74.125.43.102:60
Fig. 8.14. Comprobación actividad WinGale.
4.3. Servicios de WinGate
Cuando instalamos WinGate, no solo estamos instalando un proxy, estamos instalando
un conjunto de servicios que habitualmente son utilizados en el equipo que hace de
proxy.
WinGate divide los servicios en dos tipos: de usuario y de sistema.
Los servicios de los usuarios son los servicios propios de proxy que WinGate ofrece a
los usuarios. Los más importantes son Proxy Web y Proxy FTP IFig. 8.14).
Los servicios del sistema son los servicios que utiliza el sistema para funcionar IFig. 8.15).
Los más importantes son:
• Servicio DHCP: permite que los equipos que están en la misma red IP reciban una
configuración IP apropiada para la red de forma automática.
• Servicio DNS: el proxy hace de servidor DNS para los equipos de la red, es decir,
cuando los clientes de la red soliciten una resolución de nombre de dominio, la con-
sultarán a este servicio.
• Extended Networking: este es el servicio que durante la instalación nos consultó si la
instalaba ENS IFig. 8.8). Este servicio incluye NAT y cortafuegos.
• Caching: es un servicio de WinGate que permite almacenar algunas de los conteni-
das solicitados al proxy ltípicamente páginas Web) en una caché Icaché de disco),
de forma que si posteriormente otro usuario lo solicitara tardaría menos en servirla.
o Parada y arranque de los servicios
7.
l
Actividades t'
¿Qué características de
las que hemos expuesto
en el Apartado 1 cum-
ple el praxy tal y como lo
tenemos ahora?
Extended Nelworking
368
53
808
110
25
143
Fig. 8. 15. Servicios del sistema.
FTPP/oxyse/ver
<@ logfile SeNer
<i!> POP3 Proxy server
<t!> RTSP Slreaming Media Proxy
<@ SOCKS Proxy server
21
8010
8110
554
1080
<@ T elnet Proxy server 23
7000
.;....--
Start
Stop
New service
Clone Service
Delete

8000
Para parar un servicio de WinGate, tan solo tenemos que pulsar botón derecho sobre
el servicio que queremos parar y seleccionar la opción Stop IFig. 8.16). Para arrancar
un servicio igual pero seleccionando la opción Staft. Fig. 8.16. Servicios de usuario.
212
Seguridad de 0110 nivel en redes: proxy
de los servIcIos que
instalado por defecto nos
simplificado la configura-
clan de los clientes, como son
DHCP y DNS.
o Configuración de los servicios
Cuando seleccionamos lo opción propiedades o hocemos doble clic sobre el nombre de
un servicio, se nos obre lo ventano de configuración de dicho servicio. Algunos propie-
dades que se pueden configurar paro lo mayor parte de los servicios son:
• General: incluye los opciones para el arranque de dicho servicia. Los opciones mós
utilizados son Manual start / stop para arrancar y parar manualmente cuando sea
necesaria y Service will start automatically para que el servicio arranque de forma
automática siempre.
• Enlaces (Bindings): indica a WinGate en qué interfaces debe ofrecer el servicia. Por
ejemplo, es lógico que el servicio DHCP sólo se ofrezca en el interfaz que conecta
a la red interna. Se configura una de las siguientes opciones: Any internal adapter
para que salo se enlace con interfaces internas, Any external adapter para enlazar
con interfaces externos, a Any adapter para enlazar con cualquier interfaz. Si re-
cuerdas, ya indicamos a WinGate qué interfaces son internos y cuáles externos en
la instalación Ifigs. 8.12 y 8.13).
• Políticas (policies): indico o WinGate qué usuarios pueden acceder, parar, arrancar
o modificar dicho servicia. Si seleccionamos el permiso de acceso en el desplegable
permiso (right), veremos en el cuadro inferior los usuarios o grupas que tienen dicho
permiso. Cuando na hay especificados permisos, aplicarán las políticos por defecto
que se hayan especificada en la pestaña de usuarios (en system policies).
• Registro (Iogging): Indica los eventos de este servicio que se registrarán en las fiche-
ras de registro (lag) de WinGate.
4.4. Tipos de proxy
Un praxy puede manejar las peticiones a través de diferentes servicios y diferentes mé-
todos. Según estos combinaciones se forman los diferentes tipos de proxy:
• Proxy: es la idea más tradicional de un proxy. Los usuarios tienen configurados sus
programas (por ejemplo, el navegador para que hagan sus peticiones a un puerto
determinado del proxy). Para poder navegar los usuarios tendrán que configurar su
navegador con lo dirección IP del praxy y su puerta. En lo Figura 8.17, el usuari a
vir-Iaptop está configurado para trabajar can proxy.
~ Actividades
~ . '
l."" ¡¡ http://www.frikipedia.es/friki/ASDF
@fernando
C ~ NAT: TCP Connection to 208.43.202.7:80
: - - C ~ NAT: TCP Connection to 174.36.30.66:'143
; ·     C ~ NAT: TCP Connection to 174.36.30.66:443
Fig. 8. 17. Clienles NAT y proxy.
8. ¿San las servicios DHCP y DNS necesarios para el funcionamiento del proxy?
Desactívalas y hoz que el cliente sigo navegando par Internet.
9. ¿Can qué interfaces están enlazados los servicios ENS (el que incluye NAT) y
WWWproxy?
JO. ¿Qué eventos se están incorporando al servicio de lag de EN S?
11. ¿Qué usuarios pueden acceder 01 servicio ENS? ¿Cuáles pueden acceder al
WWWproxy?
Seguri dad de alto nivel en redes: proxy
Caso "ráctico 4 9
Utilizar un proxy en el cliente
Configurar el navegador Firefox para utilizar un proxy en
el cliente y comprobar en la ficha de actividad de Ga-
teKeeper que WinGate lo gestiona a través del servicio
proxy y no a través de NAT.

¡:¡
lO]
Ci
"'iJ ro
@'

Prnq,1.oI  
Ccnl .""
PrCQrotM<
Gene... ,1    

tórno . e Inte",<t
I .... _·I I
Ardwodc de medo.., cene. a.
UsMIl..:.a 1 501: 1 Mlda"'l'aoo pat .IH.m; ... h ... · 1
o A ........ ""'<l un '1\.1:>.""",. gu"'Mr d.to. pato"", , n , ...... a. 1
Los si¡¡uo:nte. Pol:l' .. eb llenen dOltos pat. el uso en moda..,
c ..... ..sn,
I IL=-!
l'

Fig. 8. 18. Configuroción Red en Firefox.
2. Pulsamos en el menú superiar sobre Avanzado y selec-
cionamos la pestaña Red (Fig. 8.18).
3. Dentro del apartado de conexión pulsamos sobre el
botón Configuración (Fig 8.18) .
4. Seleccionamos la opción Configuración manual
del proxy y escribimos la dirección IP del proxy
(192.168.50.1) y el puerto del proxy (por defecto en
WinGate 80). Además seleccionamos la opcián Usar
el misma proxy para toda (Fig. 8.19).
1. Si Firefox está instalado sobre Windows XP pulsamos
en Herramientas> Opciones, sobre Linux Edición> Pre-
ferencias. Ambos caminos nos llevan a la misma ven-
tana.
con' ........... crie'pat.eI acc= a lrtemet - ------,
o Sin ... cx:¡:
o con' ..... ación d.! "'''''Y p.n ... ta ,O<!
o úriiopación monuol del ... oxy
Pro.yt!HP: I ]92,169. 50. 1   1
o u .... el rrismopro!y par. lodo
Pro. ii-:
1' 7:\ 50,] I Puettll:
Ili.l' I Punto.
  111 l' 501 I
5OQ.5"" •
/:!O"",,. ... ory p .... , ... .•
E)emc*l'
o LRL w.L!a cooh:pación
Fig. 8. 19. ConFiguración proxy FireFox.
5. Reiniciamos el navegador para que asuma la configu-
ración y accedemos a alguna página para poder com-
probar su actividad.
6. a GateKeeper en el servidor proxy y com-
probamos que la actividad del cliente ahora se refleja
con otro icono. Ahara el proxy está gestionando las
peticiones a través del servicio de proxy y no de NAT
(Fig 8.17, equipo vir-Laptop).
o Proxy NAT: es una combinación de NAT y proxy. Es un programa que recibe peti-
ciones en cualquier puerto y utilizando la traducción de direcciones NAT las envía
a Internet. Este es el método que en nuestra instalación por defecto utiliza WinGate.
Son muy utilizados cuando no se quiere controlar el acceso a los contenidos, sino
solo registrar la actividad. El usuario no tiene que tener configurado el navegador.
En la Figura 8.18 el usuario Fernando está haciendo peticiones a través de NAT.
o Proxy transparente: Es un proxy en el que todas las peticiones que se envían con un
puerto destino son interceptadas por el proxy (aunque no fueran dirigidas a él) y
tramitadas como si el cliente le hubiera hecho la petición al propio proxy. No es ne-
cesario que el usuario configure su navegador y además tiene toda la funcionalidad
de un proxy (utilizaremos este tipo de configuración más adelante).
Actividades
12. Configura el navegador Internet Explorer para navegar
a través de nuestro proxy (si no tienes Internet Explorer
utiliza cualquiera que no sea Firefox).
l ___ _
13. Configura el navegador Firefox para no utilizar proxy.
Comprueba en el servidor que estás manteniendo
conexiones a través de NAT y a través de WWW
proxy.
213
Seguridad de 0110 nivel en redes: praxy
Gllle Ilper · cannecle lo n ale on DCi! o
File V_ OptIons Hdp
Ei USers
n Adrnl'listrator
n Fernando
n Guest
n VirQ'nlll
m ID Groups
" Databllse opUons
'r D: A5sumcd Users
6 Syst cm Po\ic.ies
GJ MuItI'U5cr M"ch:nes
-iji"Hi
Ncl'l Group
C)
JUPITER(
L ¿¡:J WinGlI
Import Uscrs
Expor l Users
Fig. 8.20. Nuevo usuario.
Actividades
14. Creo dos grupos, Aula 1 y
Au102, y añade 01 grupo
Aula 1 el usuario que aca-
bos de crear.
15. Creo otro usuorio y oñá-
del o 01 grupo Au102.
16. Analizo qué ocurre en el
proxy si el diente modi-
Fico lo dirección IP de su
equipo en codo coso.
17. Discute con tu compañero
cuál es el tipo de usuoria
menos útil en tu instituto
orgumentando tu posi-
ción.
4.5. Creación de usuarios
WinGate reconoce tres niveles de usuario diFerente:
• Unknawn (desconocidos): son usuarios sobre los que WinGate no tiene ningún co-
nocimiento.
• Assumed (asumidos) : WinGate ha asumido lo identidad del usuorio o portir de su
dirección IP o el nombre del equipo. Como sobes, estos son dotas que Fácilmente se
pueden Falsear, por lo que WinGate no garantizo que lo identidad de este usuario
sea correcta.
• Authenticoted (autenticados): WinGate puede asegurar lo identidad del usuorio por-
que ha posado un proceso de autenticación.
En los Figuras 8.21 , 8.22 Y 8.23 podemos ver como muestro gráFicamente WinGate o
los usuarios de codo uno de estos niveles.
Vir-laptop I
    _________ -, Fig. 8.21. Usuario Unknown.
Vir-Laptop - (virginia - Assumed [Assumed] )
Fig. 8.22. Usuario Assumed.
Vir-Laptop - (virginia - Authenticated [WinGate] )
--'--"'"' Fig. 8.23. Usuario Au/hen/ica/ed.
Como podemos ver, WinGote pone en primer lugar el nombre de red del equipo desde
el que se está conectando, separado por guión y entre paréntesis pone el usuorio Win-
Gote que se ha reconocido y en que nivel (ossumed o Authenticated).
q Caso práctico 5
Nuevo usuorio «Asumido» en WinGote
Creor un usuario y hacer que WinGate relacione una máquina con di cho usuorio.
1. Abrimos en el panel de control lo pestaña usuorios (si no te aparece el panel
de control: Menu > View> Control Panel o Ctrl+shiFt+C) , pulsamos con el botón
derecho sobre el Fondo del panel y seleccionamos la opción Nuevo usuario
(como se ve en la Figura 8.24).
2. En la pestaña inFormación del usuorio User Info rellenamos los datos que nos
solicita y pulsamos Aceptar.
3. Poro vincular un equipo de lo red al usuorio que hemos creado, lo vamos a
hacer o través de lo opci ón Usuarios asumidos (Assumed users) que nos aparece
en esa misma pestaña. Hocemos doble dic sobre esta opción y en la ventana
que nos aparece, dentro de lo pestaña por nombre By Name seleccionamos
añadir y ponemos en primer lugor el nombre de red del equipo; en el desplega-
ble seleccionamos el usuario que acabamos de crear.
Podemos comprobar que reconoce el usuoria (en el nivel asumido) cuando la má-
quina que hemos asignado se conecte al proxy.
Existen vorios métodos de autenticación en WinGate, es decir, diversas Formas de hacer
que los usuorios, poro conseguir acceso a Internet, tengan que poner su nombre de
usuario y contraseño. De esta Forma WinGate los reconoceró como usuorios autentica-
das y así podremos estar seguros de que realmente se troto de ellos. Algunos de estos
métodos de autenticación son:
Seguridad de alto nivel en redes: proxy
• Autenticación Windows: WinGate puede utilizar los usuarios ya definidos en el
equipo local o bien utilizar los usuarios definidos en el dominio (en caso de existir).
El principal problema de este sistema es que todos los equipos tienen que utilizar
Windows, pero se tiene mucho control sobre los usuarios, porque podemos conse-
guir de una forma cómoda y transparente para el usuario que todos sean de nivel
autenticado.
• WinGate Internet Client: consiste en instalar una aplicación de WinGate llamada
WGIC.msi en el cliente, de forma que cuando el usuario accede por primera vez a
un servicio del proxy le sale una ventana para que ponga su nombre de usuario y
su contraseña. Esta aplicación sólo existe para Windows, así que todos los clientes
tendrán que ser Windows.
• WinGate Java logon applet: con este método, cuando el usuario quiere acceder a
través del proxy a un servicio que requiere autenticación, le muestra una ventana en
el propio navegador para que ponga su nombre de usuario y contraseña. Es nece-
sario que tenga instalado java en el navegador (es muy probable que lo tenga). Esta
solución es multiplataforma, así que el proxy podrá tener clientes Windows, Linux y
Mac sin ningún problema.
Actividades "
18. Discute con tu compa-
ñero argumentando tu res-
puesta que tipo de autenti-
cación es más útil para tu
instituto.
Nuevo usuario «autenticado» en Wingate
Configurar un cliente para que se pueda autenticar con
WinGate Internet Client.
1. Copiamos el fichero WGIC.msi del directorio de instala-
ción del proxy (en concreto está en C:\Archivos de
programa\WinGate\Client\WGIC.msi) y lo instala-
mos en el cliente.
Caso práctico 6 9
2. Normalmente WGIC detecta automáticamente la direc-
ción del servidor, pero en algunos casos es necesario
ponerlo de forma manual. Después de la instalación,
en el cliente, abrimos el panel de control y vemos que
hay un nuevo incono para la aplicación que acabamos
de instalar. Entramos en el panel de control de WGIC
y en la pestaña servidores WinGate (Wingate Servers)
miramos si ha detectado el nuestro automáticamente; si
no, lo añadimos (Fig. 8.24).
Use/ Appficalions I S,lIslem Appfications I Advanced
Gene/al WinGale Se/ ve/s
r. Automalical[v which selVe/ lo use
r Use se/ve/ IJUPI TER
Se/ver AddreS"$ POlI
192.168.50.1 2080
Add Remove I Ed,1 Relresh I
Help
App!!' 11 OK Cancel
Fig. 8.21. Configuroción WGIC.
General
Blndings
Sessions
Central Conflg
PoIides
loggng
Recipienl Ilocalion] Time ] Ban hl] Advanced]
r- fver,llOne
r   user 01 glOup IEveryane
User J Descrmlion
I!! AdministIalor BUlll en accnunl for adminislerin. ..
m AdministIalor: Member: can adrninider Ihis se .. .
n Guesl Buill in accounl for guesl .. .
m U:er: DrdinarJl me/:
f} Vgoinia
r u ser maJl be ynknown
r UsermaJlbe-ª$surned
r- jü ser musl be
Fig. 8.22. Forzar autenticación. (Continúo)
Seguridad de alto nivel en redes: proxy
____ ______________________________________ ______________________
(Continuación)
3. De nuevo en el servidor, dentro de la pestaña Sys-
tem del panel de control nas encontramos un servicio
llamada Winsack Redirectar Service, que es el que
se encarga de comunicarse con WGIC en el cliente.
Vamos a modificar el servicia para que sala puedan
acceder usuarias autenticadas. Hacemos dable clic
sobre el nombre del servicia, y dentro de la configu-
ración seleccionamos Políticas (po/icíes) (Fig. 8.26).
Añadimos una nueva política seleccionando la opción
Los usuarios tienen que estar autenticados (users must
be authenticated) (Fig. 8.25). Después seleccionamos
,
1"
S IlttnSefVice.
DflCPSeI"",e
GDPS.,vic.
DUS s.,,,,, .
Remole C""'rol
FOPJSer"",
SM1P S.,ver
S.,ver

li3 Ca:hng
8!lSchedtk!
,f¡jDlalel

I.:!!J
Ca>'igualJcn

@.
QSmions
CenlfolCorio;l
Il_,
1!1,_
en Permisos por defecto (Default Rights) que estas sean
ignaradas (are ignored), para que solo tenga en cuenta
los permisos que acabamos de darle y no los permisos
par defecto (Fig. 8.26). Ya podemos comprobar que
cuando el usuario se conecta a Internet a través, por
ejemplo, de Internet Explorer le sale una ventana de
WinGate para solicitarle nombre de usuaria y contra-
seña (Fig. 8.27).
También puedes comprobar en la pestaña actividad de
Wingate que el usuario es reconocida como usuario auten-
ticado (Fig 8.28).
R. . R· t:
.I!..rau!:,i;#:ISY:'.mpckie:1 .!ji ! j. iiii33
________ ______
Fig. 8.23. Políticos poro Winsock.
Cr:en!


·WinGate requiles you to authenticate yourself
before alJowing access to this selvice.
lUPITER[Adminlstrador] - (Adm:nistrator . Authenticated [
/i!J log:n: Mod,Fy user Virg;nill
ª Vif-laptop[virg!nill] • (virg:nla • Authenticated [WinGate])
I WRP Control Fir.fox.exe
!!J http://www.google.es/irnages
Please enter your WinGate username and
password (these are case·sensitive).
U sername: 1 virginia

Passward:
OK I I Cancel
Fig. 8.24. Acceso WGIC.
Actividades
19. ¿Puede un usuario navegar sin tener instalado WGIC
en su equipo?
20. El servicio Logfile server en el puerto 8010 es un
servicia que permite acceder desde un navega-
dor en cualquier equipa de la red a los lag de Win-
Gate. Puedes probarlo poniendo en tu navegador
 
. http:/{dentsL.gooQ!e.es/completelsearch

  •• es{jmages
rr-
gj! Sy:lem aetivily
C) Aclivity Netwolk Queue C9 !.ID
Fig. 8.25. Virginia autenticada.
192.168.50.1:8010, es decir, la IP del servidor Win-
Gate y el puerto de este servicia. Configura el servi-
cia para que solo puedan acceder los usuarios de tipo
authenticated.
21. Crea un nuevo usuaria adminJag y configura el servi-
cia Lagfile Server para que sola él pueda acceder.
Seguridad de alto nivel en redes: proxy
5. PureSight
PureSight es un plugin de la misma empresa que WinGate que proporciona una clasi-
ficación de sitias Web y un software que apoyado en WinGate permite o deniega el
acceso a sitios clasificados según unas categarías.
Caso práctico 7 9
Instalar PureSight
Instalar PureSight para utilizarla iunto con WinGate.
1. Descórgate el programa de la pógina de WinGate (hHp://www.wingate.com/).
La versión utilizada durante el desarrollo de este libro ha sido PureSight 3.0.
2. Eiecútalo y acepta la licencia. Se detendró WinGate para poder realizar la
instalación (hay que tener en cuenta que PureSight es un plugin de WinGate).
3. Nos muestra la ventana de activación. De nuevo, al igual que en WinGate, es
muy importante que no pasemos esta pantalla sin activar el programa. Para
activar el programa seleccionamos la opción activar prueba gratuita (activate
free trial) (Fig. 8.29).
Activiltilln required
Thh Pl:ooucl i1clivation
In otdel lo fundon, PureSighllrx lÑlI'l Gate mu:l be aclivaled You ma}J {l ee trial,
01 a }JOU have a putcha:ed liceme, }JIlU can activale lhal hete now.
fl ea llial
O Act ivale a purcha: ed liceme
o Lat el, You may aclivate a ol liceme u:ing Eceme managemenl in WinGate
  J 11 I
Fig. 8.26. Activación PureSight.
4. Pulsamos siguiente, se descarga la licencia de prueba y termina la instalación,
iniciando de nuevo de farma automática Wingate con el plugin de PureSight ya
cargado.
I 5. Comprobamos que se ha instalado correctamente abriendo GateKeeper y
L viendo que aparece en el menú Opciones, Plug-ins.
Al instalar PureSight, automáticamente se nos activa el plug-in en el servicio WWW
proxy, por lo que cualquier usuario que acceda a Internet a través del proxy estará
utilizando dicha clasificación.
Actividades
22. Activa el plug-in PureSight y comprueba que el cliente cuando está configurado
para salir a Internet a través del servicio de proxy no puede acceder a Gmail.
com, y cuando está configurado para salir a través de NAT sí.
PureSight realiza la rlllm;t;i,-nc';nn
de los sitios Web por dos méto-
dos:
• Una base de datos de los sitios
ya clasificados previamente .
• Un sistema de reconocimiento
automático de contenidos que
permite la clasificación de si-
tios de nueva aparición.
Para activar o desactivar el
plugin de PureSight hay que
acceder a la configuración de
plug-ins de las propiedades del
servicio www proxy y seleccio-
nar (para activar) o deseleccio-
nar (para desactivar) el plugin
PureSight for WinGate.
Los usuarios que están ,nl;pnrln
a Internet a través del serVICIO
NAT no se verán afectados por
esta clasificación. En la Figura
8.29, el equipo vir-Iaptop está
saliendo a Internet a través de
proxy y no de NAT.
:18
Seguridad de alto nivel en redes: proxy
Tendrás que planificarte como
una tarea periódica de tu tra-
bajo la revisión de los ficheros
de lag, porque esta informa-
ción crece muy rápido y pronto
se convertirá en un problema
demasiado grande para abor-
darlo.
Podemos evitar que los clientes puedan salir o Internet o través de NAT soltándose así el
servicio proxy, convirtiendo nuestro servidor proxy-NAT (actualmente implemento ambos
servicios) en un servidor proxy transparente. De esto manero todos los peticiones que los
clientes hagan 01 servicio 80, aunque no vayan dirigidos 01 proxy, serán interceptados
par esto y posadas por el servicio WWW proxy. Paro hacer esto, hocemos doble clic
sobre el servicio WWW proxy y en la sección Sesiones (sessions) seleccionamos lo op-
ción Interceptar las conexiones hechas a través de ENS (intercept connections made vio
ENS) y añadimos el puerto 80.
Para configurar exactamente qué sitios queremos que PureSight bloquee, tenemos que
acceder a Option > plug-ins > Puresight for WinGate, y dentro del panel izquierdo se-
leccionar la opción Cotegorías filtradas (Filtered categories). En esto ventana, PureSight
nos muestro todas las categorías disponibles, simplemente seleccionándolos a trovés del
cuadro de selección todos los sitios de esta categoría quedarán bloqueados en el cliente.
  Actividades
23. Configura el proxy para prohibir el acceso o todas las categorías excepto Noti-
cias, Mail y Deportes. Comprueba que el cliente no puede acceder o estos cate-
gorías de contenidos.
24. Despues de un tiempo funcionando WinGate con PureSight en SiTour detectas
(analizando los lag) que los usuarios pasan bastante tiempo en lo página www.
minijuegas.com. Debería estar bloqueado, pero no es así. Utilizando la opción
Manual Clasification de PureSight prohíbe el acceso a esta página clasificán·
dolo como de juego.
25. Personaliza el mensaje de prohibición que se muestra a los usuarios cuando
acceden a un contenido de tipo juega en la opción Custom Response de Pureo
Sight. Deberá mostrar algo como "Por política de empresa está prohibida esta
página».
6. Control de 109 en WinGate
Para poder controlar el carrecto funcionamiento de los servicios y la utilización de los
mismos, es necesario comprobar con cierta frecuencia los lag. WinGate genera dos
tipos de lag:
• Lag de usuario: son ficheros en los que WinGate almacena información sobre los
usuarios y su actividad. Estos ficheros se almacenan dentro del directario de insta-
lación de WinGate, dentro de la carpeta audit, en un directorio con el nombre del
usuario. Para activar la auditoría para un usuario, pulsamos botón derecho con el
ratón sobre el usuario, seleccionamos la opción Propiedades, y seleccionamos la
pestaña de Auditoría (auditing). Una vez ahí tenemos que marcar la opción Auditar
105 siguientes eventos (audit these events) y seleccionar los eventos que nos interesa
registrar en el fichero de lag.
• Lag de servicios: son ficheros en los que se almacena información sobre el fun·
cionamiento de los servicios de WinGate. Se almacenan dentro del directorio de
instalación de WinGate en un directorio llamado Logs y dentro de un directorio con
el nombre del servicio.
  Actividades
26. Configura WinGate para que registre en los ficheros de lag cuándo se conecta
el usuario administrador, cuóndo se desconecta y su actividad.
Seguridad de alto nivel en redes: proxy
7. Squid
Squid (Fig. 8.30) es uno de los proxy mós utilizados debido sobre todo a su potencia y
estabilidad. Ha sido muy utilizado por los praveedores de acceso a Internet como proxy
caché transparente para disminuir el tráfico de Internet hacia sus clientes.
7.1. Instalación de Squid
Para poner en marcha Squid en el aula, vamos a seguir la misma configuración física
que seguimos con WinGate, es decir, la que se explicó en el apartado 4.1 y se repre-
senta en la Figura 8.6. Fig. 8.27. Logotipo Squid.
Para instalar Squid podemos hacerlo a través de los tres caminos habituales:
• Compilando el pragrama a partir de los fuentes.
• Instalándolo directamente a partir de los binarios que podemos descargar de hltp://
wiki.squid-cache.org/SquidFaq/BinaryPackages para nuestra distribución.
• A partir de los repositorios oficiales de nuestra distribución.
Nosotras lo vamos a hacer a través de los repositorios oficiales ejecutando el comando
aplilude inslall squid3.
Una vez instalado Squid en el equipo servi-
dor y configurados los interfaces de ambos
equipos, podemos probar el funcionamiento
configurando el navegador del equipo clien-
te (como se explicó en el Caso práctico 4)
para utilizar el praxy que acabamos de insta-
lar. Comprobaremos que está accediendo al
praxy porque nos genera un error en el que al
final hace referencia a Squid (Fig. 8.31).
@D- e y. ur      
:¡¡ .... ....- .c-. .. ... co-_
ERROR
The ... equested URL could not be retrieved
t ryl n] to the b,m " .,,,,,,, ., = '
• /I ce" .. Denled.
Acre •• conlrol "e,enl, I,om bewq ....
t hl& t¡me. cont""t you pro.lóer tr yeu thi, Is w=re<:t.
Para poder config urarlo, tenemos que cono- Ge<"I(:,<'!W1Hon. ?J 09 3-1.:-0 G'1T by   ¡!qud/J o ST,l,Bl.fn
cer donde se encuentran los ficheros de con-
figuración y log. Las principales ubicaciones
son: Fig. 8.28. Error Acceso Internet con Squid.
/elc/init.d/squid3
/elc/squid3/squid.conf
/var/spool/squid3/
/vor/log/squid3/
/usr/lib/squid3/
Script paro iniciar parar o reiniciar e[ servicio Squid
Fichero de configuración de Squid
Directorio que tiene [os ficheros de [a cache del proxy
Directorio en e[ que se encuentran los lag del programa: access.log,
cache. lag y store.log
Directorio en el que se almacenan los complementos de Squid
Tabla 8.2. Localización de los ficheros y directorios de Squid3.
Actividades "
27. Imagina el beneficio que tiene en el tráfico de un proveedor de servicios de
Internet (ISP) si todo el tráfico de sus clientes pasara por una enorme caché.
Anota en tu cuaderno cuáles serían las ventajas.
28. Examina los directorios que se describen en la Tabla 8.2 y observa qué tipo de
información contienen.
Para la realización de esta ins-
talación y el siguiente proceso
de configuración se ha utilizado
la distribución Ubuntu 8.10 (Ihe
Inlrepid Ibex) y la versión 3.0
de squid.
Squid por defecto se instala
como proxy (ni proxy NAT ni
proxy Transparente).
21
20
Seguridad de allo nivel en redes: proxy
fichero es propiedad del
superusuario y para el resto
solo tiene permisos de lectura,
así que tendremos que acceder
como usuario root o utilizar el
comando sudo.
7.2. Configuración inicial
La configuración del Proxy Squid la te nemas que realizar a través de un fichero de con-
figuración, como es habitual en sistemas GNU/ Linux, llamado /elc/squid3/squid.conf
(Tabla 8.2). Como vamos a estar modificándolo, y por seguridad, haremos una copia
de la versión original :
sudo cp /etc/sguid3/sguid.conf /etc/sguid3/sguid.conf.bak
Este fichera de configuración tiene explicación sobre algunos parámetras, por lo que
incluye muchas líneas comentadas (las que comienzan por #). Los parámetros para los
que no se ha dado valar tienen un valor por defecto, que aplica y que se suele indicar
(como por ejemplo es el caso de cache_dir). Las líneas que no están comentadas no
deben tener espacios al comienzo. Todos los parámetros de configuración del fichero
tienen el mismo formato, en primer lugar aparece el nombre del parámetro y después
los valores separados por espacios.
A continuación vamos a ver algunos de los parámetros más importantes del fichero de
configuración de Squid:
Es el puerto del servidor en el que el servicia Squid estará escuchando peticiones de los
clientes. Habitualmente suelen ser el 3128, 8080 o en algunos casos el propio 80 (del
servicio Web). Nosotros dejaremos el valor por defecto:
http_ port 3128
Es el directorio en el que Squid almacenará las pági nas que decida mantener en la
cache. El valor por defecto de este parámetro es:
cache_ d ir ufs /var/ spool / sguid3 100 16 256
ufs es el sistema que va a utilizar paro almacenar la información. /var/spool/squid3/
es el directoria a partir del cual se almacenará la caché. El siguiente parámetro especi-
fico la cantidad de espacia en MB que se ocupará para la caché (100MB par defecto).
Los dos siguientes indican el número de directorios que se crearán dentro del directoria
caché (16 por defecto) y los que se crearán dentro de cada uno de estas (256 por de-
fecto).
Cuanto más aumentemos el espacio de disco disponible para la caché, más páginas
almacenará y menas tendrá que consultar Squid las páginas reales, por lo que menos
tiempo y menas ancho de banda ocupará. Sin embargo, Squid necesita una cantidad
de memoria proporcional para hacer la búsqueda en el disco. No es más rápido más
espacio en di sco si no se dispone de más espacio en memoria.
  Actividades
29. Abre el fichero de configuración con tu editor favorito. Para abrir el fichero
como superusuario con gedit:
sudo gedit/ e tc/sguid3/sguid.conf
Busca en tu fichero los parámetras descritos y sus valores por defecto.
30. Abre tu explorador de archivos (Nautilus, por ejemplo) y navega por la carpeta
en la que se almacena la caché, comprobarás que la estructura que se ha des-
crito está realmente creada en dicho directorio.
Seguridad de alto nivel en redes: proxy
o cache_mem
Indica [a cantidad de memoria caché que se utilizará para Squid. Por defecto son 8MB.
Esta memoria se utiliza fundamentalmente para almacenar objetos en tránsito, que son
[os que en ese momento se están sirviendo a [os clientes y para almacenar [os objetos
más utilizados. Par tanto, este espacio habría que aumentarlo cuando aumenta e[ núme-
ro de clientes o aumenta e[ espacio dedicado a [a caché. Para nuestro caso nos sirve e[
valor por defecto.
Indica a Squid e[ correo del administrador, de forma que si dejara de funcionar, este
recibiría un correo alertando de esta situacián.
o accessJog, cacheJog y cache_storeJog
Indica e[ lugar en e[ que se almacenarán [os ficheros de [og de Squid. En e[ caso del
accessJog, [o define en [a siguiente línea:
access _lag /var/log/squid3/access .log squid
Esta línea indica que e[ fichero será /var/[og/squid3/access.[og y que e[ formato del fi-
chero será squid (este formato [o puedes consultar en e[ propio fichero de configuración
en [o línea donde pone logforrnat squid ... ).
o cache_effective_user y cache_effective_group
Indican, respectivamente, e[ nombre del usuario y grupo que ejecutará e[ proxy.
Poro [os conexiones anonlmas FTP es una costumbre muy habitual utilizar e[ correo
electrónico como nombre de usuario, así e[ administrador del FTP podrá contactarnos
en caso de necesitarlo. Como ahora puede ser e[ proxy e[ que se conecta en lugar
del cliente, [a cuenta de correo que aparecerá será [a del proxy, así que es necesario
configurarla. Si un cliente de nuestro proxy hiciera algo indebido en un servidar FTP,
sería conveniente que e[ administrador de dicho FTP pudiera ponerse en contacto con
nosotros para comunicárnoslo.
o error_directory
Indica e[ directorio en e[ que se encuentran [os mensajes de error que e[ proxy mostrará
a [os clientes (por ejemplo cuando accedan a un dominio no permitido).
Para que [os mensajes aparezcan a [os clientes en castellano, tendremos que modificar
este parámetro a /usr/share/squid3/errors/Spanish_
Actividades "
31. Accede a[ directorio en e[ que se encuentran [os ficheros de error en castellano
y modifica todos [os mensajes para incluir e[ nombre de [a empresa, en este
caso SiTour.
32. ¿En qué formato están [os mensajes de error? incluir una imagen en
estos ficheros, como por ejemplo e[ logotipo de la empresa?
.- - '  
Puedes comprobar que este es el
nombre del usuario ejecutando
el comando:
ps -c squid3 -o pid,ruser,
cornrn que te mostrará el pid del
proceso, el usuario que lo ejecu*
ta y el programa que ejecuta el
proceso.
Una vez terminada la configura*
ción habrá que reiniciar el servi*
cio de squid ejecutando sudo/
etc/init.d/sguid3 res-
tart.
22
22
Seguridad de allo nivel en redes: proxy
Z3. Control de acceso en Squid
En este punto nos vamos a referir a todas aquellas parámetros que nos permiten contro-
lar el acceso dependiendo, por ejemplo, de quién haga o cuál sea la petición.
o acl
A través de este parámetro definimos las listas de acceso, es decir, definimos grupos de
equipos, de IP, de dominios, de horarios, etc., a los que luego permitiremos o denega-
remos el acceso.
El formato general del parámetro ael es:
acl aclname acl t ype valores
oc/nome es el nombre que se le quiera dar a la lista, teniendo en cuenta que na pueden
repetirse. Ac/type es el tipa de lista ael que se va a formar.
las tipos de ael más utilizados san src, dst, dstdomain, urLregex y time. Vamos a comen-
zar viendo el tipo src y como se permite o deniega el acceso con hUp_access. Después
continuaremos viendo el resto de tipos de ael.
o aclsrc
Define a través de sus direcciones IP un conjunto de equipos de origen. Por ejemplo
podemos definir como origen el aula mediante la siguiente lista:
acl aula src 192.168.50.0/24
También podríamos formar una lista de acceso para cada aula del centro siempre que
se diferencie por sus direcciones IP.
acl aula1 src 192. 168.l. 0/ 24
acl aula3 src 192 .168.3.0/ 24
En el caso por ejemplo de SiTour, podríamos generar una lista de acceso para los ven-
dedores (2 personas) y otra para el empleado del departamento de contabilidad.
acl vendedores src 192.168.50.5 192 .168.50 .6
acl contabilidad src 192.168.50.20
o hHp_access
A través de este parámetro permitimos o denegamos el acceso a las listas de acceso
que tengamos definidas.
la sintaxis general de este parámetro es:
http_access allowldeny [!] aclname
ol/ow permite y deny niega el acceso a la ael que se indique después.
Para determinar si da a na da acceso a una petición, Squid lee la sección hUp_access
de arriba hacia abajo y cuando encuentra una línea con la que concuerda permite a
deniega el acceso según lo que diga dicha hUp_access.
Debido a que si no hay coincidencia continúa leyendo, para evitar prablemas se debe
terminar la lista con un hllp_occess deny 01/.
Gt Actividades
33. Recuerda qué es una lista de contral de acceso buscando en los temas anterio-
res su definición. ¿Dónde más hemos hablado de ael?
34. ¿Cómo definirías las listas de acceso para tu aula? ¿Y para tu instituto?
Seguridad de allo nivel en redes: proxy
Aplicación de las reglas de acceso
Determinar si hay acceso o no en los siguientes casos para
la lista de ael y http_access:
_________ -' C=oso práctico 8 9
access (http_access allow aula 1) encontrará coinciden-
cia, así que como es un allow permitirá el acceso. No
continúa leyendo el resto de http_access.
ac1 all src 0.0.0.0/0.0.0.0
ac1 au1a1 src 192.168.1. 0/24
ac1 au1a2 src 192.168.2.0/24
http access allow au1a1
http_access deny !au1a1
http_ access deny a11
1. Llega una petición de la dirección 192.168.1.5 hacia
www.google.com.
2. Llega una petición de la dirección 192.168.2.5 hacia
www.goagle.com.
La dirección 192.168.2.5 pertenece a la red
192.168.2.0/24, que se ha definido en la tercera ael
como aula2.
Cuando llega la petición, Squid, de nuevo lee de arriba
a abajo. La primera http_access (http_access allow
aulal) no coincide con la dirección de la petición, así
que no hace nada y pasa a leer la siguiente.
La dirección 192.168.1.5 pertenece a la red
192.168.1.0/24, que coincide con lo que la segunda
acl ha llamado aula l.
Cuando llegue la petición, Squid leerá la lista de http_
access desde arriba hacia abajo. En la primera http_
La segunda (http_access deny !aula 1) afecta a todas las
peticiones que no vengan del aulal, así que coincide
con la petición y por tanto la aplica. Como es un deny,
niega el acceso mostrando un mensaje de error ,en el I
navegador. No continúa leyendo más
Dentro de nuestro fichero squid.conf, la sección de http_access está preconfigurada, de
forma que poro no cometer errores innecesarios debemos escribir dentro de la sección
que se nos indica. Justo debajo de la línea # INSERT YOUR OWN RULE(S) HERE ... ,
sin modificar el resto de la sección.
__________ Caso (lráctico 9 9
Permitir acceso desde lo red
Configurar Squid para permitir el acceso a los equipos de nuestra red.
1. Buscamos la sección en la que se definen las ael.
2. Dejamos la sección ael tal y como está y tan solo quitamos el carácter # una de
las líneas en donde se define localnet (red local) (para que la línea deje de estar
comentada) y la adaptamos a nuestras necesidades:
ac1 10ca1net src 192.168.50.0/24
3. Bajamos a la sección http_access y descomentamos la línea que permite acceso
desde nuestra red local:
http access allow 10ca1net
4. Reiniciamos el servicio y probamos en el cliente que tenemos acceso a cualquier
página de Internet.
La seguridad del proxy depende por tanto de como construyamos la sección de http_ac-
ces y las listas de acceso (ael). Cuando la red a controlar es grande, incrementa la longi-
tud de estas secciones y dificulta su modificación. Las elaves para mantener la seguridad
con éxito en un proxy squid, son:
• Mantener estructurada y organizada la sección http_access.
• Conocer y utilizar adecuadamente los diferentes tipos de ael.
. r
  , ..
- .
223
24
Seguridad de olla nivel en redes: proxy
Para averiguar la IP de un domi-
nio sol o ti enes que hacer ping
al domini o y fijarte en la IP a la
que deFinitivamente esta hacien·
do pingo
Como ya se ha comentado ante-
riormente las líneas oel van en
la sección ael y las hUp_access
en la sección htlp_access, respe·
tondo las líneas que por defecto
y por seguridad se crean en el
fichero squid.conf.
o AcI dst
Utilizando este parámetro podemos generar una lista de acceso por direcciones IP de
destino, es decir, generar una listo de direcciones IP que coincidirá con una peticián al
proxy cuando la petición vaya dirigida a una de esas direcciones IP.
La sintaxis general de este parámetro es:
acl aclname dst dirección-IP- destino red-IP-destino
oc/nome es igual que antes el nombre que queremos dar a la listo, dirección-IP-destino
es la dirección IP de destino que queremos incluir en la lista y red-IP-destino es lo red IP
que contiene las direcciones IP que queremos incluir en la listo. Por ejemplo, en el caso
anterior podemos generar la lista prensaDepor poniendo las direcci ones IP de Morco y
de As, que son respectivamente 193.110.128.199 y 194.169. 201.186.
acl prensaDepor dst 193.110.128.199 1 94.169.201.186.
http_access deny prensaDepor
Esto tiene un inconveniente: si los servidores que tienen esas direcciones IP son servi-
dores compartidos: que contienen más páginas web de otros empresas, estas también
serán bloqueadas: Por ejemplo, la dirección 193.110.128.199 es la de un servidor en
el que el grupo Unidad Editorial aloja varias páginas, como marca.com o Elmundo.es;
bloqueando el acceso a esta dirección IP bloqueamos el acceso a todas estas páginas.
o AcI dstdomain
Permite generar la lista de destinatarios a partir de dominios.
La sintaxis general de este parámetro es:
acl aclname dstdomain .dominiol . dominio2
.dominiol y .domini02 son los dominios que se incluirán en la listo de acceso. Los domi-
nios siempre tienen que empezar por el simbolo «.».
Por ejemplo, podríamos agrupar los dominios de prensa deportiva para prohibir el ac-
ceso a los trabajadores de uno empresa a dichos dominios desde su puesto de trabajo:
acl prensaDepor dstdomain .marca.com .as.com
http_access deny prensaDepor
o urLregex
Permite utilizar expresiones regulares para definir una listo de url de acceso. Cuando se
reciba una petición a una dirección url, por ejemplo www.tucasino.es. se comprobará si
se produce coincidencia con la expresión regular definido. Puedes utilizarlo paro incluir
todas las url que incluyan la palabra casino:
acl casinos url regex casino
Esto tiene varias inconvenientes:
• Si uno página relacionado con cualquier otro tema llevara la palabra casino en la
dirección (por ejemplo, porque en otro idioma significara otra cosa) tampoco se
podría acceder.
• Si un casino online no lleva la palabra casino en su dirección, no se bloqueará.
  Actividades
35. Prohíbe el acceso a través de tu proxy a las direcciones IP de Marca y As.
36. Prohíbe el acceso a Morca y As utilizando el parámetro dstdomain.
Seguridad de alto nivel en redes: proxy
o time
Permite generar una lista de acceso con ciertos horarios, de forma que luego podamos per-
mitir el acceso o negarlo durante dichos horarios. El formato general de time es:
acl aclname time [días] [horas]
En días hay que indicar una abreviatura de las días de la semana según la Tabla 8.3. En
horas una franja horaria en el formato hora_inicia-hora_fin, e ~ p r e s   d   s ambos en formato
hh:mm, es decir, horas y minutos separados por <C,».
Si queremos definir el horario laboral en una acl, quedaría de la siguiente manera:
acl horarioLaboral time MTWHF 9: 00 -19:30
Para prohibir el acceso a páginas de prensa deportiva durante el horario laboral:
http_ access deny prensaDepor hor arioLaboral
Las peticiones que lleguen al proxy solicitando alguna página de las definidas en la li sta
prensaDepor durante el intervalo definido en horarioLaboral serán rechazadas.
Como puedes observar, en el caso anterior se han incluimos dos listas de acceso (acl)
en una definición http_acess. Para que se aplique la regla permitir/negar definida en el
http_access, la petición tiene que coincidir en ambas listas.
De forma general, cuando en una regla http_access se incluyen varias acl, para que
dicha regla permitir/negar acceso se aplique, la petición tiene que estar incluida en
todas las listas de acceso.
Para que se vea mejor como utilizar http_access con varias listas de acceso en Squid
vamos a poner un ejemplo:
acl descanso-Mañana time MTWHF 11:00-11: 30
acl descanso-Tarde time MTWHF 5:00-5:30
acl contabilidad src 192.168.1. 0/ 24
acl correos dstdomain .gmail.com .hotmail . com
acl prensa dstdomain .as.com .elpais.com
http _ access allow contabilidad descanso-Mañana correos
http _ access allow contabilidad descanso-Tarde prensa
La primera regla http_access solo se aplicará cuando llegue una petición con las siguien-
tes características:
• Que venga de contabilidad, es decir de la red 192.168.1.10/24.
• Que llegue en el horario de 11 :00 a 11 :30 (de lunes a viernes).
• y que su destino sea uno de los dominios .gmail.com o .hotmail.com.
La segunda regla http_access solo se aplicará cuando llegue una petición con las si -
guientes características:
• Que venta de contabilidad, es decir de la red 192.168.1.10/24.
• Que llegue en el horario de 5:00 a 5:30 (de lunes a viernes).
• y que su destino sea uno de los dominios as.com .el pais.com.
M Mondoy
T Tuesday
W Wednesday
H Thursday
F Friday
A SOlurday
S Sunday
Tabla 8.3. Abreviaturas de días para
Squid.
37. En la empresa SiTour hacen un descanso de 12:00 a
12:30 para tomar café y se quiere permitir el acceso a
todos los contenidos durante este horario. ¿Qué infor-
mación habría que incluir en el fichero de configura-
ción de Squid?
Actividades ~
prensa rosa y juegos, que son las principales páginas
visitadas por los empleados durante el horario de tra-
bajo.
38. Continuando con la actividad anterior, durante el resto
de horario se quiere prohibir el acceso a páginas de
39. Además, en SiTour se quiere prohibir el acceso en
horario laboral, excepto en el descanso, a los blogs
de Google, excepto al jefe, que tiene la dirección IP
192.168.50.3.
!26
Seguridad de alto nivel en redes: proxy
I directorio /etc/squid3 es
del usuario reot y no tendrás
acceso de escritura. Deberás
ejecutar este comando como
root.
Z4. Autenticación
Hasta el momento el único camino que tenemos para identificar un cliente es par la IP
que tiene asignada. En este apartado vamos a estudiar una forma de configurar Squid
para que los usuarios tengan que escribir usuario y contraseña para identificarse.
Cuando los usuarios se han identificado en el sistema a través de un nombre de usuario
y una contraseña, podemos tener la certeza de que son ellos y por tanto reclamarles
responsabilidades sobre sus acciones.
Squid incluye varios módulos que permiten realizar la autenticación de los usuarios utili-
zando diferentes métodos como integrar los usuarios de Internet (praxy) con Windows, o
incluso con una gestión de cuentas centralizada, como por ejemplo con Windows 2008
Server. Estos módulos se encuentran en el directorio /usr/lib/squid3 (Tabla 8.2).
En este apartado vamos a estudiar la autenticación utilizando el módulo ncsa_auth.
Utilizando este método, el servidor proxy solicitaró a los clientes un nombre de usuario
y una contraseña y comprobará si dicho usuario y contraseña existe en un fichero de
claves que se encuentra en el servidor proxy.
q Casa   ________________
Preparación de un fichero de claves
Generar un fichera /etc/squid3/claves que contenga las contraseñas de los usua-
rios Virginia y Fernando, respectivamente, patata y cebolla.
1. Para poder manejar el fichero de claves vamos a utilizar el comando htpas-
swd. Este comando lo instalamos en un paquete que se llama apache2-utils.
2. Utilizando este comando generamos el fichero claves con un usuario llamado
Virginia. Una vez ejecutado el comando nos pedirá la contraseña, escribiremos
Ipatata':
htpassswd -c /etc/squid3/claves virginia
La opción 'oc' se utiliza la primera vez porque no existe el fichera y queremos
que lo cree.
3. Repetimos el mismo proceso para el usuario Fernando con la contraseña 'cebo-
lla'.
En segundo lugar activaremos el módulo ncsa_auth y configuraremos Squid para que lo
utilice en los casos que nos interese.
M Actividades
SiTour tiene la siguiente configuración en el proxy:
acl ventas src 192.168.50.5 192.168.50.6
acl contabilidad src 192.168.50.20
acl horarioLaboral time MTWHF 8:00- 21:00
http_access deny ventas horarioLaboral
http_access al low contabilidad
http_access deny
¿Qué ocurre si un empleado del departamento de ventas se cambia su dirección
IP a la 192.168.50.20?
Seguridad de alto nivel en redes: proxy
Al final de la sección auth_param del fichero squid.conf, se nos recomiendo uno con-
figuración básica para cada tipo de autenticación. Basándonos en estas líneas, la
configuración recomendada para nuestro caso sería:
auth param basic program !usr!lib!squid3!ncsa_auth !etc!
squid3!claves
auth_param basic children 5
a uth param basic realm Proxy Si tour
auth_param basic credenti a lsttl 2 hours
En la primera línea, indicamos el módulo que vamos a utilizar para la autenticación !
usr!lib!squid3!ncsa _ auth y el fichero de claves !etc!squid3!claves que
acabamos de generar.
El parámetro children indica el número de procesos que se generarán para llevar a cabo
la autenticación. Realm consiste en el mensaje que se incluirá en el cuadra que se mues·
tre en el cliente para que introduzca su nombre de usuario y contraseña. Credentialsttl
indica el tiempo que durarán las credenciales una vez obtenidas, es decir, una vez que
el usuario ha pasado positivamente la autenticación el tiempo que le durará hasta que
tenga que volver a hacerla.
Por última, añadiremos esta lista de acceso de forma que solo pertenezcan las peticio-
nes de los usuarios que sean validas para el sistema utilizando alguno de los métodos
de autenticación configurados (en nuestro caso ncsa)
acl validado proxy_auth REQUIRED
A cualquier regla http_access que añadamos la acl validado, le mostrará al usuario la
ventana de validación (Fig. 8.32) Y comprobará que este usuario corresponde con cual-
quiera de los listados en el fichero /etc/squid3/claves.
Hiitorlal Marcadores Herramientas AY!.I.da
x ______________ ________ I
(&l Más visitados "" Comenzar a usar ef ... f&J Últinas: noticias
El proxy 192, 168,0, 1:3128 est.§ sokitando I.m nombre de usuario y una   El sitio dice:
"Proxy SiTour"
Nomtll e de lISUaflo: I vi"ginia
contraseña: •• =.=. ====================i
Aceptar I Cancelar
Fig. 8.29. Autenticación NCSA Squid.
Muchas empresas actualmente utilizan redes Microsoft, es decir, tienen la autenticación
de los usuarios centralizada.
Esto significa que cuando las usuarios arrancan el ordenador pasan un proceso de lo-
gin, después del cual los usuarios ya son conocidos dentro de la red Microsoft. De esta
forma los usuarios, cuando intentan acceder a un recurso, este acceso se gestiona auto-
máticamente y de forma transparente entre el sistema operativo y el servidor de dominio.
No sería lógico que para poder acceder a Internet el usuario tuviero que poner de nue-
vo su nombre de usuaria y contraseña.
Por este motivo, en redes de tipo Microsoft debemos configurar Squid para que utilice
los usuarios ya definidos en el dominio.
Una de las principales I
de las soluciones Microsoft (por
ejemplo, el proxy de Microsoft)
es que se integran perfectamen-
te y de forma automática dentro
del dominio. Sin embargo, esta
solución tiene un coste más ele-
vado.
Seguridad de 0110 nivel en redes: proxy
        ~                         ~ ~                                    
Q Caso ráctico 11
Configurar reglas de acceso básicos SiTour
Configurar Squid para que en la empresa SiTour se cum-
plan las siguientes narmas:
• Ningún trabajador podrá acceder a Gmail o Hotmail
excepto los jefes: 'virginia' y 'fernando' (con contrase-
ñas 'patata' y 'cebolla').
1_ Generamos el fichero de claves correspondiente:
ht pa sswd - c / etc/ squid3/ claves vi rginia
htpasswd / etc/ squid3/ claves f e rnando
• Los trabajadares de contabilidad que tienen el rango
IP 192.168.50.2-192.168.50.127 podrán acceder o to-
das las páginas excepto las mencionadas en el apar-
tado anterior.
• Los trabajadores de ventas que tienen el rango IP
192.168.50.128-192.168.50.255 no podrán acceder
a Internet excepto a lo página del ministerio de indus-
tria y turismo (hltp://www_mityc_es).
Escribimos para ambos las contraseñas cuando nos las solicita.
2_ Configuramos Squid para trabajar con el mádulo ncsa_auth.
Incluimos al final de la seccián auth_param del fichero squid.conf las siguientes líneas:
auth_param basic program / usr/ lib/ squid3/ nc s a _auth /etc/ squid3/ clave s
aut h_param basic children 5
aut h_param basic realm proxy Si tour
auth_ param basic credentialsttl 2 hour s
3_ Configuramos las listas de acceso que nos harán falta en Squid:
acl Conta src 1 92 . 168 .50 .2-192 . 168 .50. 127
acl Ventas src 192.168.50 . 128-192. 168 . 50 . 2 55
acl Ministeri o_Tur i smo dstdomain .mi tyc.es
acl Ges t or e s Correo dstdomain .hotmail.com .gmail.com
acl Jefes proxy _ auth REQUIRED
4_ Configuramos las reglas de acceso poro cumplir todas las condiciones:
http_access al l ow Gestores Correo Jefes
al low Ventas Ministe r i o Turismo
allow Canta !Gestores Correo
deny All
L
http_acces s
http_acces s
http_access
____________________________________________ -J
~ Actividades
228
41. Haz que todos los usuarios del aula puedan navegar
desde el ordenador cliente que está conectado a tu
proxy, pero que ningún usuario que no se autentique
pueda navegar.
42. Utilizando el siguiente tipo de acl:
Acl profesor es proxy auth macarena
f er nando
http_ access allow profesor es
La línea http_access solo coincidirá cuando los
usuarios autenticados sean macarena y fernando.
Configura el proxy para generar los grupos de tu clase
(profesores y alumnos). Haz que los alumnos solo ten-
gan acceso a la página de tu instituto. Los profesores
tendrán acceso a todo.
43_ En la empresa SiMotor, un concesionario de motos,
tienen un ordenador con la direccián 192.168.50.100
para que sus clientes puedan acceder a las páginas de
Honda y Suzuki. En el resto de la empresa para poder
navegar desde cualquier ordenador hay que autenti-
carse. Los usuarios son Virginia, Macarena, Fernando y
Gustavo, y podrán acceder a cualquier página.
Seguridad de alta nivel en redes: praxy
7.5. Clasificación de sitios en Squid
Como ya has podido observar el control del acceso en un proxy es una tarea muy tedio-
sa debido a que el número de sitios de Internet es muy grande y además cambian cons-
tantemente (se generan nuevos sitios todos los días y desaparecen algunos que existían).
Caso 12 "
Estudio de las posibilidades para restringir el acceso a los sitios de noticias
En SiTour han detectado que los empleados dedican los primeros 5 minutos a leer
el periódico por Internet. Quieren terminar con esta costumbre y deciden prohibir
el acceso a los periódicos.
1. Aplicando lo que ya hemos aprendido en esta unidad podríamos limitar el
acceso a ciertos dominios o direcciones IP, como por ejemplo los de El País, El
Mundo, La Razón, ABe o Diaria 16.
Sin embargo, los trabajadares todavía podrían conectarse a sitios de periódicos
menos mayaritarios, como por ejemplo Adn, Metro o el diario de la zona.
2. Podríamos esforzarnos un poquito más y conseguir un listado de la mayoría de
los periódicos y configurar sus dominios como prohibidos.
3. Sin embargo, aún podrían conectarse a periódicos no españoles, como por
ejemplo The Daily Telegraph, The Guardian, The New York Times.
4. Podríamos prohibir el acceso a los principales periódicos en otras lenguas, pero
podrían seguir leyendo los periódicos minoritarios de otros países.
Como puedes ver, este es un trabajo muy tedioso, que quita mucho tiempo y resulta
poco gratificante para un administrador de red, pero al final conseguiríamos una
lista muy grande en la que estarían muchos de los dominios de periódicos on-line.
También podemos aprovechar alguna de las listas que ya existen en Internet con
clasificaciones de sitios ya completadas y que además se actualizan con cierta
frecuencia.
 
Para descargar una de las listas de sitios disponibles en Internet accede a la sección
de descargas (download) de la página http://urlblacklist.com y descarga el fichero
bigblacklist.tar.gz.
Descomprime dentro del directorio /etc/squid3/ el contenido del fichero bigblacklisUar
(para descomprimirlo usa el comando tar -xvzf bigblacklist.tar.gz cuando
estés dentro del directorio squid3).
Ahora tendrás un directorio nuevo dentro de /etc/squid3/ que se llamará blacklist,
dentro del cual habrá una carpeta por cada categoría de sitios de Internet, por ejemplo
news, webmail o weather y dentro del cual habrá al menos uno de los siguiente ficheros:
o Domains: contiene los dominios que están incluidos en dicha categoría. Por ejemplo,
dentro de /etc/squid3/blacklists/news/domains hay una línea «elpais.es» que indica
que este dominio es un dominio de noticias. Este fichero lo utilizaremos para generar
una lista de acceso (acl) utilizando el tipo dstdomain.
o Uds: incluyen URL con contenidos de dicha categoría. Las url que están incluidas en
el fichero /etc/squid3/blacklists/news/urls contienen según esta clasificación noti-
cias. Nos permite generar listas de acceso de tipo dst.
o Expressions: contiene expresiones que típicamente tienen los sitios de esta categoría
en la dirección. Generaremos listas de acceso utilizando el tipo url _regex.
Otros sitios donde puedes encan·
trar clasificaciones de sitios son:
http://www.shallalist.de
http://squidguard.mesd.k12.
or.us/blacklists.tgz
229
Seguridad de alto nivel en redes: proxy
  Casa práctica 13
Utilizar una lista de dominios para controlar el acceso a las noticias
Continuando con el coso práctico anterior de la empre-
sa SiTour, vamos a construir una regla en el proxy para
prohibir el acceso a los periodicos a sitios de noticias
on-line utilizando la clasificación que nos hemos descar-
gado.
domains_punto contiene los dominios pero comen-
zando por punto (tal y como lo necesitamos en squid) .
2_ A continuación modificaremos la configuración de
squid creando una nueva acl que incluya los dominios
de noticias:
L Fí¡ate en el formato de los dominios del fichero /etc/
squid3/blacklists/news/domains aparecen correcta-
mente uno en cada línea, pero no comienzan por el
símbolo «.l>. Si recuerdas el tipo de acl dstdomain los
dominios tienen que comenzar por «.l>, así que tendre-
mos que añadir un punto al principio de cada línea.
Esto se puede hacer de forma automática en Linux uti-
lizando el comanda awk '{printf("_%s\n",$l)}'
dornains > dornains punto _ Ahora el fichero
acl noticias dstdomain "/etc/squid3/
black lists/news/ domains _punt o"
y añadiremos una regla http_access al principio de
nuestra lista que prohíba el acceso a estos dominios a
todos los trabajadores:
http_access deny notici as
Ya solo nos queda comprobar que las clientes no pueden
acceder a las dominios, para ello solo tenemos que con-
sultar desde el navegadar de un cliente algunas de los
dominios que aparecen en el fichero damains_punto.
Tendrás que tener instalado
Webmin. Si no lo tienes, visita
la página oficial (http://www_
webmin_com/), descárgalo e ins-
tálalo.
La versión utilizada para este
libro ha sido Webmin 1.49.
En Webmin lo primera vez
que accedes a un módulo lo
encontrarás en Un-used modules
(módulos sin usor). A portir del
momento en que lo utilices por
primera vez aparecerá en la
categoría que le correspondo.
En nuestro coso en la categoría
Servidores.
  Actividades
44_ Prohíbe el acceso en tu proxy a los sitios de blog y hacking, excepto a los usua-
rias autenticados. Comprueba que lo has hecho correctamente.
45. Prohíbe el acceso a los sitios de juegos a los usuarios Macarena y Virginia. )
7.6. Gestión del proxy con Webmin. Control de log
Webmin es una aplicación de administración que utilizando un interfaz Web permite
administrar la mayoría de los servicios disponibles en un equipo GNU/linux.
o Insto lar y configurar Webmin para Squid
Para poder utilizar Webmin para interactuar con el Proxy tenemos que instalar el módu-
lo de Webmin llamado Squid y configurar dicho módulo.
Antes vamos a instalar dos paquetes del repositorio que necesita Webmin para interac-
tuar con Squid: calamaris y squidclient. Para instalarlos ejecutamos el comando aptitude
install ca/amaris squidclient.
Volviendo a la instalación del módulo Squid, entramos en Webmin (hHp://localhost:l0000) y
en la configuración de Webmin (en el menú del marco de la izquierda Webmin > Configu-
ración Webmin) seleccionamos la opción Módulos Webmin. En esta pantalla instalaremos
Squid buscándolo entre los módulos estándar de www.webmin.com.
Una vez instalados nos pedirá ciertos datos de Squid para poder funcionar correcta-
mente. Dentro de la sección Configuración del sistema habrá que indicar dónde están
los ficheros principales de Squid que ya se comentaron en la Tabla 8.2. Algunos de
estos valares son el comando para ejecutar Squid y el directario en el que se encuentran
los lag de Squid.
Salvamos los cambios, y reiniciamos Webmin (Webmin > configuración webmin, y pul-
sar el botón reiniciar) y ya podremos util izar el módulo Squid de Webmin.
Seguridad de alto nivel en redes: proxy
o Utilización de Webmin
Utilizando Webmin podemos modificar algunas de las opciones que ya conocemos,
como por e¡emplo dentro de Control de acceso (Fig. 8.33) en Webmin podemos confi-
gurar las listos de acceso y las reglas http_access. También puedes modificar la autenti-
cación del praxy, añadir, modificar a eliminar usuarias, etc.
Wa!lrru.l'.WIiIDGilI ' ll!lUilln!!JiUtI1II.ll.l
an:hMO Edu. !<'Ir t<iJ¡,.""l .I:!•• t.d".. t<1 .... ",¡I "lU "'nId.
,
1..0;'0' '''''
O W.b_
Os." .. ..
D s ..... , ... .
u""ro d. C.". ....
U' JI"'"

""'" '",fo;II",, 'od.ml,l.
Servidor ProKy Squid
$,.I;.","Ó.' •
00','"
• •••

 
D a.. ..
",.
o '''''w,,'
U e,.",.
n u." .. ..
..
I
", ,, ,,,,, ••• 1, " 1.0;.
1:'1
:::¡ .,f"'."' i"',,
0 1..0;,"

. ... n .. "l."'oJ • • • R. d
i::?
\l." .... d. Co:M
lB
0"""""0<1'. ''''''

.. R,¡' ..
:#.,
e ..... ' ..... ¡" . ........ .
1"" óu, lo eo,*".,,,"n I
I I
Fig. 8.30. Webmin Squid.
''''i''''''' d,_",d.
••• ;".,.,i •• ",,,V', ,,".
,
U .. 4 .... m .. ' •
ifJ
c.=d i. ",,..0
ilil
'o.,.d,."""

eodi l.""; ••• ' O"""".n,,,,,,,,," ••
.u.n ..
• ".1 ... ,oh . .... .... ot ..... lo ,.nI .......... ,,"'01 d. 50""
11::. I
6
o.""" .. ......
o
C'ntrol d, C.blt""
......... "lo< •• d. botin .... h' .... . ' ....... .. . .. ", ... n .... Uno • •• • • '_io '" .... , O. , ,. no •• d, .. loo,.,
Sin embargo, la mayor parte del tiempo que dedicamos a la administración de Squid en
una empresa como por e¡emplo SiTour, una vez que Squid ya está instalado, configura-
do y funcionando, se dedica al seguimiento de los lag que genera Squid. las tareas de
configuracián se pueden realizar sin mucha dificultad directamente sobre los ficheros,
pero para analizar los lag de Squid es recomendable utilizar alguna herramienta más
visual. .
Por todas estos motivos, nos vamos a centrar ahora en la opción Análisis de histárico de
calamaris.
o Anólisis dellog de Squid con Webmin
Tenemos varias opciones para controlar las lag de Squid de forma gráfica, una de ellas
es utilizando el programa calamaris, que se integra dentro del módulo de Webmin. Si
pulsamos en la opción Análisis de histórico de ca/amaris, veremos un informe de la acti-
vidad que ha tenido Squid. Este informe contiene mucha información, pero nosotros nos
vamos a centrar en dos tablas:
Byte % 1 hit-%
18759611 10. 7 0JI 0.60
I
10 662 6 ¡-TOS 1 O. O O
I-·googte.com 1 121 6.451 0.00 1 139641[Q.B01 0. 00
1246161 7.101 0. 00
I-·mochibot.com 1 9'1 4.841 0. 0011 148871 0. 85'1 0.00
rl_- . a-nt:-e-v-e-ni:-o-.c-o-m--J-,ilr---:8c'I---C4:- . 1 56321 0.321 0.00
I- .publicidad.ne!: 1 8,1 4.30 1 0.00 1 15771 ["OTo1 0. 00

  ----:;7"lc ---:;3-:.7;-;:6+1-;;:0-;;.0:;;;011 71741J I4T9I 0. 00
I-·advertising.com 11 71 3.761 0.0011 51696
1
12.951 0.00
Fig. 8.32. Ca/amaris, dominios 2. o nivel accedidos.
    by ha, t
I hDst        

Isum
Fig. 8.31. Peticiones por host.
Seguridod de alto nivel en redes: proxy
DOtumefltos ..
Generador de
Informes de
Análisis de Squid 1:)

de
H'Slóncoy
de
Informe

Opdonos de
Informe

  de
Informl!
Genera,ión
de Informe
pI3n'I!cado
1 Generar Informo Ahora I Puln est e botón para yenerar
'-=====-'-' Inmed,atamente un Informe 5 .. ry
en /var / """"/5'lul d·
ut,I,:ando.la confl gurac,ón ilctUill.
Fig. 8.33. 50r9 en Webmin.
232
• Request·destinotions by 2nd-level-domoin nos informo de los peticiones que ha habi-
do o los dominios de segundo nivel (Fig. 8.36). Par ejemplo podemos observar que
01 dominio .minijuegos.com se han hecho 74 peticiones, es decir es el dominio mós
consultado por los usuari os del proxy.
• Incoming TCP.requests by host nos muestra infarmoción sobre los peticiones que ha
hecho codo equipo de lo red (Fig. 8.35). En nuestro coso solo tenemos un cliente,
según lo Figuro 8.35, tiene lo IP 192.168.50.140 que ha hecho 15 peticiones.
Sin embargo, colomoris no nos estó ofreciendo información sobre qué usuarios occe·
den o qué dominios (siempre tenemos lo opción de consultarlo en el fichero access.log
directamente), por lo que vamos a instalar otro paquete del repositorio llamado Sarg
(aplilude inslall sarg) y el módulo de Webmin que permite gestionarlo, también llamado
Sargo Los pasos para la instalación de Sarg en Webmin son los mismos que se explica·
ron para el módulo Squid de Webmin.
Una vez instalado, vamos a configurarlo directamente a partir de su fichero de configu.
ración editando el fichero / etc/ squid/sarg.conf. Modificamos dos paró metros language
-pondremos «Spanish»- y access_log -pondremos la ruta al fichero access.log de Squid
(ya la vimos en la Tabla 8.2 es /var/ log/squid3/ access.log) .
Una vez configurado accedemos a Webmin y entramos en Servidores> Generador de
informes Squid (Fig. 8.36). Con la configuroción por defecto del módulo será suficiente,
por lo que podemos generar un informe pinchando sobre el batán Generar informe ahora.
Ahora si pulsamos sobre Ver Informe Generado, podremos ver el informe que acabamos
de generar.
Dentro de Webmin, en Opciones de informe podemos seleccionar varios tipos de infor·
me; si seleccionas la opción Todos los informes, Sarg generaró todos los informes para
las que haya información.
Actividades
46. Sigue las siguientes pasas:
1. Configura Squid para que se prohíba el acceso a las noticias, se prahíba el
acceso a cuentas de correo excepto a los jefes y haya dos departamentos,
ventas y contabilidad con diferentes permisos.
2. Vacía los ficheros de lag de squid:
3. echo uu > /var//og/squid3/access.log
4. echo uu > /var/log/squid3/cache.log
5. echo uu > / var/log/squid3/slore.log
6. En el ordenador del cliente navega desde diferentes departamentos y dife·
rentes usuarios y tanto a páginas a las que se ti ene acceso como a páginas
a las que no. Intenta autenticarte como uno de los jefes (en algún caso no
escribas bien la contraseña).
7. Genera un informe completo en Sarg de Webmin en el que se incluya pági-
nas accedidas por cada usuario, listado de sitios mós visitados, denegacio-
nes de acceso y fallos en la autenticación.
y responde a las siguientes cuestiones:
a) ¿Quiénes son los usuarios que han intentado acceder a póginas para las
que no tienen acceso?
b) ¿Hay usuarios que hayan intentado autenticarse muchas veces en poco
tiempo? (pueden estar intentando descubrir una clave de usuario).
e) Comprueba las páginas que ha visitado cada usuario ¿Son páginas correc·
tos para un trabajador de SiTour?
d) ¿Cuóles son las páginas mós visitadas?
---------)
Aplicar mecanismos de seguridad activa describiendo sus
características y relacionándolas con las necesidades de
uso del sistema informático
Asegurar la privacidad de la informacián transmitida en
redes informáticas describiendo vulnerabilidades e insta-
lando software específico
1. Instala WinGate, pera durante el procesa de instala-
ción responde que no a la instalación de ENS (Exten-
ded Network System) . ¿Qué diferencias observas en el
funcionamiento del proxy?
2. Configura el servicio Remate Control Service para que
te permita acceder a GateKeeper desde cualquier
equipa de la red.
3. La empresa SiTaur quiere cantrolor el acceso o Internet
de sus empleados. En lo empresa hoy:
- Un jefe, Fernando que tiene que tener acceso o todo.
- Dos empleados de ventas, Macarena y Gustavo, que
no tendrán acceso a Internet excepto de 10:00 o
10:30, que es el hororio de descanso.
- Un empleado de contabilidad, Virginia, que nece-
sito tener acceso o lo página de lo agencio tributa-
ria (www.aeat.es) y al correo de lo empresa (www.
gmail.com).
- Configura WinGate poro conseguir que en lo
empresa SiTour se cumplan estos requisitos.
4. La empresa SiCon, que se dedica a la construcción,
tiene 10 empleados en su oficina y otros 50 empleados
que habitualmente no están pero que de vez en cuando
trabo ion una moñona allí. Configura WinGate paro
que permito un acceso aceptable o las 10 emplea-
dos que estón en lo oficina habitualmente y un acceso
mínimo o los usuorios que de vez en cuando están allí.
5. En lo empresa SiCon se ha detectado que se estó acce-
diendo o alguno pógina de juegas y opuestos online.
Tiene que ser uno de los diez empleadas que habitual-
mente está en la empresa, parque el resto no tienen
acceso a este tipo de contenidos. Realizo lo auditoría
necesaria en WinGate para detectar quién es lo per-
sona que está realizando estos accesos.
6. En Squid, accede a la carpeta de mensajes de error,
hoz una copia de dicho carpeta y después modifico los
ficheros de mensajes para que aparezca el logotipo de
SiTour (genera tu propio logotipo con tu herramienta
favarita, por ejemplo, Paint).
7. En la empresa SiCon hay 4 departamentos que deben
tener los siguientes accesos:
Seguridod de olto nivel en redes: proxy
Comprueba tu  
Contabilidad
Gerencia
Proyectos
RRHH
192.168.50.10-
192.168.50.20
192.168.50.21 -
192.168.50.30
192.168.50.31 -
192.168.50.40
192.168.50.41 -
192.168.50.50
Tendrón acceso al
correo, páginas de
bancos y www.aeat.
es
A todo
Avanzado: todo
menos juegos
Correo y sindicatos
Iwww.ugt.es)
Configura Squid para permitir y negar los accesos que
se especifican en la tabla.
8. Basándonos en la configuración del coso próctico ante-
rior y en parejas, uno hace el rol de usuari o del proxy
y el otro el de administrador. El alumno que hace de
usuario pertenecerá al departamento de Proyectos y
tratará de averiguar páginas para las que no debería
tener acceso, pero que en realidad sí tiene. El alumno
que hace de administrador revisará los lag para detec-
tor accesos indebidos e irá incluyendo esos dominios
en los ficheros adecuados para prohibir el acceso a
dichas páginas.
9. Modificar la Actividad 7 para que las personas de los
departamentos de Gerencia, Gustavo y Fernando, y de
Recursos Humanos, Virginia y Macarena, tengan que
autenticarse.
10. Configura Squid para que tu servidor proxy haga de
Proxy para toda la clase. Reflexiona previamente sobre
los contenidos que deberían bloquearse y qué tipo de
autenticación sería necesaria.
11. Para poder aproximarnos más a una situacián real,
uno de los equipos configurados en el ejercicio anterior
se utilizará durante un por de días como proxy de lo
clase. De esta forma generaremos unos ficheros de lag
reales para un proxy de instituto.
12. Una vez pasados los dos días de funcionamiento del
Proxy, todos los grupos se copiarán los ficheros de lag
a su propio servidor y analizarán la informaci án desta-
cando:
• Datos relevantes: usos indebidos, intentos de acceso
indebidos, cinco páginas más accedidas, usuarios
con más tráfico, errores en la configuración.
• Medidas a tomar: sobre la autenticación, sobre las
clasificaciones, sobre el fichero de configuración.
Seguridad de alto nivel en redes: proxy
Diferentes permisos usuarios
Compartir una única di rección IP
.. .
Auditoría deltrófico
Cache de páginas consultadas
Proxy (tradicional)
Proxy NAT
Proxy transparente
Creación de usuarios
Autenticación de usuarios
Wingate
PureSight
Gestión de logs
Control de acceso
Autenticación de usuarios
  ~ u i d
Clasificación de sitios
Gestión de logs
234
Anexo
Anexo: índice de términos
802.11 a, b, g, n Página 163 Unidad 6
802.1x Página 172 Unidad 6
ACL Página 126 Unidad 5
Algoritmos Página 90 Unidad 4
Algoritmos de bloque Página 90 Unidad 4
Algoritmos de flujo Página 90 Unidad 4
Amenazas Página 21 Unidad 1
Antivirus Página 11 Unidad 1
Página 139 Unidad 5
ARP Página 136 Unidad 5
Arquitectura Dual-Homed Host Página 197 Unidad 7
Arquitectura Screened Host Página 197 Unidad 7
Arquitectura Screen Subnet Página 198 Unidad 7
Arquitectura Screened Router Página 181 Unidad 7
Atacantes Página 133 Unidad 5
Auditoria Páginas 11, 25 Unidad 1
Autenticación Página 11 Unidad 1
Autenticación de los usuarios Página 123 Unidad 5
Autoridad de certificación Pági na 95 Unidad 4
Autoridad de registro Página 95 Unidad 4
Autoridades de los repositorios Página 95 Unidad 4
Autorización Página 11 Unidad 1
Bastión Página 181 Unidad 7
Borrar puntos de restauración Página 65 Unidad 3
Carder Página 133 Unidad 5
Centro de cálculo Página 13 Unidad 1
Certificado de revocación Página 88 Unidad 4
Certificado digital Página 11 Unidad 1
Certificados digitales Página 94 Unidad 4
Ciberterroristas Página 133 Unidad 5
Cifrado clave asimétrica Página 86 Unidad 4
Cifrado clave privada Página 84 Unidad 4
Cifrado de particiones Página 112 Unidad 5
Cifrador de Vigenére Página 82 Unidad 4
Cifra dar del Cesar Página 82 Unidad 4
Anexo
Cifrador PoLybios Página 81 Unidad 4
Clasificación de métodos de criptografia Página 83 Unidad 4
Climatización Página 33 Unidad 2
Cluster de servidores Página 44 Unidad 2
ConfidenciaLidad Página 10 Unidad 1
ControL de acceso Página 32 Unidad 2
ControL de cuentas de usuario Página 159 Unidad 6
Copia de registro Página 72 Unidad 3
Copia de seguridad compLeta Páginas 51, 54 Unidad 3
Copia de seguridad diferenciaL Páginas 51, 56 Unidad 3
Copia de seguridad incrementaL Páginas 51, 57 Unidad 3
Copias encriptadas Página 60, 61 Unidad 3
Cortafuegos Página 11 Unidad 1
Página 181 Unidad 7
Cortafuegos a niveL circuitos Página 186 Unidad 7
Cortafuegos a niveL paquete Página 186 Unidad 7
Cortafuegos de pasareLa de apLicación Página 186 Unidad 7
Cortafuegos de subred Página 186 Unidad 7
Cortafuegos personaLes Página 184 Unidad 7
Cortafuegos transparentes Página 186 Unidad 7
Cortafuegos Windows Vista Página 182 Unidad 7
CPD, centro de procesamiento de datos Página 31 Unidad 2
Cracker Páginas 9, 21 Unidad 1
Página 133 Unidad 5
Criptografia Página 80, Unidad 4
Criptografia híbrida Página 90 Unidad 4
Criptografia simétrica Página 84 Unidad 4
Cuotas de disco Página 117 Unidad 5
Denegación de servicio Página 141 Unidad 5
DiaLer Página 141 Unidad 5
DisponibiLidad Página 10 Unidad 1
DMZ Página 180, 198 Unidad 7
DNS Spoofing Página 136 Unidad 5
DupLicity Página 61 Unidad 3
Encriptación Página 11 Unidad 1
EscítaLa Página 80 Unidad 4
Esteganografia Página 83 Unidad 4
Etiqueta para soporte de copia de seguridad Página 73 Unidad 3
!36
Anexo
Fabricación Página 134 Unidad 5
Filtrado de paquetes Página 187 Unidad 7
Firewall Página 181 Unidad 7
Firma Página 11 Unidad 1
Firma digital Páginas 92 Unidad 4
Función resumen Página 91 Unidad 4
Gusanos Página 139 Unidad 5
Hacker Páginas 9, 21 Unidad 1
Página 133 Unidad 5
Hamachi LogMeIn Página 158 Unidad 6
Hash Página 91 Unidad 4
HickjackThi s Página 148 Unidad 6
Hoja de regist ro de copias de seguridad Página 74 Unidad 3
Hoja de registro de restauración Página 74 Unidad 3
HTIP Página 149 Unidad 6
HTIPs Página 149 Unidad 6
IDs Página 159 Unidad 6
Imágenes Página 69 Unidad 3
Ingenieña social Página 141 Unidad 5
Integridad Página 10 Unidad 1
Intercepción Página 134 Unidad 5
Interfaz Página 186 Unidad 7
Interrupción Página 134 Unidad 5
Inundación de peticiones sYN Página 141 Unidad 5
Iptables Página 190 Unidad 7
Kerckhoff Página 90 Unidad 4
Kerio WinRoute Páginas 192, 200 Unidad 7
Keylogger Página 141 Unidad 5
Lammer Página 21 Unidad 1
Página 133 Unidad 5
Ley orgánica de prot ección de datos Página 23 Unidad 1
Listas de control de acceso Página 126 Unidad 5
Logs Página 199 Unidad 7
LOPD Página 23 Unidad 1
Malware Página 139 Unidad 5
Página 147 Unidad 6
Modelos OSI Página 186 Unidad 7
Modificación Página 134 Unidad 5
/
Anexo
Monitorización de Windows Página 131 Unidad 5
NAS Página 46 Unidad 2
NAT Página 190 Unidad 7
Newbie Página 133 Unidad 5
No repudio Página 10 Unidad 1
Objetivos de la seguridad informática Página 10 Unidad 1
OpenBSD Página 192 Unidad 7
OpenSSH Página 150 Unidad 6
Phising Página 142 Unidad 5
Phreaker Página 133 Unidad 5
Ping Página 187 Unidad 7
PKI Página 95 Unidad 4
Políticas de contraseñas Página 123 Unidad 5
POP-lI PS Página 147 Unidad 6
Programación copia Páginas 56, 57 Unidad 3
Programadores de virus Página 133 Unidad 5
Protección del sistema Página 63 Unidad 3
Proxy Página 180 Unidad 7
Página 204 Unidad 8
Proxy transparente Página 213 Unidad 8
ProxyNAT Página 213 Unidad8
Punto de acceso Página 165 Unidad 6
Punto de restauración Página 63, 64, 65 Unidad 3
Radius Página 173 Unidad 6
RAID Página 38 Unidad 2
Recuperación automática del sistema Página 68 Unidad 3
Recuperación sistema operativo Páginas 63 Unidad 3
Red privada virtual Página 152 Unidad 6
Reglas de filtrado Página 188 Unidad 7
Reparación de inicio Página 67 Unidad 3
Restauración copia de seguridad Página 61, 64 Unidad 3
Restaurar sistema Página 65 Unidad 3
SAl on line Página 36 Unidad 2
SAl , sistema de alimentación ininterrumpida Página 35 Unidad 2
SAN Página 46 Unidad 2
Seguridad activa Página 16 Unidad 1
Seguridad física Página 13 Unidad 1
Seguridad informática Página 10 Unidad 1
Anexo
Seguridad lógica Página 14 Unidad 1
Seguridad pasiva Página 16 Unidad 1
Servicios Página 159 Unidad 6
Servidores proxys Página 11 Unidad 1
Sistema de alimentación en estado de espera Página 36 Unidad 2
Sistemas biométricos Página 125 Unidad 5
Sistemas de sustitución Página 83 Unidad 4
Si stemas de transposición Página 83 Unidad 4
Sniffer Página 133 Unidad 5
Snort Página 159 Unidad 6
Soporte de copias de seguridad Página 53 Unidad 3
Spoofing Página 135 Unidad 5
SPS, Stand by Power Systems Página 36 Unidad 2
Spyware Página 147 Unidad 6
SpywareBlaster Página 147 Unidad 6
Squid Página 219 Unidad 8
SSH Página 150 Unidad 6
SSL Página 150 Unidad 6
Telnet Página 150 Unidad 6
Ti pos de ataques Página 134 Unidad 5
Tripwire Enterprise Página 159 Unidad 6
Troyanos Página 139 Unidad 5
UAC Página 159 Unidad 6
Ubicación Página 30 Unidad 2
Última configuración conocida Página 67 Unidad 3
UPS Página 35 Unidad 2
Virus Página 139 Unidad 5
Vulnerabilidades del sistema Página 20 Unidad 1
Página 129 Unidad 5
Wannabe Página 133 Unidad 5
Webmin Página 230 Unidad 8
WEP Página 166 Unidad 6
Wi-Fi Página 163 Unidad 6
WinGate Página 208 Unidad 8
WPA Página 170 Unidad 6
Zona desmilitarizada Página 180 Unidad 7
ZoneAlarm Pági na 184 Unidad 7

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->