Está en la página 1de 200

Fundamentos de Seguridad

EXAMEN 98-367
~ W I L E Y
1. Capas de Seguridad 1
2. Autenticacin, Autorizacin y Auditora 25
3. Directivas de Seguridad 83
4. Seguridad en la Red 105
5. Cmo Proteger al Servidor y al Cliente 159
Leccin 1
Capas de Seguridad 1
-----------------
Introduccin a la Seguridad 2
Qu es la confidencialidad 2
Qu es Integridad 3
Qu es Disponibilidad 3
Amenazas y Admi nistracin de Riesgos 3
Principio de Privilegio Mnimo 6
Superficie de Ataque 7
Qu es la Ingeniera Social 8
Vinculacin del Costo con la Seguridad 9
Tomar en Cuenta la Seguridad Fis1ca como la Pnmera
Lmea de Defensa 1 O
Comprender la Seguridad del Sitio 10
Comprender el Control de Acceso 10
Comprender la Seguridad del Permetro Exterior 12
Comprender el Permetro Interno 13
Definicin de las reas Seguras 13
Procesos de Seguridad del Sitio 14
Seguridad Informtica 14
Entender la Seguridad de los Dispositivos Porttiles 15
Dispositivos y Discos Extrables 16
Keyloggers 18
Evaluacin de Conocimientos 20
Entendiendo lo Bsico 22
Evaluacin de Competencia 23
Evaluacin de Habilidad 23
Leccin 2
Autenticacin, Autorizacin y Auditora
25
Seguridad al iniciar con Autenticacin 26
Autenticacin mediante algo que se sabe 26
Contraseas 26
Nmero de Identificacin Personal (PI N) 28
Autenticacin por medio de algo que se posee 28
Autenticacin demostrando quin se es 29
Introduccin a RADIUS y TACACS+ 29
Ejecutar Como 30
Ejecutar un programa como administrador 30
Introduccin a los Servicios de directorio utilizando
Directorio act1vo (Active Directory) 31
Anlisis de los controladores de dominio
Introduccin a NTLM 33
Introduccin a Kerberos 33
Unidades organizacionales 34
Anlisis de los objetos 35
Examinar los usuarios 36
Anlisis de los equipos 37
Qu son los grupos 38
Examen de los tipos de grupos 38
Examen de los alcances del grupo 38
Grupos integrados 40
Buscar la autenticacin del servidor Web 40
Comparar los derechos y permisos 41
Anlisis de NTFS 42
En Resumen 42
Permisos de NTFS 42
Permisos efectivos de NTFS 44
Copiar y mover archivos 47
Propietario de carpeta y archivos 48
Hacer uso de un archivo o carpeta 48
32
Hacer uso compartido de unidades y carpetas 49
Recursos Administrativos Compartidos Especiales 51
Introduccin al Reg1stro 51
En Resumen 51
Hacer uso del encriptado para proteger los datos 54
Examen de los tipos de encriptado 55
Anlisis del encriptado simtrico 55
Anlisis del encriptado asimtrico 56
Anlisis de la funcin Hash 56
Introduccin a la infraestructura de clave pblica 57
Certificados digitales 58
Examen de una cadena de certificados (Certificate
Chain) 60
Firma Digital 60
Protocolo de Capa de Conexin Segura (SSl) v Se-
guridad de la Capa de Transporte (TLS) 61
Codificar el Correo Electrnico 62
Encriptar archivos con EFS 62
Encriptar discos de Windows 65
Habilitar Bitlocker 66
Bitlocker v agentes de recuperacin de datos 68
Bitlocker To Go 69
IntroduCCin a IPsec 69
Encriptado con tecnologa VPN 70
Aud1torra para Completar el cuadro de Seguridad 73
En Resumen 73
Eval uacin del conocimiento 78
Evaluac1n de Competencias 81
Evaluacin de Habilidades 81
Planificacin y mantenimiento de la seguridad 82
Leccin 3
Directivas de Seguridad 83
Directivas sobre Contraseas para Mejorar la Seguridad
84
En Resumen 84
El nivel de Complejidad de una Contrasea para
hacerla ms fuerte 84
Bloqueo de Cuenta para evitar el Hacking 85
longitud de Contrasea 86
Historial de Contraseas para Mantener la Seguridad
86
liempo entre Cambios de Contraseas 86
Directivas de Grupo sobre Contraseas para Mantener
la Seguridad 93
los Mtodos de Ataque Comunes 96
Anlisis de Ataques mediante un Diccionario v con
Fuerza Bruta 96
Ataques Fsicos 97
Contraseas Divulgadas sin Autorizacin y Comparti-
das 97
Contraseas Crackeadas 98
Examen de Sniffers de Red e Inalmbricos 98
Contraseas Adivinadas 99
Evaluac1n de Conocimientos 100
Contenido V
Evaluacin de Competencia 102
Evaluacin de Habilidad 103
Directivas de Grupo 103
Leccin 4
Seguridad en la Red 105
Utilizar Cortafuegos (firewalls) dedicados para proteger
una Red 106
En Resumen 1 06
Comprensin del Modelo OSI 107
Anlisis de Firewalls de Hardware v sus
Caractersticas 110
Anlisis del filtrado de paquetes 11 1
Anlisis de los cortafuegos a nivel de circuito 112
Anlisis de los cortafuegos a nivel de aplicacin 112
Anlisis de los cortafuegos con estado Multinivel 113
Cortafuegos de hardware contra cortafuegos de
softvvare 113
Inspeccin Stateful contra la Inspeccin Stateless 115
Controlar el acceso con la Protecc1n de Acceso a Redes
(NAP) 116
En Resumen 116
El propsito de la NAP 116
Cmo funciona la NAP 117
Requisitos para la NAP 120
Usar el aislamiento para proteger la red 121
En Resumen 121
LAN virtuales 121
Qu es el enrutamiento 123
Cmo funciona el en ruta miento 125
Protocolos de enrutamiento 126
Sistemas de Prevencin y Deteccin de Intrusin
128
Qu son los Honeypots 129
Qu son las DMZ 131
Traduccin de Direccin de Red (NAT) 133
Redes Privadas Virtuales (VPN) 134
Internet Protocol Security (IPsec) 135
Otros Protocolos VPN 137
Utilizar el Protocolo de Capa de Conexin Segura
(SSl) y Seguridad de la Capa de
Transporte (TlS) 137
Secure Shell (SSH) 138
Aislamiento del Dominio y del Servidor 139
VI
Proteger los datos con la seguridad del protocolo 141
En Resumen 141
Qu es el Tnel 141
Extensiones de Seguridad del DNS (DNSSEC) 142
Protocol Spoofing 143
Sniffing de Red 143
Mtodos Comunes de Ataque a la red 145
Asegurar Redes Inalmbricas 148
En Resumen 148
Service Set ldentifier (SSIO) 149
Comprender las Claves 149
Wired Equivalency Privacy (WEP) 149
Acceso Protegido Wi-Fi (WPA) y Acceso Protegido
Wi -Fi Versin 2 (WPA2) 150
Fi ltros MAC 151
Pros y Contras de tipos de seguridad especificas
151
Evaluacin de Conocimientos 154
Evaluacin de competencias 157
Evaluacin de Habilidades 157
Estacin de trabajo lista 158
Defensa a Profundidad 158
Leccin 5
Cmo proteger al Servidor y al Cliente
159
Cmo proteger la computadora cliente 160
En Resumen 160
Cmo proteger su computadora de Malware 160
Tipos de Malware 160
Cmo Identificar Malware 162
Actualizaciones de Seguridad y Software de Antivi-
rus para los Clientes 163
Cmo Usar el Sentido Comn con el Malware 163
Cmo eliminar Malware 164
Cmo examinar un Virus Hoax 165
Cmo utilizar Windows Updates 165
Control de Cuenta de Usuario (UAC) 168
Usar el Firewall de Windows 172
Usar Archivos Offline 175
Bloquear la computadora de un Cliente 176
Cmo Proteger Su Correo Electrnico 177
En Resumen 177
Tratar con el Spam 177
Transferencia de Correos Electrnicos
Cmo Asegurar Internet Explorer
En Resumen 179
179
Cookies y Configuraciones de Seguridad
Cmo Examinar las Zonas de Contenido
Phishing y Pharming 185
Cmo Proteger Su Servidor 186
En Resumen 186
Cmo Colocar el Servidor 186
Cmo Fortalecer al Servidor 186
Cmo Asegurar DNS Dinmico 188
Evaluacin de Conocimiento 190
Evaluacin de Competencia/Capacidad 193
Evaluacin de Destreza 193
Cmo Mantener el Paso con la Seguridad
179
179
182
194
Matriz para la Leccin sobre Capacidad
Capacidad Tecnolgica Dominio del Objetivo Nmero del Dominio Objetivo
Introduccin a la Seguridad Comprender los principios bsicos de
seguridad.
1.1
Anli sis de la Seguridad Fsica como la
Primera Lnea de Defensa
Comprender la seguridad fsica. 1.2
Trminos clave
Conrrol de acceso Capturador de teclado (keylogger) Evaluacin de riesgo
Superficie de ataque Dispositivo mvil Prevencin de riesgo
Disponibi lidad Principio de privilegio mnimo Gestin de riesgo
Confidencialidad Dispositivo extrable Mitigacin de riesgo
Defensa en profundidad Riesgo residual Transferencia de riesgo
Unidad Aash (Flash drive) Riesgo Ingeniera social
Ioregridad Acepracin del riesgo Amenaza
Cuando pensamos en seguridad, podemos comenzar por tomar en cuenca nuestras cosas personales.
Todos cenemos objetos que realmente nos importan, unos que seran difciles de reemplazar y otros
que tienen un gran valor seorimeoral. Tenemos cosas de las que no queremos que otras personas se
enceren, incluso algunas sin las cuales tampoco podramos vivir. Piense ahora en donde las guarda.
Podra ser en su casa, auromvil, escuela u oficina; en un locker, en una mochila o mal era o en otros
numerosos lugares. Piense en codo lo maJo que podra ocurrirle a sus cosas. Puede ser asaltado o
encontrarse en un desastre nat ural por ejemplo un incendio, un terremoto o una inundacin. De
cualquier manera desea proteger sus posesiones, sin importar de donde proviene la amenaza.
A un alto nivel, la seguridad es para proteger algo. En el caso de las cosas personales, se erara de
asegurarse que cierra con Uave la puerca al salir de la casa, acordarse de ll evar consigo la bolsa al sali r
de un restaurant o incluso asegurarse que ha escondido en la paree trasera de su automvil codos los
regalos que compr para los das de fiesta ames de regresar a la plaza comercial.
Muchos de los remas de seguridad acerca de los que hablaremos en esra leccin se reducen al
mismo sentido comn que utilizamos todos los das para proteger nuestras cosas. En el entorno
empresarial, sin embargo, lo que estamos protegiendo son recursos, informacin, sistemas y redes,
y podemos proteger estos objetos de valor mediante una variedad de herramientas y tcnicas sobre
las cuales hablamos en decaUe en este libro.
En esta leccin, comenzamos por lo bsico. Analizaremos algunos de los principios bsicos de un
programa de seguridad y as establecer la base para la comprensin de los remas ms avanzados que
se vern ms adelante en este libro. Tambin hablaremos acerca del concepto de seguridad fsica,
la cual es esencial no nicamente para asegurar los recursos fsicos, sino tambin los recursos de
informacin. Cuando terminemos, tendr una buena idea de cmo proteger efectivamente las cosas
necesarias en codos los aspectos de la vida.
2 Leccin 1
Introduccin a la Seguridad
-!- EN RESUMEN
Ames de empezar a asegurar su enrorno, es necesario rener una comprensin fundamenral de los concepros estndar
de seguridad. Es fcil comenzar a comprar firewalls, pero hasta que encienda qu es lo que trata de proteger, por qu
necesita estar protegido y de qu lo est protegiendo, nicamenre est tirando su dinero a la basura.
0 listo para la
Certificacin
Puede enumerar
y describir lo que
representa CIA en
lo que se refiere a
seguridad?
-1.1
Cuando se trabaja en el campo de seguridad de la informacin, una de las primeras siglas
con las que nos encontraremos es CIA - pero no hay que confundirlas con la agencia
gubernamenral con Las mismas siglas. Ms bien, en esce contexto, CIA representa los
objetivos bsicos de un programa de seguridad de la informacin:
Confidencialidad
Integridad
Disponibilidad
..,. Qu es la confidencialidad
Referencia Cruzada
la leccin 2 contiene
ms detalles acerca
de una encriptacin
de alta seguridad, una
fuerte autenticacin y
estrictos controles de
acceso
*Tome Nota
Clasifique su
informacin y sus
activos (es la nica
manera en que
puede protegerlos
eficazmente)
Confidet7citdidad es un concepto con el que tratamos con frecuencia en la vida real.
Por ejemplo, esperamos que nuestros mdicos mantengan nuescros expedientes como
confidenciales y confiamos en que nuestros amigos mantengan nuestros secretos como
confidenciales. En el mundo de los negocios, definimos la confidencialidad como la
caracterstica de un recurso que asegura que el acceso est restringido para ser utilizado
nicamente por usuarios, aplicaciones o sistemas informticos autorizados. Pero, qu
significa esco en realmente? En pocas palabras, La confidencialidad se ocupa de mantener
la informacin, las redes y los sistemas seguros frente a cualquier acceso no autorizado.
La confidencialidad es particularmente crtica en el entorno actual. Recientemente, en
algunos casos de airo perfil, diversas empresas importantes han filtrado informacin
personal de algunos individuos. Escas violaciones de la confidencialidad estuvieron en las
noticias en gran parte debido a que la informacin filtrada podra ser utilizada para llevar
a cabo el robo de identidad de las personas cuya informacin habfa sido diseminada.
Existen varias tecnologas que apoyan la confidencialidad en la implementacin de
seguridad en una empresa. Escas incluyen:
Una encri pcacin de alea seguridad
Una fuerce autenticacin
Estrictos controles de acceso
Ocro componente clave que se debe de tomar en consideracin al hablar de la
confidencialidad es cmo determinar qu informacin es considerada como privada.
Algunas clasificaciones comunes de la informacin son "Pbli ca", ''nicamente para
Uso Interno .. , "'Confidencial (o privada)" y ''Estrictamente Confidencial". Tambin
podr observar la clasificacin "Privilegiado", la cual es uti lizada con frecuencia entre
abogados. De la misma manera, los militares muchas veces clasifican la informacin
como "'No Clasificada", "Restringida", "Confidencial". "Secreta" o "Ultra Secreta". Es ras
clasificaciones son utilizadas para determinar las medidas apropiadas para proteger La
informacin. Si su informacin no es clasificada, tendr dos opciones, puede proreger roda
su informacin como si fuera confidencial (una tarea costosa y de enormes proporciones)
o puede tratar roda su informacin como si fuera "Pblica" o "nicamente para Uso
Interno" y no comar medidas estrictas de proteccin.
Capas de Seguridad 3
lll> Qu es Integridad
En el contexto de seguridad de la informacin, la integridad es definida como la
consistencia, la precisin y la validez de los datos y la informacin. Uno de los objetivos
de un programa ex.icoso de seguridad para la informacin, es asegurar que la informacin
est protegida frente a cualquier cambio no autorizado o accidental. Por lo canco, un
programa de seguridad debe incluir procesos y procedimiencos para manejar cambios
intencionales, as como la capacidad para detectar cambios. Algunos de los muchos
procesos que se pueden urilizar para asegurar eficazmence la incegridad de la informacin
incluyen la autenticacin, la autorizacin y la audicora. Por ejemplo, puede urilizar
derechos y aurorizaciones para concrolar quin puede tener acceso a cierta informacin o
recursos. Tambin puede utilizar una funcin Hash (una funcin matem<tica) que puede
ser calculada con relacin a la informacin o a un mensaje ames y despus de un periodo
determinado de tiempo para mostrar si la informacin ha sido modificada durante ese
tiempo en especfico o puede utilizar un sistema de auditora o rrazabilidad que registra
cuando se hao producido cambios.
lll> Qu es Disponibilidad
Disponibilidad es el tercer principio bsico de la seguridad y describe un recurso que es accesible para
un usuario, una aplicacin o sistema informtico cuando es requerido. En otras palabras, disponibilidad
significa que cuando un usuario necesita obtener informacin, l o ella tienen la capacidad de obtenerla.
Por lo general, las amenazas a la disponibilidad son de dos tipos: accideoral y deliberada. Las amenazas accidentales
incluyen desastres naturales cales como rormentas, inundaciones, incendios, corees de energa elctrica, terremotos,
ecc. Esta categora tambin incluye corees debidos a fallas en el equipo, problemas de sofrware y ocros problemas no
planeados relacionados con el sistema, la red o el usuario. La segunda categora (amenazas deliberadas) relacionadas
con cortes que son el resultado de la explotacin de una vulnerabilidad del sistema. Algunos ejemplos de este tipo
de amenaza incluyen ataques de denegacin de servicio o gusanos informticos que afectan a los sistemas vulnerables
y su disponibilidad. En algtmos casos, una de las primeras acciones que deber tomar despus de un corte, es
determinar la categora de ste. Las empresas manejan las interrupciones accidentales de manera muy diferente a las
interrupciones deliberadas.
lll> Amenazas y Administracin de Riesgos
La admrlisttacin de riesgos es el proceso mediante el cual se identifica, evala y se
da prioridad a las amenazas y los riesgos. Un t"esgo es definido generalmente como la
probabilidad de que ocurra un evento. En la realidad, las empresas slo estn preocupadas
por los riesgos que podran tener un impacro negarivo sobre el enromo informtico. Por
ejemplo, existe una probabi lidad de que pudiera ganar la lotera el viernes, pero esto no es
un riesgo que su empresa aborde de manera activa, porque sera algo positivo. Ms bien,
su empresa podra estar ms preocupada por el tipo especfico de riesgo que se conoce
como una amenaza, el cual es definido como una accin o suceso que pudiese resultar en
la violacin, corte o corrupcin de un sistema mediante la exploracin de vulnerabilidades
conocidas o desconocidas. Generalmente, cuando alguien se refiere a la administracin de
riesgos, se est enfocando en esre tipo de riesgo negativo. El objetivo de cualquier plan de
administracin de riesgos es el de eliminar las amenazas siempre que esto sea posible y el
de minimizar las consecuencias de las que no pueden ser eliminadas. El primer paso para
la creacin de un plan para la administracin de riesgos es llevar a cabo una evaluacin.
Las evaluaciones de riesgos generalmente se utilizan para identificar los peligros que
pudieran tener un impacto sobre un enromo en particular.
4 Leccin 1
Tome Nota
En un entorno desarrollado de evaluacin de riesgos es comn registrarlos, debido a que
su oportuna documentacin proporciona un mecanismo formal para revisar sus impactos,
controles y cualquier otra informacin requerida por el programa de administracin de
riesgos.
Una vez que ha terminado su evaluacin e identificado sus riesgos, es necesario que
valore cada riesgo en busca de dos facrores; primero, debe determinar la probabilidad
de que un riesgo pudiese ocurrir en su entorno, por ejemplo, es mucho ms probable
que un tornado ocurra en Oklahoma que en Vermont. No es muy probable que caiga
un meteorito en algn lugar, sin embargo, es un ejemplo que se utiliza comnmente
para representar la prdida rora! de una instalacin, al hablar de riesgos. Una vez que
ha determinado la probabilidad de un riesgo especfico, debe determinar el impacto que
ese riesgo rendra sobre su entorno. Por ejemplo, un virus en la estacin de trabajo de un
usuario generalmenre tiene poco impacto sobre la empresa (an cuando s consriruye un
aleo impacto para el usuario). Un virus en su sistema financiero ti ene un impacto general
mucho mayor, aunque se espera que sea una probabilidad mucho menor.
Una vez que ha evaluado sus riesgos, llega el momento de darles una prioridad. Uno de los
mejores mecanismos para ayudarle a establecer prioridades, es la creacin de una matriz
de riesgos, la cual puede ser utilizada para determinar una clasificacin de amenaza global.
Una matriz de riesgos debe incluir los siguientes elemenros:
El riesgo
La probabilidad de que realmente ocurra el riesgo
El impacto del riesgo
Una punruacin coral de riesgo
El dueo del proceso afectado (persona, equipo o departamento) por el riesgo
Los principios de seguridad bsicos afectados por el riesgo, confidencialidad,
integridad y/o disponibilidad.
La estrategia o estrategias apropiadas para hacer frente al riesgo.
Algunos campos adicionales que podran ser de utilidad en su registro de riesgos son los
siguienres:
U na fecha cuando el riesgo que debe ser abordado
Documenracin con relacin al riesgo residual (p. ej., el riesgo que queda despus
de que se han cornada las medidas para reducir la probabilidad o minimizar el
efecco de un evento).
El esrarus de la estrategia o estrategias que se utilizan para abordar el riesgo; esro
puede incluir indicadores cales como "Planeacin" "en Espera de Aprobacin",
"Jmplemenracin" y "Completo".
Una forma sencilla para calcular una puntuacin coral de riesgo es la de asignar valores
numricos a su probabilidad e impacto. Por ejemplo, puede clasificar la probabilidad y el
impacto sobre la base de una escala de 1 al 5, donde 1 equivale a una baja posibilidad y 5
equivale a un airo impacco. A conrinuacin, puede multiplicaren conjunro la probabilidad
y el impacto para generar una puntuacin total de riesgo. Mediante la clasificacin de
mayor a menor, cuenca con un mtodo fcil para dar una prioridad inicial a sus riesgos.
A continuacin, debe repasar los riesgos especficos para determinar el orden final en que
desea abordarlos. En esre punto, es posible que se encuentre con factores externos, cales
como coseos o recursos disponibles, que afecten sus prioridades.
Capas de Seguridad 5
Una vez que ha dado prioridad a sus riesgos, est lisco para elegir emre las cuacro respuescas
generalmeme acepcadas para stos. Estas incluyen:
Evitar
Aceptar
Mitigar
Transferir
Evitar riesgos es el proceso de eliminar una probabilidad al optar por no participar en
una accin o actividad. Un ejemplo de evitar riesgos es cuando una persona que sabe
que existe una posibilidad de que el valor de una accin pudiera caer, decide evitar el
riesgo al no comprar la accin. Un problema que surge cuando evitamos un riesgo es que
con frecuencia hay una recompensa asociada al mismo, por lo tamo, si evita el riesgo,
tambin est evitando la recompensa. Por ejemplo, si la accin en el ejemplo anterior fuese
a triplicar su precio, el inversionista con aversin al riesgo perdera la recompensa debido
a que quiso evitarlo.
Aceptm riesgos es el acto de identificar, para posteriormente tomar una decisin informada
de aceptar la probabilidad y el impacto de un riesgo especfico. Para utilizar nuevamente
el ejemplo de la actividad, el aceptar riesgos es el proceso mediante el cual un comprador
analiza cabal menee a una empresa en cuyas acciones esr interesado y despus de considerar
esta informacin, coma la decisin de aceptar el riesgo de que pudiese caer el precio de
esra.
Mitigar el riesgo consiste en romar medidas para reducir la probabilidad o el impacro de
un riesgo. Un ejemplo comn de mitigacin es el uso de discos duros redundantes en un
servidor. En todos los sistemas existe el riesgo de una falla del disco duro. Mediame el uso
de una arquitecrura de matriz redundame de discos, puede mitigar el riesgo de una falla
en una de las unidades al tener un disco de respaldo. Eo ocras palabras, aunque cuando el
riesgo contina exist iendo, sus acciones lo han reducido.
Transferir el tiesgo es el acto de romar medidas para pasar la responsabilidad por uo
riesgo a un tercero medianre un seguro o una subcontratacin. Por ejemplo, existe un
riesgo que pueda sufrir un accidente al estar conduciendo su auromvil. As, transfiere
ese riesgo al adquirir un seguro, de manera que en caso de un accidente, su compaa de
seguros es la responsable por pagar la mayora de los coseos relacionados con el accidente.
Como se mencion anteriormeme, ocro concepto importante en la administracin de
riesgos es el tiesgo residual. El riesgo residual es la amenaza que queda despus de que se
han romados medidas para reducir la probabi lidad o minimizar el efecto de un evemo en
particular. Para cominuar con el ejemplo del seguro del auromvil, su riesgo residual en el
caso de un accideme sera el deducible que debe pagar ames que su compaa aseguradora
se haga cargo de la responsabilidad por el resto del dao.
Tome Nota
Existen muchas diferentes maneras para identificar, evaluar y dar prioridad a los riesgos.
No existe una manera correcta. Utilice las tcnicas que mejor se adapten a su entorno y sus
necesidades.
Ahora, como paree de nuestro anlisis de riesgo, tambin debemos de tener en cuenca
dos concepcos finales que le ayudarn a encender los fundamenros de los principios de
seguridad y de adminiscracin de riesgos: el principio de mnimo privilegio, y la idea de
una superficie de ataque.
6 Leccin 1
~ Principio de Privilegio Mnimo
El principio de pri-vilegio m1ltno es una disciplina de seguridad que requiere que un
usuario, un sistema o una aplicacin en panicular no reciba ms privilegio que el necesario
para llevar a cabo su funcin o su trabajo. Esco suena como un enfoque con sencido comn
para asignar aucorizacin, y cuando se ve en el papel, as es. Sin embargo, cuando se
comienza a aplicar este principio en un encarno de produccin complejo, se vuelve mucho
ms difciL
El principio de privilegio mnimo ha sido un elemenco bsico en el campo de la seguridad
durance varios aos, y muchas organizaciones han tenido dificultades para implementarlo
con xico. Sin embargo, con el mayor enfoque hacia la seguridad que existe en la
accualidad, canco desde el punto de vista comercial como regularorio, las empresas se
estn esforzando ms arduamente que nunca para construir sus modelos en corno a este
principio. Los requisitos reglamentarios de Sarbanes-Oxley, HIPAA, HITECH y diversos
reglamentos estatales, aunados a un mayor enfoque hacia las pncricas de seguridad de sus
socios de negocio, proveedores y consulcores estn impulsando a las empresas a invert ir en
herramientas, procesos y otros recursos para garancizar el cumplimiento de este principio.
Pero por qu un principio que parece can sencillo en el papel es can difcil de implementar
en la prctica? El reco est relacionado principalmente con la complejidad el entorno
tpico de trabajo. Es fci l visualizar la apl icacin del principio de privilegio mnimo para
un solo empleado. Sobre una base fsica, el empleado necesita tener acceso al edificio donde
trabaja, a cualquier rea comn y a su oficina. Lgicamente, el empleado tambin necesita
poder iniciar sesin en su computadora, tener acceso a algunas aplicaciones centralizadas
y tener acceso a un servidor de archivos, una impresora y un sitio web interno. Ahora
imagine a ese usuario multiplicado por mil e imagine que codos esos empleados trabajan
en seis oficinas diferentes. Algunos necesitan tener acceso a las seis oficinas, mientras que
otros nicamente necesitan tener acceso a su propia oficina. Otros ms necesitan tener
acceso a subconjuntos especlicos en las seis ubicaciones; por ejemplo, es posible que
requieran tener acceso a las dos oficinas en su regin, o tal vez requieran tener acceso a los
ceneros de daros para poder proporcionar soporte de TI.
En esta siruacin, en lugar de un solo conjunto de requisitos de acceso, ahora cuenca con
mltipl es deparramenros con diferentes requisitos de aplicacin. Tambin tiene diferentes
tipos de usuarios, que varan desde usuarios '' regulares .. hasta usuarios avanzados para los
administradores; por lo tanto, debe determinar, no nicamente el tipo de usuario que es
cada empleado, sino tambin cules son las aplicaciones internas a los cuales tendr acceso.
A esta mezcla deben agregarse nuevas contrataciones, empleados que son transferidos o
ascendidos y empleados que salen de la empresa, y puede comenzar a darse cuenca cmo
asegurarse que cada empleado cuence con la mnima cantidad de acceso que requiere para
desempear su trabajo, puede ser una act ividad que consume mucho tiempo.
Pero espere, no hemos acabado. Adems de las autorizaciones fsicas y de usuario, tambin
debe de ser consciente que en muchos entornos de Tl, ciertas apli caciones requieren
de acceso a daros y/u otras aplicaciones. Por lo canco, para cumplir con el principio de
privilegio mnimo, debe asegurarse que estas aplicaciones cuenten con el mnimo acceso
necesario para funcionar adecuadamente. Esto puede ser sumamente difcil cuando se
trabaja en un entorno de Microsoft Active Direccory, debido a la detallada aucorizacin
incluida en l. El determinar qu autorizaciones requiere una aplicacin para funcionar
adecuadamence con Active Direccory puede ser un gran reto.
Para complicar an ms las cosas, en industrias en Las cuales hay una incensa regulacin,
como por ejemplo en Jos mbicos mdicos o financieros, o cuando las regulaciones como
Sarbanes-Oxley estn en vigor, hay requisicos adicionales que estipulan que se debe llevar
*Tome Nota
Una perfecta
implementacin del
principio de privilegio
mnimo es muy poco
comn. Tpicamente, lo
que se puede esperar
es el mejor esfuerzo
y lo que sea posible
lograr
Capas de Seguridad 7
regularmenre una auditora para asegurar que se han implemenrado con xi to y se han
validado privilegios en coda la empresa.
Una explicacin detallada acerca de cmo implementar y maocener el princtpto de
privilegio mnimo est ms all del alcance de este libro, pero hay algunas herramienras y
estrategias de aleo nivel de las cuales debemos ser conscienres, incluyendo las siguienres:
Grupos: Los grupos nos permiten concentrar lgicameme a los usuarios y las aplicaciones
de manera que las aucorizaciones no sean empleadas sobre una base de usuario por usuario
o aplicacin por aplicacin.
Mltiples cuentas de usuarios para los administradores: Los administradores
son uno de los mayores recos en la implemenracin del pri ncipio de privilegio
mnimo. Generalmente, los admini stradores tambin son usuarios, y muy pocas
veces es una buena idea que lleven a cabo sus careas diarias como un administrador.
Para hacer frente a esce problema, muchas empresas emiten dos cuencas para sus
administradores, una para su papel como usuario de las aplicaciones y sistemas de
la empresa, y el otro para su papel de administrador.
Estandarizacin de cuentas: La mejor manera de simplificar un en corno complejo
es la de estandarizar un nmero limitado de tipos de cuenca. Cada diferente cipo
de cuenta permitido en su enromo agrega un orden de magnitud a su estrategia de
gestin de aurorizaciones. El estandari zar un con junco limitado de tipos de cuenca,
hace que su trabajo sea ms fcil.
Aplicaciones de terceros: Ha sido di seada una variedad de herrami enras de
terceros para hacer ms sencilla la administracin de autorizaciones. stas van
desde aplicaciones para la administracin del ciclo de vida, hasta aplicaciones
de auditora, hasta aplicaciones de firewalls .
..,.. Superficie de Ataque
Un concepto final que se debe enfrentar al evaluar la seguridad de nuestro enromo es el
de una superficie de ataque. Con respecco a sistemas, redes y aplicaciones, sta es otra
idea que ha existido desde hace bascanre tiempo. Una superficie de ataque consiste en un
conjunco de mtodos y vas que un at acante puede utilizar para penetrar a un sistema y,
potencialmence, ocasionar daos. Entre mayor sea la superficie de ataque de un entorno en
particular, mayor ser el riesgo de un ataque exitoso.
Para calcular la superficie de ataque de un enromo, a menudo, la forma ms sencilla es la
de dividir la evaluacin en rres componentes:
Aplicacin
Red
Empleado
Al evaluar la superficie de ataque de una aplicacin, es necesario observar cosas tales como:
La cantidad de cdigo en LLOa aplicacin
El nmero de enrradas de daros en una aplicacin
El nmero de servicios en ejecucin
Los puerros que la aplicaci6n est escuchando
De la misma manera, al evaluar la superficie de ataque de la red, debemos tomar en
consideracin lo sigLence:
Diseo general de la red
Colocacin de los sistemas crticos
8 Lecci n 1
Colocacin y conjuntos de reglas en los firewalls
Orros dispositivos de seguridad relacionados con la red, cales como IDS, VPN, ere.
Finalmente, al evaluar la superficie de ataque del empleado, debemos tomar en
consideracin los siguienres facrores:
El riesgo de la ingeniera social
La posibilidad de errores humanos
El riesgo de un comporramienro malicioso
Una vez evaluados esros eres tipos de superficie de ataque, conraremos con una slida
comprensin del coral de las superficies de araque presenradas por su entorno, as como la
manera en que un aracanre podra rrarar de poner en peligro su entorno .
..,. Qu es la Ingeniera Social
Como ya hemos mencionado anteriormente, uno de los factores clave que se debe de tomar
en consideracin al evaluar la superficie de araque de un empleado es el riesgo de un ataque
de ingeniera social. La ingenieda socal es un mtodo uti lizado para obtener acceso a
daros, sistemas o redes, principalmente a travs de falsificaciones. Est tcnica esr basada
tpicamente en la naturaleza confiada de la persona que est siendo atacada.
En un ataque de ingeniera social tpico, el atacante tratar de parecer lo ms inofensivo o
respetuoso posible. Esros ataques pueden ser perpetrados en persona, por medio del correo
electrnico o por va telefnica. Los aracanres intentarn diversas tcnicas, desde pretender
ser un servicio de asistencia o un empleado del departamento de soporte tcnico, diciendo
que es un nuevo empleado, o, en algunos casos, hasta llegan a presentar una credencial que
los identifica como empleado de la empresa.
Generalmente, estos atacantes harn una serie de preguntas en un intento por identificar
posibles vas que puedan ser explotadas durante un ataque. En caso que no reciba suficiente
informacin de un empleado, pueden ponerse en contacto con otros empleados, hasta
contar con la informacin suficiente para la siguiente fase de un ataque.
Para evitar los ataques de ingeniera social, recuerde las siguientes tcnicas:
Desconfe: Llamadas telefnicas, correos electrnicos o visitantes que hacen
preguntas acerca de la empresa, sus empleados u otra informacin interna deben
ser tratados con extrema desconfia nza, y en caso de ser apropiado, reportados al
personal de seguridad.
Verifique la identidad: Si recibe consul tas acerca de las cuales no est seguro,
veri fique la identidad del solicitante. Si una persona que ll ama por telfono
hace preguntas que parecen extraas, intente obtener su nmero telefni co para
devolver la llamada. A continuacin, verifique que el nmero telefnico que le han
proporcionado procede de una fuente legtima. De la misma manera, si alguien
se le acerca con una tarjeta de presentacin como identificacin, solicite que le
muestre una identificacin con fotografa. Es muy sencillo imprimir tarjetas de
presentacin, y son an ms sencillas de obtener tomndolas del cazn de "Gane
una Comida Gratis'" en un restaurante local.
Sea cauteloso: No proporcione informacin confidencial a menos que est seguro,
no nicamente de la identidad de la persona, sino tambin de su derecho de poseer
la informacin.
No ut ili ce el correo electrnico: El correo electrnico es inherentemente poco
seguro y propenso a una variedad de tcnicas de suplantacin de direcciones. Por lo
ranto, no revele informacin personal o financiera mediante un correo electrnico
Capas de Seguridad 9
(sea particularmente cauteloso al proporcionar esta informacin despus de seguir
enlaces a la web incorporados en un correo electrnico). Un truco muy comn es
el de incorporar un el enlace de bsqueda en un correo electrnico, posiblemenre
ofreciendo LLn premio o participacin en una rifa y a conrinuacin haciendo
preguntas acerca del entorno informtico tales como "Cuntos firewalls ha
implementado?" o "Qu proveedor de firewall usa?" Los empleados estn tan
acostumbrados a ver este tipo de peticiones de encuesta en su bandeja de entrada,
que rara vez piensan dos veces ames de responder a ellas.
Tome Nota
La clave para frustrar un ataque de ingeniera social es la concientizacin de los empleados.
Si sus empleados saben de lo que se deben cuidar, un atacante tendr muy poco xito .
..,. Vinculacin del Costo con la Seguridad
Hay algunos puntos que debemos tener en cuenta al desarrollar un plan de seguridad.
Primero, la seguridad cuesta dinero. Por lo general, entre ms dinero se gasea, ms segura
estar nuestra informacin o nuestros recmsos (hasta cierro punto). Por la canco, al analizar
los riesgos y las amenaz.as, debemos romar en consideracin qu can valiosa es cierra
informacin o recursos confidenciales para la empresa y cunto dinero estamos dispuesros
a gasear para proteger esa informacin o recursos.
Adems de tomar en consideracin el costo, tambin deber esforzarse para que las medidas
de seguridad sean lo ms sencillas posibles para los usuarios autorizados que tienen acceso
a la informacin o el recurso confidencial. Si la seguridad se convierte en una carga pesada,
los usuarios a menudo buscarn mrodos para eludir las medidas que ha establecido. Por
supuesto, la capacitacin es un gran adelanto para proteger su informacin y recursos
confidenciales, porque le muescra a los usuarios cules son las seales de alerta a las que
deben prestar atencin.
10 Leccin 1
Tomar en Cuenta la Seguridad Fsica como la
Primera Lnea de Defensa
w EN RESUMEN
Hay una serie de factores que se deben tomar en consideracin al disear, implementar o revisar las medidas de
seguridad fsicas que se han tomado para proteger los activos, los sistemas, las redes y la informacin. Estos incluyen,
encender la seguridad del sirio y la seguridad informtica; asegurar las unidades y dispositivos extrables; controlar el
acceso; la seguridad de dispositivos mviles; deshabilitar la capacidad para I nicio de Sesin Local, y la identificacin
y remocin de los keyloggers.
~ Listo para la
Certificacin
Por qu es tan
importante la
seguridad fsica
para un servidor, an
cuando se necesita de
nombres de usuario y
contraseas para tener
acceso a l?
- 1.2
La mayora de los negocios ejercen algn nivel de control sobre quin tiene derecho a tener
acceso a su entorno fsico. Al asegurar activos y daros relacionados con la informtica, hay
una tendencia de ver nicamente el mundo virtual, prescando poca atencin al rema de
la seguridad fsica. Sin embargo, si trabaja para una empresa grande en una ubicacin
con un cenero de daros, podr ver lectores de tarjetas y/o teclados para acceder al edificio
y a cualqui er rea segura, junco con personal de seguridad y cal vez hasta bitcoras para
controlar y rastrear a las personas que entran al edificio. Las llaves de la ofi cina y las llaves
del cajn del escritorio proporcionan ocra capa ms de seguridad. En las oficinas ms
pequeas, pueden exisci r medidas simi lares, aunque en menor escala.
Tome Nota
En caso que alguien obtenga acceso a un servidor en el cual se almacenan datos
confidenciales, si cuenta con las herramientas apropiadas y el tiempo suficiente, esa persona
puede eludir cualquier seguridad utilizada por el servidor para proteger la informacin.
Esce enfoque de varias capas para la seguridad fsica es conocido como defensa en
profundidad o enfoque de seguridad por capas. Asegurar un lugar fsico es ms que
nicamente colocar una cerradura en la puerca de adelante y asegurarse de utilizar esa
cerradura. Ms bien, es un reto muy complejo para cualquier profesional de la seguridad.
Tome Nota
La seguridad no termina con la seguridad fsica. Tambin es necesario proteger la informacin
confidencial mediante tecnologa basada en la autenticacin, la autorizacin y la auditora -
incluyendo el uso de derechos, permisos y encriptado .
.,.. Comprender la Seguridad del Sitio
La seguridad del sirio es un rea especializada de la disciplina de la seguridad. El propsito de esta seccin es el de
introducir algunos de los conceptos y tecnologa ms comunes con las que nos podemos encontrar al trabajar en el
campo de la seguridad.
Comprender el Control de Acceso
Antes de entrar en detalle en la seguridad del sirio, primero debe comprender lo que
significa el crmino "control de acceso. El Coutrol de acceso es un concepto clave al pensar
en la seguridad fsica. Tambin es un poco confuso, ya que frecuentemente escuchar la
frase cuando se habla de seguridad de la informacin. En el concexro de la seguridad fsica,
Figura 1-1
Modelo de la seguridad
en capas para el sitio
Capas de Seguridad 11
es el proceso de restringir el acceso a un recurso siendo ste nicamente para los usuarios
autorizados, aplicaciones o sistemas informativos.
Si lo piensa bien, probablemente podr dar varios ejemplos cotidianos de control de acceso.
Por ejemplo, cuando cierra una puerca y le echa llave, est llevando a cabo uno. Cuando
utiliza una reja para beb y as evitar que se caiga por la escalera, est practicando control
de acceso. De la misma manera, cuando coloca una barda alrededor de su patio para evitar
que el perro pise las flores de su vecino, lo est aplicando.
La diferencia entre el control de acceso que practica en su vida cotidiana y el control de
acceso con el que se encontrar en el mundo de los negocios, es la naturaleza de lo que est
protegiendo y las tecnologas con las que cuenta para asegurarlo. Veremos estos temas en
mayor detalle durante el resro de la leccin.
Como ya hemos mencionado, la seguridad del sitio involucra la proteccwn de las
instalaciones fsicas. Un concepto fundamental que se usa al disear un entorno de
seguridad es el de la defensa a profundidad. La Defensa a profttndidad significa la
utilizacin de mltiples capas de seguridad para proteger sus activos. De esta manera, an
si un atacante viola una capa de defensa, cuenta con capas adicionales para mantener a esa
persona fuera de las reas crricas de su entorno.
Un sencillo ejemplo de la defensa a profundidad con el que probablemente se ha topado en
el ''mundo real" es una habitacin de hotel que contiene una maleta cerrada con llave. Para
entrar a la habitacin de horel, debe introducir su llave. Despus de haber llevado a cabo
esta carea, hay un cerrojo que se debe pasar. Y una vez que ha pasado del cerrojo, rodava
queda por abrir la cerradura de la maleta.
Ms all de la idea de la defensa a profundidad, existen otros objetivos que se deben tener
en mente al disear un plan de seguridad fsica:
Autenticacin: La seguridad del sitio debe abordar la necesidad de identificar y
autenticar a las personas a quienes se les permjte el acceso a un rea.
12 Leccin 1
Control de Acceso: Una vez que se ha comprobado y autenticado la identidad de
una persona, la seguridad del sirio debe determinar cules son las reas a las que
esa persona tiene acceso.
Auditora: La seguridad del sitio tambin debe proporcionar la capacidad de
auditar las actividades que se llevan a cabo dentro de la instalacin. Esto se puede
hacer mediante la revisin de los videos de las cmaras, bitcoras de los lectores
de tarjetas, bitcoras del registro de visitantes, u otros mecanismos.
Para los fines de esm leccin, dividiremos las instalaciones fsicas en tres reas lgicas:
El permetro exterior : Constituye el rea ms externa de la instalacin. Esto
generalmente incluye los caminos de entrada, los estacionamientos y cualquier
rea verde alrededor de la instalacin. Esto no incluye espacios tales como la va
pblica.
El permetro interno: Consiste de cualquier edificio que se encuentre en las
instalaciones. Si hay varios inqui linos, su pedmetro interno est restringido
nicamente a los edificios que ocupa.
reas Seguras: Son las ubicaciones dentro del edilicio que cuentan con restricciones
de acceso y/o medidas de seguridad adicionales. Estas pueden incluir centros de
daros, cuartos para el control de la red, armario de cableado, o departamentos tales
como Investigacin y Desarrollo o Recursos Humanos.
Comprender la Seguridad del Permetro Exterior
La seguridad del permetro exterior es la primera lnea de defensa que rodea a su oficina.
Sin embargo, las medidas de seguridad en esta rea probablemente son las que ms varan
en comparacin con cualquier orco espacio acerca del cual vamos a hablar. Por ejemplo,
si est tratando de proteger instalaciones gubernamentales ultra secretas, su parmetro
de seguridad del permetro exterior muy probablemente consistir de varias bardas,
patrullas de vigilancia, minas terrestres y todo tipo de medidas que no se ven en el mundo
corporativo. Por otra parre, si su oficina se encuentra en un parque de oficinas que cuenta
con mltiples inquilinos, la seguridad del permetro externo nicamente consistir de
alumbrado pblico. La mayora de las empresas estn en algn lugar intermedio. Las
medidas de seguridad comunes que podr encontrar con respecto al permetro externo de
una empresa incluyen las siguientes:
Cmaras de seguridad
Alumbrado en el estacionamiento
Barda alrededor del permetro
Puerta con vigilancia
Puerta de acceso con lector de tarjeta de identificacin
Patrullas de vigilancia
Un reto relacionado con las cmaras de seguridad es que estas nicamente son tan buenas
como las personas que las estn monitoreando. Debido a que las cmaras de moniroreo
requieren de un uso intensivo de recursos, en la mayora de los entornos de oficina no
hay ninguna persona que las est observando activamente. En vez de eso, las cmaras son
utilizadas despus de que ha ocurrido un incidente, para determinar qu fue lo que sucedi
o quin es el responsable.
Tome Nota
Pruebe regularmente la capacidad de reproduccin de su cmara. Debido a que casi siempre
se utilizan para revisar los eventos despus de que han ocurrido, debe estar seguro que su
sistema est grabando correctamente toda la informacin.
Capas de Seguridad 13
Comprender el Permetro Interno
El permetro interno de seguridad comienza con las paredes y las puercas exteriores del
edificio e incluye todas las medidas de seguridad, a excepcin de las reas seguras dentro
del edificio. Algunas de las caractersticas que puede utilizar para asegurar un permetro
interno son las siguientes:
Cerraduras (en puerras exteriores, puertas interiores, puerras de oficina, escrirorios,
archiveros, etc.)
Teclados OLLmricos
Cmaras de seguridad
Lectores de tarjetas (en las puertas y los elevadores)
Escritorios de vigilancia
Patrullas de vigilancia
Detectores de humo
Torniquetes
Cepos
Las medidas clave de seguridad implementadas en el permetro interno son aquellas
que son utilizadas para dividir el espacio interno en segmenros discretOs. Esra es una
implementacin fsica del principio de privi legio mnimo. Por ejemplo, si la oficina de
una empresa incluye departamentos de finanzas, de recursos humanos y de ventas, no sera
poco comn el restringir el acceso al deparramento de finanzas a nicamente aquellas
personas que trabajan en l. Generalmente no se necesita que el personal de recursos
humanos est en el rea de finanzas. Estos tipos de segregaciones pueden ser utilizados en
los pisos, las reas, o an en series de oficinas dependiendo de la distribucin fsica.
Definicin de las reas Seguras
Las reas seguras dentro de una oficina incluirn lugares como un centro de daros, el
departamento de investigacin y desarrollo, Lm laboratorio, un cuarto de cableado
telefnico, un cuarto con sistema de red o cualquier otra rea que requiera de controles
adicionales de seguridad, no nicamente para restringir a los atacantes externos, sino
tambin para limitar el acceso de los empleados internos. Las tecnologas de seguridad
para un rea incluyen lo siguiente:
Lectores de tarjetas
Teclados numricos
Tecnologas biomrricas (p.ej., escneres de huellas digitales, escneres de retina,
sistemas de reconocimiento de voz, etc.).
Puertas de seguridad
Escneres de rayos X
Deteccores de Metales
Cmaras
Sistemas de deteccin de intrusos (rayo de luz, luz infrarroja, microondas, y/o
ultrasnico)
14 Leccin 1
*Tome Nota
Hay cmaras
disponibles en
casi todos los
telfonos celulares
que se encuentran
actualmente en el
mercado. Si necesita
asegurar que esas
cmaras no sean
util izadas en sus
instalaciones, organice
un plan para que se
recojan los telfonos
en la puerta o para
deshabilitar la funcin
de cmara
Tome Nota
Las oficinas ms pequeas, que no estn ocupadas durante la noche, pueden aprovechar
los sistemas de monitoreo remoto y deteccin de intrusos en su permetro interno. Las
instalaciones ms grandes generalmente tienen alguna actividad que ocurre durante la noche
y los fines de semana, lo que hace que el uso de estas tecnologas sea ms complicado.
Procesos de Seguridad del Sitio
An cuando la recnologa es un componente imporranre de la seguridad fsica de una
empresa, los procesos que se ponen en marcha para apoyar esta tecnologa, son igual de
crticos. En realidad, debe tener esros procesos en codos los niveles de su sirio.
En el permetro externo, puede contar con un proceso para administrar la entrada al
estacionamiento a travs de una reja, o puede existir un proceso de qu tan a menudo
las patrullas de vigilancia cuidan el estacionamiento. Se debe incluir en estos procesos la
manera en que se documentarn los hallazgos, se vigilarn las entradas y las salidas y se
responder a los incidenres. Por ejemplo, el proceso de la ronda de vigilancia debe incluir
instrucciones acerca de cmo hacerse cargo de un automvi l que no se encuentra cerrado o
de una persona sospechosa, o con la mayor concientizacin, de posibles ataques cerrorisras
o cmo manejar un paquete abandonado.
En el permetro interno, puede contar con procesos que incluyan procedimienros para
recabar la firma de visitantes, paca la remocin de equjpo, rotacin de la vigilancia o para
cuando la puerta principal no es cerrada con llave. Probablemenre tambin debe conrar
con procesos para administrar las entregas, de cmo o cuando escoltar a visicanres dentro
de las instalaciones, y an acerca de qu ripo de equipo puede ser inrroducido al edificio.
Por ejemplo, muchas empresas prohben la inrroduccin de equipo personal a la oficina,
debido al riesgo de que un empleado pudiera utilizar su computadora personal para robar
informacin valiosa de la compaa.
Una vez que ha alcanzado la capa de rea segura, general menee conrar con procedimienros
para controlar a quin le est permitido enrrar al cenero de daros y de qu forma tendrn
acceso a l. Adicionalmente, comar con una variedad de mecani smos para asegurar que se
otorgue el acceso nicamenre a las personas aurorizadas, incluyendo cuartos cerrados con
llave, dispositivos biomrricos, cmaras y vigilanres de seguridad.
IJl> Seguridad Informtica
La seguridad informtica consiste en los procesos, procedimientos, polti cas y tecnologa
utilizados para proteger el sistema de informti ca. Para los fines de este captulo, la
seguridad informtica se referir nicamente a la proteccin fsica de las computadoras;
veremos orcas faceras de la seguridad informtica a lo largo del resto de este libro.
Adems de las diversas merudas de seguridad fsica que ya hemos descrito, existen algunas
herramientas adicionales que pueden ser utilizadas para proteger las computadoras en
uso. Sin embargo, ames de hablar acerca de estas herrami entas, primero tenemos que
diferenciar entre los eres principales ripos de computadoras:
Servidores: Escos son compmadoras utilizadas para hacer funcionar las aplicaciones
centralizadas y para entregar esas aplicaciones a travs de una red. sca puede ser
una red interna (como la red de un negocio) o incluso el Inrernec (para acceso
pblico). La computadora que aloja su sirio web favorito es un excelente ejemplo
de un servidor. Los servidores generalmente estn configurados con capacidades
Capas de Seguridad 15
redundantes, que van desde discos duros hasta servidores con la completa inclusin
de dsteres.
Computadoras de escri torio: Estas computadoras generalmente se encuentran
en entornos de oficina, escuelas y hogares. El objetivo de estas computadoras es
ser utilizadas en un solo sitio y correr aplicaciones raJes como el procesamiento de
palabras, hojas de clculo, juegos y otros programas locales. Tambin pueden ser
utilizadas para interactuar con aplicaciones centralizadas o paca navegar por sitios
web.
Computadoras mviles: Esta categora incluye laptops, notebooks, tablets )'
netbooks. Estas mquinas son utilizada para los mismos tipos de funciones que una
computadora de escrirorio, pero han sido creadas para ser utilizadas en mltiples
ubicaciones (por ejemplo en el hogar y en la oficina). Debido a su tamao ms
pequeo, las computadoras mviles alguna vez fueron menos potentes que las
computadoras de escritorio, pero gracias a los avances en las tecnologas de micro
procesamiento y almacenamiento, esta brecha se est reduciendo rpidamente.
Cada tipo de computadora (servidor, de escrirorio y mvi l) requiere de diferentes
consideraciones de seguridad fsica. Por ejemplo, al asegurar un servidor, lo primero que
se debe romar en consideracin es el lugar en donde estar ubicado. Generalmente, los
servidores son mucho ms caros que las computadoras de escritorio o las computadoras
mviles y son utilizados para correr aplicaciones crticas, por lo que los tipos de
seguridad que son uti lizados generalmente en los servidores estn basados en gran parte
en su ubicacin. Los servidores deben ser asegurados en centros de datos o cuartos de
computadoras, en donde se puede tener la ventaja de un cuarro cerrado con llave, cmaras,
y varias otras caractersticas de seguridad que han sido descritas en la leccin anterior.
Si no tiene la capacidad para colocar a un servidor en un cenero de daros o en un cuarro de
computadoras, debe uti lizar una de las siguientes tecnologas:
Cable de seguridad para la computadora: Es un cable que est conectado de la
computadora a un mueble o a la pared.
Gabinete 1 Rack de seguridad para l a computadora: Es un contenedor de
almacenamienro que est asegurado por una puerca que se cierra con llave.
Las computadoras de escrirorio generalmente estn aseguradas con el mismo tipo de
cables de seguridad para la computadora que se puede utilizar para los servidores. Las
computadoras muchas veces son utilizadas en entornos de oficina seguros o en los hogares
de las personas y no son especialmente costosas en comparacin con otras tecnologas. Por
lo tanto, la mayora de las empresas no toman medidas extraordinarias para proteger a las
computadoras de escritorio que se encuentran en sus oficinas.
Las computadoras porttiles, a diferencia de los servidores y las computadoras de escrirorio,
son altamente mviles, por lo que hay un conjunto de tecnologas nicas y ms prcticas
para proteger a estas mquinas de robo o dao. Algunos de esros mtodos se describen en
la siguiente seccin.
Entender la Seguridad de los Dispositivos Porttiles
Los dispositivos porttiles consricuyen uno de los mayores reros a los que se enfrenran en la
acrualidad los profesionales de la seguridad. Los disposicivos porttiles tales como laptops,
PDAs (asistentes digitales personales), los telfonos inteligentes, son uti lizados para
procesar informacin, enviar y recibir correo electrnico, almacenar enormes cantidades
de datos, navegar por el Internet, e interactuar de manera remota con redes y sistemas
internos. Cuando comamos en consideracin que se puede colocar una tarjeta de memoria
MicroSD de 32 GB (ver la Figura 1-2) en un telfono inteligente que un vicepresidente
16 Leccin 1
*Tome Nota
La seguridad de
una base docking
nicamente funciona
si la activa y se
asegura que est
fija a un objeto que
no puede moverse.
Muchas veces es
igual de sencillo robar
una laptop y su base
docking como lo es
robar nicamente la
laptop
ejecutivo puede utilizar para almacenar roda la informacin de investigacin y desarrollo
de la empresa, el potencial impacto para la compaa en caso que alguien llegase a robar
ese telfono es inimaginable. Como resultado de esto, la industria ofrece una canridad de
tecnologas para asegurar fsicamente los dispositivos porttiles, incluyendo las siguientes:
Base Docking: Casi rodas las estaciones de acoplamiento para computadoras
porttiles estn equipadas con caractersticas de seguridad. Estas pueden involucrar
una llave, un candado, o ambos, dependiendo del proveedor y del modelo.
Cables de seguridad para laprop: Utilizados junco con la USS (Ranura Universal
de Seguridad), es ros cables se conectan a la laptop y pueden ser enrollados alrededor
de un objeto fijo como por ejemplo un mueble.
Cajas fuertes para laptop: Estas son cajas fuertes de acero diseadas especialmente
para guardar una laprop y ser fijadas a una pared o a un mueble.
Software para la recuperacin de robos: Estas aplicaciones permiten rastrear a
una computadora robada para que pueda ser recuperada.
Alarma para laptop: Estas son alarmas sensibles al movimiento que suenan en
caso que una laprop sea movida. Algunas tambin estn diseadas conjuntamente
con sistemas de cables de seguridad de manera que suenen cada vez que se corre
el cable.
Los PDAs y los telfonos inteligentes generalmente son ms difciles de asegurar que
una laprop; puesto que consticuyen una tecnologa nueva que hace muy poco sale a la
popularidad, ni camente estn disponibles algunas herrami entas de seguridad limitadas.
Por el momento, se pueden configurar contraseas para proteger a estos dispositivos,
habilitar el cifrado y borrar remotamente los telfonos que son administrados por una
empresa. Algunos telfonos inteligentes y PDAs tambin incluyen componentes de
posicionamiento global que permiten rastrear su ubicacin.
Por supuesto, existen mejores prcticas (y s, stas se basan en el sentido comn) que pueden
ser implantadas al asegurar tanto las laptop como los PDAs o los telfonos inteligentes,
incluyendo las siguientes:
Mantenga su equipo siempre a La vist a: Debe mantener los dispositivos
porttiles a su lado siempre que sea posible. Esto significa que al estar de viaje
debe conservar sus dispositivos portti les en su equipaje de mano. De la misma
manera, conserve sus djspositivos porttiles a la vista cuando pase por los puntos
de control en un aeropuerto.
Utilice la cajuela del automvil: Si viaja en automvil y no puede llevar su
dispositivo portti l a donde vaya cuando baje del automvil , gurdelo en la cajuela
cuando se estacione. No dej e un dispositivo portti l a la vista en un vehculo que
se queda solo, aunque sea por poco tiempo, y nunca lo deje en un vehculo durante
roda la noche.
Utilice la caja fuerte: Si se hospeda en un hotel, guarde su dispositivo portti l en
una caja fuerte si esta se encuentra disponible.
Dispositivos y Discos Extrables
Adems de los disposivos porrriles, orrn tecnologa que presenca reros nicos para los
profesionales de la seguridad son los dispositivos y discos extrafbles. Se pueden ver algunos
ejemplos de dispositivos extrables comunes en la Figura 1-2.
Figura 1-2
Dispositivos extrables
Capas de Seguridad 17
Un dispositivo o disco extrable es un dispositivo de almacenamiento que ha sido diseado
para ser sacado de una computadora sin apagarla. Estos dispositivos varan desde la tarj eta
de memoria MicroSD, que tiene el tamao de la ua de un dedo y puede almacenar hasta
32 GB de informacin, hasta un disco externo, el cual puede almacenar hasta 2 terabytes
de informacin. Los floppy disks, CDs y DVDs tambin son considerados como unidades
extrables, ya que pueden ser utilizados para almacenar informacin crtica.
Los dispositivos extrables generalmente se conectan a una computadora mediante puercos
de comunicacin externos como USB o Firewire, o en el caso de tarjetas de memoria,
mediante lectores basados en USB. Estos dispositivos son utilizados para una variedad de
propsitos, incluyendo el respaldo de informacin crtica, proporcionar almacenamiento
adicional, transferir informacin entre computadoras y, algunas veces, hasta para correr
aplicaciones. Esta forma de almacenamiento tambin es utilizada en reproducrores de
msica como los iPods y Zunes, as como en reproducrores personales de medios tales
como los dispositivos Archos y Creative's Zen.
Existen tres tipos bsicos de problemas de seguridad relacionados con el almacenamiento
extrable:
Prdida
Robo
Espionaje
La prdida de un dispositivo de almacenamiento es uno de los problemas de seguridad
ms comunes con los que nos podemos encontrar. Las unidades USB son parricularmeme
problemticas en este aspecto. Generalmente son del tamao de un paquete de chicles o
ms pequeas, por lo que estas unidades se olvidan con frecuencia en la sala de conferencias,
en las habitaciones de hotel o en las bolsas de los asientos de un avin. El reto al cual
se enfrenta es el de cmo asegurar los gigabytes de informacin que se pierden junco
con estas unidades. Actualmente, estos dispositivos pueden ser protegidos mediante la
autenticacin como el encriptado. Asimismo, Windows 7, el Servidor Windows 2008
R2, y BitLocker to Go lanzado por Microsoft, pueden ser utilizados para proteger la
informacin en dispositivos portti les de almacenamiento. Adi cionalmente, algunas
empresas pueden ofrecer su propio mecanismo de proteccin, cal como IrooKey. Por
supuesto, es necesario recalcar a los usuarios el valor de la informacin, as como lo fcil
que es perder los dispositivos porttiles de almacenamiento.
El robo es un problema al que se enfrenta cualquier equipo porttil. Muchas de las
medidas para la prevencin de robos, acerca de las cuales hemos hablado con relacin a
estos equipos, tambin se aplican a los dispositivos porttiles de almacenamiento. Por
18 Leccin 1
Referencia Cruzada
Frecuentemente se
utiliza la encriptacin
para asegurar la
informacin que
se encuentra
en las unidades
extrables. Este
mtodo es analizado
detalladamente en la
Leccin 2
Referencia Cruzada
La Leccin 5 contiene
informacin ms
detallada acerca del
antimalware v las
tecnologas de firewall
en una estacin de
trabajo
ejemplo, conserve consigo las unidades siempre que le sea posible. Cuando no las pueda
llevar, asegrelas en la caja fuerte de un hotel , en un cajn cerrado con llave o en alguna
ocra ubicacin segura. No deje un equipo porttil de informacin a la visea, donde puede
ser removido con facilidad del rea. Recuerde, an cuando los dispositivos porcciles son
relativamente bararos en s mismos, la informacin que se encuentra almacenada en ellos
puede ser irremplazable, o lo que es peor an, confidencial.
Por ltimo el rea en la cual estos dispositivos presentan un problema de seguridad
esc relacionada con el espionaje. Muchos dispositivos de almacenamiento vienen en
presentaciones muy pequeas, lo cual las hace sumamente adecuadas para el espionaje.
Por ejemplo, se pueden adquirir unidades flash disfrazadas de plumas, relojes o como paree
de una navaja. Para complicar an ms el problema, codos los dispositivos cotidianos
tales como reproducrores de msica y telfonos celulares muchas veces cuentan con
mltiples gigabyres de almacenamiento. An cuando logre prohibir unidades exrernas
y reproductores de msica en sirios de trabajo, el quitar a los empleados los telfonos
celul ares es virtualmente imposible. Entonces, cmo puede proteger su entorno de este
tipo de amenaza a la seguridad
La clave para esta amenaza no es tratar de defender el entorno de los dispositivos porttiles,
sino proteger la informacin frente a cualquier acceso no autorizado. Es aqu donde el
principio de privilegio mnimo es crtico, si se asegura que los empleados nicamente
puedan tener acceso a la informacin, sistemas y redes que necesitan para desempear su
trabajo, puede hacer que la rarea de mantener la informacin crtica fuera de las unidades
portti les sea mucho ms fcil.
Tome Nota
Algunos lugares de trabajo resuelven los problemas relacionados con los dispositivos de
almacenamiento porttiles mediante el uso de configuraciones de hardware o software que
prohiben su utilizacin. An cuando sta puede ser una estrategia eficaz, tambin es costosa
v requiere de la utilizacin de muchos recursos. Por lo tanto, es nicamente en un nmero
limitado de negocios donde esta estrategia puede ser implementada con eficacia.
Keyloggers
Un keylogge1 es un dispositivo fsico o lgico utilizado para registrar las pulsaciones en el
teclado. Un atacante colocar, ya sea un dispositivo ent re el teclado y la computadora, o
instalar un programa de software para registrar cada pulsacin en el teclado, por lo que
a continuacin l puede utilizar un software para reprod uci r y capturar la informacin tal
como la TD y contraseas del usuario, nmeros de tarjeta de crdito, ntimeros de Seguro
Social, e incluso correos electrnicos confidenciales y orra informacin. Tambin existen
sniffers inalmbricos de teclado que pueden interceptar las pulsaciones enviadas entre un
teclado inalmbrico y una computadora.
Para proteger contra un keylogger fsico, la mejor herramienta es una inspeccin
ocular. Observe la conexin entre el teclado y la computadora. Si se encuentra presente
un dispositivo extra entre ambos, alguien est tratando de capturar sus pulsaciones en
el teclado. Esto es particularmente imporrante al estar trabajando en computadoras
compartidas o computadoras pblicas, donde los aracanres utilizan keyloggers para lanzar
una amplia red y capturar cualquier informacin crt ica que alguien pudiese introducir.
La mejor defensa contra un software keylogger es el uso de un software anrimalware
actualizado. Muchos keyloggers son identificados como malware por estas aplicaciones.
Tambin puede aprovechar el Control de Cuenta de Usuario y firewalls basados en el hose
para evitar que sea instalado un software keylogger.
Capas de Seguridad 19
Para defenderse en contra del sniffer de reclado inalmbrico, su mejor apuesta es asegurar
que su teclado inalmbrico soporte conexiones encriptadas. La mayora de los teclados
inalmbricos acruales operan, ya sea en un modo encriptado por defecto o por lo menos le
permitir configurar la encriptacin en el transcurso de la instalacin.
Resumen de Capacidades
Antes de comenzar a asegurar su enromo, necesita tener un encendimiento
fundamencal de los concepros estndar de seguridad.
CIA, las siglas que represencan confidencialidad, incegridad y disponibilidad,
representa los objetivos bsicos de un programa de seguridad de la informacin.
La confidencialidad est relacionada con cmo mantener la informacin, las redes y
los sistemas seguros frente a un acceso no autorizado.
Uno de los objetivos de un programa de seguridad de informacin exitoso es
asegurar la integridad, o que la informacin est protegida en contra de cualquier
cambio no autorizado o accidental.
La disponibil idad es defi nida como la caracterstica para que un recurso est
accesible para un usuario, aplicacin o sistema de computacin, siempre que sea
requerido.
La administracin de amenazas y riesgos es el proceso mediante el cual se identifica,
evala y da prioridad a las amenazas y los riesgos.
Un riesgo es generalmente definido como La probabilidad de que un evento pueda
ocurrir.
U na vez que ha dado prioridad a sus riesgos, existen cuatro respuestas general menee
aceptadas para enfrentarlos: evitar, aceptar, mitigar y transferir.
El principio de privilegio mnimo es una disciplina de seguridad que requiere que
un usuario, sistema o aplicacin no Otorgue ningn privilegio adicional al que
fuese necesario para desempear su funcin o trabajo.
Una superficie de ataque consiste en un conjunto de mtodos y vas que puede
utilizar un atacante para entrar a un sistema y causar un dao potencial. Entre
mayor sea la superficie de ataque, mayor ser el riesgo de un ataque exitoso.
La clave para frusrrar un ataque de ingeniera social es la concientizacin de los
empleados. Si sus empleados saben de lo que se deben cuidar, un atacante t endr
muy poco xito.
La seguridad fsica uti liza defensas a profundidad o un enfoque de seguridad por
niveles que controla quin puede tener acceso fsico a los recursos de una empresa.
Las instalaciones fsicas se pueden dividir en tres reas lgicas: el permetro externo,
el permetro inrerno y reas seguras.
La seguridad informtica se compone de los procesos, procedimientos, polticas y
tecnologas ut ili zadas para proteger los sistemas informticos.
Los dispositivos portti les y el almacenamiento en dispositivos porttiles se
encuenrran enrre los mayores riesgos a los que se enfrentan acrualmenre muchos
profesionales de la seguridad debido a su tamao y porrabi lidad.
Un keylogger es un dispositivo fsico o lgico util izado para capturar pulsaciones
del teclado.
20 leccin 1
Evaluacin de Conocimientos
Opcin Mltiple
Encierre e11 tm crculo la letra o letras que correspondan a la mejor respuesta o
respuestas.
Cules de las siguienres son respuesras vlidas frente a un riesgo? (Elija rodas las
aplicables) .
.1. Mitigar
b. Transferir
c. Invertir
d. Evitar
2. Cules de los siguientes son considerados como di spositivos o discos exrrables?
(Elija codos los aplicables).
a. iPod
b. Nerbook
c. USB Aash drive
d Floppy drive
) Cules de las siguientes medidas seran consideradas como medidas de seguridad
apropiadas para el permerro exterior de seguridad de un edificio? (Elij a rodas las
aplicables).
a Detector de movimienro
b. Iluminacin en el estacionamiento
( Torniquetes de control de acceso
d Guardias de seguridad
Est viajando por negocios y se dirige a una cena con un cliente. No puede llevar su
laptop consigo al restaurant. Qu es lo que debera hacer con el dispositivo? (Elija la
mejor respuesta).
a. Guardar la lapcop en la cajuela de su automvil.
b. Guardar la laptop en un cajn de la cmoda donde no se vea.
c. Fijar la lapcop a un mueble mediante un cable de seguridad para laptop.
d. Llevar la laprop a la recepcin y pedir que la guarden ah.
5. El proceso de eliminacin de un riesgo al optar por no participar en una accin o
actividad describe a cul de los siguientes?
a. Mitigar
b Riesgo residual
e Evitar
cl Aceptar
6. Acaba de ser ascendido a Direccor en Jefe de Seguridad en su empresa de fabricacin
de auto parees y est tratando de identificar tecnologas que ayudarn a garantizar la
confidencialidad de sus tcnicas exclusivas de fabricacin. Cules de las siguienres
tecnologas podra urizar para ayudarle en este esfuef'lo? (Elija rodas las aplicables).
a Encriptacin fuerce
b Guardias de seguridad
c. Cajas fuerres para laprop
d. Aurenricacin fuerce
Qu significan las siglas CIA?
a Confidencialidad, idenridad, conrrol de acceso
b. Confidenciadad, inregridad, conrrol de acceso
e Confidenciadad, inregridad, disponibilidad
d Conrrol, idenridad, conrrol de acceso
Capas de Seguridad 21
8 Lo han puesro a cargo del deparramenro de seguridad corporativa y su jefe le ha
pedido que le ayude a encender lo que significan los principios bsicos de seguridad.
Cul de estas explicaciones es la que debe dar a su jefe?
a. Los principios bsicos de seguridad se refieren al permetro inrerno de seguridad
al crear un enromo de capas de seguridad fsica.
b. Los principios bsicos de seguridad se refieren a los principios de
confidencialidad, disponibilidad e inregridad.
c. Los principios bsicos de seguridad se refieren a aprovechar las mejores prcticas
de seguridad.
d. Los principios bsicos de seguridad se refieren a los cuatro mtodos para enfrenrar
riesgos.
9. Como el Director en Jefe de Seguridad para una pequea empresa de procesamienro
de registros mdicos, acaba de terminar de configurar la seguridad fsica para
su nueva oficina. Por lo tanro se ha asegurado parricularmenre de que el
estacionamiento se encuenrre iluminado, que cuenta con vigilantes ranro en la
puerca, como llevando a cabo rondas peridicas, y que cuenta con lectores de tarjetas
en todo el edificio en los lugares clave. Tambin ha colocado tecnologa biomrrica
de acceso en la puerta del cenero de daros. Adicionalmente, cuenca con cmaras en el
esracionamienro, en las entradas al edificio y en las entradas al cenero de daros. Este
tipo de implemenracin se conoce cmo: (Elija la mejor respuesta).
control de acceso
b principios bsicos de seguridad
c. mejores prcticas de seguridad
d. defensa en profundidad
1 O. Qu nombre le da al proceso de deshabilirar servicios y puercos innecesarios para
hacer que su sistema sea ms seguro?
a. Reducir el rea de la superficie de acaque
b. Mitigar a un Troyano
e Evasin de seguridad
d. Defensa a profundidad
Complete los espacios en blanco
______ es la caracrersrica de un recurso que garantiza que el acceso est
restringido a nicamente los usuarios, las aplicaciones o los sistemas informticos
aurorizados.
2 Si est implementando tecnologas para restringir el acceso a un recurso, est
practicando el principio de seguridad conocido como --------
' La implemenracin de mltiples capas de seguridad se llama _______ ?
22 leccin 1
Una accin o acontecimiento que pudiese resultar en el incumplimiento,
interrupcin o corrupcin de un sistema al explorar vulnerabilidades conocidas o
desconocidas es un(a) ---------
5 Acaba de aceptar un nuevo trabajo como Gerente de Riesgos de una empresa
farmacutica de tamao mediano y su primera carea es llevar a cabo una evaluacin
formal de riesgos. Muy probablemente va a registrar los resultados de su evaluacin
de riesgos en un(a) _______ _
6 Una secretaria en su oficina acaba de colgar una llamada de una persona quien dijo
que estaba llamando del departamento corporativo de TI. La persona que llam
hizo una serie de preguntas acerca de la configuracin del equipo de la secretaria, y
solicit que le dijera cual era su nombre de usuario y contrasea. En esta situacin, la
secretaria muy probablemente fue una vctima de--------
7. La consistencia, precisin y validez de los daros o la informacin se llama
H. Esc viajando por negocios y decide utilizar una computadora en el cenero de
negocios del hotel para revisar su correo electrnico y pagar varias cuencas.
Cuando se sienta frente a la computadora, se da cuenca que hay un coneccor extra
encre el teclado y la computadora. Lo ms probable es que se ha encontrado con
un(a), ______ _
9. Considere que es el Gerente de Riesgos de un banco regional, y acaba de
implementar un nuevo sistema de lector de tarjetas para hacer frente a un riesgo de
control de acceso. An cuando su solucin ha mitigado el peligro, todava queda un
pequeo riesgo remanente relacionado con el control de acceso. A esce riesgo se le
conoce como el (la) _____ _____ _
1 O Cuanto mayor sea el (la) ______ de un entorno en panicular, mayor ser el
riesgo de un ataque exicoso.
-7 Entendiendo lo Bsico
Encender los conceptos de seguridad constituye nicamente el pr imer paso para aprender acerca de la seguridad.
Como administrador de red u oficial de seguridad, se sorprender de cunto le ayudar el tomar en cuenca escos
principios bsicos a la hora de planear, implementar y actualizar el programa general de seguridad de su empresa.
Capas de Seguridad 23
Evaluacin de Competencia
Escenario 1-1: Diseo de una Solucin de Seguridad Fsica
Considere que es el Gerente de Seguridad de un banco de tamao mediano. Le han pedido
que disee una solucin de seguridad para mantener a los intrusos fuera despus de las
horas de trabajo. Las eres reas del banco que debe asegurar son el estacionamiento, el
permetro del edificio y la bveda de seguridad. Prepare una lista de las tecnologas que
utilizar en cada una de estas reas.
Escenario 1-2: Asegurar un Dispositivo Porttil
Considere que es el Gerente de IT de una empresa de servicios jurdicos con 5,000
empleados. Esc en el proceso de introduccin de nuevos dispositivos portti les para
su departamento de ventas. Qu procesos y tecnologas utilizar para conservar a estos
dispositivos fsicamente seguros?
Evaluacin de Habilidad
Escenario 1-3: Analizando la Confidencialidad, Integridad, y
Disponibilidad
Dentro de su empresa, tiene un servidor llamado Servidor 1, el cual ejecuta el Servidor
Windows 2008 R2. En el Servidor 1, crea y comparte una carpeta llamada Dacos en el
drive C. Dentro de la carpeta de Daros, crea una carpeta para cada usuario dentro de su
empresa. A continuacin coloca el cheque de pago electrnico del salario de cada persona
en su carpeta. Ms tarde se encera que Juan pudo entrar y cambiar algunos de los cheques
electrnicos y borrar otros. Explique cul de los componentes CIA no fue cumplido en
este escenario.
Escenario 1-4: Examinando la Ingeniera Social
Considere que trabaja para Con toso Corporation. Su dector quiere que arme un curso de
capacitacin acerca de la seguridad del usuario final. Para comenzar, utilice el Inrernet para
investigar tres casos o instancias en las cuales las personas uti li zaron la ingeniera social
para irrumpir en un sistema y prepare una lista de cmo intentaron obtener acceso.
Matriz del Dominio Objetivo
Habilidades/Conceptos
Seguridad al iniciar con autenticaci n
Comparacin de derechos y permisos
Uso de la funcin de auditora para
completar el cuadro de seguridad
Uso de encriptacin para proteger los
datos
Trminos clave
Lista de control de acceso (ACL)
Direccorio activo (Active
Directory)
Administracin compartida
Encripracin asimtrica
Autenticacin
Autorizacin
Cuencas de usuario
Biomcrica
Auditora
Bitxlur To Go [funcin de
encriptacin)
Ataque por fuerza brura [ataque
inrcnsivo para descifrar cdigos de
seguridad}
Grupos predefinidos
Cadena de certificados (Certificare
Chai n)
Lisra de certificados revocados
(CRL)
Cuenca de equipo
Desencripracin
Ataque por d iccionario
Descripcin del Objetivo Principal
Entendiendo la funcin de
autenticacin de un usuario.
Entendiendo los permisos.
Entendiendo las directivas de auditora.
Entendiendo la encriptacin.
Certificado digital
Firma digital
Concrolador de dominio
Usuario de dominio
Permisos efectivos
Encripracin
Permisos explcitos
Grupo
Funcin hash
Permisos heredados
Seguridad del protocolo Inrerner
(IPsec)
Kerberos
Clave
Cuenca de usuario local
Servidor miembro
Autenticacin de mult ifuctor
Reconocimiento de firma
NTFS (Sistema de Archivos NT}
Permisos NTFS
NTLM (administrador LAN NT}
Unidades organizacionales (OU)
Propietario
Nmero de Dominio Objetivo
2.1
2.2
2.4
2.5
Contrasea
Permiso
Nmero de identificacin personal
(PIN)
Infraestructura de llave pblica
(PKI)
Registro
Derecho
Protocolo de Capa de Conexin
Segura (SSL)
Administrador de cuencas de
seguridad (SAM)
Token de seguridad [dispositivo
electrnico para facilitar la
autenticacin}
Permisos compartidos
Carpe ca compart ida
Inicio de sesin (SSO)
T.'lrjera inteligenre
Encripracin simtrica
Syslog
Cuenca de usuario
Red privada virtual (VPN)
El DTI [Director de Tecnologa Informtica} de su empresa lo involucra en la discusin sobre remas
de seguridad. Durante la conversacin, le pregunta qu medidas ha implementado la empresa para
asegurar que los usuarios puedan acceder slo a lo que se requiere y nada ms. Usted le responde
explicando que ha construido su modelo de seguridad de la organizacin usando las eres "A":
Autenticacin, Autorizacin y Auditora. Desaforcunadamence, l quiere saber ms acerca de su
modelo, cmo le respondera?
26 Leccin 2
Seguridad al iniciar con Autenticacin
-!- EN RESUMEN
En el mbito de la seguridad de la informacin, AAA (Autenticacin, Autorizacin y Auditora) es un modelo lder
para el control de acceso. En l,la Autenticacin es el proceso de identificacin de individuo, usualmente basado en un
nombre de usuario y una contrasea. Despus de que un usuario es autenticado, l o ella pueden acceder a los recursos
de red con base en su autorizacin. La Autorizacin es el proceso de dar a los individuos acceso a los objeros del sistema
basndose en su identidad. Finalmente, las cue1llas de usuario, tambin Auditorfa es el proceso de mantener un
registro de la actividad de un usuario mientras se encuentra usando los recursos de red, incluyendo la cantidad de
tiempo en red, los servicios a los que accede mientras canco y la cantidad de daros transferidos durante cada sesin.
La funcin de reconocimiento de firma (nonrepudiacion) impide que una de las parees rechace las acciones que
ha llevado a cabo. Si ha establecido una adecuada aurencicacin, autorizacin y auditora, entonces tendrn lugar
mecanismos apropiados de reconocimiento de firma y ningn usuario podr rechazar las acciones que l o ella ha
llevado a cabo mientras trabaja en el sistema de su organizacin.
~ listo para la
Certificacin
Puede citar las
diferentes formas de
autenticacin?
--2.1
Antes de que los usuarios puedan acceder a un equipo o un recurso de red, es muy probable
que rengan que registrarse para probar que se trata de quienes dicen ser y verificar si
cuentan con los derechos y permisos requeridos para acceder a los recursos de red.
El registro de usuario es el proceso a travs del cual una persona es reconocida por el
sistema de un equipo o red de forma cal que pueda iniciar una sesin. Un usua.rio puede
ser autenticado a travs de uno o ms de los siguienres mtodos:
Mediante algo que se sabe: por ejemplo, mediante el suministro de una
contrasea o nmero de identificacin personal (PIN).
Mediante algo que se posee: por ejemplo, proporcionando un pasaporte, tarjeta
inteligente o tarjeta de identificacin.
Demostrando quin se es: por ejemplo, por factores biomtricos de ingreso
basados en huellas digitales, escaneo de retina, reconocimiento de voz, ere.
Cuando dos o ms mtodos de autenticacin se usan para autenticar a alguien, se dice que
se erara de un sistema de arttenticacin de multifactor. Desde luego, un sistema que usa
dos mtodos de autenticacin (tales como una tarjeta inteligente y contrasea) podemos
decir que se erara de un sistema de autenticacin de dos factores.
lill>- Autenticacin mediante algo que se sabe
Tanco para equipos de cmputo individuales como para redes enceras, el mtodo m{ts comn de aucencicacin es la
contrasea. Una COfllrtJSe1ia es una serie secreta de caracteres que habilita a un usuario a tener acceso a un archivo
especfico, equipo de cmputo o programa.
Contraseas
Cuando se quiere acceder a un archivo, equipo de cmpuro o red, los hackers [piraras
informticos) intentarn primero violar las contraseas tratando con posibilidades obvias,
incluyendo los nombres y cumpleaos de la esposa o hijos del usuario, trminos clave
utilizadas por el usuario o los pasatiempos del usuario. Si estos intentos no funcionan, la
mayora de los hackers crararn entonces con un Ataque por fuerza bruta, que consiste
en intentar rodas las posibles combinaciones de caracteres como el tiempo y el dinero
les permitan. Una varianre del araque por fuerza bruta es el ataq11e por diccio11ario,
Autenticacin, Autorizacin y Auditora 27
que intenta rodas las palabras en uno o ms diccionarios. Tambin intentan con listas de
conrraseas comunes.
Para consrnr una contrasea ms segura, tiene que escoger una palabra que nadie
pueda adivinar. De ral forma, debe tratarse de una cadena suficiencemence larga y debe
considerarse una concrasea fuerre y compleja. Para mayor informacin sobre cmo crear
contraseas fuerces, visite los siguientes sirios web:
hn:p://www.microsoft.com/procecr/fraud/passwords/creare.aspx
htt;s:Uwww.m icwsofc.com/pmrect/fraud/passwords/checker.aspx ?WT.mc id= Si te Link
Debido a que los equipos de cmputo actuales son mucho ms potentes que los equipos
de cmputo del pasado (que se usan con frecuencia para violar contraseas), algunas
personas recomiendan usar concrasefias de al menos 14 caracteres de largo. Sin embargo,
recordar contraseas largas puede ser incmodo para algunas personas, y estos individuos
probablemente escribirn las contraseas en pedacitos de papel cerca de su escritorio. En
esros casos, deber empezar a buscar ocras formas de aucencicacin, cales como una carjeca
inteligente o por medio de la biomcrica.
Los usuarios podran tambin cambiar sus contraseas de forma regular; as, si la contrasea
de un usuario es revelada a alguien ms, esto durar solamente hasta que la conrrasefia ya
no sea vlida. Adems, el cambio de concrasefias de forma rutinaria tambin acorta la
cantidad de tiempo que un individuo tiene para adivinar su contrasea, porque l o ella
tendrn que volver a empezar nuevamente todo el proceso de violacin de la clave una vez
que la concrasea haya sido cambiada.
Microsoft incluye la configuracin de directivas de contraseas dentro de las directivas de
grupos de forma que fcilmente se pueden seguir los estndares como el nmero mnimo
de caracteres, el nivel mnimo de complejidad de la contrasea as como la frecuencia
recomendable para que los usuarios las cambien, la periodicidad con la que los usuarios
podrn usarlas de nuevo, entre otras opciones.
Aunque las contraseas son el mtodo de seguridad ms fci l de implementar y el
mcodo ms popular de aurenticacin, su uso tambin tiene importantes inconvenientes,
incluyendo la probabilidad de que sean robadas, burladas y/u olvidadas. Por ejemplo, un
hacker puede llamar al departamento de TI en busca de soporte y pretender ser un usuario
legtimo, eventualmente puede convencer al departamento de restablecer la contrasea de
un usuario para los que sea que l o ella requiera tal informacin.
Con tales escenarios, es esencial que se establezca un proceso de seguridad para restablecer
todas las contraseas del usuario. Por ejemplo, se puede establecer un proceso de
auroservicio en el que la identidad de un usuario es verificada por medio de preguntas
y comparando las respuestas con las que han sido registradas anreriormenre, tales como
la fecha de cumpleaos de la persona, el nombre de su pelcula favorita, el nombre de su
mascota, etc. Sin embargo, esto puede ser adivinado con cierta facilidad por parte de un
atacante informtico, determinado a partir de una bsqueda sencilla o descubierto a travs
de ingeniera social.
Por lo canco, al restablecer contraseas, se debe contar con un mtodo para identificar
de manera positiva al usuario que solicita el cambio. Tambin debe evitarse el envo de
contraseas nuevas va correo electrnico porque, el hacker probablemente tambin tendr
acceso a la cuenca de correo elecrrnico del usuario y podr obtenerla tambin. Para evitar
estos problemas, puede comunicarse frente a frente con la persona que solicita el cambio de
contrasea y pedir su identificacin. Desafortunadamente, con redes muy grandes y redes
que incluyen muchos lugares fsicos, esto podra no ser viable. Tambin se puede regresar
28 Leccin 2
la llamada y dejar la conrrasea en el correo de voz de la persona al cual l o ella tendr
que acceder proporcionando un PIN, o se puede enviar la contrasea al gerenre del usuario
o al auxiliar administrativo. En cualquier caso, se debe asegurar que el usuario cambie la
conrrasea inmediatamente despus de que l o ella ingresen.
Nmero de Identificacin Personal (PIN)
Un nimero de identificacin perso11ai (PIN) es una conrrasea numrica secreta
compartida enrre un usuario y un sistema que puede ser usado para aurenricar al usuario
en el sisrema. Debido a que esros consisten solamenre de dgitos y son relarivamenre corros
(usualmente cuarro dgitos), los PIN son usados slo en casos de baja seguridad, raJes
como obtener acceso a un sistema, o en combinacin con orros mrodos de autenricacin.
IJl. Autenticacin por medio de algo que se posee
Una segunda categora de autenticacin es con base en algo que se posee. Los ejemplos ms comunes de esre tipo de
autenticacin involucra el uso de certificados digitales, tarjetas inteligentes y tokens de seguridad.
Un certi.ficulo digital es un documento electrnico que contiene una identidad, tal como
un nombre de usuario o de organizacin, junto con una clave pbli ca correspondiente.
Debido a que un certificado digital es usado para probar la identidad de una persona,
puede rambin ser usado para el proceso de autenticacin. Se puede comparar al certificado
digital con una licencia de conducir o pasaporre que contiene su forografa y su huella
digital de forma que no hay duda de qujn es el usuario.
Una tarjeta inteligente es una tarjeta de bolsillo con circuitos integrados incorporados
que consta de componenres de almacenamienro de memoria no voltiles y una lgica de
seguridad posiblemente dedicada. La memoria no voltil es memoria que no olvida su
comen ido al apagar el eqwpo. Esre cipo de memoria puede contener certificados digitales
para probar la idenridad de la persona que porra la tarjeta, y puede tambin conrener
informacin de los permisos y del acceso. Debido a que las rarjeras inteligentes pueden
ser robadas, algunas no tienen runguna marca sobre ellas; esro hace difcil a un ladrn
identificar a qu da acceso la tarjeta. Adems, muchas organizaciones solicitan a los
usuarios proporcionar contraseas o PIN en combinacin con sus tarjetas inteligentes.
Un toke11 de seguridad (o algunas veces dispositivo roken, hard roken, token de
autenticacin, roken USB, roken de encriptacin) es un dispositivo fsico proporcionado a
un usuario autorizado de un equipo de cmputo para facilitar su autenticacin. Los apara ros
tokens son generalmente lo suficientemente pequeos para ser llevados en el bolsil lo y con
frecuencia estn diseados para ir unidos a un "llavero" q ue porra el usuario. Alg unas
de estos token de seguridad incluyen un conector tipo USB, funciones RFJD o interfaz
inalmbrica Bluetoorh para facilitar la transferencia de una secuencia de nmeros clave
generada para un sisrema clienre. Algunos token de seguridad pueden tambin incluir
tecnologa adicional, cal como una conrrasea esttica o certificado digital incorporado
en el roken de seguridad, de manera muy similar a una rarjera inreligcnte. Otros token
de seguridad pueden auromricamenre generar un segundo cdigo que los usuarios deben
ingresar para poder ser aurenricados.
Autenticacin, Autorizacin y Auditora 29
lll> Autenticacin demostrando quin se es
La Biometra es un mtodo de autenticacin que identifica y reconoce personas con base en rasgos fsicos, tales como
huellas dactilares, reconocimiento de rostro, reconocimiento de iris, escaneo de retina y reconocimiento de voz.
Muchos equipos de cmputo porttiles incluyen un escner dactilar, y es relativamente fcil instalar dispositivos
biomtricos sobre las puercas y gabinetes para verificar que slo personas autorizadas entren a reas de seguridad.
Figura 2-1
Escner dactilar
Para usar dispositivos biomtricos (ver Figura 2-1), se debe contar con un lector biomcrico
o dispositivo de escaneo, programas que conviertan la informacin escaneada en digital y
compare puntos de coincidencia, y una base de datos que almacene los daros biomtricos
a comparar.
Para iniciar el sistema biomcrico, se necesitar configurar una estacJOn en la que
un administrador inscriba a cada usuario; esto incluye el escaneo de la caracterstica
biomrrica que quiere usar para el proceso de autenticacin. Cuando se selecciona un
mtodo biomtrico, se debe considerar su desempeo, dificultad, confiabilidad, aceptacin
y cosco. Tambin se necesita tomar en cuenca las siguiences caractersticas:
ndice de falsos rechazos (falsos negativos): Este es el porcentaje de usuarios
autorizados a quienes se les neg el acceso indebidamente.
ndice de aceptaciones falsas (falsos positivos): Este es el porcencaje de
usuarios no autorizados a quienes se permiti el acceso indebidamence.
lll> Introduccin a RADIUS y TACACS+
Cuando compra un nuevo equipo de cmpuro y crea una cuenca de usuario local e ingresa, est siendo aurencicado con
el nombre de usuario y contrasea. Para las corporaciones, los equipos de cmpuro pueden ser paree de un dominio,
cuya autenticacin puede ser proporcionada por el controlador de dominios. En otros casos, necesita proporcionar la
autenticacin, autorizacin y auditora de manera centralizada, cuando los usuarios necesitan conectarse a LLO servicio
de red. Los dos protocolos usados comnmente que proporcionan estas funciones son el de RADIUS (Siglas en ingls
para "autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP") y TACACS+ (siglas en ingls
para "sistema de control de acceso del controlador de acceso a terminales")
30 Leccin 2
Un servidor RADIUS o TACACS+ reside en un sistema remoto y responde a consultas de
los clientes tales como Clientes de VPN [red privada virtual], puntos de acceso inalmbrico,
routers y switches. El servidor autentica despus combinaciones de nombre de usuario/
contraseas (autenticacin), determina si los usuarios tienen permitido conectarse al
cliente (autOrizacin), y establece la conexin (registro de acciones).
RADIUS es un mecanismo que permite la autenticacin va conexin de internet y
otras conexiones de red, incluyendo marcaje por mdem, puntos de acceso inalmbrico,
servidores de VPN y web. Como es un estndar IETF, ha sido implementado por la mayora
de los principales fabricantes de sistemas operativos, incluyendo Microsoft. Por ejemplo,
en Windows Server 2008, Network Policy Server (NPS) puede ser usado como un servidor
RADIUS para realizar la autenticacin, autorizacin y registro de acciones para los clientes
RADIUS. Puede ser configurado para usar un dominio de Servidor Microsoft Windows
NT 4.0, un dominio Servicios de Dominio con Active Direccory (AD OS), o base de
datos de cuentas de usuarios de un Administrador de Cuencas de Seguridad local (SAM)
para autenticar las credenciales del usuario para los intencos de conexin. NPS usa las
propiedades de conexin de incerner de la cuenta de usuario y de las directivas de red para
autorizar una conexin.
Otro servidor AAA central.izado competente es el TACACS+, el cual fue desarrollado
por Cisco. Cuando dise el TACACS+, Cisco incorpor gran parte de la funcionalidad
existente de RADIUS y la extendi para cumplir sus necesidades. Desde un punto de vista
de las caractersticas, TACACS+ puede ser considerado una extensin del RADIUS .
..,. Ejecutar Como
Debido a que los administradores tienen acceso rotal a equipos de cmputo individuales o redes enceras, se recomienda
que use una cuenra de usuario estndar que no sea de administrador para realizar la mayora de las tareas. Luego,
cuando necesite realizar tareas administrativas, puedes usar el comando Ejecutar como o las opciones incorporadas
que estn incluidas en los sistemas operativos de Windows.
En las versiones previas de Windows, tena que usar una cuenca de administrador para
hacer ciertas cosas, tales como cambiar la coo6guracin del sistema o instalar programas.
Si se conectaba como usuario con permisos limi tados, el comando Ejecutar eliminaba la
necesidad de cerrar la sesin y volverla a iniciar como administrador.
En las versiones ms recienres de Windows, incluyendo Windows 7 y Windows Server
2008 R2, el comando Ejecutar ha sido modi6cado a Ejecutar como adminisrrador. Con
Control de Cuenta de Usuario (UAC), rara vez tendr que usar el comando Ejecutar
como administrador, debido a que Windows automticamente soli cita una contrasea de
administrador cuando se necesita. El UAC se discute a detalle en la Leccin 5.
-7 Ejecutar un programa como administrador
PREPRESE. Para ejecutar un programa como administrador, realice los siguientes pasos:
1. Haga clic derecho en el icono del programa o archivo que desea abrir. y luego en Ejecutar
como administrador. Ver Figura 2-2.
2 Seleccione la cuenta de administrador que quiere usar, escriba la contrasea y luego
haga clic en S.
Figura 2-2
Uso de la opcin Ejecutar
como administrador
Autenticacin, Autorizacin y Auditora 31
Puede tambin usar el comando runas.exe. Por ejemplo, para ejecutar widgec.exe como un
administrador, deber ingresar el siguiente comando:
runas / user : ad.min /widget. exe
---
--
-
--
--
-----
-
Introduccin a los Servicios de directorio utilizando
Directorio activo (Active Directory)
..V EN RESUMEN
Un servicio de directorio almacena, organiza y proporciona acceso a informacin en un directorio. Se utiliza para
localizar, manejar y administrar elementos comunes y recursos de red, tales como volmenes, carpetas, archivos,
impresoras, usuarios, grupos, dispositivos, nmeros telefnicos, etc. Un servicio de directorio popular usado por
muchas organizaciones es el Directorio acrivo de Microsoft.
Directotio activo (Active Ditectory) es una tecnologa creada por Microsoft que
proporciona una variedad de servicios de red, incluyendo lo siguiente:
Protocolo Ligero de Acceso a Directorios (LDAP)
Autenticacin basada en Kerberos e Inicio de sesin nico (SSO)
Asignacin de nombres con base en DNS y otra informacin de red
Ubicacin central para administracin de red y delegacin de autoridad
El Protocolo Ligero de Acceso a Directorios (LDAP), es un protocolo de aplicacin para
consulta y modificacin de servicios de directorio que usa daros que se ejecutan en TCP/
IP. Dentro del directorio, la serie de objetos es organizada de manera lgica jerrquica
de forma que se pueden encontrar y manejar fcilmente. La esrrucrura puede reflejar los
lmites geogrficos u organizacionales, aunque tiende a usar nombres DNS para estructurar
32 Leccin 2
los niveles superiores de la jerarqua. En un lugar ms profundo del d ireccorio, puede haber
encradas que representan personas, unidades organizacionales, impresoras, documencos,
grupos de personas o cualquier otra cosa que simbolice una entrada de rbol (o mltiples
entradas). El LDAP usa el puerco 389 de TCP.
Kerberos es el protocolo predeterminado de aucencicacin en red del equipo de cmputo,
que permite a los hose probar su idencidad en una red no segura de una manera segura.
Tambin puede proporcionar aucencicacin mutua de forma que canco el usuario como el
servidor verifican su idencidad muruamence. Para garantizar seguridad, los mensajes del
protocolo Kerberos esrn protegidos cenera el espionaje y ataque por rplica.
El ltlicio de sesi11 t.tico (SSO) permite conectarse una vez y acceder a mltiples sistemas
de software relacionados pero que al mismo tiempo son independientes, sin necesidad
de loguearse de nuevo. Cuando se ingresa con Windows usando un Directorio acrivo,
se nos asigna un token, el cual puede luego ser usado para ingresar en otros sistemas
aucomcicamence.
Final menee, el Direcrorio activo permite organizar codos los recursos de red (incluyendo
usuarios, g rupos, impresoras, equipos de cmputo y otros objetos) de manera que puede
asignar contraseas, permisos, derechos, etctera, a la identidad que as lo requiera. Puede
rambin asignar a quin le est permitido manejar un grupo de objetos .
..,.. Anlisis de los controladores de dominio
Un controlador de domilio es un servidor de Windows que almacena una rplica de la cuenca y de la informacin de
seguridad de un dominio y define los lmites del mismo. Para hacer que un equipo de cmputo que ejecuta Windows
Server 2008 sea un controlador de dominio, primero tiene que instalar Servicios de Dominio del Directorio activo.
luego tiene que ejecutar el comando dcpromo (forma corta de promocin de) para hacer que el servidor sea un
controlador de dominio desde los cuadros de dialogo de Buscar programas y archivos, o desde el smbolo del sistema.
Despus de que un equipo de cmputo ha sido promovido a controlador de dominio, hay
varias consolas de complemento MMC para manejar el Directorio activo, incluyendo:
Usuarios y Equipos de cmputo de Directorio activo: Uti li zado para
administrar usuarios, grupos, equipos de cmputo y unidades organi zacionales.
Dominios y Confianzas del Directorio activo: Usar para admini strar confianzas
de dominio, niveles funcionales de dominio y de bosque y sufij os del nombre
principal de usuario (UPN).
Sitios y Servicios de Directorio activo: Usado para administrar la replicacin de
los daros del direcrorio entre codos los si rios en un bosque de Servicios de Dominio
de Directorio activo (AD DS).
Centro Administrativo de Direct orio activo: Usado para admi ni strar y
publicar informacin en el directorio, incluyendo la administracin de usuarios,
grupos, equipos de cmpuro, dominios, controlador de dominios y unidades
organi zacionales. El centro Administrativo del Directorio activo es nuevo en
Windows Server 2008 R2.
Consola de Gestin de Polticas de Grupos (GPMC): Proporciona una sola
herramienta administrativa para la gestin de las Polticas de Grupos a travs de
la empresa. la GPMC est instalada automticamente en Windows Server 2008
y se necesira descargar e instalar un concrolador de dominios ms nuevo en el
controlador de dominios de Windows Server 2003. Aunque estas herramientas
estn instaladas por lo general en el controlador de dominios, tambin pueden ser
instaladas en las PC del clience de manera que pueda manejar el Direcrorio acrivo
sin necesidad de conecrarse a un controlador de dominio.
Autenticacin, Autorizacin y Auditora 33
El Direcrorio acrivo usa replicacin multi-maestra lo cual significa que no hay un
controlador maestro de dominio, usualmente referido como controlador principal de
dominio en Windows NT. Sin embargo, existen cierras funciones que slo pueden ser
manejadas por Lm controlador de dominio a la vez.
Una de las funciones es el emulador de PDC, que proporciona compatibili dad con
versiones anteriores de clientes NT4, que es poco comn. Sin embargo, tambin acra
como la autoridad principal para los cambios de contrasea y como servidor maestro de
ti empo dentro del dominio.
Un servidor que no est siendo ejecutado como un controlador de dominio se conoce como
un servidor memb1o. Para degradar un controlador de dominio a un servidor miembro,
debe volver a ejecutar el programa de dcpromo .
..,.. Introduccin a NTLM
Aunque Kerberos es el protocolo de autenticacin predeterminado para los equipos de cmputo de dominio actuales,
NTLM es el protocolo de autenticacin predeterminado para Windows NT, equipos de cmputo independientes
que no forman parte de un dominio y situaciones en las que ests autenticando en un servidor usando una direccin
IP. NTLM tambin acra como un protocolo de autenticacin de cada si la autenticacin por Kerberos no puede ser
realizada, tal como cuando se bloquea por un firewaiJ .
NTLM usa un mecanismo de "challenge-response" para el proceso de autenticacin en el
que los clientes son habilitados para probar sus identidades sin enviar una contrasea al
servidor. Despus de que un "cbaJienge message" de ocho byres se enva al clienre desde el
servidor, el cliente usa la contrasea del usuario como clave para generar una respuesta que
regresa aJ servidor utilizando un algoritmo hash MD4/MD5 (clculo matemtico en un
sentido) y encripracin DES (un aJgorirmo de encripracin generaJmente usado que cifra
y descifra daros con la misma clave) .
..,.. Introduccin a Kerberos
Con Kerberos, la seguridad y aurenticacin se basan en una tecnologa de clave secreta y cada hosr en la red tiene la
suya. EL Cenero de Distribucin de Claves mantiene una base de daros de estas claves secretas.
Cuando un usuario entra en un recurso de red por medio de Kerberos, el cliente transmite
el nombre de usuario al servidor de autenticacin, junco con la idenridad del servicio al
que quiere conectarse (por ejemplo, un servidor de archi vos). El servidor de aurenricacin
construye un pase de entrada, el cuaJ genera de manera aleatoria una clave encriptada con
la clave secreta del servidor de archivos y la enva al diente como parte de sus credenciaJes,
las cuales incluyen la clave de sesi6n cifrada con la clave del diente. Si el usuario escribe la
contrasea correcta, entonces el diente puede descifrar la clave de sesin, presentar el pase
de entrada al servidor de archivos y dar al usuario la clave secreta compartida de sesin para
comunicarse entre s. Los pases de entrada son marcados con la hora y generalmente tienen
un periodo de expiracin slo de unas horas.
Para que codo esto funcione y se garantice la seguridad, el controlador de dominios y clientes
deben estar a la misma hora. los sistemas operativos de Windows incluyen la herramienta
de Servicio de Tiempo (W32Time service). La autenticacin por Kerberos funcionar si
el intervalo de tiempo entre los equipos de c6mpuco en cuestin se encuentra dentro de
la variaci6n de tiempo mxima habilitada. Lo predeterminado son cinco minutos. Puede
tambin apagar la herramienta de Servicio de Tiempo e instalar un servicio de tiempo de
terceros. Desde luego, si tiene problemas autenticando, debe asegurarse de que la hora
es La correcta para el controlador de dominios y el cliente que est teniendo el problema.
34 Leccin 2
~ Unidades organizacionales
Como se ha mencionado con anterioridad, una organizacin puede cener miles de usuarios y miles de equipos de
cmpuco. Con Windows NT, el dominio podra manejar algunos objecos ames de que surjan algunos problemas
de rendimiento. Con versiones posteriores de Windows, sin embargo, el camao del dominio ha aumentado
dramticamente. Mientras que con Windows NT podra requerir varios dominios para definir a su organizacin,
ahora usted puede tener solamente un dominio para representar a una organizacin grande. Sin embargo, si cieoe
miles de escos objecos, an puede requerir una forma de organizarlos y administrarlos.
Figura 2-3
Unidad organizacional de
Active Directory
Para ayudar a organizar objecos den ero de un dominio y minimizar el nmero de dominios,
puede usar mlidades ot-gatzizacio1lales, u OU, las cuales pueden ser usadas para soscener
usuarios, grupos, equipos de cmpuco y ocras unidades organizacionales. Ver Figura
2-3. Una unidad organizacional puede slo contener objetos que escn localizados en un
dominio. Aunque no exiscen restricciones en cuanto a cuantas OU anidadas (una OU
dentro de ocra OU) puede cener, se debe disear una jerarqua superficial para un mejor
rendimiento.
-
-
=--
-
-
-
-
..... ~ -
---
-
Cuando se inscala el Directorio activo por primera vez, hay varias unidades organizacionales
ya creadas. J ocluyen equipos, usuarios, controladores de dominio y un idades organizacionales
incorporadas. A diferencia de las unidades organizacionales que se puedan crear, estas
unidades organizacionales no permiten delegar permisos o asignar las polt icas de grupo
(las polticas de grupo se explicarn ms adelante en el texto.) Los contenedores son objecos
que pueden almacenar o contener otros objecos. Incluyen el bosque, rbol, dominio y la
unidad organizacional. Para ayudarle a gestionar los objetos, se puede delegar aucoridad a
un contenedor, sobre codo en el dominio o unidad organizacional.
Por ejemplo, supongamos que tiene su dominio dividido por ubicacin fsica. Puede
asignar un cont rol aucoritario de administrador del sirio a la OU que representa una
ubicacin fsica determinada y el usuario slo tendr el control administrativo sobre los
objetos dentro de esa OU. Tambin puede esrruccurar sus unidades organizacionales por
funcin o reas de gestin. Por ejemplo, podra crear una OU de ventas para contener a
codos los usuarios de ventas. Tambin podra crear una OU de impresoras para contener
codos los objecos de estas y, a continuacin, asignarle un administrador.
Autenticacin, Autorizacin y Auditora 35
De manera similar a NTFS y el registro, puede asignar permisos a usuarios y grupos
sobre un objeto de Active Directory. Sin embargo, normalmente podra delegar el control
a un usuario o grupo. Puede asignar tareas administrativas bsicas a usuarios o grupos
regulares y dejar la administracin de todo el dominio y de rodo el bosque a los miembros
de los grupos de Administradores de dominio y administradores de empresa. Al delegar
la administracin, se permite que los grupos dentro de tu organizacin tengan un mayor
conrrol de sus recursos de la red locaL Tambin ayuda a proteger la red de daos accidentales
o maliciosos limitando el nmero de miembros de los grupos de administradores.
Puede delegar el conrrol administrativo a cualqwer nivel de un rbol de dominios creando
unidades organizacionales denrro de un dominio y, a continuacin, delegar el control
administrativo para las unidades organizacionales especficas para determinados usuarios
o grupos.
-7 Delegar el Control
PREPRESE. Para delegar el control de una unidad organizacional, realice los siguientes
pasos:
1. Abrir Usuarios v equipos de Directorio activo.
2. En el rbol de la consola, hacer clic en la unidad organizacional a la que desea delegar el
control.
3. Haga clic en Delegar control para iniciar el Asistente para Delegar el Control y, a
continuaci n, siga las instrucciones .
...,. Anlisis de los objetos
Un objeto es un distintivo, conjunto de atributos o caractersticas que representan un recurso de red con nombre. Los
objetos comunes utilizados dentro de un Directorio activo son equipos, usuarios, grupos e impresoras. Los atributos
tienen valores que definen el objeto especlico. Por ejemplo, un usuario podra tener el nombre Juan, el apellido Prez
y jperez como nombre de inicio de sesin, y as codos identifican al usuario.
Cuando se trabaja con objetos, los administradores suelen utilizar los nombres de esos
objetos, cales como nombres de usuario. Sin embargo, a codos los objetos del Directorio
activo tambin se les asigna un nmero nico de 128 birs, llamado un Securiry Idenrifier
(SID), a veces se denomina Globally Unique Identifier (GUID), para identificarlos de
forma nica. Por lo canco, si alguien cambia su nombre de usuario, puede cambiar ese
nombre en la red, pero l o ella podrn acceder a codos los mismos objetos y tener codos
los mismos derechos que antes posean porque esos objetos y derechos se asignan al GUID.
Los GUID tambin proporcionan cierra seguridad si un usuario se borra. No puede crear
una nueva cuenca con el mismo nombre de usuario y esperar tener acceso a todos los objetos
y codos los derechos que rena anteriormente. Por el contrario, si decide dejar ir a alguien
de su organizacin y ms tarde sustiruye a esa persona, debe en su lugar desactivar la
cuenta de la primera persona, contratar a la nueva persona, cambiar el nombre de la cuenca
de usuario, cambiar la contrasea y volver a activarla. De es re modo, la nueva persona ser
capaz de acceder a codos los mismos recursos y tener codos los mismos derechos que el
usuario anterior tena.
El esquema de Directorio activo define el formato de cada objeto y los atributos o los
campos de cada objeto. El esquema predeterminado contiene definiciones de objetos
comnmente usados como cuencas de usuario, eqLpos de cmpuco, impresoras y grupos.
36 Lecci n 2
Por ejemplo, el esquema defi ne que la cuenta de usuario tiene campos de nombre, apell ido
y nmeros telefnicos.
Para permitir que el Directorio activo sea flexible para que pueda soportar otras aplicaciones,
se puede extender un esquema para incluir atributos adicionales. Por ejemplo, puede
agregar nmero de insignia o campos de identificacin de empleado al objeto de usuario.
Al instalar algunas aplicaciones, como Microsoft Exchange, stas extienden el esquema,
por lo general mediante la adicin de atributos adicionales o campos para poder soportar
la aplicacin.
Examinar los usuarios
Una cue11t a de usuatio permite a una persona iniciar sesin en un equipo y dominio. Como
resultado, se puede uti lizar para probar la identidad de un usuario, y as despus poder
determi nar qu usuario puede acceder y qu tipo de acceso tendr el usuario (aurorizacin).
Las cuencas de usuari o tambi n pueden utili zarse para la auditora. Por ejemplo, si hay un
problema de seguridad en el que hubo un acceso inapropiado o borrado, los daros de la
cuenta de usuario pueden utilizarse para mostrar q uin entr o elimin el objero.
En las redes de Windows de hoy en da, existen dos tipos de cuencas de usuario:
Cuenca de usuario local
Cuenca de usuario de dominio
Una cuenca de usuario permite iniciar sesin y acceder a la computadora donde se cre la
cuenca. La cuenta de usuario local se almacena en la base de datos del Security Account
Manager (SAA1) en el equipo local. El nico equipo de Windows que no dispone de
una base de datos SAM es el controlador de dominio. La cuenca de usuario local de
administrador es la nica cuenca que se crea y es habilitada de forma predeterminada en
Windows. Aunque no se puede eliminar esta cuenra, se puede cambiar el nombre.
La otra cuenca creada de forma predeterminada es la cuenca de invitado. Fue diseado para
el usuario ocasional que necesita tener acceso a recursos de red en una red de baja seguridad.
La cuenca de usuario local de invitado est deshabilitada de forma predeterminada y no se
recomienda para uso general.
Una cuenca de uwario de dominio se almacena en el controlador de dominio y permi te
obtener acceso a los recursos dentro del mismo, suponiendo que ha concedido permisos
para tener acceso a esos objetos. La cuenta de usuario de administrador de dominio es la
nica cuenca que se crea y es habilitada de forma predetermi nada en Wi ndows, cuando
se crea uno. Una vez ms, aunque no se puede el imi nar esta cuenta, se puede cambiar el
nombre.
Cuando se crea una cuenca de usuario de dominio, debe proporcionarse un nombre, apellido
y un nombre de inicio de sesin de usuario. El nombre de inicio de sesin de usuario debe
ser nico con el dominio. Ver la figura 2-4. Despus de crear la cuenta de usuario, puede, a
continuacin, abrir las propiedades de la cuenta de usuario y configurar el nombre, la hora
de inicio de sesin, los nmeros de telfono y las direcciones de los equipos con los que el
usuario puede iniciar sesin, de qu grupos la persona es miembro y as sucesivarnenre.
Tambin puede especificar si una contrasea caduca, si se puede cambiar y si una cuenta
est deshabilitada. Por ltimo, en la pestaa de perfil, puede definir el directorio principal
del usuario, la secuencia de comandos de inicio de sesin y la ruta del perfil del usuario.
Ver la figura 2-5.
Figura 2-4
Cuenta del usuario en
Active Directory
Figura 2-5
Pestaa de Perfil
Autenticacin, Autorizacin y Auditora 37

Anli sis de los equipos
Como las cuenras de usuario, las cuentas de eqttipo de Windows proporcionan un medio
para aurenricar y auditar el acceso de un equipo a una red de Windows, as como su
acceso a los recursos del dominio. Cada equipo de Windows para el que desee conceder
acceso a los recursos debe tener una cuenra de eqtpo nico. Estas cuenras tambin pueden
utilizarse para efectos de auditora, debido a que especifican qu sistemas se utilizaron para
tener acceso a los recursos especficos.
Ver la figura 2-6.
38 Leccin 2
Figura 2-6
Cuenta de equ1po
.,.. Qu son los grupos
Un gmpo es una coleccin o lista de cuentas de usuario o de equipo. A diferencia de un contenedor, un grupo no
almacena usuarios o equipos; ms bien, slo los enumera. El uso de grupos puede simplificar la administracin, sobre
todo cuando se trata de asignar derechos y permisos.
Un grupo se utiliza para agrupar usuarios y equipos de modo que al asignar derechos y
permisos, se asignan al grupo en lugar de a cada usuario individual. Usuarios y equipos
pueden ser miembros de varios grupos, y en algunos casos, se puede designar un grupo
como parte de otro.
Examen de los tipos de grupos
En el Directorio activo de Windows, hay dos tipos de grupos: seguridad y distribucin.
Un grupo de seguridad se utiliza para asignar derechos y permisos y para obtener acceso
a recursos de red. Tambin puede utilizarse como un grupo de distribucin. Un grupo
de distribucin es empleado slo para funciones que no sean de seguridad, cales como la
distribucin de correo electrnico, y no puede uti lizarse para asignar derechos y permisos.
Examen de los alcances del grupo
Cualquier grupo, ya sea de seguridad o de distribucin, se caracteriza por un alcance que
identifica el grado al que aplica el grupo en el rbol de dominios o en el bosque. Los eres
alcances del grupo son los siguientes:
Local: contiene los grupos globales y universales, a pesar de que tambin puede
contener cuentas de usuario y orros grupos locales de dominio. Un grupo local
de dominio usualmente esc con el recurso al que se desea asignar los permisos o
derechos.
Global: diseado para contener cuencas de usuario, aunque tambin puede
contener otros grupos globales, los cuales estn diseados para ser de "control
Tabla 2-1
Alcances del grupo
Autenticacin, Autorizacin y Auditora 39
rotal" o ''generales" para un dominio. Despus de colocar las cuentas de usuario
en grupos globales, esros se colocan normalmente en grupos locales de dominio o
Universales.
Universal: diseado para contener grupos globales de varios dominios, aunque
tambin puede contener ot ros grupos universales y cuencas de usuario. Porque los
catlogos globales replican la pertenencia al grupo universal, se debe l imitar la
pertenencia a grupos globales. De esra forma, si cambia un miembro denrro de un
grupo global, el catlogo general no tendr que replicar el cambio.
Ver la tabla 2-1.
Alcance
Universal
Global
Dominio local
Los miembros pueden
incluir:
Cuentas de cualquier
dominio del bosque en
el que reside este grupo
universal.
Grupos globales de
cualquier dominio del
bosque en el que reside
este grupo universal.
Grupos universales de
cualquier domi nio del
bosque en el que reside
este grupo universal.
Cuentas del mismo
domi nio que el grupo
global principal.
Grupos globales del
mismo dominio que el
grupo global principal.
Cuentas de cualquier
dominio, grupos globales
de cualquier domi nio,
grupos universales
de cualquier dominio
y dominio de grupos
locales, pero slo del
mismo dominio que el
dominio del grupo local
principal.
Los permisos de
los miembros
pueden ser
asignados .. .
En cualquier
dominio o
bosque.
En cualquier
dominio.
Slo dentro del
mismo dominio
que el dominio
del grupo local
principal.
El alcance del
grupo puede
convertirse en ...
Dominio local.
Global (siempre y
cuando no haya
otros grupos
universales
existentes como
miembros).
Universal
(siempre que el
grupo no sea
un miembro de
cualquier otro
grupo global).
Universal
(siempre que
no haya otros
grupos locales
de dominio
existentes como
miembros).
Al asignar derechos y permi sos, debe intentarse siempre colocar a los usuarios en grupos
y asignar los derechos y permi sos a estos en lugar de a los usuarios individuales. Para
gestionar con eficacia el uso global y el domi nio de los grupos locales cuando se asigna
el acceso a recursos de la red (recuerda gue el mnemnico es AGDLP [accounts, global,
domain local, permissions]):
En primer lugar, agregue a la cuenca de usuario (A) en el grupo global (G) en el
dominio donde el usuario existe.
A conrinuacin, agregue el grupo global (G) desde el dominio de usuario en el
domi ni o del grupo local (DL) en el dominio de reCllrsos.
40 Leccin 2
Por lrimo, asigne permisos (P) en el recmso para el grupo local (DL) en su
dominio.
Si utiliza los grupos universales, el mnemnico extendido es AGUDLP:
En primer lugar, agregue la cueora de usuario (A) en el grupo global (G) en el
dominio donde el usuario existe.
A continuacin, agregue el grupo global (G) desde el dominio del usuario en el
grupo universal {U).
A continuacin, agregue el grupo universal (U) al dominio del grupo local (DL).
Por ltimo, asigne per:misos (P) en el recurso para grupo local (DL) en su dominio.
Grupos integrados
De forma simi lar a las cuencas de administrador y de invitado, Windows tiene grupos
predeterminados llamados g1upos integrados. A estos grupos predeterminados se les
ha concedido los derechos esenciales y permisos para comenzar. Algunos de los grupos
integrados de Windows son los siguientes:
Administrador del dominio: Los miembros de este grupo pueden reali zar careas
administrat ivas en cualquier equipo dentro del dominio. De forma predeterminada,
la cuenca de administrador es un miembro.
Los usuarios del dominio: Windows agrega automticamente cada nueva cuenca
de usuario de dominio al grupo correspondiente.
Operadores de cuentas: Los miembros de este grupo pueden crear, eliminar y
modificar cuencas de usuario y grupos.
Los operadores de copia de seguridad: Los miembros de esce grupo pueden
realizar copias de segmidad y restaurar codos los controladores de dominio
mediante el comando Copias de seguridad de Windows.
Usuarios autenticados: Este grupo incluye a codos los usuarios con una cuenca de
usuario vlida en el equipo o en el Directorio activo. Utiliza el grupo de usuarios
autenticados en lugar de codos los del grupo para evitar el acceso annimo a un
recurso.
Todos: Esre grupo incluye a codos los usuarios que acceden a un equipo con una
cuenca de usuario vlida.
Para obtener ms informacin sobre los grupos disponibles, visitar el siguiente sitio Web:
h.ttn://rtchncr.Microsofr.com/en-US/Library/cc756898CWS.I O).aspx
~ Buscar la autenticacin del servidor Web
Cuando una persona tiene acceso a un servidor web, como aquellos que ejecutan en Microsofc's Internet Information
Server (IIS), puede utilizar varios mtodos de aurenricacin.
Cuando se autentican los servidores web, el liS proporciona una variedad de esquemas de
autenticacin:
Annimo (activado por defecto): La autenticacin annima proporciona a
los usuarios acceso a un sirio Web sin que se les pida un nombre de usuario o
contrasea. En su lugar, el liS utiliza una cuenca de usuario de Windows especial
llamada IUSR_ machinename para el acceso. De manera predeterminada, el liS
controla la contrasea para esta cuenta.
Autenticacin, Autorizacin y Auditora 41
Bsica: La aurenricacin bsica solicita al usuario un nombre de usuario y una
contrasea. Sin embargo, incluso aunque el nombre de usuario y la conrrasea se
envan como codificacin Base64, es enviado bsicamente en texto sin formato ya
que la codificacin Base64 se utiliza como un formato y no como un encriptado.
Si necesita encriptar los nombres de usuario y conrraseas mienrras utilizas
la autenticacin bsica, puedes utilizar los certificados digitales para que esta
informacin se encripre con https.
Implcita: La autenticacin implcita es un mecanismo de challenge/response que
enva un resumen o un hash de la contrasea como clave en lugar de enviar la
contrasea a travs de la red.
Autenticacin integrada de Windows: La aurenticacin de Windows integrada
(anteriormente conocida como la autenticacin NTLM y autenticacin challenge/
response de Windows NT) puede utilizar autenticacin NTLM o Kerberos V5.
Asignacin de certificados de cliente: La asignacin de certificados de cliente
utiliza un certificado digital que contiene informacin sobre una entidad y la clave
pblica de la misma para fines de autencicacin.
Comparar los derechos y permisos
w EN RESUMEN
Lo que un usuario pueda hacer en un sistema o a un recurso est determinado por dos cosas: derechos y permisos.
0 Listo para la
Certificacin
Puede describir
cmo se almacenan
los permisos para un
objeto?
-2.2
Figura 2-7
Polticas del grupo para
asignar los derechos de
usuario
Un detecho auroriza a un usuario a realizar determinadas acciones en un equipo, como
el inicio de sesin en un sistema de forma inceractiva o copias de seguridad de archivos
y directorios en un sistema. Los derechos de usuario se asignan a travs de las polticas
locales o de las de grupo del Directorio activo. Ver la figura 2-7.
-------

;-...-..-----
-- .. .-.-.

[ ----
---- :.=.
- .. ------. -

-----;-;
______ _.
42 Leccin 2
Un permiso define el cipo de acceso que se concede a un objeto (un objeto puede ser
reconocido con un identificador de seguridad) o arribuco. Los objetos ms comunes a los
que se asignan permisos son los archivos NTFS y las carpetas, impresoras y objetos del
Directorio accivo. La informacin acerca de qu usuarios pueden acceder a un objero y
lo que pueden hacer se almacena en la Access control lis/ (ACL), que enumera codos los
usuarios y grupos que tienen acceso a l. Los permisos NTFS y de impresoras se discuten
en la leccin siguiente.
Anlisis de NTFS
..,, EN RESUMEN
Un sistema de archivos es un mcodo que almacena y organiza archivos informticos y los daros que contienen.
Tambi n mantiene la ubicacin fsica de los archivos para que fcilmente se puedan encontrar y acceder a los archivos
en el futuro. Windows Server 2008 soporta sistemas de archivos PAT16, FAT32 y NTPS en unidades de disco duro.
Despus de parricionar un disco, a continuacin, se debe formatear (puedes formatear el
disco como FAT16, FAT32 o NTFS). De escos, NTFS es el sistema de archivos preferido
para los sistemas operativos actuales.
FAT16, a veces llamado genricamente como File Allocarion Table (FAn, es un sistema
simple de archivos que mi liza memoria mnima y se ha utilizado con DOS. Originalmente
soportaba el esquema de asignacin de nombres 8.3, lo que permita nombres de archivo
de hasta ocho caracreres y la extensin de nombre de archivo de eres. Ms carde, se fue
revisado para apoyar los nombres de archivo largos. Lamentablemente, los volmenes FAT
slo pueden admitir hasta 2 GB.
FAT32 fue lanzado con el segundo gran lanzamiento de Windows 95. A pesar de que este
sistema de archivos puede soportar unidades ms grandes, el Windows de hoy soporra
volmenes hasta de 32GB. Tambin admire nombres de archivo largos.
Hoy en da, NTFS es el sist ema de archivos preferido, ya que soporta ambos volmenes
hasta 16 exabytes y nombres de archivo largos. Adems, NTFS es ms tolerante que los
sistemas anteriores de archivo utilizados en Windows porque es un sistema de archivos de
journal o registro por diario. Un sistema de archivos journal asegura que una transaccin
se escribe en el disco correctamente antes de ser reconocida. Por ltimo, NTPS ofrece
mayor segur idad a travs de permisos y encripcado.
~ Permisos de NTFS
Los Permisos NTPS permiten controlar qu usuarios y grupos puede tener acceso a archivos y carpetas en un
volumen NTFS. La ventaja con los permisos NTFS es que afectan a usuarios locales y a usuarios de la red.
Por lo general, al asignar permisos NTFS, tendran que asignarse los permisos estndares
siguientes:
Control rotal: Permiso para leer, escribir, modificar y ejecutar los archivos en una
carpeta, cambiar atributos y permisos y hacer uso de la carpeta o los archivos que
contiene.
Modificar: Permiso para leer, escribir, modificar y ejecutar los archivos en la
carpeta, as como para cambiar los atributos de la carpeta o archivos que contiene.
Figura 2-8
Permisos NTFS
Autenticacin, Autorizacin y Auditoria 43
Leer y ejecutar: Permiso para mostrar el contenido de una carpeta; para mostrar
los daros, atriburos, propietario y permisos para los archivos dentro de la carpeta;
y para ejecutar archivos dentro de la carpeta.
Lista de contenido de la carpeta: Permiso para mostrar el contenido de una
carpeta, as como mostrar los daros, arriburos, propietario y permisos para los
archivos dentro de la carpeta.
Lectura: Permiso para mostrar datos de un archivo, atributos, propietario y
permisos.
Escribir: Permiso para escribir en un archivo, aadir al archivo y leer o cambiar
los atriburos del archivo.
Para administrar los permisos de NTFS, puede hacer die derecho en una unidad, carpeta
o archivo y seleccionar Propiedades y, a continuacin, seleccionar la pestaa de Seguridad.
Como se muestra en la figura 2-8, deber ver el grupo y los usuarios que tienen permisos
de NTFS y sus respectivos permisos de NTFS estndar. Para cambiar los permisos, debes
hacer die en el botn Editar.
u.__ 1 ...-......., 1 ,_,..,. 1
...... 1 11
"_"'.....,

.....,... .b

J
....... .,

.._ ................. _, ;;-
V<11.14 J
1
lAnrlle-
...... 1

1
"'"'

,._
ComcfeJII El
.......... " El
"''-
e
... _ .. .,..... .... ..
__:g_ .....
o...
1
-}11
o :..
o
e -
e
n .
Ct=aillh.aii"'!!1CDIKifOiill:mJmlW .11: ICtrr:
1

1
'-t
1
.,__,
1
Los grupos o usuarios a los que se le concede el permiso de Control total sobre una carpeta
pueden eliminar cualquier archivo independientemente de los permisos que se solicitan
para protegerlo. Adems, la funcin de mostrar el contenido de la carpeta, es heredada por
las carpetas pero no por los archivos y slo deber constar al ver los permisos de esca. En
Windows Server 2008, el grupo Todos no incluye el grupo de Inicio de sesin annimo
de forma predeterminada, por lo que los permisos que se aplican para el grupo Todos no
afectan al grupo Inicio de sesin annimo.
Para simplificar la administracin, se recomienda que conceda permisos mediante grupos.
A travs de la asignacin de permisos NTFS a un grupo, se les estara otorgando permisos a
una o ms personas, reduciendo el nmero de entradas en cada lista de acceso y reduciendo
la cantidad de esfuerzo para configurar siruaciones en que varias personas necesitan tener
acceso a determinados archivos o carpetas.
44 Leccin 2
~ Permisos efectivos de NTFS
La estructura de carpetas/archivos en una unidad NTFS puede ser muy complicada e incluye muchas carpetas y
subcarperas. Adems, debido a que se recomienda asignar permisos a grupos y a diferentes niveles en un volumen
NTFS, conocer los permisos efectivos de una determinada carpeta o archivo para un usuario en particular puede ser
complicado.
Hay dos tipos de permisos utilizados en NTFS:
Permisos explcitos: Permisos concedidos di rectamente a un archivo o carpeta.
Permisos heredados: Permisos concedidos a una carpeta (objeto o contenedor
primari o) que transmiten a los objetos secundarios (archivos o subcarperas) que se
encuentra dentro.
Al asignar permisos a una carpeta, por defecto, se aplican canto a la carpeta como a
las subcarpetas y archivos dentro de ella. Para detener los permisos heredados, puede
seleccionar la casill a "Reemplazar todos los permisos de objetos secundarios por permisos
heredables de esce objeto" en el cuadro de di logo de Configuracin de seguridad avanzada.
A continuacin, se le preguntar si est seguro de que desea continuar. Tambi n puede
deseleccionar la casi lla "Incluir codos los permisos heredables del objeto pri mario de
esce objeto". Cuando esta casi lla est vaca, Windows mostrar un cuadro de dilogo de
seguridad. Al hacer die en el bocn Copiar, el permiso explcito se copiar de la carpera
principal a la subcarpeta o archivo. A continuacin, puede cambiar los permisos explci tos
en la subcarpeca o archivo. Si hace die en el botn Eliminar, se reti ra el permi so heredado
por completo.
De forma predeterminada, los objetos denrro de una carpeta heredan los permisos de
cuando se crean. Sin embargo, los permisos explcitos tienen prioridad sobre los heredados.
As que, si concede diferentes permisos a un nivel inferior, el menor nivel de permisos
tiene prioridad.
Por ejemplo, supongamos que tiene una ca.rpeca llamada Daros. Denrro de la carpeta de
Datos, usted ciene la Carpetal, y dentro de la Carperal, tiene la Carpeta2. Si usted concede
Permitir el control toral a una cuenra de usuari o, el permiso Permitir control toral se
pasar a las subcarperas y archivos denrro de la carpeta de Daros.
Objeto
Datos
Carpeta 1
Carpeta 2
Archivo 1
Permisos NTFS
Permite Permiso de Control Total (explcito)
Permite Control Total (heredado)
Permite Control Total (heredado)
Permite Control Total (heredado)
Por lo ramo, si concede Permitir un Conrrol Total en la carpeta Daros para una cuenca de
usuario, el Permiso de Control Toral normalmente afectar a la Carpeta L. Sin embargo,
si concede Permi so de Leccura a la carpeta 1 en la misma cuenca de usuario, el permiso
Permitir leer sobrescribir el permiso heredado y tambin se transmitir a la carpeta 2 y
al archivo l.
Obj eto
Datos
Carpeta 1
Carpeta 2
Archivo 1
Permisos NTFS
Permite Permiso de Control Total
(explcito)
Permitir la lectura (explcito)
Permitir la lectura (heredado)
Permitir la lectura (heredado)
Autenticacin, Autorizacin y Auditora 45
Si un usuario tiene acceso a un archivo, ese usuario podr seguir teniendo acceso al archivo,
incluso si l o ella no tienen acceso a la carpeta que conriene el archivo. Por supuesro,
porque el usuario no tiene acceso a la carpeta, el usuario no puede desplazarse o navegar
a travs de la carpeta para obtener el archivo. Por lo ramo, el usuario tendra que utilizar
el Universal Naming Conventon (UNC) o la ruta de acceso local para abrir el archivo.
Esros son los diferentes t ipos de permiso que tendr:
Check con marca: Aqu, se han asignado explcitamente los permisos.
Check sin marca: Aqu, no hay permisos asignados.
Sombreados: Aqu, se conceden permisos a travs de la herencia de una carpeta
principal.
Adems de conceder Permitir permisos, tambin se puede Denegar permisos, el cual
siempre reemplaza a los orros permisos que se hayan concedido, ndttidas las siruaciones
en las que a un usuario o grupo se le haya dado un Control rotal. Por ejemplo, s a un
grupo le han sido concedidos permisos de Leer y Escribir pero a uno de los miembros del
grupo se le ha denegado el permiso de escritura, los derechos efectivos de ese usuario slo
incluyen el permiso de lectura.
Cuando se combina aplicar Denegar permisos frente a Permitir permisos y permisos
explcitos versus permisos heredados, la jerarqua de la precedencia es la siguiente:
1. Denegacin Explcita
2. Permitir Explcito
3. Denegacin Heredada
4. Permitir Heredado
Debido a que los usuarios pueden ser miembros de varios grupos, es posible que rengan
varios conjunros de permisos explfcros para una carpeta o archivo. Cuando esto ocurre,
los permisos se combinan para formar los permisos efectivos, que son los permisos reales
al iniciar sesin y acceder a un archivo o carpeta. Se componen de los permisos explciros
ms cualquier permiso heredado.
Al calcular los permisos efectivos, debe calcular en primer lugar los permisos explcitos y
heredados para un individuo o grupo y, a continuacin, combinarlos. Cuando se combinan
permisos de usuario y de grupo para la seguridad NTFS, el permiso efectivo es el permiso
acumulativo. La nica excepcin es que siempre se aplica Denegar permisos.
Por ejemplo, supongamos que tiene una carpet a llamada Daros. Denrro de la carpeta
Datos, tienes una Carpeta 1 y, a continuacin, dentro de la Carpeta 1, tiene una Carpeta
2. Imaginemos tambin que el Usuario 1 es un miembro del Grupo 1 y del Grupo 2. Si
asigna el permiso Permitir escribir a la carpeta Datos para el Usuario 1, el Permitir lectura
a la Carpeta l del Grupo 1 y el permiso Permitir modificar a la Carpeta 2 para el Grupo
2, entonces los permisos efectivos del usuario 1 seran como se muestra a continuacin:
46 Leccin 2
Objeto Permisos de Permisos de Permisos de Permisos
NTFS de usuario grupo 1 grupo 2 efectivos
1
Datos Permiso de Permiso
Permitir escritura de permitir
(explcito) escritura
Carpeta 1 Permiso de Permiso Permiso
Permitir escritura de Permitir de Permitir
(heredado) lectura lectura y
(explcito) escritura
Carpeta 2 Permiso de Permiso Permiso Permiso
Permitir escritura de Permitir de Permiti r de Permitir
(heredado) lectura modificar modificar
(heredado) (explcito)
Archivo 1 Permiso de Permiso Permiso Permiso
Permiti r escritura de Permitir de Permiti r de Permiti r
(heredado) lectura modificar modificar*
(heredado) (heredado)
*El permiso de Modificar incluye los permisos de Lectura y Escriwra.
Ahora, supongamos que ti ene una carpeta llamada Daros. Dentro de la carpeta Daros,
usted cienes la Carpeta L y dent ro de la Carpeta 1, cienes la Carpeta 2. El Usuario L es
un miembro del Grupo L y del Grupo 2. Asigna el permiso Permiti r escribir a la carpeta
Daros del Usuario l, el permiso Permitir leer a la Carpeta 1 del Grupo l y el permiso
Denegar modificar a la Carpeta 2 para el grupo 2. Aqu, los permisos efectivos del usuario l
seran los siguiences:
Objeto Permisos de Permisos de Permisos de Permisos
NTFS de usuario grupo 1 grupo 2 efectivos
1
Datos Permiso de Permiso
Permitir escritura de Permitir
(explcito) escritura
Carpeta 1 Permiso de Permiso Permiso
Permitir escritura de Permitir de Permitir
(heredado) lectura lectura y
(explcito) escritura
Carpeta 2 Permiso de Permiso Permiso de Permiso de
Permiti r escritura de Permitir Denegar Denegar
(heredado) lectura modificacin modificacin
(heredado) (explcito)
Archivo 1 Permiso de Permiso Permiso de Permiso de
Permitir escritura de Permitir Denegar Denegar
(heredado) lectura modificacin modificacin
(heredado) (heredado)
Figura 2-9
Permisos efectivos de
NTFS
Autenticacin, Autorizacin y Auditora 47
-7 Ver permisos efectivos de NTFS
PREPRESE. Para ver los permisos efectivos de NTFS concedidos a un usuario de un archivo
o carpeta, realice los pasos siguientes:
1. Haga clic derecho en el archivo o carpeta y selecciona Propiedades.
2. Seleccione la pestaa de Seguridad.
3. Haga clic en el botn Opciones avanzadas.
4. Haga clic en la pestaa Permisos efectivos.
5. Haga clic en el botn Seleccionar y escriba el nombre del usuario o grupo que desea ver.
D clic en el botn Aceptar. Ver la figura 2-9.
- -
I
r:--
, ... __ """' .... --
---
..........
.,.. Copiar y mover archivos
Cuando se mueven o copian los archivos de una ubicacin a orra, es necesario encender lo que ocurre con los permisos
de NTFS asociados con esros ard1ivos.
Al copiar y mover archivos, encontrar uno de los siguientes rres escenarios:
Si copia un archivo o carpeta, el nuevo archivo o carpeta adquirir automticamente
los mismos permisos que la unidad o carpeta a donde se est copiando.
Si un archivo o carpeta se mueve dentro del mismo volumen, conservar los mismos
permisos que ya le fueron asignados.
Si un archivo o carpeta se mueve desde un volumen a orro, ese archivo o carpeta
adqu irir auromricamenre los permisos de la unidad o carpeta a donde se esr
copiando.
48 Leccin 2
.,. Propietario de carpeta y archivos
El propietatio de un objeto controla qu permisos se establecen en el objeto y a quin se conceden los permisos. Si
por alguna razn, se les ha negado el acceso a un archivo o carpeta y necesitan restablecer los permisos, pueden hacer
uso del archivo o carpeta y, a continuacin, modificar los permisos. Auromticamenre, todos los administradores
t ienen el permi so de Hacer uso de todos los objeros NTFS.
Figura 210
Ficha propietario
~ Hacer uso de un archivo o carpeta
PREPRESE. Para hacer uso de un archivo o carpeta, real ice los siguientes pasos:
1. Abra el Explorador de Windows y busque el archivo o la carpeta de los que desea hacer
uso.
2. Haga clic derecho en el archivo o carpeta, seleccione Propiedades y a conti nuacin, elija
la pestaa de seguri dad.
3. Haga clic en Propiedades Avanzadas y posteriormente seleccione la pestaa Propietario.
Ver la figura 2-10.
4. Haga clic en Editar y a continuacin realice una de las siguientes acciones:
Para cambiar el propietario a un usuario o grupo que no aparece, haga clic en Otros
usuarios y grupos y en Escribir el nombre de objeto a seleccionar (ejemplos). escriba
el nombre de usuario o grupo. D clic en Aceptar.
Para cambiar el propietario a un usuario o grupo que aparece, haga clic en el nombre
del nuevo propietario en el cuadro Cambiar propietario.
5. Para cambiar el propietario de todos los contenedores secundarios y objetos dentro del
rbol, seleccione la casilla de verificacin Reemplazar propietario en subcontenedores y
objetos.
- JYI"!tM ,_
a . . . ~ ...
-
'-""'....... J
. _ . . ~ ~ .,
..... .,
-" .1
,_ ..................... liiiiii:iii:iiiiill ................... ,... ...
---- o..-
et' ...
Autenticacin, Autorizacin y Auditora 49
Hacer uso compartido de unidades y carpetas
.,, EN RESUMEN
La mayora de los usuarios no van a iniciar una sesin en un servidor direcramenre para acceder a sus archivos de
daros. En su lugar, una unidad o carpeta ser comparrida (conocida como una carpeta compartidct), y acceder a
los archivos de daros en la red. Para ayudar a proteger contra el acceso no aurorizado a dichas carpetas, va a usar
permisos de recurso comparrido junto con los de NTFS (suponiendo que la carpeta comparrida esr en un volumen
NTFS). Entonces, cuando los usuarios necesi.tan rener acceso a un recurso compartido de red, usan la UNC, que es \\
oombredelservidor\nombrecomparrido.
~ Compartir una carpeta
PREPRESE. Para compartir una carpeta, sigue estos pasos:
1. En Windows Server 2003, haga clic derecho en la unidad o carpeta que desea compartir
y seleccione Compartir y seguridad. En Windows Server 2008, haga clic derecho en la
unidad o carpeta, seleccione Propiedades, seleccione la ficha Compartir y a continuacin,
oprima el botn Uso compartido avanzado.
2. Seleccione Compartir esta carpeta.
3. Escriba el nombre de la carpeta compartida.
4. Si es necesario, puede especificar el nmero mximo de personas que pueden tener
acceso a la carpeta compartida al mismo tiempo.
5. Haga clic en el botn de Permisos.
6. De forma predeterminada, Todos reciben el permiso de Permitir lectura compartida. A
menos que realmente desee que todo el mundo pueda tener acceso a la carpeta, puede
quitar Todos, asignar permisos adicionales o agregar personas adicionales.
7. Despus de que se agregaron a los usuarios y grupos deseados con los permisos
adecuados, haga clic en el botn Aceptar para cerrar el cuadro de dilogo Permisos. Ver
la figura 2-11.
8. Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades.
50 Leccin 2
Figura 2-11
Compartir una carpeta
-
--
.... ___ _
-
fl--
-
-
---
Los pemlisos compartidos que estn disponibles son los siguientes:
Control tot al: Los usuarios con este permiso tienen permitido Leer y Modificar, as
como las capacidades adicionales para cambiar los permisos de archivos y carpetas
y comar propiedad de archivos y carpetas.
Cambiar: Los usuarios tienen permiso de Lectura y capacidades adicionales para
crear los archivos y subcarperas, modificar los archivos, cambiar los atribuws de los
archivos y subcarper.as y eliminarlos.
Lectura: Los usuarios con este permiso pueden ver nombres de archivos y
subcarperas, acceder a las subcarpetas de los recursos compartidos, leer daros de
archivos y atributos y ejecutar archivos de programa.
Cabe sealar que los permisos compartidos siempre aplican cuando se accede de forma
remota mediante un UNC, incluso si es en el volumen FAT, FAT32 o NTFS.
Al igual que con NTFS, tambin puede permitir o denegar el permiso de cada recurso
compartido. Para simplificar la administracin de los permi sos compartidos y NTFS,
Mi crosoft recomienda dar Control rotal a Todos y a continuacin controlar el acceso
mediante permisos de NTFS. Adems, debido a que un usuario puede ser miembro de
vari os grupos, es posible que renga varios conjunros de permisos en una unidad compartida
o carpera. Los permisos de recursos compartidos eficaces son la combinacin de los permisos
de usuario y los permisos para wdos los grupos de los que el usuario es miembro.
Cuando una persona se registra directamente en la consola del servidor y tiene acceso
a los archi vos y carpetas sin usar UNC, slo los permisos de NTFS y (no los permisos
compartidos) son aplicables. Por el contrario, cuando una persona riene acceso a una
carpeta compartida utilizando la UNC, debe combinar los permisos compartidos y NTFS
para ver qu puede hacer un usuario. Para determinar el acceso general, primero calcule
los permisos de NTFS efectivos, luego determine los permisos efectivos compartidos. Por
ltimo, aplique los permisos ms restrictivos entre ellos.
Autenticacin, Autorizacin y Auditora 51
..,. Recursos Administrativos Compartidos Especiales
En Windows, hay varias carpetas compartidas especiales que se crean automticamente para uso administrativo
y del sistema. A diferencia de los recursos regulares, los compartidos no muestran cuando un usuario navega por
los recursos de la PC milizando Network Neighborhood, My Network Place o programas de software similares. En la
mayora de los casos, las carpetas compartidas especiales no deberan ser eliminadas o modificadas. Para los servidores
de Windows, slo los miembros del grupo de Administradores, Operadores de las copias de seguridad y Operadores
de servidores pueden conectarse a estos recursos.
Un recurso administrativo compartido es una carpeta compartida que se utiliza
normalmente para fines administrativos. Para hacer que una carpeta o unidad compartida
sea un recurso compart ido oculco, el nombre del recurso compartido debe tener un signo
"$" al final del mismo. Debido a que la unidad o carpeta de recurso compartido no se
puede ver durante la navegacin, tendr que utilizar un nombre UNC que incluya el
nombre del recurso compartido (incluyendo el signo "$"'). De forma predeterminada,
codos los volmenes con letras de unidad auromticamente tienen recursos compartidos
administrativos (C$, D$, E$, etc.). Segn sea necesario para carpetas individuales, se
pueden crear otros recursos administrativos compartidos.
Adems de los recursos administrativos compartidos para cada unidad, tambin tendr los
recursos especiales siguientes:
ADMIN$: un recurso uti lizado por el sistema durante la administracin remota
de una PC. La ruta de acceso de este recurso es siempre la ruta de acceso a la raz
del sistema de Windows 7 (el directorio donde est instalado Windows 7, por
ejemplo, C:\ Windows).
IPC$: un recurso que comparte las canalizaciones con nombre que son esenciales
para la comunicacin entre programas. Se utiliza durante la administracin remota
de una PC y cuando se visualizan los recursos compartidos de una PC.
PRINTS: un recurso utilizado durante la administracin remota de impresoras.
Introduccin al Registro
.J... EN RESUMEN
El registro es una base de daros central y segura en la que Windows almacena toda la informacin de configuracin
del hardware, la informacin de configuracin del sofrware y las direcrivas de seguridad del sistema. Los componentes
que uti liza el registro incluyen el ncleo de Windows, los drivers de dispositivos, los programas de instalacin, los
perfi les de hardware y los perfiles de usuario.
La mayora de las veces, no necesitar acceder al registro, porque los programas y las
aplicaciones normalmente hacen codos los cambios necesarios automticamente. Por
ejemplo, al cambiar el fondo del escritorio o cambiar el color predeterminado para
Windows, tiene acceso a la configLLracin de visualizacin del Panel de Control y los
cambios se guardan automticamente en el registro.
Si necesita obtener acceso al registro y realizar cambios en l, tiene que seguir puntualmente
las instrucciones ofrecidas por una fuente confiable debido a que un cambio incorrecto en
el registro de su PC podra hacer que no funcione. Sin embargo, puede presentarse el caso
de que renga que realizar un cambio en el registro, porque no hay interfaz o programa
que haga ese cambio. Para ver y cambiar manualmente el registro, se utiliza el Ediror
del registro (Regedit.exe), el cual se ejecuta desde la lnea de comandos, en el cuadro de
dialogo de Inicio bsqueda o de Ejecutar. Ver la figura 2-12.
52 Leccin 2
Figura 2-12
Editor del registro
El registro se divide en varias secciones lgicas, que a menudo se denominan "hive.s", y
que generalmenre son nombrados por sus definiciones de la API de Windows. Los hive.s
comienzan con HKEY y son a menudo abreviadas a un nombre corro de eres o cuatro
letras, comenzando con "HK." Por ejemplo, HKCU es HKEY_CURRENT_USER, y
HKLM es HKEY_LOCAL_MACHJNE. Windows 7 tiene cinco claves/ HKEYs de raz:
HKEY _CLASSES_ROOT: Almacena informacin acerca de las aplicaciones
registradas, tal como los daros de asociacin de archivos que indica qu programa
predeterminado abren los archivos con una cierra extensin.
HKEY_CURRENT_USER: Almacena La configuracin especfica para el
usuario actualmenre conectado. Cuando un usuario cierra la sesin, el HKEY _
CURRENT_USER se guardar en HKEY _USERS.
HKEY_LOCAL_MACHINE: Almacena la configuracin especfica para la PC
local.
HKEY _USERS: Contiene las subclaves correspondientes a las claves. HKEY _
CURRENT_USER para cada perfil de usuario cargado act ivamence en la PC.
HKEY_CURRENT_CONFIG: Conriene la informacin recopilada durante el
tiempo de ejecucin. La informacin almacenada en esra clave se almacena de
forma no permanente en el disco, pero volver a generarse ms bien en el momento
del arranque.
Las claves del registro son similares a las carpetas que conrienen los valores o las subclaves.
Las claves en el registro siguen una sintaxis similar a una carpeta de Windows o a una rura
del archivo que uriliza barras diagonales inversas para separar cada nivel. Por ejemplo:
HKEY _LOCAL_MACHINE'SOFTWARE\Microsofr\ Wi ndows
se refiere a la subclave "Windows" de la subclave "'Microsoft" de la subclave software" de
la clave HKEY _LOCAL_MACHINE.
Cuadro 2-2
Tipos comunes de clave
de registro
Autenticacin, Autorizacin y Auditoria 53
Los valores del registro incluyen un nombre y un valor. Hay varios tipos de valores.
Algunos de los tipos ms comunes de claves se muestran en el cuadro 2-2.
Nombre
Valor binario
Valor DWORD
Valor de cadena
expandible
Valor multi-
cadena
Valor de cadena
Valor QWORD
Tipo de datos
REG_BlNARY
REG_DWORD
REG_EXPAND_SZ
REG_MULTI_SZ
REG_SZ
REG_QWORD
Descripcin
Datos binarios si n formato. La
mayor parte de la informacin sobre
componentes de hardware se almacena
como datos binarios y se muestra
en el Editor de registro en formato
hexadecimal.
Datos representados por un nmero
que tiene cuatro bytes (un entero de 32
bits). Muchos de los parmetros para los
drivers de dispositivos y servicios son de
este tipo y se muestran en el Editor del
registro en formato binario, hexadecimal
o decimal.
Una cadena de datos de longitud
variable. Este tipo de datos incluye
variables que se resuelven cuando un
programa o servicio utiliza los datos.
Una cadena mltiple. Los valores que
contienen listas o varios valores en una
forma que pueden leer las personas, son
generalmente de este tipo. Las entradas
estn separadas por espacios, comas u
otras marcas.
Una cadena de texto de longitud fija.
Datos representados por un nmero que
es un entero de 64 bits. Esta informacin
se muestra en el Editor del registro
como un valor binario y fue introducida
en Windows 2000.
Archivos Reg (tambin conocidos como entradas de registro) son archivos de texro para
el almacenamiento de porciones de un registro. Estos archivos tienen una extensin de
nombre de archivo. reg. Si hace doble die en un archivo .reg, agregar las entradas del
registro. Puede exportar cualquier subdave del registro haciendo die derecho en la subdave
y seleccionar Exportar. Puede hacer una copia de seguridad de codo el registro a un archivo
.reg haciendo clic derecho en Mi PC en la paree superior de Regedit y seleccione Exportar;
o puede hacer una copia de seguridad del estado del sistema con Windows Respaldo.
54 Leccin 2
-7 Permisos de acceso al registro
PREPRESE. El registro utiliza los permisos que se almacenan en Listas de Control de Acceso
(ACL). Para acceder a los permisos del registro, realice los pasos siguientes:
1. Abra el Editor del registro.
2. Haga clic en la clave a la que desea asignar permisos.
3. En el men Edicin, haga clic en Permisos.
A conti nuacin, agregar el usuario prospectivo y asignar permisos para Permitir o
Denegar Control Toral o Lectura.
Hacer uso del encriptado para proteger los datos
,, EN RESUMEN
Bncriptado es el proceso de conversin de daros en un formato que no se puede leer por otro usuario. Una vez que
un usuario ha encriptado un archivo, ese archivo autOmticamente permanece encripcado cuando se almacena en el
disco. Desencriptado es el proceso de conversin de daros de un formare encriprado a su formato original.
0 Listo para la
Certificacin
Puede enumerar y
contrastar los tres
mtodos principales de
encriptado?
- 2.5
Con el encriprado de uso comn, el algoritmo de encriprado debe proporcionar un alro
nivel de seguridad escando disponible incluso para el pblico. Debido a que el algoritmo
esr a disposicin del pblico, La seguridad reside en la clave, no en el propio algoritmo.
Uno de los algorirmos de encripcado ms simples es el encri prado de susrirucin, que
cambia de un carcter o smbolo a otro. Por ejemplo, si riene
clear text
y sustituye cada ''e" con una "y," cada "e" con la letra "j" y cada letra "e" con una "y",
obtiene el siguiente rexro encriprado:
jlyar yexy
Orra tcnica simple se basa en el encriprado de transposicin, que impli ca la transposicin
o el intercambio de lerras de una cierra manera. Por ejemplo, si tiene
clear text
y se cambia cada dos lerras, obriene:
lcae rettx
Una c:lave, que puede considerarse como una contrasea, se aplica maremricamente a
rexro sin formare para proporcionar un rexro encr iptado o codificado. Diferentes claves
producen salidas de encriprado diferentes. Con Las PC, el encriprado se basa a menudo en
birs, no en caracreres. Por ejemplo, si tiene las letras Unicode "el'', se podra expresar en
el siguiente formaro binario:
O 11000 l1 O ll01100
Autenticacin, Autorizacin y Auditora 55
Si agregas matemticamente la forma binaria de z'(Ollll010), que es la clave, se obtiene:
01100011 01101100
+01111010 + 01 u lO lO
11011101 1110 0110
que parecern caracteres extraos de Unicode: Ya!.
Al igual que con una contrasea, entre ms larga sea la clave (por lo general expresada en
bies), es ms segura. Para que un hacker averige una clave, l o ella tambin tendr que
urilizar un araque de fuerza brura, lo que significa que el hacker tendra que probar rodas
las combinaciones de bies hasta que l o ella calculen la clave correcta. Attnque una clave
podra ser roca si se da el suficiente tiempo y poder de procesamiento, las claves largas son
elegidas para que su desencriptado y violacin tome meses, incluso aos, para lograrse.
Por supuesto, al igual que con las contraseas, algunos algoritmos de encriptado cambian
su clave con frecuencia. Por lo ranco, una longitud de clave de 80 bies es generalmente
considerada el mnimo para una seguridad fuerce con algoritmos de encriprado simtrico.
Las claves de 128 bies se utilizan frecuentemente y tambin se consideran muy fuerces .
.,.. Examen de Jos tipos de encriptado
Los algoritmos de encriptado se pueden dividir en eres clases: simtrico, asimtrico y de funcin hash.
Anlisis del encriptado simtrico
El encriptado simtrico utiliza una clave nica para encriptar y desencriprar daros. Por lo
canco, tambin se conoce como clave secreta, clave nica, clave compartida y clave privada
de encriptado. Para utilizar algoritmos de clave simtrica, es necesario intercambiar
inicialmente la clave secreta emre el emisor y el receptor.
El encriprado de claves simtricas puede dividirse en encriptado por bloques y encriptados
en flujo. Un encriptado por bloques coma un bloque de texto sin formato y una clave y a
continuacin, enva un bloque de texto encriptado del mismo tamao. Dos encriprados
de bloque populares son el Esrndar de Encriprado de Daros (DES) y el Estndar de
Encriprado Avanzada (AES), que han sido designados como estndares de criprografa por
el gobierno estadounidense.
La Oficina Nacional de Estndares seleccion el Estndar de Encriptado de Daros como el
estndar de procesamiento de Informacin Federal oficial (FlPS) para los Estados Unidos
en 1976. Se basa en un algoritmo de clave simtrica que utiliza una clave de 56 bits.
Puesro que el DES se basa en un tamao de clave relativamente pequeo de 56 bies, esc
sometido a ataques de fuerza bruta. Por lo tanto, en lugar de disear un algoritmo de
encriptado de bloques completamente nuevo, se desarroll el Triple DES (3DES), que
utiliza tres claves independientes. El DES y el ms seguro 3DES son codava populares y
se utilizan en una amplia gama de aplicaciones, que van desde el eocriptado de la ATM, a
la privacidad del correo electrnico, para asegurar el acceso remoto.
Aunque DES y 3DES siguen siendo populares, un mrodo de encriptado ms seguro
ll amado Estndar de Encriptado Avanzada (AES) fue anunciado en 2001 y actualmente
est creciendo en popularidad. Este estndar se compone de eres encripcados de bloque:
56 Leccin 2
AES-128, AES-192 y AES-256 - usado en bloques de 128 bies con tamaos de clave de
128, 192 y 256 bies, respeccivamence. Los encripcados AES se han analizado ampliamente
y ahora se usan en codo el mundo, incluyendo con el encripcado inalmbrico Wi-Fi de
Acceso Protegido 2 (WPA2).
En concrasce con el encripcado por bloques, los encriprados en flujo crean una secuencia
arbitrariamente larga de material clave, que combina bic a bic o carcter a carcter con el
cexto sin formato. RC4 es un encriptado de flujo ampliamente utilizado, empleado ramo
en Protocolo de Capa de Conexin Segura (SSL) como en WEP (Privacidad Equivalente
a Cableado). Aunque RC4 es simple y conocido por su velocidad, puede ser vulnerable si
no se descarta la secuencia de clave o si se usan claves no aleatorias o conexas o una nica
secuencia de clave se utiliza dos veces.
Anlisis del encriptado asimtrico
El encriprado asimtrico tambin conocido como criptografa de clave pblica, utiliza
dos claves relacionadas matemticamente para la codifi cacin. Una de las claves se utiliza
para cifrar los daros, mientras que la segunda se ut iliza para descifrarl a. A diferencia de
los algori rmos de clave simtrica, este mtodo no requi ere un intercambio ini cial seguro
de una o ms claves secretas para el remitente y el receptor. En su lugar, se puede hacer
que la clave pblica no sea conocida por nadi e y utilizar la ocra clave para cifrar o descifrar
los daros. La clave pblica se puede enviar a alguien o podra publicarse dentro de un
certificado digital a travs de una auroridad de certificacin (AC). Secure Sockets Layer
(SSL) 1 Transport Layer Securiry (TLS) y Preccy Good Privacy (PGP) utilizan claves
asimtricas. Dos protocolos de encriptado asimtrico popular son Diffie-Hellman y RSA.
Por ejemplo, supongamos que desea que un socio le enve daros. Para iniciar el proceso de
encripcado asimtrico, enva a su socio la clave pblica. Entonces su socio cifra los daros
con la clave y le enva el mensaje encripcado. A continuacin usted utiliza la clave privada
para desencripcar el mensaje. Si la clave pblica cae en manos de otra persona, an as, esa
persona no podr desencriprar el mensaje porque necesita la clave privada.
Anlisis de la funcin Hash
El ltimo tipo de encriptado es la funcin hash. A diferencia de los algoritmos simtricos y
asimtricos, unafimcin hash se enciende como un encripcado unidireccional. Eso significa
q ue despus de que algo ha sido encri pcado con este mtodo, no se puede desencriptar. Por
ejemplo, una funcin de hash p uede urilizar para encriptar una contrasea que se almacena
en el disco y para firmas dig itales. Cada vez que se introduce una contrasea, el mismo
clculo hash se efecta en la contrasea introducida y en comparacin con el valor hash de
la contrasea almacenada en el disco. Si los dos coinciden, el usuario debe haber escrito
la contrasea. Esto evita almacenar las contraseas en un formaro legible donde un pirara
informtico podra ser capaz de obtener acceso a ellas.
Autenticacin, Autorizacin y Auditora 57
..,. Introduccin a la infraestructura de clave pblica
InfraestrJtctura de clave pblica (PKI) es un sistema que consiste en hardware, software, directivas y procedimientos
de creacin, administracin, distribucin, utilizacin, almacenamiento y revocacin de certificados digitales. Dentro
de la PKl, la autoridad de certificacin (AC) une a una clave pblica con las identidades de usuario respectivas y
emite los certificados digitales que contienen la clave pblica.
Figura 2-13
AC de confianza en
Internet Explorer
Para que el sistema PKI trabaje, la entidad emisora debe ser de confianza. Por lo
general dentro de una organizacin, puede instalar una AC en un servidor Windows,
especficamente en un driver de dominio, y sera de confianza dentro de la organizacin. Si
requiere una AC de confianza fuera de la organizacin, tendra que utilizar una confianza
AC de terceros, como VeriSign o Emrusr. Las AC establecidas de forma comercial se hacen
cargo de emitir certificados en los que se confiar automticamente por la mayora de los
navegadores web. Ver la figura 2- 13.
La autoridad de registro (RA), que puede o no ser el mismo servidor que la AC, se utiliza
para distribuir las claves, aceptar registros de la entidad emisora y validar identidades. La
RA no distribuye certificados digitales; en su lugar, lo hace la AC.
Adems de tener una fecha de caducidad, un certificado digital puede ser revocado si se
ve comprometido o si la situacin ha cambiado para el sistema al que se asign. Una lista
de revocaci6n de certificados (CRL) es una lista de certificados (o ms concretamente, una
lista de nmeros de serie para certificados) que han sido revocados o que ya no son vlidos
y por lo ramo, no se deben utilizar.
Como ya se ha mencionado, los servidores de Windows pueden alojar una autoridad de
certificacin. La AC raz de la empresa est en el nivel superior de la jerarqua de autoridad
de certificados. Una vez configurada la AC raz de la empresa, se registra auromcicamente
dentro del Directorio activo y todos los equipos dentro del dominio confan en ella. Esta
autoridad apoyar el registro automtico y la opcin de renovacin automtica de los
certificados digitales.
58 Lecci n 2
Figura 2-14
Certificado digital X.509
Si necesita dar soporte a dientes externos y compradores, probablemente tendra
que construir un AC independiente. A diferencia de los AC raz de empresa, un AC
independiente no utiliza el Directorio activo. Porque las AC independientes no admiren
registro automtico, rodas las solicicudes de certificados estn pendientes hasta que un
administrador las apruebe.
Certificados digitales
Un certificado digital es un documento electrnico que contiene el nombre de una persona
o de la organizacin, un nmero de serie, fecha de caducidad, una copia de la clave pblica
del titular del certificado (uti lizado para la encripracin de mensajes y la creacin de firmas
digitales) y la firma digital de la AC que asigna el certificado para que los destinatarios
puedan comprobar que el certificado es real.
El cerrificado digi tal ms comn es el X.509 versin 3. El X.509 versin 3 esrndar
especifica el formato de certificado de clave pblica, liscas de revocacin de certi ficados,
cert ificados de atributo y un algori tmo de validacin de la ruca de cerri fi cado. Ver la fi g ura
2-14.
Los cert ificados d ig itales pueden ser importados y exportados a rravs de archivos
electrnicos. Los cuatro formatos ms comunes son los siguientes:
lnrer cambio de informacin person al (PKCS # 12): El formato de Intercambio
de Informacin Personal (PFX, tambin llamado PKCS # 12) admire el
almacenamiento seguro de codos los cert ificados y claves privadas en una ruca de
certificacin. El formaro PKCS # 12 es el nico formato de archivo que se puede
utilizar para exporrar un certificado y su clave privada. Por lo general tendr una
extensin de nombre de archivo .pl2.
Estndar de Sintaxis de Mensaj e Crip togrfico (PKCS # 7): El formaro PKCS
# 7 admire el almacenamiento de codos los certificados en una ruca de cercificacin.
Por lo general rendr una extensin p7b o p7C del nombre de archivo.
Certificad o codificacin b inaria DER X.509: El formato de reglas distinguidas
de codificacin (DER) admire el almacenamiento de un nico certificado. Este
formato no es compatible con el almacenamiento de informacin de la ruca de
Autenticacin, Autorizacin y Auditora 59
cert ificacin o clave privada. Por lo general tendr una extensin de nombre de
archivo .cer, .ere o .der.
Codificacin Base64 X. 509: El formato Base64 admire el almacenamiento de
un n ico certificado. Este formaco no es compatible con el almacenamiento de
informacin de la ruca privada de clave o certificacin.
~ Adquirir un Certificado Digital
PREPRESE. Para adquirir un certificado digital uti lizando liS 7/7.5, realice los pasos
siguientes:
1. Solicite un certificado de servidor de Internet desde el servidor liS. Para ello, haga clic en
el servidor en Administrador liS y posteriormente, doble clic en Certificados de servidor
en la vista de Caractersticas. A continuacin pulse Crear una solicitud de certificado
desde el panel de Acciones.
2. Enve la solicitud generada del certificado a la AC, por lo general mediante el sitio Web del
proveedor.
3. Reciba un certificado digital de la autoridad de certificacin e instlelo en el servidor liS.
De nuevo, abra el Administrador liS, haga doble clic en el servidor en el administrador
liS y nuevamente doble clic en Certificados de servidor en la vista de Caractersticas. A
continuacin, seleccione Completar solicitud de certificado.
Si dispone de un cenero con varios servidores web, debe instalar el cerrificado digi tal
del primer servidor y exporrarlo a un formato pfx, y tendr que copiar la clave pblica y
privada en los otros servidores. Por lo canco, debe exportar la clave desde el primer servidor
e importarla a los otros.
~ Exportar un Certificado Digital
PREPRESE. Para exportar un certificado digital, realice los siguientes pasos:
1. Abra Administrador liS y desplcese hasta el nivel que desea administrar.
2. En la vista de Caractersticas, haga doble clic en Certificados de servidor.
3. En el panel de Acciones, d clic en Exportar.
4. En el cuadro de dilogo Exportar, escriba un nombre de archivo en el cuadro exportar a
o haga clic en el botn examinar para desplazarse hasta el nombre de un archivo y as
almacenar el certificado para la exportacin.
5. Escriba una contrasea en el cuadro Contrasea si desea asociarla con el certificado
exportado. Vuelva a escribirla en el cuadro Confirmar contrasea.
6. Haga clic en Aceptar.
~ Importar un certificado Digital
PREPRESE. Para importar un certificado, realice los siguientes pasos:
1. Abra Administrador liS y desplcese hasta el nivel que desea administrar.
2. En la vista de Caractersticas, haga doble clic en Certificados de servidor.
3. En el panel de Acciones, haga cl ic en Importar.
60 Leccin 2
Figura 215
Cadena de certificados
4. En el cuadro de dilogo Importar Certificado, escriba un nombre de archivo en el cuadro
de archivo de certificado o haga clic en el botn Examinar para desplazarse hasta el
nombre del archivo donde se almacena el certificado exportado. Si el certificado se
export con una contrasea, escrbala en el cuadro Contrasea.
5. Seleccione Permitir la exportacin de este certificado para poder exportar el certificado,
o desactive Permitir la exportacin de este certificado si desea evitar exportaciones
adicionales de este certificado.
6. Haga clic en Aceptar.
Examen de una cadena de certificados (Certificate Chain)
Existen solamente ramos certificados de la AC raz como los que se han asignado a las
organizaciones comerciales de terceros. Por lo canco, al adquir.ir un certificado digi tal
de una de estas organizaciones, puede ser que necesite usar una cadena de certificados
para obtenerlo. Adems, puede que deba instalar un certificado digital intermitente que
vincular el certificado dig ital asignado a un certificado de AC raz de confianza. La cadena
de certificados, tambin conocida como la ruta de certificado, es una li sta de certificados
para autenticar una entidad. Comienza con el certificado de la entidad y termina con el
certificado de la AC raz. Ver la figura 2-15
Firma Digital
Una.finna digital es un esquema matemtico que se utiliza para demostrar la autenticidad
de un documento o mensaje digital. Se usa tambin para demostrar que el mensaje o
documento no ha sido modificado. Con una firma digital, el remitente utiliza la clave
pblica del destinatario para crear un valor hash del mensaje, que se almacena en la sntesis
del mensaje. A continuacin, se enva el mensaje al receptor. El receptor a continuacin
utilizar su clave privada para desencriptar el valor hash, realizar la misma funcin de hash
en el mensaje y comparar los valores de dos hash. Si el mensaj e no ha cambiado, coincidir
con los valores de hash.
Autenticacin, Autorizacin y Auditora 61
Para demostrar que un mensaje proviene de una persona en particular, puede realizar la
funcin hash con la clave privada y adjuntar el valor hash al documento que se enve.
Cuando el documento es enviado y recibido por la parte receptora, se completa la misma
funcin de hash. A continuacin, utilice la clave pblica del remitente para desencriptar el
valor de hash incluido en el documento. Si coinciden Los dos valores de hash, el usuario que
ha enviado el documento debe haber sabido la clave privada del remitente, demostrando
quin envi el documento. Tambin probar que el documento no ha sido cambiado.
Protocolo de Capa de Conexin Segura (SSL) y Seguridad de la Capa de
Transporte (TLS)
Hay veces que se tienen que transmitir datos privados a travs de Internet, tales como
nmeros de tarjeta de crdito, nmeros de Seguridad Social y as sucesivamente. En estos
casos, deber utilizar SSL sobre http (https) para encriptar los daros antes de enviarlos.
Por Convencin, las direcciones URL que requieren conexin SSL empiezan con hrrps en
lugar de Imp.
SSL es la abreviatura [en ingls} para Protocolo de Capa de Conexin Segura. Es un
sistema criptogrfico que utiliza dos claves para encriptar daros, una clave pblica
conocida por codo el mundo y una clave privada o secreca conocida slo por el destinatario
del mensaje. La clave pblica se publica en un certificado digital, que tambin confi rma la
identidad del servidor web.
Cuando se conecta a un sitio protegido mediante SSL, aparece un "candado de oro" [gold
fock} en la barra de direcciones, junto con el nombre de la organizacin para la cual la AC
emiti el cert ifi cado. Al hacer die en el icono del candado, se muestra ms informacin
sobre el sirio, incluyendo la identidad de la AC que lo emiti. Si an as requiere averiguar
ms sobre el sirio, puede hacer clic en el vnculo Ver certificado para abrir el cuadro de
dilogo correspondiente.
Espordicamente, Internet Explorer puede encontrar problemas con el certificado digital
de un sirio Web, por ejemplo, puede estar vencido, puede estar daado, haber sido revocado
o no coincidir con el nombre de la pgina Web. Cuando esco sucede, lE bloquea el acceso
al sirio y muestra un aviso que indica que hay un problema con el certificado. Tendr una
oporrunidad de cerrar la ventana del explorador o ignorar la adverrencia y coorinuar hacia
el sirio. Por supuesco, si ha optado por ignorar la advertencia, asegrese de confiar en el
sirio Web y de que lo est comunicando con el servidor correcco.
La Seguridad de la Capa de Transporte (TLS) es una extensin del SSL que fue apoyada
por Internet Engineering Task Force (IETF) para que pudiera ser un estndar abierco,
admitido por la comunidad que, a continuacin, podra ampliarse con otros estndares
de Internet. Aunque la TLS a menudo se conoce como SSL 3.0, no interacta con SSL.
Adems, a pesar de que la TLS es generalmente el valor predeterminado para la mayora
de los navegadores, riene una funcin de descenso de categora que permite al SSL 3.0
ejecutarse segn sea necesario.
62 Leccin 2
IJII> Codificar el Correo Electrnico
Como el correo electrnico se enva a travs de Incernec, puede ser que le inquiere la posibilidad de que sus paquetes
de datos sean capturados y ledos por otras personas a quienes no van destinados. Por lo canco, puede que desee
encripcar mensajes de correo electrnico que contienen informacin confidencial.
Hay varios protocolos que pueden utilizarse para encriptar mensajes de correo electrnico.
Dos prominentes protocolos incluyen:
Extensiones de Correo de lmernec de Propsitos Mltiples 1 Seguro ($/MIME)
Privacidad Bastante Buena (PGP)
S/ MIME (Secure Mulci purpose Internet Mail Extension ) es la versin segura de MIME,
utili zada para incrustar objetos dentro de los mensaj es de correo elect rnico. Es el
estndar admitido ms ampl iamente utilizado para proteger las comunicaciones de correo
electrnico, y utiliza el estndar PKCS # 7. S/MJME se incluye con los navegadores web
populares y tambin ha sido respaldada por ocros proveedores de productos de mensajera.
PGP (Pren y Good Privacy) es un sistema de encriptado de correo electrnico de software
gratuito que utiliza el encriptado simtrico y asimtrico. Aqu, cuando se enva correo
electrnico, el documento se encripca con la clave pblica y tambin una clave de sesin.
La clave de sesin es un nmero aleatorio de un solo uso utilizado para crear el texto
encriptado. La clave de sesin se encripta en la clave pblica y es enviada con el texto
encriprado. Cuando se recibe el mensaje, La clave privada se utiliza para extraer la clave de
sesin. La clave de sesin y la clave privada se utilizan para desencriptar el texto encripcado.
IJII> Encriptar archivos con EFS
Si alguien roba un disco duro que est protegido por permisos de NTFS, esa persona podra tomarlo y ponerlo en un
sistema del que l o ella es administrador y as acceder a codos Los archivos y carpetas que se encuentran en ste. Por
lo canco, para proteger verdaderamente una unidad que puede ser robada o a la que se puede acceder ilegalmente, se
pueden encripcar los archivos y carpec.as en esa unidad.
Windows 7 ofrece dos tecnologas de encripcado de archi vos, Sistema de Encriptado de
Archivos (EFS) y el encripcado de unidad BitLocker. El EFS protege archivos individuales
o carpetas, mientras que BicLocker protege unidades compl etas.
El Sistema de Encriprado de Archivos (EFS) puede cifrarlos en un volumen NTFS para
que no se puedan utili zar a menos que el usuari o tenga acceso ll las claves necesarias para
desencriprar la informacin. No es necesario que se decodifique anres de poderlo utilizar,
ms bien, una vez que se encripta un archivo o carpeta, se trabaja con ell a cal como se
hara con cualquier otra.
El EFS est ajustado a una cuenca de usuario especfico, utilizando las claves pblicas y
privadas que son la base de la infraestructura de clave pblica (PK1) Windows. El usuario
que crea un archivo es la nica persona que puede leerlo. Mientras el usuario trabaja, el
EFS encripta los archivos que l o ella crean utilizando una clave generada desde la clave
pblica del usuario. Pueden desencriptar datos con esta clave slo por el certificado de
encriptado personal del usuario, que se genera utilizando su clave privada.
Figura 2-16
Encriptado de datos con
EFS
*Tome nota
No puede encriptar
un archivo con EFS
mientras comprime un
archivo con NTFS. Slo
se puede hacer una
cosa o la otra
Autenticacin, Autorizacin y Auditora 63
7 Encriptar una carpeta o archivo con EFS
PREPRESE. Para encriptar un archivo o carpeta, realice los pasos siguientes:
1. Haga clic derecho en la carpeta o archivo que desee encriptar y a continuacin
seleccione Propiedades.
2. Haga clic en la ficha General y a continuacin en Avanzadas.
3. Seleccione la casilla de verificacin Cifrar contenido para proteger datos, haga clic en
Aceptar y posteriormente en Aceptar. Ver la figura 2-16.
7 Desencriptar un archivo o carpeta
..... o ....
. :.:.!:'!":'i!:.'l: ..
............
r: (.-ptolftl:r"'" -
W,4Ul-,.\l...Uol
.... -1)7"""-cw:"'-
[
_ .. ...........,, .. ....
r: ""-""' ........ _.. ..
1: .,...,,d_ ... _.u ..
PREPRESE. Para desencriptar un archivo o carpeta, realice los siguientes pasos:
4. 1. Haga clic derecho en la carpeta o el archivo que desea desencriptar y a continuacin
en Propiedades.
5. 2. Haga clic en la ficha General y, a continuacin, haga clic en Avanzadas.
6. 3. Desactive la casil la de verificacin Cifrar contenido para proteger datos, haga clic en
Aceptar y finalmente en Aceptar.
La primera vez que encri pre una carpera o archivo, se crea auromricameme un cerri licado
de encriprado. Si el cerrificado y la clave resulraran perdidos o daados y no riene una copia
de seguridad, no podr urili zar los archivos que han sido encriprados. Por lo ramo, debe
hacer una copia de seguridad de su cerrificado de eocriprado.
64 Leccin 2
-? Hacer una copia de seguridad del Certificado EFS
PREPRESE. Para hacer copia de su certificado de EFS, realice los pasos siguientes:
l . Ejecute certmgr.msc. Si se le solicita una contrasea de administrador o la confirmacin,
escriba la contrasea o proporcione una confirmacin.
2. En el panel izquierdo, haga doble clic en Personal.
3. Haga clic en Certificados.
4. En el panel principal, haga clic en el certificado que muestra el Sistema de Archivos
Encriptados Intencionalmente. Si hay ms de un certificado de EFS, deber hacer una
copia de seguridad de todos ellos.
5. Haga clic en el men Accin, seleccione Todas las tareas y posteriormente en Exportar.
6. En el Asistente de Certificado de exportacin, haga clic en Siguiente, seleccione S,
exportar la clave privada y despus elija Siguiente.
7. Haga clic en Intercambio de informacin Personal y a continuacin en Siguiente.
8. Escriba la contrasea que desea utilizar, confrmela y haga clic en Siguiente. El proceso
de exportacin crear un archivo para almacenar el certificado.
9. Escriba un nombre para el archivo y la ubicacin (incluya la ruta de acceso completa) o
en su lugar haga clic en Examinar, desplcese a una ubicacin, escriba un nombre de
archivo y haga clic en Guardar.
10. Haga clic en siguiente y despus en Finalizar.
A continuacin, se debe colocar el certificado en un lugar seguro.
Si por alguna razn, una persona sale de la organizacin y no puede leer sus archivos
encriptados, tambin puede configurar agentes de recuperacin que pueden recuperar los
archivos encriprados para un dominio.
PREPRESE. Para agregar nuevos usuarios como agentes de recuperacin, estos usuarios
deben tener certificados de recuperacin emitidos por la estructura de la autoridad de
certificacin de empresa.
l . Abra la consola Administracin de directivas de Grupo.
2. Seleccione la Default Domain Policy y haga clic en Editar.
3. Expanda Configuracin del Equipo, en Directivas seleccione Configuracin de Windows,
despus en Configuracin de Seguridad d clic en Directivas de Clave Pblica y
finalmente en Agentes de Recuperacin de Datos Encriptados.
4. Haga clic derecho en Sistema de cifrado de archivos (EFS) y seleccione Agregar agente
de recuperacin.
5. Haga clic en Siguiente para el Asistente de agregar agente de recuperacin.
6. Haga clic en Examinar el directorio. Localice el usuario y haga clic en Aceptar.
7 Haga clic en Siguiente .. .
8. Haga clic en Finalizar .. .
Autenticacin, Autorizacin y Auditora 65
9. Cierre el Editor de directivas de grupo.
Si copia un archivo o carpeta, este adquirir automticamente el atributo de encriprado de
la carpeta o unidad original. Si el archivo o carpeta se mueve dentro del mismo volumen,
conserva el atributo de encripcado asignado originalmente. Por lo canco, si est encriptado,
permanecer as en la nueva ubicacin. Cuando el archivo o carpeta se mueve desde un
volumen a otro, es copiado a la nueva ubicacin y posteriormente se elimina de la ubicacin
anterior. Por lo canco, los archivos y carpetas que se han movido son nuevos en el volumen
y adquieren el nuevo atributo de encriprado .
.,.. Encriptar discos de Windows
A diferencia de EFS, BicLocker permite encriprar discos completos. Por lo tanto, si una unidad o una computadora
porttil es robada, los datos estarn todava encriprados, an si el ladrn instala otro sistema, del que l o ella es un
administrador.
*Tome nota
Bitlocker es una
caracterstica de
Windows 7 Enterprise
y Windows 7 Ultimate.
No es compatible con
otras ediciones de
Windows 7
El encriptado de unidad BirLocker es la caracterstica en las ediciones de Windows 7
Ultimare y Enterprise que hace uso de un Mdulo de Plataforma Segura (TPM) del PC.
Un TPM es un microchip integrado en una PC que se utiliza para almacenar informacin
criptogrfica, tal como las claves de encriprado. La informacin almacenada en el TPM
puede ser ms segura frente a ataques de sofl:'.vare externo y robo fsico. Por ejemplo,
el encriptado de unidad BitLocker puede uti lizar un TPM para validar la integridad
del administrador de arranque de una PC e iniciar los archivos en el arranque, as como
garantizar que el disco duro de una PC no haya sido alterado mientras el sisrema operativo
estaba fuera de lnea. El encriptado de unidad BitLocker tambin almacena mediciones de
archivos del sistema operativo central en el TPM.
Los requisitos del sistema de Birlocker son los siguientes:
Como BitLocker almacena su propia clave de encriptado y desencriptado en un
dispositivo de hardware que es independiente del disco duro, debe tener uno de
los siguientes:
Una PC con el mdulo de plataforma segura (TPM). Si su PC fue fabricada
con TPM versin 1.2 o posterior, BitLocker almacena su clave en el TPM.
Dispositivo extrable de memoria USB, como una unidad de USB flash. Si la
PC no riene versin 1.2 o posterior de TPM, BicLocker almacenar su clave
en la unidad flash.
El equipo tambin debe rener al menos dos particiones: una particin del sistema
(que contiene los archivos necesarios para iniciar la PC y debe ser de al menos 200
MB) y una particin de sistema operativo (que contiene Windows). Se encriprar la
particin de sisrema operativo, y la particin del sistema se mantendr sin encriprar
por lo que se puede iniciar la PC. Si la PC no riene dos particiones, Birlocker las
crear. Ambas deben esrar formateadas con el sistema de archivo NTFS.
Adems, la PC debe tener un BIOS que es compatible con TPM y admire
dispositivos USB durante el inicio de la PC. Si no es el caso, se debe actualizar el
BIOS antes de usar BirLocker.
BirLocker riene cinco modos de funcionamiento, que definen los pasos implicados en el
proceso de arranque del sistema. Esros modos, en orden descendente de ms a menos
seguros, son los siguientes:
T PM + NI P de inicio + clave de inicio: El sistema almacena la clave de
encriprado de volumen de BitLocker en el chip TPM, pero un administrador
debe proporcionar un nmero de identificacin personal (NIP) e insertar una
unidad flash USB que contiene una clave de inicio antes de que el sistema pueda
desbloquear el volumen de BitLocker y completar la secuencia de arranque.
66 Leccin 2
T PM + clave de inicio: El sistema almacena la clave de encriptado del volumen
de BitLocker en el chip TPM, pero un administrador debe insertar una unidad flash
USB que contiene una clave de inicio antes de que el sistema pueda desbloquear el
volumen de Bitlocker y complecar la secuencia de arranque.
TPM + NIP de inicio: El sistema almacena la clave de encriptado del volumen
de Bitlocker en el chip TPM, pero un administrador debe proporcionar un NIP
ances de que el sistema pueda desbloquear el volumen de Biclocker y completar La
secuencia de arranque.
Clave de inicio nicamente: El proceso de configuracin de BitLocker almacena
una clave de inicio en una unidad Bash USB, que el administrador debe insertar
cada vez que se arranca el sistema. Este modo no requiere que el servidor tenga un
chip TPM, pero debe tener un BIOS que admite el acceso a la unidad Aash USB
antes de la carga del sistema operativo.
TPM nicamente: El sistema almacena la clave de encriptado del volumen de
BitLocker en el chip TPM y tiene acceso a esta clave automticamente cuando
el chip ha determinado que el entorno de arranque no ha sido modificado. Esto
desbloquea el volumen protegido y la PC contina con el arranque. Por lo canco,
la intervencin administrativa no es necesaria durante la secuencia de arranque.
Cuando se habili ta Bitlocker mediante el panel de control de Encriptado de Unidad
Bitlocker, se pueden seleccionar las opciones TPM + clave de inicio, TPM + NIP de
ini cio o TPM nicamente. Para utilizar el TPM + NIP de inicio + opcin clave de inicio,
primero se debe configurar la Directiva de grupo Solicitar alltenticttcin adicional al iniciar,
que se encuentra dentro el contenedor de Configuracin de la PC, despus en Directivas, ya
en este lugar seleccione Plantillas Administrativas y Componentes de Windows. Despus
en Encriptado de Unidad BitLocker haga die en Unidades del Sistema Operativo.
Habilitar Bitlocker
BitLocker no est habilitado de forma predeterminada. Si no sabe si su computadora
porttil viene con TPM, primero debe comprobar que dispone de TPM. A continuacin,
se encender BitLocker para el volumen que desee encriptar.
7 Determinar si la PC tiene TPM
PREPRESE. Para saber si su PC dispone de hardware de seguridad del Mdulo de Plataforma
Segura (TPM), real ice los pasos siguientes:
1. Abra el Panel de Control, haga cli c en Sistema y Seguridad y despus oprima Cifrado de
Unidad Bitlocker.
2. En el panel izquierdo, haga clic en Administracin de TPM. Si se le solicita una
contrasea de administrador o la confirmacin, escriba la contrasea o proporcione una
confirmacin.
La administracin de TPM incorporada en la PC Local indica si la PC tiene el hardware
de seguridad TPM. Ver la figura 2- 17. Si la PC no lo tiene, se necesitar un dispositivo de
memoria USB extrable para activar BitLocker y almacenar la clave de
Figura 2-17
Consola de administracin
deTMP
Figura 2-18
Activacin de Bitlocker
Autenticacin, Autorizacin y Auditora 67
_n .--:_--=:r:- -, , l 1 ';
-
..................... ,,..._. ....
-- ----- -
8 __ ., __
,. .. ..._.. .... ........ 4tfl ......................
..
......
a .....
Activar Bitlocker
PREPRESE. Inicie sesin en Windows 7 utilizando una cuenta con privilegios administrativos.
A continuacin, realice los pasos siguientes:
1. Haga clic en Inicio y a continuacin haga en Panel de Control elija Sistema y Seguridad,
posteriormente Cifrado de unidad Bitlocker. Aparecer el panel de control de encriptado
de unidad Bitlocker.
2. Haga clic en Activar Bitlocker para las unidades de disco duro. Aparecer la pgina de
Preferencias de inicio para establecer Bitlocker. Ver la figura 2-18.
'i'U-
-n"-l?lol
--- ... '--d
...... ..

dlt w vnillSn pefl vos y Cli'J'IN)
1 ,,_ .. _ ,.-....,.. ....-.-..
............. .--.. .. --..... -d _ _ ,.. . ..........,,.., .. _ .....
........................ .. M"......_
K41 H t lk (11,- ilr ..... '" , ...... ..,...
68 Leccin 2
Ms informacin
Si la PC tiene un
chip TPM, Windows
7 proporciona
una consola de
administracin de
Mdulo de Plataforma
Segura (TPM) que se
puede utilizar para
cambiar la contrasea
del chip y modificar sus
propiedades.
3. Haga clic en Solicitar una clave de inicio al iniciar. Aparece una pgina de Guardar la
clave de inicio.
4. Inserte una unidad flash USB en un puerto USB y haga clic en Guardar. Aparecer la
pgina cmo desea almacenar la clave de recuperacin?
5. Seleccione una de las opciones para guardar la clave de recuperacin y haga clic en
Siguiente. Aparecer la pgina est preparado para cifrar esta unidad?
6. Haga clic en Continuar. El asistente realiza una comprobacin del sistema y, a
continuacin reinicie la PC.
7. Inicie sesin en la PC. Windows 7 proceder a encriptar el disco.
Una vez completado el proceso de encriptado, puede abrir el panel de control del cifrado
de unidad BitLocker para asegurarse de que el volumen est encriptado o desactivar
BitLocker cuando se realice una actualizacin del BIOS u otro mantenimiento del sistema.
El subprograma del panel de control BitLocker permite recuperar la clave de cifrado
y la contrasea a volumad. Debe considerarse cuidadosamente cmo almacenar esta
informacin, ya que permitir el acceso a los datos encriptados. Tambin es posible
custodiar esta informacin en el Directorio activo.
Bitlocker y agentes de recuperacin de datos
Si por alguna razn, un usuario pierde la clave de inicio y/o el NIP necesario para arrancar
un sisrema con BitLocker, el usuario puede proporcionar la clave de recuperacin creada
durante el proceso de configuracin de BirLocker y obtener acceso al sistema. Sin embargo,
si el usuario pierde la clave de recuperacin, puede utilizar un agente de recuperacin de
daros designado con el Directorio activo para recuperar los datos de la unidad.
Un agente de recuperacin de daros (DRA) es una cuenta de usuario que un administrador
ha autori zado para recuperar unidades de BitLocker para toda una organizacin con un
certificado digital en una tarjeta inteligente. En la mayora de los casos, los administradores
de redes de servicios de dominio de Directorio activo (AD DS) utilizan DRA para
garantizar el acceso a sus sistemas protegidos mediante BitLocker y para evitar tener que
mantener el gran nmero de claves individuales y NlP.
Para crear un DRA, primero debe agregar la cuenta de usuario que desee designar para
el contenedor de Configuracin de la PC\Configuracin de Windows\Configuracin de
Seguridad\Directivas de Clave Pblica\Encriptado de Unidad BitLocker en un GPO o
para la Directiva de Seguridad Local del sistema. A continuacin, se debe configurar la
configuracin de la directiva de Proporcionar Identificadores nicos de su Organizacin
en el contenedor de Configuracin de la PC\Directivas\Piantillas Administrativas\
Componentes de Windows\Encriptado de Unidad BitLocker con campos nicos de
identificacin para la unidad BitLocker.
Por {dtimo, se debe habilitar la recuperacin por el DRA para cada tipo de recurso de
BitLocker que se desea recuperar mediante la configuracin de las directivas siguientes:
Elegir cmo pueden ser recuperadas las unidades de sistema operativo protegidas
mediante BitLocker
Elegir cmo pueden ser recuperadas las unidades de disco duro fijas protegidas
mediante BirLocker
Elegir cmo pueden ser recuperadas las unidades de disco extrables protegidas
mediante BirLocker
Autenticacin, Autorizacin y Auditora 69
Esras directivas permiten especificar cmo los sistemas BirLocker deben almacenar la
informacin de recuperacin, y tambin permiten almacenar esa informacin en la base
de daros de AD DS.
Bitlocker To Go
BitLocker To Go es una nueva caracterstica de Windows 7 que permite a los usuarios
encriptar los dispositivos USB exrrables, como unidades Aash y discos duros externos.
Aunque BitLocker siempre ha apoyado el encriprado de unidades extrables, BirLocker
To Go permite usar el dispositivo encriprado en orros equipos sin tener que realizar un
proceso de recuperacin involucrado. Debido a que el sistema no es utilizando en la unidad
extrable como dispositivo de arranque, no se requiere un chip TPM.
Para utiLizar BitLocker To Go, inserte la unidad exrrable y abra el panel de coorrol de
encriprado de unidad BirLocker. El dispositivo aparece en la interfaz, con un vnculo
activar BitLocker al igual al de la unidad de disco duro de la PC.
Introduccin a IPsec
.J, EN RESUMEN
Seguridad del protocolo Internet, ms conocida como lPsec, es un conjunto de protocolos que proporciona un
mecanismo para la integridad de los daros, autenticacin y privacidad para el Protocolo de Internet. Se usa para
proteger los datos que se envan entre hose en una red mediante la creacin de tneles electrnicos seguros entre dos
mquinas o dispositivos. IPsec se puede utilizar para acceso remoto, VPN, conexiones del servidor, conexiones LAN
o conexiones W AN.
IPsec garantiza que los daros no se pueden ver o modificar por usuarios no autorizados,
mientras que se estn enviando a su destino. Antes de que los datos se enven entre dos hose,
la PC de origen encripta la informacin mediante el encapsulamiento de cada paquete de
datos en un nuevo paquete que contiene la informacin necesaria para configurar, mantener
y derribar el tnel cuando ya no es necesario. Los datos se desencriptan, a continuacin,
en la PC de dest ino.
Hay un par de modos y un par de protocolos disponibles en IPsec dependiendo de si son
implementados por los hose finales (por ejemplo, el servidor) o implementados en los
routers y el nivel de seguridad deseado. En particular, IPsec se puede utilizar en uno de
dos modos:
El modo de transporte: Uti lizado para comunicaciones seguras end-to-end, como
ent re un cliente y un servidor.
Modo de tnel: Utilizado para configuraciones de servidor a servidor o servidor
de gateway. El tnel es la rut a que un paquete roma desde la PC de origen hasta la
PC de destino. De esta forma, todos los paquetes IP enviados entre los dos equipos
o entre las dos subredes, dependiendo de la configuracin, estn asegurados.
Adems, los dos protocolos IPsec son los siguientes:
Encapsulating Security Payload (ESP): Proporciona confidencialidad,
aurenricacin, integridad y proteccin contra rplica nicamente para la carga IP,
no para codo el paquete. ESP opera directamente en la paree superior del IP.
70 Leccin 2
Aurhemicarion Header (AH): Proporciona autenticacin, integridad y proteccin
contra rplica para rodo el paquete (tamo para el encabezado IP como para la carga
de daros transportados en el paquete). No proporciona confidencialidad, lo cual
significa que no encripra la carga. Los daros son legibles pero estn protegidos
contra modificaciones. Algunos campos que esrn permitidos de modificar durante
el trnsito estn excluidos porque necesitan ser modificados en la medida en que se
transmiten de un rourer a otro. AH opera directamente en la parte superior del IP.
Estos protocolos pueden combinarse para proporcionar autenticacin, integridad y
proteccin contra rplica para rodo el paquete (el encabezado IP y la carga de daros en el
paquete), as como la confidencialidad de la carga til.
Aunque AH y ESP proporcionan los medios para proteger los daros de las manipulaciones,
prevenir intrusos y verificar el origen de los daros, es el Intercambio de Claves de Internet
(IKE) el que define el mrodo para el intercambio seguro de las claves de encriprado
inicial entre los dos puntos de comunicacin. Adems permite que los nodos concuerden
en cuanto a los mtodos de autent icacin, mrodos de encripcado, qu claves usar y la vida
ti l de las claves.
La informacin negociada por IKE se almacena en una asociacin de seguridad (SA),
que es como un cont rato en el que se establecen las normas de la conexin VPN para la
duracin. A cada SA es asignado un nmero de 32 bits que, cuando se utiliza junto con la
direccin JP de destino, idemifica de forma nica laSA. Este nmero se llama el ndice de
parmetros de seguridad (SPI).
!Psec se puede utilizar con Windows de varias maneras. Paca habilitar a las comunicaciones
de !Psec en una PC Windows Server 2008, se debern crear directivas de grupo y asignarlas
a los equipos individuales o grupos de equipos. Tambin se puede utilizar el firewaU de
Windows con seguridad avanzada .
..,.. Encriptado con tecnologa VPN
Hoy en da, es comn para las organizaciones utilizar servidores de acceso remoto (RAS), que permite a los usuarios
conectarse remotamente a travs de diversos protocolos y tipos de conexin. Al conectarse a RAS por Internet, los
usuarios pueden conectarse a la red de su organizacin para acceder a los archivos de daros, leer el correo electrnico
y acceder a otras aplicaciones como si estuvieran en el trabajo. Sin embargo, debido a que Internet se considera un
medio no seguro, se debe utilizar el encriptado de datos al configurar estos tipos de conexiones.
Una red ptivada virtual (VPN) une dos equipos a travs de una red de rea amplia,
como Internet. Para mantener la conexin segura, los datos enviados son encapsulados
y encriptados. En un escenario, un cliente se conecta al servidor RAS para tener acceso a
recursos internos desde fuera del sirio. Orro escenario es conectar un servidor RAS en un
siti o u organizacin a orro servidor RAS en orro sirio u organizacin para que los sirios o
las organizaciones puedan comunicarse enrre s.
Los tres tipos de protocolos de tnel que se utilizan con un servidor VPN/ servidor/ RAS
que se ejecutan en Windows Server 2008 R2 son los siguientes:
Point ro Poi m Tuoneli ng Prot ocol (PPTP): Protocolo VPN basado en el
Protocolo de punto a punto heredado utilizado con los mdems. Por desgracia,
PPTP es fcil de configurar pero utiliza tecnologa de encri prado dbil.
Layer 2 Tunneling Prorocol (L2TP): Se utiliza con IPsec para proporcionar
seguridad. Este es el estndar de la industria al configurar rneles seguros.
Secure Sockers Tunneliog Prorocol (SSTP): Introducido con Windows Server
2008, que usa el Protocolo HTTPS sobre el TCP puerro 443 para pasar el trfico a
Autenticacin, Autorizacin y Auditora 71
travs de firewall y servidores proxy de web que podran bloquear PPTP y L2TP/
IPsec.
Internet Key Exchange2 (IKEv2): Uti liza IPsec para el encriptado y soporta
VPN para volver a conectar (tambin llamada Movilidad), que permite a las
conexiones de VPN mantenerse cuando un cliente VPN se mueve entre celdas
inalmbricas o conmutadores y automticamente restablece la conectividad VPN
rora. A diferencia de L2TP con IPsec, los equipos cliente de IKEv2 no necesitan
proporcionar autenti cacin a travs de un certificado de equipo o una clave
previamente compartida.
Al utilizar VPN, Windows 7 y Windows Server 2008 soportar las siguientes formas de
autenticacin:
Password Authentication Protocol (PAP): Utiliza texto sin formato (contraseas
si n encriprar). PAPes la forma menos segura de autenticacin y no se recomienda.
Challenge Handshake Authentication Prorocol (CHAP): Un mrodo de
autenticacin de desafo y respuesta que utili za el esquema de hashing md5,
estndar de la industria, para encriptar la respuesta. CHAP fue un estndar de
industria durante aos y sigue siendo muy popular.
Microsoft CHAP versin 2 (MS-CHAP v2): Proporciona autenticacin de dos
vas (autenticacin mutua). MS-CHAP v2 proporciona una mayor seguridad que
CHAP.
Extensible Authentication Prorocol Microsoft CHAP version 2 (EAP-
MS-CHAPv2): EAP es un marco de autenticacin universal que permite a los
proveedores de terceros desarrollar esquemas de autenticacin personali zados
incluyendo anlisis de retina, reconocimiento de voz, identificaciones de huellas
digitales, tarjetas inteligentes, Kerberos y certificados digitales. Tambin
proporciona un mtodo de autenti cacin mutua que soporta la autenticacin
basada en contraseas de usuario o equipo.
7 Crear un tnel VPN
PREPRESE. Para crear un tnel VPN en una PC que ejecuta Windows 7 para conectarse a un
servidor de acceso remoto, siga estos pasos:
1. Desde el Panel de Control, seleccione Red e Internet para acceder a la Red y al Centro de
recursos compartidos.
2. En Red y Centro de recursos compartidos elija configurar un Asistente para conexin
nueva.
3. En la pgina Configurar una conexin o red, seleccione Conectarse a un lugar de trabajo.
4. En la pgina Conectar con un lugar de trabajo, responder a la pregunta: desea utilizar
una conexin que ya tiene? Elija si desea crear una nueva conexin o uti lizar una
conexin existente.
5. En la siguiente pgi na, elija Usar mi conexin a Internet (VPN).
6. En la siguiente pantalla, el ija su conexin VPN o especifique la direccin de Internet
para el servidor VPN y un nombre de destino. Tambin puede especificar las siguientes
opciones: Utilizar una tarjeta inteligente para la autenticacin, Permitir que otras
personas usen esta conexin y No conectar ahora, slo instalar para que pueda
conectarme ms tarde.
72 Leccin 2
Figura 2-19
Conexin VPN
A menudo, puede ser que necesite configuraciones adicionales de su conexin de VPN,
cales como las que se especifican el tipo de Protocolo, qu Protocolo de aurencicacin
utilizar y el cipo de encriprado.
Despus de crear la conexin VPN y configurarla, para conectar mediante la VPN,
simplemente abre el cenero de redes y recursos compartidos y haga die en Administrar
Conexiones de Red. A concinuacin, pulse el bocn derecho de su conexin VPN y haga
die en el bocn Conectar. Ver la figura 2-19.
~
~ ~ ~ - - ~
t' ... - . - -

Mostrar urecie'e
fJ RecOtd GU cOII..W
(TC
COftftUI
De forma predeterminada, cuando se conecta a una VPN usando la configuracin anterior,
roda la navegacin en web y el trfico de La red pasa por la puerta de enlace predeterminada
en la Red Remota a menos que se est comunicando con los equipos locales de la casa.
Con esta opcin activada ayuda a proteger la red corporativa puesto que tambin todo el
trfico pasar a travs de Los firewall y servidores proxy, lo cual ayuda a evi tar que una red
sea infectada o se vea comprometida.
Si desea en rutar su navegacin a travs de su conexin a Internet personal en vez de a travs
de la red corporativa, puede deshabi litar la opcin de "Usar Gaceway Predeterminada en
Red Remota". Al desactivar esta opcin, est urilizando lo que se conoce como divisin
de tnel.
~ Habilitar la divisin de tnel
PREPRESE. Para habilitar la divisin de tnel, realice los pasos siguientes:
Haga clic derecho en una conexin VPN y haga clic en Propiedades.
2. Haga clic en la ficha Funciones de red.
3. Haga doble clic en Protocolo de Internet versin 4 (1Pv4)
4. Haga clic en el botn Opciones avanzadas.
Autenticacin, Autorizacin y Auditora 73
5. Desactive la opcin de Usar la puerta de enlace predeterminada en la red remota.
Puede significar mucho trabajo el congurar varios clientes para conectarse a un servidor
de acceso remoto. De hecho, esta carea es a menudo demasiado complicada para novaros
de la computacin, y puede prestarse a errores. Para ayudar a simplificar la administracin
del cliente VPN en un ejecutable fci l de instalar, se puede utilizar el Paquete de
Administracin del Gestor de Conexin (CMAK). Para insralar CMAK en Windows
Server 2008, debe instalarlo corno una caracterstica.
Auditora para Completar el cuadro de Seguridad
,_ EN RESUMEN
Corno se mencion anteriormente, la seguridad puede dividirse en tres reas. La autenticacin se utiliza para probar
la identidad de un usuario, mientras que La aurorizacin da acceso a un usuario autenticado. Para completar el cuadro
de seguridad, sin embargo, necesita habilitar la audirora para que usted pueda tener un registro de los usuarios que
han iniciado sesin y a qu recursos aquellos usuarios han tenido acceso o han intentado acceder.
0 listo para la
Certificacin
Puede explicar por
qu la auditora es
tan importante para la
seguridad?
-2.4
Es importame que proteja su informacin y recursos de servicio contra personas que no
deben tener acceso a ellos, mientras que al mismo t iempo esos recursos estn a disposicin
de los usuarios autorizados. Por lo canto, junto con la autenticacin y autorizacin, tambin
debe habilitarse la auditora para que pueda tener un registro de los siguientes daros:
Quin ha iniciado sesin de manera efectiva?
Quin ha intentado iniciar sesin pero no lo ha logrado?
Quin ha cambiado las cuencas en el Directorio activo)
Quin ha accedido o cambiado cienos archivos)
Quin ha utilizado una cierta impresora?
Quin ha reiniciado un sistema?
Quin ha hecho algunos cambios en el sistema?
La auditora no est habilitada de forma predeterminada en Windows. Para habi litar la
auditora, debe especificar qu t ipos de eventos del sistema sern auditados mediante el
uso de directivas de grupo o de la directiva de seguridad local (Configuracin de Seguridad
despus en Directivas Locales y finalmente en Directiva de Audicora). Ver la figura 2-20.
El Cuadro 2-3 muestra los evencos de auditora bsica que estn disponibles en Windows
Server 2003 y 2008. Windows Server 2008 tambin tiene opciones adicionales para un
control ms detallado. Despus de habilitar el registro, a continuacin, abra los registros
de seguridad del Visor de sucesos para ver los eventos de seguridad registrados. De forma
predeterminada, escos registros slo pueden ser viscos y gestionados por el grupo de
administradores.
74 Leccin 2
figura 2-20
Habilitar la auditora de
uso de directivas de grupo
Cuadro 2-3
Eventos de auditora Evento
Inicio de sesin de
cuenta
Administracin de
cuentas
Acceso del servicio
de directorio
Inicio de sesin
Acceso a objetos
Cambio de directiva
Uso de privi legios
Proceso de
seguimiento
Sistema
p.,.._ .............
---
<1-
t
___
Expl icacin
Determina si el sistema operativo audita cada vez que la PC
valida las credenciales de una cuenta, tal como el inicio de
sesin de una cuenta.
Determina si se debe auditar cada evento de gestin de la
cuenta en una PC, incluyendo el cambio de contraseas y
crear o eliminar cuentas de usuario.
Determina si el sistema operativo audita los intentos del
usuario de acceder a objetos del Directorio activo.
Determina si el sistema operativo audita cada instancia de un
usuario que intenta iniciar sesin o cerrar la sesin en su PC.
Determina si el sistema operativo audita los intentos del
usuario por tener acceso a objetos que no estn en el
Directorio activo. incluidos archivos, carpetas e impresoras
NTFS.
Determina si el sistema operativo audita cada instancia en
la que los usuarios intentan cambiar las asignaciones de
derechos de usuario, la Directiva de auditoria, la Directiva de
cuentas o directiva de confianza.
Determina si se debe auditar cada instancia en la que un
usuario ejerce un derecho de usuario.
Determina si el sistema operativo audita los sucesos
relacionados con el proceso, tales como el proceso de
creacin, finalizacin de los procesos, duplicacin de
identificadores y acceso de objeto indirecto. Se suele utilizar
para solucionar problemas.
Determina si el sistema operativo audita cambios en la hora
del sistema, inicio o cierre del sistema, intentos de cargar
componentes de autenticacin extensible, prdidas de
auditora de eventos debido a fallos en el sistema y registros
de seguridad que exceden el nivel de umbral de advertencia
que se puede configurar.
Autenticacin, Autorizacin y Auditora 75
La auditora de archivos NTFS, carpetas e impresoras es un proceso de dos pasos. Primero
debe habilitarse el acceso a objetos mediante las directivas de grupo. A continuacin,
deben especificarse los archivos, carpetas o impresoras que se desee auditar. Despus de
habilitar el registro, se pueden abrir los registros de seguridad del Visor de sucesos para
ver los eventos de seguridad.
Dado que Windows es slo una parte de lo que forma paree de una red, tambin se necesita
mirar otras reas para auditar. Por ejemplo, para un servidor de web de Microsoft IIS,
puede habilitarse el registro de quin visira cada sirio. Para Microsofr's Incernec Securi ry
and Acceleration (ISA) y Microsoft's Threat Management (TMG), se puede elegir registrar
quin accede a la red a travs de una VPN o a lo que se tiene acceso a travs del cortafuegos.
Tambin, si dispone de servidores de seguridad y roucers Cisco, se debe habilitar la
auditora de manera que si alguien reconfigura el roucer y el servidor de seguridad, se
tenga un registro de la misma.
Si necesita auditar productos que no son de Microsoft, puede que necesite utilizar
Syslog. Syslog es un estndar para el registro de mensajes de programa a los que se puede
acceder por medio de dispositivos que de Jo contrario no tendran un mtodo para las
comunicaciones. Los cortafuegos y roucers de Cisco, equipos con Linux y UNIX, y muchas
impresoras pueden utilizar Syslog. Puede ser empleado para la administracin del sistema
de equipos y auditoras de la seguridad, as corno para informacin general, anlisis y
mensajes de depuracin.
Por ltimo, se debe asegurar que dispone de un sistema de administracin de cambios
y un sistema de pases de entrada. El primero registra qu modificaciones se han hecho.
Proporciona un mtodo para revisar los cambios ames de su aplicacin para que si escos
cambios causan problemas en un sistema, puedan evaluarse por el departamento de TI.
Adems, si se produce un problema, proporciona una lista de todos los cambios realizados
en el enrorno.
En comparacin, el segundo da un registro de todos los problemas y las peticiones de
los usuarios. Al tener un sistema de pases de entrada, se puede determinar cules son los
problemas ms comunes y determinar las tendencias.
~ Utilizar archivos de auditora y carpetas
PREPRESE. Suponiendo que la auditora de objetos se ha habilitado, para auditar archivos y
carpetas, siga estos pasos:
1. Abra el Explorador de Windows.
2. Haga clic derecho en el archivo o carpeta que desee auditar, seleccione Propiedades y a
continuacin la ficha Seguridad.
3. Haga clic en Opciones Avanzadas.
4. En el cuadro de dilogo Configuracin de seguridad avanzada para <objeto>, haga clic en
la ficha auditora.
5. Siga uno de estos procedimientos:
Para configurar la auditora para un nuevo usuario o grupo, haga die en Agregar.
En Escriba el. nombre de objeto a seleccionar, escriba el nombre del usuario o
grupo que desee y a continuacin oprima Aceptar.
Para quitar la auditora de un grupo o un usuario existente, haga clic en el
nombre del grupo o el nombre de usuario, seleccione Quitar, oprima Aceptar y a
continuacin omita el resto de este procedimiento.
76 Leccin 2
Para ver o cambiar la auditora de un grupo o usuari o existente, haga die en el
nombre del grupo o usuario y seleccione Edita.r.
6. En el cuadro Aplicar en, haga clic en la ubicacin donde va a tener lugar la auditora.
7. En el cuadro de Acceso, indique qu acciones desea auditar seleccionando las casillas
correspondientes:
Para audi tar los eventos con xito, active la casilla de verificacin Correcto.
Para dejar de auditar los eventos con xico, desactive la casilla de verificacin
Correcto.
Para auditar los eventos sin xito, active la casilla de verificacin de Error.
Para dejar de auditar eventos sin xito, desactive la casi ll a de verificacin de error.
Para dejar de audirar todos los eventos, haga die en Borrar codo.
8. Si desea evitar que los siguientes archivos y sub carpetas del objeto original hereden
estas entradas de auditora, active la casil la de verificacin incluir todas las entradas de
auditora heredables del objeto principal a este objeto.
9. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de seguridad
avanzada.
10. Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades.
Resumen de matriz de habilidades
En esta leccin usted aprendi:
El AAA (Autenticacin, Autorizacin y Auditora) es un modelo para el control
de acceso.
Autenticacin es el proceso de identificacin de un individuo.
Despus de que un usuario se autentica, l o ella puede acceder a recursos de red
en funcin de su autorizacin. La aucorizacin es el proceso de dar a los individuos
acceso a objecos del sistema en funcin de su identidad.
Las cuentas de usuario, tambin conocida como auditora, es el proceso de
seguimiento de la actividad de un usuario cuando accede a los recursos de la red,
incluida la cantidad de tiempo que pasa en ell a, los servicios a los que ti ene acceso,
y la cantidad de daros transferidos durante la sesin.
La confirmacin de firma impide que una de las parees deniegue las acciones que
han ll evado a cabo.
Los usuarios pueden autenticarse uti li zando lo que saben, lo que poseen o lo que
son.
Al urilizar dos o ms mtodos para autenticar un usuario, se esr implementando
un sistema de autenticacin con varios factores.
La contrasea es el mtodo ms comn de aurenricacin en las PC y las redes.
Una contrasea es una serie secreta de caracteres que permite a un usuario acceder
a un archivo, equipo o programa.
Para violar una contrasea, los piratas tratarn contraseas obvias, ataques por
fuerza brura y acaques de diccionario.
Para aumentar la seguridad, se debe elegi r una contrasea que nadie pueda adivi nar.
Por lo canto, la contrasea debe ser lo suficientemente larga, y se debe considerar
fuerce o compleja.
Un nmero de identificacin personal (NIP) es una contrasea numrica secreta
compartida entre un usuario y un sistema que puede ser utilizada para autenticar
al usuario en el sistema.
Autenticacin, Autorizacin y Auditora 77
Un cerrificado digi tal es un documento electrnico que contiene una identidad,
como un usuario u organizacin y una clave pblica correspondiente.
Una tarjeta inteligente es una tarjeta de bolsillo con circuitos integmdos
incrustados, que consisten en componentes de almacenamiento de memoria no
voltil y tal vez una lgica de seguridad dedicada.
Una tarjeta inteligente puede contener cercificados digitales para probar la
identidad de la persona que porta la tarjeta, y tambin puede contener permisos y
tener acceso a informacin.
La biomerra es un mtodo de autenticacin que identifica y reconoce las personas
con base en rasgos fsicos, tales como huellas dacti lares, reconocimiento facial,
reconocimiento del iris, exploraciones de la retina y reconocimiento de voz.
Puesto que los administradores tienen acceso completo a equipos y redes, debe
utilizar una cuenta estndar de no administrador para realizar la mayora de las
rareas.
Directorio activo es una tecnologa creada por Microsoft que ofrece una variedad
de servicios de red, incluyendo LDAP, autenricacin basada en Kerberos y nica
de inicio de sesin, asignacin de nombres basados en DNS y otra informacin de
la red, y una ubicacin central para la administracin de la red y delegacin de
autoridad.
Kerberos es el Protocolo de autenticacin de red de equipo predeterminado.
Permite a los hose probar su identidad a travs de una red no segura en una manera
segura.
El inicio de sesin nico (SSO) permite iniciar sesin una vez y acceder a mltiples
sistemas de software relacionados, pero independientes, si n tener que iniciar sesin
nuevamente.
Una cuema de usuario permite a un usuario iniciar sesin en una PC y un dominio.
Las cuentas de usuario locales se almacenan en la base de daros del administrador
de cuentas de seguridad (SAM) en la PC local.
Los grupos se utilizan para agrupar usuarios y equipos de modo que al asignar
derechos y permisos, se pueden asignar a todo el grupo, en lugar de a cada usuario
individual mente.
Un derecho auroriza a un usuario a realizar determinadas acciones en una PC, como
el inicio de sesin en un sistema de forma imeracriva o copias de seguridad de
archivos y di rectorios en un sistema.
Un permiso define el tipo de acceso que se concede a un objeto o atributo de objeto.
Los permisos explcitos son permisos concedidos directamente a un archivo o
carpeta.
Los permisos heredados son permisos que se conceden a una carpeta (objeto
primario o contenedor) y, a continuacin, desembocan en los objetos de las carpetas
secundarias (subcarpetas o archivos demro de la carpeta principal).
El propietario de un objero controla cmo se establecen los permisos en el objeto y
a quin se conceden los permisos.
El encriprado es el proceso de convercir los daros en un formatO que no se puede leer
por otro. Una vez que un usuario ha encriptado un archivo, este automticamente
permanece encriptado cuando se almacena en el disco.
El desencriptado es el proceso de conversin de daros desde un formato de
encriprado a su formato original.
Los algor itmos de encriptado se pueden dividir en tres clases: simtricos,
asimtricos y de funcin hash.
El encriprado simtrico utiliza una clave nica para encriptar y desencripcar daros.
Por lo tanto, tambin se conoce como encriptado de clave secreta, clave nica, clave
comparcida y clave privada.
78 Leccin 2
El encriprado de clave asimtrica, tambin conocido como la criprografa
asimtrica, uti liza dos claves matemticamente relacionadas. Una de ellas se utiliza
para encriptar los datos, mientras que la segunda se uti liza para desencriptarlos.
Diferentes de los algoritmos simtricos y asimtricos, una funcin de hash se
enciende como un encriptado unidireccional. Eso significa que despus de que la
informacin ha sido encriptada, no se puede desencriptar.
La infraestructura de clave pblica (PKI) es un sistema que consiste en hardware,
software, directivas y procedimiencos de creacin, administracin, discribucin,
uso, almacenamienco y revocacin de certificados digitales.
El certificado digital ms comn es el X.509 versin 3.
La cadena del certificado, tambin conocida como la ruta de certificacin, es una
lista de certificados para autenticar una entidad. Comienza con el certificado de la
entidad y finaliza con el certificado de la CA de raz.
Una firma digital es un esquema matemtico que se utiliza para demostrar la
autencicidad de un mensaje digital o documenco. Tambin se utiliza para demostrar
que no se ha modificado el mensaje o documenco.
Cuando necesite transmidr daros privados a travs de Incerner, deber utilizar SSL
sobre HTTPS (hrrps) para encriprar los daros que vas a enviar. Las direcciones URL
que requieren un inicio de conexin SSL con hrtps en lugar de hrrp.
La seguridad IP, ms conocida como IPsec, es un conjunto de protocolos que
proporcionan un mecanismo para la integridad de los daros, la autenticacin y
para el Protocolo de Internet.
Una red privada vircual (VPN) enlaza dos equipos a travs de una red de rea
amplia, como Inrernec.
Syslog es un estndar para el regisrro de mensajes de programas a los que se puede
acceder por medio de dispositivos que de otra manera no tendran un mtodo de
comunicacin.
Evaluacin del conocimiento
Opcin mltiple
Encierre en un crmlo la letra que correspo-tlda a la mejor respuesta.
l. Cul de los siguientes no es un mtodo para la autenticacin?
a. Algo que el usuario sabe
b. Algo de lo que el usuario es propietario o posee
c. Encriptado
d. Algo que el usuario es
2. Cul de los siguientes no es un dispositivo biomtrico?
a. Lector de contraseas
b. Escner de retina
c. Escner de huellas digitales
d. Analizador de cara
3. Cul de los siguientes servicios se uti liza para la autencicadn centralizada,
autorizacin y auditora?
a. VPN
b. PGP
t. c. RADIUS
J. d. PKI
Autenticacin, Autorizacin y Auditora 79
Cul es el mtodo de autenticacin principal utilizado en Directorio activo de
Microsoft?
a. LDAP
b. Kerberos
e NTIAN
J sso
S S. El guardin maestro del tiempo y maestro para los cambios de contrasea en un
dominio de Directorio activo es el:
a. Emulador de PDC
b. RID
c. Maestro de infraestructuras
J. Maesrro de esquema
6. Las cuencas de usuario locales se encuentran en:
a. Directorio activo
b. Registro
c. SAM
d. LDAP
Un _____ autoriza a un usuario para realizar determinadas acciones en una PC
a Permiso
b Algoritmo de encriptado
e Protocolo de autenticacin
d Derecho
8 Cul de los siguientes sistemas de archivo ofrece la mejor seguridad?
a FAT
b. FAT32
e NTFS
J. EFS
9. 9. Qu permiso NTFS es necesario para cambiar los acrbucos y permisos?
a. Control rora!
b. Modificar
c. Lectura y Ejecucin
d. Escriwra
10. Qu tipo de permiso se ororga directamente a un archivo o carpeta?
a Explcito
b. Heredado
e Efectivo
J Compartido
Si copia un archivo o carpeta a un nuevo volumen qu permisos tendr ese archivo o
carpe ca?
a. Los mismos permisos que tena ances
b. Los mismos permisos que la carpeta de destino
80 leccin 2
e Los mismos permisos que la carpeta de origen
d Ningn permiso en absoluto
1 > Cul de los siguientes uciliza una ACL?
a. Carpeta NTFS
b. Usuario de Direccorio activo
e Clave del registro
J. Derechos de inicio de sesin
1 .'1 Qu tipo de clave ciene una clave para el encriptado y una clave diferente para el
desencri ptado?
a. Simtrica
b Asimtrica
c. Funcin de hash
d. PKl
1 t Qu infraestructura se utiliza para asignar y validar certificados digitales?
a. Algoritmo asimtrico
b Directorio accivo
c. PKl
d VPN
15 Qu tecnologa se utiliza para encripcar un archivo individual en un volumen
NTFS?
a BicLocker
b BitLocker To Go
e PPTP
J EFS
Complete los espacios en blanco
Complete los enunciados siguientes escribie11do la palab,a correcta o palabms en los
espacios m blanco previstos.
l. Una es una contrasea numrica secreta compartida encre un
usuario y un siscema que puede utilizarse para autenticar al usuario en el sistema.
2. Una tarjeta de bolsillo con circuitos integrados incrustados que se utiliza para la
autenticacin se conoce como-----------------
~ Un dispositivo que puede darle una segunda contrasea para iniciar sesin en un
sistema es-----------------
El ______ contiene una copia de la base de daros centralizada utilizada en
Directorio activo.
5 De forma predeterminada, el reloj de la PC no debe tener ms de ___ mi nucos de
error o podra cener problemas con la autenticacin con Kerberos.
6 Un define el cipo de acceso sobre un objeto o las propiedades de un objeto,
como una impresora o un archivo NTFS.
Los permisos _______ fluyen de un objeto primario a un objeto secundario.
8 Cuando no se puede acceder a una carpeta porque alguien quita los permisos para que
nadie puede acceder, se debe tomar de la carpeta.
Autenticacin, Autorizacin y Auditora 81
9. La base de daros centralizada que contiene la mayor paree de la configuracin de
Windows se conoce como la ____ _
lO. Para realizar el seguimiento de las actividades de un usuario en Windows, se debe
habilitar ___ _
Evaluacin de Competencias
Escenario 2-1: Comprensin de las desventajas de la biometra
Usted es el administrador de IT para la Contoso Corporacion. El CIO quiere investigar
el posible uso de la biometra por motivos de seguridad. El CIO comprende qu es la
biometra y cmo se puede utilizar esta tecnologa, pero l no entiende las potenciales
desventajas del uso de la biometra. Qu le debe decir?
Escenario 2-2: Limitacin de la auditora
Usced es el administrador de IT para la Concoso Corporation. El CIO debe saber cuando
un usuario accede a una determinada carpeta. Sin embargo, esta informacin no est
disponible porgue no se habilit la auditora. Para asegurarse de que esto no suceda ocra
vez en el futuro, el CIO le pide habilitar la audirora para todo. Cmo debe responder?
Evaluacin de Habilidades
Escenario 2-3: sobre los permisos NTFS
Inicie sesin como administrador en una PC que ejecuta Windows 7 o Windows Server
2008. Cree un grupo denominado Administradores en la PC. Ahora, cree una cuenta de
usuario llamada JSmith y asgnela al grupo de Administradores. A continuacin, cree
otra cuenta de usuario llamada JHamid. Cree una carpeta llamada SharedTest y cree un
archivo de texto llamado test.txt en la carpeta SharedTesc. Comparta la carpeta. Asigne
Permitir Control Toral para codo el mundo. Asigne Lectura y Ejecutar para el grupo de
Administradores. Inicie sesin como JHamid y trace de acceder a la carpeta \\localhosc\
SharedTest. A continuacin, inicie sesin como JSmich y trace de acceder a la carpera \\
localhost\SharedTest.
Escenario 2-4: sobre EFS
Agregue JHamid al grupo de gestores que se estableci en el ejercicio anterior. Ahora,
inicie sesin como JSmith y encripte el archivo test.txt con EFS. Por ltimo, inicie sesin
como JHamid y trace de obtener acceso al archivo test.txt.
82 Leccin 2
Listo para el Lugar de Trabajo
-7 Planificacin y mantenimiento de la seguridad
Al considerar la seguridad, es necesario observar codo el cuadro. La seguridad
debe planificarse desde el principio. Por lo canco, es necesario definir cules
son los objecivos de seguridad, qu impacto tienen sobre el acceso actuaJ y las
aplicaciones de red y cmo las medjdas de seguridad afectarn a los usuarios. A
continuacin, despus de que dichas medidas se han aplicado, se deben mancener
por constante mooitoreo de la seguridad del sistema, realizando cambios segn
sea necesario, aplicando parches de seguridad y revisando constantemente los
registros.
Matriz para la Leccin sobre Capacidad
Capacidad Tecnolgica
Uso de las Directivas de Contraseas
para Mejorar la Seguri dad
Trminos Clave
o Bloqueo de cuenca
o Contrasea crackeada
o A raque mediante un diccionario
Dominio del Objetivo
Comprender las directivas de
contraseas.
o GPO (Objero de Direcriva de
Grupo)
o Caprurador de reclado (keylogger)
Nmero de Dominio del
Objetivo
2.3
o Conrrasca
o SniiTers (husmeador)
o Conrrasea fuerrc
Uno de los fundamentos de la seguridad de la informacin es la proteccin de redes, sistemas
y, ante codo, datos. De hecho, la necesidad de proteger daros es bsica para rodas las directivas,
procedimientos y procesos de seguridad de La informacin.
La mayora de la proteccin de daros de la actualidad se basa en la contrasea. Piense en su vida
cotidiana. Utiliza contraseas para asegurar su correo de voz, su acceso al cajero aucomcico,
su cuenca de correo elecrrnico, su cuenta de Facebook y un servidor de ocras cosas. Con el fin
de salvaguardar la seguridad de estas cuentas, necesita seleccionar contraseas fuerces. En esra
leccin, discutimos lo que implica crear una contrasea fuerte, as como la manera en que puede
configurarlas para asegurarse de que permanezcan seguras.
84 Lecci n 3
Directivas sobre Contraseas para Mejorar la
Seguridad
w EN RESUMEN
Existen diversas configuraciones que puede utilizar en su sistema para asegurarse de que sus usuarios estn obligados
a establecer y conservar contraseas fuerces. Aunque resulte dificil de creer, cuando se les brinda libertad con respecto
a sus equipos, muchos usuarios continuarn seleccionando contraseas dbiles al asegurar sus cuenras. Sin embargo,
con capacitacin a los usuarios y controles del sistema, puede reducir el riesgo de contraseas dbiles que pongan en
riesgo sus daros y aplicaciones.
~ Listo para la
Certificacin
Cmo impone
contraseas ms
fuertes para su
empresa?
-2.3
Un componenre bsico de su programa de seguridad de informacin es garant izar que codos
los empleados seleccionen y urilicen conttaseas fuert es. La fortaleza de una contrasea se
puede determinar observando la longit ud, complej idad y aleatoriedad de la misma.
Microsoft brinda alg unos controles q ue se pueden ut ilizar para asegurar la conservacin de
la seguridad de las contraseas, los cuales incl uyen controles relacionados con lo siguiente:
La complej idad de la conrrasea
El bloqueo de cuencas
La longitud de la cont rasea
El historial de la contrasea
El periodo comprendido entre cambios de la conrrasea
La exigencia en el uso de las directivas del grupo
Los mtodos de ataque comunes
..,_ El nivel de Complejidad de una Contrasea para hacerla ms fuerte
La complejidad de la contrasea involucra los caracteres utilizados para crearla. Una
conrrasea compleja mi liza caracteres de por lo menos tres de las siguienres categoras:
Caracteres del idioma ingls en mayscula ("'A'' a "Z'")
Caracteres del idioma ingls en minscula ("a" a ''z")
Caracteres numri cos ("0'' a "9")
Caracteres especiales (no alfanumri cos)(!,@,#,$, %,",&, etc.)
Cuando se activa, la config uracin de complejidad de cont raseas de Microsoft soli ci ta
caracteres de eres de estas categoras de manera predetermi nada en los controladores de
domi ni o, y el domini o se puede configurar para exigir esta configuracin para rodas las
contraseas.
Esta configuracin puede activarse o desactivarse. No hay configuraciones adicionales
disponibles.
Obviamente, an cuando haga cumplir los criterios de complejidad de la conrrasea,
no existe garanta de que Jos usuarios no continuarn utilizando contraseas que se
puedan adivinar con facilidad. Por ejemplo, la conrrasea "Verano20 lO" cumple con los
lineamientos de complejidad vigentes requer idos por la configuracin de complejidad de
conrraseas de Windows; sin embargo, tambin es una contrasea muy mala porque se
puede adivinar fcilmenre.
Directivas de Seguridad 85
Algunas elecciones de conrrasea que deben evitarse incluyen palabras que se pueden
encontrar en un diccionario, derivados de nombres de usuarios y secuencias de caracteres
comunes, cales como "123456" o "QWERTY." Asimismo, se deben evitar los detalles
personales cales como el nombre del cnyuge, el nmero de placa del automvil, el nmero
de Seguridad Social o la fecha de nacimiento. Finalmente, debe evitar palabras basadas en
nombres propios, ubicaciones geogrficas, acrnimos comunes y trminos coloquiales.
Algunos mtodos recomendados para seleccionar contraseas fuerres incluyen los
siguienres:
Cambie los caracteres en una palabra cierto nmero de letras hacia arriba o
hacia abajo en el alfabeto: Por ejemplo, una traduccin mediante un cambio de
tres letras de "AArdvark!!" generara la contrasea "44DDvhzdvo!!"
Cree acrnimos a partir de palabras de una cancin, poema u otra secuencia
fami1iar de palabras: Por ejemplo, la frase ' No preguntes qu puedes hacer
por ru pas?" podra general la contrasea "Npqphptp?" Agregue"$$" al inicio y
obtendr la contrasea fuerre $$Npqphprp?
Combine diversos daros personales, como fechas de nacimiento y colores
y comidas favoritos, etc. con caracteres especiales: Este mtodo generara
contraseas como "##4Mar!ll0419" o ''$"327p!zZ@."
..,. Bloqueo de Cuenta para evitar el Hacking
El Bloqueo de cuenca se refiere al nmero de inrenros de ingreso incorrectos permitidos
antes de que el sistema bloquee una cuenca. Cada intento de ingreso equvoco es
contabilizado por el contador de ingresos incorrectos y cuando este supera el nmero de
bloqueo de cuenca, no se permiten ms intentos. Esta configuracin es crtica debido a que
uno de los ataques ms comunes a las contraseas (que se discuten ms adelante en esta
leccin) involucra intentar repetidamente el ingreso con contraseas adivinadas.
Microsoft proporciona tres configuraciones independienres con respecto al bloqueo de
cuenca:
Duracin del bloqueo de cuenta: esta configuracin determina el periodo
durance el cual el bloqueo estar vigente ames de que pueda realizarse otro intento
de ingreso. Se puede establecer que el periodo sea de O a 99,999 minutos. Si se
establece un valor de O, ser necesario que un administrador desbloquee la cuenca
de manera manual. No tendr lugar ningn desbloqueo automtico.
Lmite de bloqueo de cuenta: Esta configuracin determina el nmero de
ingresos incorrectos permitidos ames de que se detone el bloqueo de cuenca. Se
puede establecer de O (sin bloqueo de cuencas) a 999 inrenros ames del bloqueo.
Restaurar el contador de bloqueo de cuenta posteriormente: Esta
configuracin determina el periodo en minutos que debe transcurrir antes de que
el contador de bloqueo de cuenca se restaure a O intentos de ingreso incorrectos. Si
se establece un lmite de bloqueo de cuenca, el lmite de restauracin de bloqueo de
cuenca debe ser menor o igual que la duracin del bloqueo de cuenca.
Generalmente las configuraciones de bloqueo de cuenca varan entre tres y diez inrenros,
con una duracin del bloqueo de cuenca y una restauracin del contador del bloqueo de
cuenca de entre 30 y 60 minuros. Aunque algunos usuarios se quejan de que no tienen
suficientes intentos de ingreso, esta es una configuracin crtica a establecer con el fin de
garantizar que su ambiente permanezca seguro.
86 Leccin 3
~ Longitud de Contrasea
La longitud de una contrasea es un componente clave de su fortaleza y corresponde
al nmero de caracteres utilizados en la misma. Una contrasea con dos caracteres se
considera alta menee insegura debido a que existe un conjunto muy limitado de contraseas
nicas que se pueden formar utilizando dos caracteres. Por lo tamo, se considera que una
contrasea de dos caracteres es fcil de adivinar.
La contrasea de 14 caracteres se encuentra en el polo opuesto. Aunque es extremadamente
segura en comparacin con una contrasea de dos caracteres, es difcil que los usuarios La
recuerden. Cuando las contraseas se vuelvan tan largas, a menudo los usuarios comienzan
a tomar pedazos de papel y escribir sus contraseas, lo cual ayuda a la prdida de los
beneficios de seguridad que habra obtenido al exigir una contrasea de 14 caracteres en
primer lugar.
Tal y como lo ilustran esros casos, el truco para establecer una longitud mnima de
contrasea es equilibrar la utilidad con la seguridad. Microsoft le permite establecer
una longitud mnima de contrasea de entre 1 y 14 caracteres (una configuracin de O
sig nifica que no se requiere contrasea alguna, lo cual nunca es adecuado en un ambiente
de produccin). La longitud mnima de contrasea generalmente aceptada es de ocho
caracteres.
~ Historial de Contraseas para Mantener la Seguridad
El historial de contraseas es la configuracin de seguridad que determina el nmero de
contraseas nicas que deben utilizarse ames de que alguna ya utilizada anteriormente se
pueda reutilizar. Esta configuracin evim que los usuarios reciclen las mismas contraseas
en un sistema. Mientras mayor sea el periodo durante el cual se utilice, mayores sern las
posibilidades de que se vea comprometida.
Microsoft le permite establecer el valor del hisrorial de contraseas entre O y 24. Diez
es una configuracin bastaoce comn en ambientes estndar, aunque la configuracin
predeterminada de Windows Server 2008 es 24 en controladores de dominio.
~ Tiempo entre Cambios de Contraseas
*Tome Nota
Las contraseas
siempre deben expirar,
salvo en circunstancias
realmente
extraordinarias,
tales como cuentas
de servicios para
ejecutar aplicaciones.
Aunque esto puede
agregar una carga
administrativa
adicional a algunos
procesos, las
contraseas que no
vencen pueden ser
un serio problema
de seguridad en
prcticamente todos
los ambientes
La ltima configuracin de contrasea con la que debe estar familiarizado es el tiempo
ent re cambios de contrasea. Esta configuracin consta en realidad de dos variantes:
Antigedad Mnima de la Contrasea: La configuracin de antigedad mnima
de la contrasea conrrola cunros das deben esperar los usuarios antes de que
puedan restaurar su contrasea. Esta configuracin puede ser un valor de enrre 1 y
998 das. Si se establece en O, las contraseas se pueden cambiar inmediatamente.
Aunque parece una configuracin bastante inocenre, un valor muy bajo puede
permitir a los usuarios vencer sus configuraciones del hisrorial de contraseas. Por
ejemplo, si establece este valor en O y stt historial de contraseas se establece en
LO, lo nico que los usuarios tienen que hacer es restablecer sus contraseas 10
veces seguidas y posteriormente volver a su contrasea original. Esta configuracin
debe establecerse a un valor menor que la antigedad mxima de la contrasea,
salvo que esta se establece en O, lo que significa que las contraseas nunca expiran.
Diez das o ms es generalmente una buena configuracin, aunque puede variar
ampliamente dependiendo de las preferencias del administrador.
Antigedad Mxima de la Contrasea: La configuracin de antigedad mxima
de la contrasea controla el periodo mximo que puede transcurrir ames de que
deba restablecer su contrasea. Esra configuracin puede variar entre 1 y 999 das
Figura 3-1
Ventana de Directiva de
Seguridad Local
Directivas de Seguridad 87
o se puede establecer en O si no desea que sus concraseas expi ren nunca. Una regla
general para esta configuracin es 90 das para cuencas de usuarios; aunque para
cuentas admi nistrativas generalmente es una buena idea rest ablecer contraseas de
manera ms frecuente. En reas de alta seguridad, se acostumbra una configuracin
de 30 das.
Hemos explicado las distintas configuraciones que puede ut ili zar para garanti zar la mejor
seguridad de conrraseas para su ambiente. A conti nuacin, mostraremos cmo revisar
estas configuraciones en una estacin de trabajo con Wi ndows 7.

Windows 7
--------------------------------------
PREPRESE. Antes de comenzar con estos pasos, asegrese de ejecutar el complemento
insertable Directiva de Seguridad Local del men de Herramientas Administrativas (consulte
Figura 3-1 ).
D.tbw"""'. btoqu<t<t
de O"IOtta de: k9\lltdMI,. 6oc<h01.
r-._.. ... ........ ,..,....
d .9t\iPO ft ICono '1 """"
1. En el complemento insertable (snap-in) Directiva de Seguridad Local, haga clic en
Directivas de Cuenta.
_j
2. Seleccione Directiva de Contrasea. Debe ver las configuraciones de contraseas que
hemos explicado en la ventana derecha. Consulte la Figura 3-2.
88 Leccin 3
Figura 3-2
Configuraciones de
seguridad de la Directiva
de Contraseas
Figura 3-3
Exigir historial de
contraseas
c .,._,..,...

o.-.... ....-

o .......
4Jo!Uo
o-
3. Haga clic en cada una de las configuraciones de contrasea (consulte las Figuras 3-3, 3-4,
3-5,3-6 y 3-7 para las distintas configuraciones).
ll'lapillllllla:bip.....,ciiiC 1 1111
Cari9AQnde
tilll:ll!zl de wael'lu
1
tillOIIII de co --
u

1
kbb 1 ( c...lr JI
1
Figura 3-4
Antigedad mxima de la
contrasea
Figura 3-5
Antigedad mnima de la
contrasea
"apl 11 IAI


la COI'Ollxfoo CliPnri en
lai
mJ d,.
1



11 c...-.
Directivas de Seguridad 89
illliiii
1 J
1 11 c.-w 1 L klotN J
90 Leccin 3
Figura 3-6
Longitud mnima de la
contrasea
Figura 3-7
Aplicacin de la
complejidad de la
contrasea
ll
11
,.,,,, ..................
CGnfio.no6n de ... 1 (jpb;ij
1..cnQ1t. lil!
l c-. !L ldaYI
"PII h '1 t..cosxleMtCUiftlllr,......c.t-
CcnJO,AClollll de 1 1
Ll diiDe QI!'CIIIliOII!OMioe de
HM*..t.
e Dl:lhlbfildl
( ( c:.w.t..
1 (
,...
1
Figura 3-8
Configuracin de la
Directiva de Bloqueo de
Cuenta
Figura 3-9
Umbral de bloqueo de
cuenta
Directivas de Seguridad 91
4. Haga clic en Directiva de Bloqueo de Cuenta. Ver las configuraciones de bloqueo de
cuenta que hemos mencionado en la ventana derecha. Consulte la Figura 3-8.
O..v6ooftJ ..._ .. """".
- - ~ .......... ~ .._.J ..
u..,, , .. .._., ... . _
., .........
.,_
l.._ ........ ., ...
5. Haga clic en cada una de las configuraciones de bloqueo de cuenta mencionadas
anteriormente (Consulte las Figuras 3-9,3-10 y 3-11 para las distintas configuraciones).
'' if IWc Umbrel. bloqueo. CUIIIU
11 Corlv i&t do 109o'ldld loc4l 1 1
!l
1
Lil QII!JrU l:tlq.-i detpuea de
l t!J n.mt de nao ele IIIIl,. vadoe
1' 1
[i
1,1
r ~ ~ - - - - - - - . = = = ~ = = ~ = = ~
l kll#.l6 11 c-. H ldi:M !
92 Leccin 3
Figura 3-10
Duracin del bloqueo de
cuenta
Figura 3-11
Restablecer del
temporizador del bloqueo
de cuenta
*Tome Nota
Las configuraciones
de contrasea para un
dominio en Windows
2008 son distintas de
aqullas establecidas
para un host o
cliente individual.
En este ejemplo,
estamos revisando las
configuraciones de
contrasea actuales.
Revisaremos cmo
modificar estas
configuraciones
utilizando un Objeto
de Directiva de Grupo
(Group Policy Object,
"GPO") en la siguiente
Seccin
Directivas de Seguridad 93
Una vez que hemos revisado el establecimiento de direct ivas de contrasea en un cliente
local, revisemos cmo se pueden utilizar las Directivas de Grupo para establecer estas
propiedades para los miembros de un dominio .
.,.. Directivas de Grupo sobre Contraseas para Mantener la Seguridad
*Tome Nota
Cuando trabaja
con GPO, puede
descubrir que sus
cambios provocan
consecuencias
inesperadas. Si un
nuevo GPO provoca
problemas, desactvelo
hasta que tenga una
mejor idea de lo que
est ocasionando el
conflicto
Antes de esrudiar el uso de las Directivas de Grupo para hacer valer las configuraciones
de contraseas, debemos describir exactamente qu es una Directjva de Grupo (tambin
denominada Objeto de Directiva de Grupo).
Un Objero de Directiva de Grupo (GPO) es un conjunro de reglas que permiten a un
administrador un conrrol granular sobre la configuracin de objecos en Directorio activo
(DA), incluyendo cuencas de usuarios, sistemas operat ivos, apli caciones y otros objecos.
Los GPO se utilizan para la adminjsrracin y configuracin centralizadas del ambiente
del DA.
Ahora que cenemos una mejor idea de lo que es un GPO, analicemos cmo puede utilizar
uno para hacer valer los controles de contraseas en el Direcrorio activo.
Tome Nota
Windows Server 2008 cambia de manera fundamental el mecanismo para establecer atributos
de contraseas en Directorio activo. Estudiaremos tanto e l legado del modelo GPO para
aplicar controles de contraseas como un ejemplo de alto nivel sobre cmo realizar una
funcin similar en un Directorio activo de Wi ndows Server 2008.
-7 Directiva de Grupo para Aplicar Controles de Contraseas sobre
Sistemas de Dominio
PREPRESE. Antes de comenzar estos pasos, asegrese de ejecutar el complemento
insertable Usuarios y Computadoras del Active Directory del men Herramientas
Administrativas.
1.
2.
3.
4.
5.
6.
7.
8.
Haga clic con el botn derecho en el contenedor raz (root container) para el dominio y
seleccione Propiedades.
En el cuadro de dilogo de Propiedades para el domi nio, haga clic en la pestaa Directiva
de Grupo.
Seleccione Nuevo para crear un GPD nuevo en el contenedor raz. Escriba "Directiva de
Contraseas" como el nombre de la nueva directiva y haga clic en Cerrar.
Haga clic con el botn derecho en el contenedor raz para el domi nio y posteriormente
seleccione Propiedades.
En el cuadro de dilogo de Propiedades, haga clic en la pestaa Directiva de Grupo y
posteriormente seleccione su GPO recin creado (denominado Directiva de Contraseas).
Haga clic en Arriba para mover su nuevo GPO a la parte superior de la lista.
Haga clic en Editar para abrir el Editor del Objeto de Directiva de Grupo para el GPO que
acaba de crear.
En la Configuracin de la Computadora, navegue a la carpeta Configuracin de Windows\
Configuracin de Seguridad\Directivas de Cuentas\Directivas de Contraseas.
94 Leccin 3
9. Desde aqu, puede establecer las directivas como lo hicimos en el ejercicio anterior. Abra
cada directiva a su vez, modifique la configuracin y haga clic en Aceptar para volver al
cuadro de dilogo principal.
10. Una vez que haya establecido las configuraciones segn lo desee, cierre el Editor del
Objeto de Directiva de Grupo.
11. Haga clic en Aceptar para cerrar el cuadro de dilogo de propiedades del dominio.
12. Salga de Usuarios y Computadoras de Active Directory.
Ahora cuenta con un GPO para aplicar las configuraciones de conrraseas. Este proceso
funciona muy bien con Windows Server 2003. Sin embargo, con Windows Server 2008
(la versin ms reciente del sistema operativo Windows Server), estas direct ivas requieren
un proceso ligeramente diferenre.
En particular, Windows Server 2008 le permite almacenar lo que Mi crosoft denomina
directivas de grupo de contraseas, las cuales le permiten establecer distintas directivas de
conrraseas en diferentes conrenedores en el Directorio activo. Con el fin de soportar esta
nueva funcionalidad, Windows Server 2008 incluye dos nuevas clases de objecos:
Comenedor de Configuraciones de Contraseas
Objeco de Configuraciones de Contraseas
El Contenedor de Configuraciones de Conrraseas (Pamuortl Settings Conttliner, "PSC") se
crea de manera predeterminada en el contenedor de Sistema en el dominio. Puede verlo
utilizando el complememo insertable Usuarios y Computadoras de Act ive Direccory, pero
necesitar activar las caractersticas avanzadas para acceder al mismo. El PSC almacena
los Objecos de Configuraciones de Conrraseas (Password Settings Objects, "PSO") para el
dominio.
Si no se configuran directivas de contraseas detalladas, la Directiva de Dominio
Predeterminada, tambin accesible a travs del complemenro insercable Usuarios y
Computadoras de Active Direccory, se aplica a todas las cuencas en el dominio.
Analicemos cmo modificar la Directiva de Dominio Predeterminada para lograr una
implementacin si milar al uso del GPO en versiones anreri ores del Direccori o activo.
PREPRESE. Antes de comenzar estos pasos, asegrese de ejecutar el complemento
insertable Usuarios y Equipos de Active Directory en las Caractersticas Avanzadas activado
desde el men de Herramientas Administrativas.
1. Despliegue el domi nio para mostrar las carpetas predeterminadas.
2. Haga doble clic en System. Debe visualizarse la lista de objetos predeterminados en el
contenedor del Sistema.
3. Haga clic con el botn derecho en Default Doma in Policy y seleccione Propiedades. Se
abrir el cuadro de dilogo de Propiedades de Default Domain Policy. (Consulte la Figura
3-12).
Figura 312
Ficha Objeto del cuadro
de dilogo Propiedades:
Default Doma in Policy
Figura 3-13
Ficha Editor de atributos
del cuadro de dilogo
Propiedades: Default
Domain Policy
Directivas de Seguridad 95
l'ruptcd .. Ocl..ult Dom.n f'oltl y 11 EJ
Ubte'O 1 j E101 .ahWo; 1
Plorrtlt cannico del
1" 1. ,. : . .... :- ... ' ,, .. ..,. ;:: ..
(lote di: _.o t'RCW4 de lbllrlo
CfOOdo 15/tlY.!Jll D 11\
Modteacb 15102/2011 09 46 23 p m

57IW
5704
4. Haga clic en la pestaa del Editor de atributos y desplcese hacia abajo a Password
Attributes (Consulte la Figura 3-13).
<no e.obleodo>
<no e114bleado>
<no e11ablaado>
en Oefd Ooma.n Poicy
del dl.ocaPclicy()bi <no Eneableacb>
de11Cliption <no e .tableado>
<no e&tablecldo>
<no elfaCiecicb>
tr9.uhe<flome OOflltll\ Policy 1>15.1'
<no estabb:ido>


dSAS9'\IIII'

96 Leccin 3
*Tome Nota
La nueva funcionalidad
de Windows Server
2008 brinda benefici os
significativos a
administradores
experimentados del
Directorio activo,
pero puede crear una
complejidad importante
para una persona no
familiarizada con DA.
Realice los cambios
con precaucin
5. Haga doble clic en el atributo que desee modificar.
6. Cuando haya completado los cambios deseados, haga clic en Aceptar para cerrar el
cuadro de dilogo de Propiedades: Default Doma in Policy.
7. Salga de Usuarios y Equipos de Active Directory.
Ahora que conoce algunas maneras de establecer atributos de contrasea para el clience,
canco en un Directorio activo en Windows Server 2003 como en la versin accual del
mismo, es necesario analizar algunos de los mtodos de ataque ms comunes que podra
encontrar en el mundo real.
..,. Los Mtodos de Ataque Comunes
Desde hace tiempo, las contraseas se han considerado uno de los eslabones dbil es en
diversos programas de seguridad. Aunque los tokens, tarjetas inreligenres y la informacin
biomcrica estn ganando impulso en el mundo comercial para asegurar los sistemas y
daros clave, una cantidad significativa de datos confidenciales y privados continan
asegurndose mediante contraseas. Estas se consideran un eslabn dbil principalmente
por dos motivos:
En primer lugar, algunas personas se basan compleramence en los usuarios para la seleccin
de contraseas, aunque muchos elegirn contraseas fuerces acorde a sus estndares y
aunque podran concar con algunas herramientas para aplicar atributos de contraseas
(como la complejidad y longitud mnima), seguir habiendo usuarios que continen
seleccionado contraseas dbiles. Los atacantes lo saben y tratarn de explorar a estas
personas.
En segundo lugar, incluso las contraseas fuerces son vulnerables a ataques a travs de una
variedad de disti ntos mecanismos.
Anlisis de Ataques mediante un Diccionario y con Fuerza Bruta
Un ataq11e mediattte un diccionari.o utili za un diccionario que conti ene una lista de
contraseas potenciales que el atacante prueba en conjuncin con un nombre de usuario
en un intento por adivinar la contrasea correspondiente. Esro se conoce como un ataque
mediante un diccionario debido a que las versiones ms ant iguas de este realmente
utili zaban lisras de palabras tomadas de un diccionario como base de su intento de ing reso.
Accualmence, existen diccionarios personalizados con contraseas probables di sponibles
para descarga a rravs de Inrernec, junco con aplicaciones q ue pueden utilizar estas posibles
contraseas conrra sus sistemas.
Otro cipo ms agresivo de ataque (denominado un ataque con fuerza bruta) no se basa
en una lista de contraseas, si no que prueba rodas las combinaciones posibles de tipos
de caracteres permitidos. Aunque hjscricamence este cipo de ataque se consideraba no
efectivo, las mejoras en el desempeo del procesador y la red lo han hecho ms ril, aunque
no can efectivo como un ataque mediante un diccionario.
Estos tipos de ataques tienden a tener mayor xito cuando la longitud de la contrasea
es de siete caracteres o menos. Cada carcter adicional agrega un nmero importante de
contraseas posibles. Estos ataques a menudo tienen xito debido a que los usuarios a veces
Referencia Cruzada
La leccin 1 contiene
ms detalles sobre el
keylogging.
Di rectivas de Seguridad 97
utilizan palabras comunes con la primera letra en mayscula y posteriormente agregan un
nmero para cumplir con los lineamientos de complejidad. Estas son las contraseas ms
fciles de recordar para los usuarios, pero tambin son las ms fci les de comprometer para
un atacante.
La configuracin de Bloqueo de Cuenca analizada anteriormente en la leccin es una
defensa de suma importancia contra esre tipo de ataque debido a que un Bloqueo de
Cuenca disminuir o incluso detendr un ataque con fuerza bruta en ejecucin despus de
que se alcance el nmero de intentos de ingreso incorrectos.
Ataques Fsicos
Siempre que un atacante renga acceso fsico a su equipo de cmpuro, ste se encuentra en
riesgo. Los acaques fsicos a su computadora pueden superar completamente casi codos
mecanismos de seguridad, por ejemplo mediante la captura de contraseas y otros daros
crt icos directamente del teclado cuando se ut il iza un software o hardware capturador de
teclado (keylogger). De hecho, si su clave de encriprado pasa a travs de un keylogger,
puede descubrir que incluso sus daros encriprados se encuentran en riesgo.
Algunos otros ataques fsicos pueden incluir el uso de una cmara oculta para grabar
lo que escribe en el teclado o incluso la remocin o duplicacin (o robo directo) de su
disco duro. Aunque no se erara especficamente de un ataque contra una contrasea,
si los atacantes remueven su disco duro, con frecuencia pueden evadir los controles de
contraseas mediante el montaje de la unidad de manera remota y accediendo a sus daros
directamente de la unidad, sin que intervenga el sistema operativo.
Contraseas Divulgadas sin Autorizacin y Compartidas
Otro desafo que encontrar al participar con usuarios en un ambiente de oficina es el
hecho de que una contrasea sea compartida o divulgada sin autorizacin. Los usuarios
t ienden a confiar en sus compaeros de trabajo; despus de codo, codos trabajan para la
misma empresa y, en muchos casos, tienen acceso a informacin similar de la empresa.
Como resultado de lo anterior, los usuarios pueden ser convencidos fcilmente de que
compartan sus contraseas con compaeros de trabajo que creen que "necesitan" esta
informacin. Esra prctica es especialmente problemrica en ambientes con alta rotacin
de personal debido a que no existe manera de saber quin de entre el lt imo grupo de
empleados despedidos todava cuenta con el nombre de usuario y contrasea de un amigo
y en consecuencia cuenta con acceso continuo a la red.
An cuando los usuarios no proporcionen su contrasea a otro empleado de manera
intencional, el ambiente laboral casual con frecuencia provoca que los empleados observen
a sus compaeros de t rabajo al escribir sus nombres de usuario y contraseas.
Finalmente, los cnyuges, hijos y otros parientes pueden llegar a tener acceso a su ambiente
de cmputo debido a su estrecha relacin con sus empleados.
La conciencia por parte de los empleados es la mejor manera de combatir esre tipo de
ataque. Proporcionar a los empleados un mayor entendimiento de los riesgos e impacto
de este tipo de comportamientos puede ser de gran utilidad para la conservacin de las
conrraseas bajo el control exclusivo de usuarios aurorizados. Adems, las configuraciones
de amigliedad mnima y mxima de la contrasea, adems de la configuracin del historial
de la contrasea, pueden ayudar a mitigar este riesgo. En este caso, an cuando alguien
obtenga una contrasea que no debera tener, cuando se alcanza el lmite de antigedad
mximo se debern restaurar rodas, incluidas las compartidas.
98 Leccin 3
Contraseas Crackeadas
Una contrmeia crackeada se basa con frecuencia en ms que un simple ataque a la
concrasea. En un ataque de crackeo, el atacanre obtiene acceso a un archivo encriptado
de concraseas de una estacin de trabajo o servidor. Una vez que ha logrado ingresar, el
atacance comienza a ejecutar herramiencas de crackeo de concraseas concra el archivo con
el fin de violar ramas como sea posible y utilizarlas a su favor para comprometer an ms
la red y sistemas de la empresa.
Las concraseas almacenadas en un estado encriprado son ms difciles de violar que las
almacenadas en un texto claro o en un estado hashed. Sin embargo, con el poder acrual
de las computadoras, incluso los almacenamientos de contraseas encri ptados se ven
amenazados por ataques de crackeo.
Si en alg n momento se da cuenca de que su contrasea se ha visco compromet ida, necesi ta
que todos los empl eados con una cuenca en el mi smo sistema cambien sus contraseas de
manera inmediata.
Tambin puede utilizar las mismas herramientas que los atacantes potenciales para auditar
la seguridad de sus almacenami entos de contraseas. Tratar de crackear su propio archivo
de contraseas es una prctica bastante comn, dado que no slo le permite someter a
prueba la seguridad de su almacenamiento si no que tambin, si cualquiera de estas se ve
comprometida o si es dbil, le brinda la posibilidad de hacer que los usuarios las cambien
por unas ms seguras.
Examen de Sniffers de Red e Inalmbricos
Si un acacame logra acceder a su red inrerna, a su red inalmbrica o incluso a un punco
de acceso de l nrernec utilizado por sus empleados, tiene la capacidad de utilizar una
herramienra especializada denominada sniffer para tratar de interceptar concraseas no
cifradas. Aunque las aplicaciones han mejorado en Jos aos recientes, contina habiendo
varias de ellas que t ransmiten informacin importante (como contraseas) a travs de redes
en rexco claro, lo cual significa que esta informacin puede ser leda por cualquier persona
con la capacidad de ver datos conforme at raviesen la red.
Los S1zi!fers son aplicaciones de software (y en alg unos casos de hardware) especialmente
diseadas que capruran paqueces de red conforme atraviesan una red, mostrndolos al
atacante. Los sniflers son formas vlidas de equipo de prueba uti lizadas para identificar
problemas de red y aplicacin; si n embargo, los atacantes se han adueado rpidamente de
la tecnologa como una manera sencilla de obtener credenciales de ingreso.
Adems de los miffers que se utilizan para atacar redes almbricas, ahora existen sniffers
que tiene la capacidad de capturar tambin datos inalmbricos. Cuando se conecta a la
red inalmbrica de su negocio, posiblemente mientras se encuentra en la cafetera local o
incluso cuando asiste a una reunin en un hoce!, se encuentra en riesgo potencial de que
sus datos sean liceralmence extrados del aire y puesros a disposicin de un atacante. El uso
del encriprado sigue siendo el mejor mecanismo para combatir este tipo de ataque.
Otra rea de riesgo con los sniffers son los teclados inalmbricos. En su ncleo, un teclado
inalmbrico es una tecnologa emisora que enva las pulsaciones de las teclas del teclado
a un receptor conectado a la computadora. Si puede sintonizar un receptor a la misma
frecuencia lo suficiencemencecerca de la computadora, puede capturar cada golpe del teclado
ingresado en el teclado inalmbrico sin necesidad de instalar un keylogger. Actual menee, la
mayora de los teclados soportan seguridad adicional (por ejemplo, conexiones cifradas),
Directivas de Seguridad 99
pero siguen emitiendo roda la informacin que el usuario escribe, de modo que en tanto la
gente contine ingresando la mayora de sus datos a rravs del teclado seguir existi endo
una fuente potencial significativa para que los atacantes la exploten. De hecho, muchas
empresas permiten que sus empleados utilicen teclados almbricos a fin de disminuir este
riesgo.
Referencia Cruzada
El sniffing se analiza a mayor detalle en la Leccin 4.
Contraseas Adivinadas
Aunque ya no es un problema tan frecuente como en aos pasados, sigue existiendo la
posibi lidad de que alguien pueda sentarse frente a su computadora y adivine su contrasea.
Como lo hemos visto en numerosas pelculas, un atacante puede estar familiarizado con la
persona cuyo sistema est tratando de comprometer o podra mirar a su alrededor y ver una
postal de un viaje o fotografas de los hijos de un empleado con sus nombres enlistados y
discernir la contrasea a partir de estos elementos. Si un usuario no cumple con las normas
corporativas que exigen una contrasea fuerte que no se pueda adivinar fcilmente y en
vez de ello selecciona una contrasea basada en el nombre o cumpleaos del cnyuge, hijos
o mascota, un atacante puede adivinar ms fcilmente la contrasea y obtener acceso a los
daros del empleado.
Dicho lo anterior, esce tipo de ataque casi nunca se observa acrualmente. Con la amplia
disponibilidad de herramientas de crackeo, el tipo de objetivo individual requerido para
adivinar la conrrasea de una persona rara vez vale la pena el esfuerzo. Generalmente es
mucho ms sencillo apalancar un ataque utilizando uno de los dems mtodos disponibles
actualmente. En general, nicamente los compaeros de trabajo o amigos cercanos
intentarn adivinar la contrasea de un empleado.
Resumen de Capacidad
En esta leccin, aprendi lo siguiente:
La fortaleza de una contrasea puede determinarse observando su longirud,
compl ej idad y aleacoriedad.
Una contrasea compleja uriliza caracreres de por lo menos tres de las siguientes
caregoras: mayscula, minscula, caracteres numricos y caracteres especiales (no
alfanumricos).
Bloqueo de cuenta se refiere al nmero de intentos de ingreso incorrectos antes de
que un sistema bloquee una cuenta.
La Antigedad Mnima de la Contrasea controla cuntos das deben esperar
los usuarios antes de poder restaurar su contrasea.
La Antigedad Mxima de la Contrasea controla el periodo mKimo que puede
transcunir antes de que los usuarios estn obligados a restaurar su contrasea.
Un Objero de Directiva de Grupo (GPO) es un conjunto de reglas que permiten
a un administrador cener un control detallado de la configuracin de objetos en
el Directorio activo (DA), incluyendo cuentas de usuarios, sistemas operativos,
aplicaciones y otros objetos.
Las contraseas se han reconocido por largo tiempo como uno de los eslabones ms
dbiles en diversos programas de seguridad.
100 Leccin 3
Durante un ataque mediante un diccionario, el atacance prueba una amplia Lista de
concraseas potenciales en conjuncin con un nombre de usuario para tratar de
adivinar la contrasea correspondiente.
Los ataques con fuerza bruta prueban rodas las combinaciones posibles de t ipos de
caracteres permitidos en un incenco por determinar la contrasea de un usuario.
Los ataques fsicos a una computadora pueden evadir completamence casi todos los
mecanismos de seguridad, por ejemplo mediance la captura de concraseas y otros
datos crticos direcramente de un teclado cuando se uciliza un sofrware o hardware
keylogger.
En un ataque de crackeo de concrasei:a, los atacances obtienen acceso a un archivo
encripcado de contraseas de una estacin de trabajo o servidor. Una vez que
tienen acceso a este archivo, los atacances comienzan a ejecutar herramienras de
crackeo de contraseas contra el mismo.
Si obtiene acceso a su red interna, su red inalmbrica o incluso a Ltn punto de acceso
de Incernet utilizado por sus empleados, el atacante tiene la capacidad de utilizar
una herramienta especializada denominada sniffer a fin de incerceptar concraseas
no cifradas.
Aunque ya no es un problema tan frecuente como en aos pasados, sigue existiendo
la posibilidad de que alguien pueda senrarse frenre a su computadora y adivine su
concrasea.
Evaluacin de Conocimientos
Opcin Mltiple
Encierre en un crculo la letra o letras qr.te correspondan a la mejor respttesta o
respuestas.
l. Cules de los siguiemes no son comroles de contraseas vlidos? (Eja codos los
aplicables)
a. Amigedad Mnima de la Contrasea
b. Antigedad Mxima de la Contrasea
c. Longitud Mxima de la Contrasea
d. Lmite de Bloqueo de Cuenca
e. Historial de Comraseas
2. Cul( es) de las siguientes sera una contrasea aceptable en un sistema Windows 7
Professional con Complejidad de la Contrasea activada y una Longitud Mnima de
la Contrasea establecida en ocho? (Elija todas las opciones correctas)
a. Verano2010
b. $$Thxl7
c. AARGood4U
d. Concrasea
e. Sc@rTr3k
3. Cul es la configuracin mxima para la Ancigedad Mni ma de la Contrasea?
a. 14
b. 999
c. 998
d. 256
Directivas de Seguridad 101
Est configurando su primera estacin de trabajo segura con Windows 7 Professiooal
y est estableciendo el bisrorial de contrasea. Cules son las configuraciones
mnima y mxima que puede utilizar? (Elija la mejor respuesta)
a o, 14
b. 1, 14
e o, 24
d 1,24
e 0,998
') Cules de los siguientes son tipos comunes de ataques a contraseas? (Elija Dos
respuestas)
a. Crackeo
h. Man in the middle
t. Sm11rj
d Spoofmg
. Una forma de ataque con fuerza bruta contra contraseas utiliza una amplia ljsta de
contraseas predefinidas. Cmo se denomina esta forma de ataque con fuerza bruta?
(Elija la mejor respuesta)
a. Ataque mediante la Biblia
b Ataque de crackeo
e Ataque medianre adivinanzas
d Ataque mediante un diccionario
En su calidad de Director de Seguridad de una pequea empresa de procesamiento de
registros mdicos, sospecha que un competidor atacar su red muy pronto. Al baber
trabajado en el negocio por un tiempo, est bastante seguro de que el compecidor
intentar de ejecutar un ataque mediante diccionario contra uno de sus servidores
de aplicaciones de Windows. Desea asegurarse de que su compet idor no logre tener
acceso al servidor utilizando este mtodo de ataque. Qu configuracin debe ajustar
con el fin de garantizar que esre ataque renga una oportunidad limitada de xito?
(Elija la mejor respuesta)
a. Longitud Mrurna de la Contrasea
b. Lmite de Bloqueo de Cuenca
c. Historial de Contraseas
d. Antigedad Mxima de la Contrasea
8. Es el responsable del departamento de seguridad corporativa y el equipo de Microsoft
la ha solicitado asistencia en el establecimiento de los controles de contraseas en su
nuevo servidor independjente (sta11d-ttlone). Qu Herramienta Administrativa debe
utilizar para establecer estas configuraciones?
a Usuarios y Equipos de Active Directory
b. Administracin del Equipo de Cmpuco
<. Servicio de Seguridad
d Directiva de Seguridad Local
9. Cules son las dos nuevas caractersticas introducidas en Windows Server que
permiten el uso de directivas de seguridad detalladas? (Elija todas las aplicables)
a. Objero de Directiva Global
b. Contenedor de Configuraciones de Contrasea
102 leccin 3
<:. Objeto de Configuraciones de Contrasea
J Directiva de Contrasea
1 O Por qu utilizara una Antigedad Mnima de Contrasea?
a Para garantizar que nadie adivine una contrasea
b Para evitar que alguien intente una y orra vez adivinar una contrasea
e Para asegurarse de que un usuario no restaure una contrasea varias veces hasta
que pueda reutilizar su contrasea original
d Para restaurar aucomticamenre una contrasea
Complete las oraciones
Un conjunto de reglas que permite a un administrador tener un control detallado
de la configuracin de objeros en Directorio activo (DA), incluyendo cuencas de
usuario, sistemas operativos, aplicaciones y otros objetos de DA se denomina
?.. El nmero de intentos de ingreso incorrectos permitidos antes de que un sisrema
bloquee una cuenra se denomina _______ _
) La configuracin que detecmjna el nmero de contraseas nicas que deben utilizarse
ances de que una contrasea se pueda re-utilizar es-------
El tipo de araque que utiliza una amplia lista de contraseas potenciales se denomina
~ Cuando utiliza software especial para leer daros conforme se emiten en una red, est
_____ La red.
6. El (la) ________ necesita ser menor o igual que la Duracin del Bloqueo de
Cuenta.
La configuracin ms alta que puede uriza.r la Duracin del Bloqueo de Cuenta es
8 En un Directorio activo en Windows Server 2008, el (la) _______ _
se aplica automticamente en caso de que no haya establecido una directiva de
contrasea detallada.
9. Las tres configuraciones para el bloqueo de cuenca son-----------
----------Y-----------
1 O. U na cuenta _______ es un tipo de cuenca que puede configurar de modo
que la contrasea no expire.
Evaluacin de Competencia
Caso 3-1 Contraseas Largas
a Digamos que riene un PIN que tiene cuatro dgitos de longitud. Cada dgito
puede ser O, 1, 2, 3, 4, 5, 6, 7, 8 9, dando un coral de LO dgitos posibles.
Cuntos PIN distintos son posibles?
b Digamos que tiene una contrasea de cuatro !erras y cada carcter en la
contrasea debe ser una Letra minscula (a-z). Existen 26 letras en el a.lfabeto.
Cuntas contraseas diferentes son posibles?
Directivas de Seguridad 103
c. Digamos que tiene una contrasea de seis letras y cada carcter en la contrasea
debe ser una letra minscula (a- z). Cuntas combinaciones diferentes son
posibles?
d. Digamos que tiene una contrasea de ocho letras y cada carcter en la contrasea
debe ser una letra minscula (a-z). Cuntas combinaciones diferentes son
posibles?
e. Digamos que tiene una contrasea de ocho lerras y cada carcter debe ser una
letra minscula (a-z) o una letra mayscula CA-Z). Cuntas combinaciones
diferentes son posibles?
f. Digamos que tiene una contrasea de ocho letras y cada carcter en la contrasea
debe ser una letra en minscula (a- z), una letra en mayscula (A- Z), un d1gito
(0- 9) o un carcter especial(-'!@#$%"&*()_-+={[)}!\:;'"<, >.? 6 /). Cuntas
combinaciones diferentes son posibles?
Caso 3-2: Cambio de Contraseas
Imagine que trabaja para Conroso Corporation. Su Direcror de Informtica le dice que
acaba de recibir un mensaje en su computadora indicando que debe cambiar su contrasea.
l desea saber por qu no slo debe utilizar una contrasea relativamente larga sino
tambin por qu debe cambiarla de manera regular. Qu debe decirle?
Evaluacin de Habilidad
Caso 3-3: Administracin de los Usuarios
Ingrese a una computadora que opere con Windows 7 y cree una cuenta para John Adams
(JAdams) utilizando el Panel de Control. Agregue aJAdams al grupo del Administrador.
Configure la contrasea para esta persona como ContraseaOl. Verifique que los grupos de
los que sea miembro JAdarns utilizando el Control de Administracin del Equipo.
Caso 3-4: Configuracin de una Directiva de Seguridad local
En una computadora que opere con Windows 7, abra la Administracin de Directivas de
Grupo para ingresar a la Directiva Local de Grupo. Consulte la Directiva de Contrasea y
la Directiva de Bloqueo de Cuenca.
~ Directivas de Grupo
Las Directivas de Grupo son paree de las caractersticas ms poderosas incluidas con Directorio activo. Adems
de ser utilizadas para configurar las directivas de contrasea y las directivas de bloqueo de cuenca, se pueden utilizar
para asignar derechos de usuario que definan lo que una persona puede realizar en un equipo de cmputo. Tambin
se pueden utilizar para instalar software, evitar la instalacin de software, bloquear una computadora, estandarizar
un enrorno de trabajo y pre-configLLrac Windows. Cuando analice con mayor detalle las Directivas de Grupo, ver
que existen literalmente miles de configuraciones.
Leccin de la matriz de habilidades
Habilidades tecnolgicas Dominio del objetivo Nmero de dominio
del objetivo
Utilizar firewalls dedicados para proteger una
red
Comprender los cortafuegos dedicados. 3.1
Controlar el acceso con Proteccin de acceso
a redes (NAP)
Comprender la Proteccin de acceso a
redes (NAP).
3.2
Utilizar el aislamiento para proteger la red
Proteger los datos con la seguri dad del
protocolo
Comprender el aislamiento de la red.
Comprender la seguridad del protocolo.
3.3
3.4
Proteger la red inalmbrica
Trminos clave
Cortafuegos a nivel de aplicacin
(firewall a nivel de aplicacin)
Cortafuegos a nivel de circuito
(firewall a nivel de circuitO)
Zona desmilitarizada (OMZ)
Extensiones de seguridad de DNS
(DNSsec)
Ataques de envenenamiento de
DNS (DNS poisoning)
Suplantacin de DNS (ONS
Spoofing)
Comprender la seguridad de la red
inalmbrica.
1.4
Cortafuegos (firewall)
Honey net
Honeypot
Cortafuegos de servidor (firewall de
servidor)
Sistemas de deteccin de intrusos
(IDS)
Sistemas de prevencin de intrusos
(JPS)
MAC Address
Proteccin de acceso a redes (NAP)
Cortafuegos de red (firewall de red)
Modelo de interconexin de
sistemas abiertos (OSO
Padded cell (clula de aislamienco)
Cortafuegos personal (fi rewall
personal)
Suplantacin (Spoofing)
Stateful Jnspecrion
Tradicionalmente, cuando se construa una infraestructura de seguridad de informacin, el primer punto de enfoque
era la red. Tan prontocomo las redescomenzarona interconectarse, fueobvioque las mismasofrecanel principal vector
de ataque. En otras palabras, era la principal manera de obtener informacin de una organizacin desde el exterior.
En ese momento, la fi losofa impulsora alrededor de la proteccin de las redes era rcminiscente de los casti llos de
antao. De acuerdo con este modo de pensar, la mejor manera de asegurar ru red era construir un muro fuerte,
cavar fosos y controlar el acceso al castillo a travs de un porrn principal. En trminos de redes, esco significaba
desplegar varias capas de cortafuegos, despus controlar quin podra entrar en la red con sus reglas, controles
de acceso y zonas desmilitarizadas (OMZs). Esra prctica es conocida como asegurar el permetro o defensa en
profundidad.
Este modelo trabaj basrame bien hasta la siguiente ronda de evolucin tecnolgica a finales de la dcada de
1990, cuando se introdujo el concepto de red privada virtual (VPN). Las VPNs permiten a las compaas
extender de manera segura su red a travs de redes que no son de confianza, como el Internet, pero esto tambin
impact el permetro de la red. Despus vinieron las tecnologas de red inalmbrica, literalmente movieron
el permetro que requera proteccin eo el aire y ofrecieron retos adicionales al modelo de seguridad eo capas.
La buena noticia es que como las tecnologas de redes han evolucionado y el asegurar un permetro de redes se ha
vuelro ms desafiante, las tecnologas de seguridad disponibles para dirigir estos retos tambin han evolucionado.
En esra leccin, discutiremos dichas soluciones de seguridad y cmo se pueden utilizar para dirigi r los desafos
que se encontrarn.
106 Leccin 4
Utilizar Cortafuegos (firewalls) dedicados para
proteger una Red
w EN RESUMEN
Incluso hoy, los cortafuegos siguen siendo los cimientos de la tecnologa de seguridad de redes. Hay muchas opciones,
tipos y tecnologas relacionadas con la seleccin, implementacin y mantenimiento de firewalls en la red. Tambin
hay muchos controladores para ayudar a determinar la solucin adecuada para una organizacin.
~ Listo para la
Certificacin
Dnde ubicara
la mayora de las
compaas su firewall
dedicado?
-3.1
Figura 4 1
Implementacin de
cortafuegos
Uno de los primeros aspecros que surge cuando la gente habla de seguridad de
informacin son los corrafuegos. Esros hao sido durante mucho tiempo el fundamento de
la infraestruct ura de la seguridad de redes de una organizacin. Pero, qu es exactamente
un cortafuegos?
Un cortafuegos o firewall es un sistema que est diseado para proteger una computadora
o una red de computadoras de los ataques basados en la red. Un firewall hace esto filtrando
los paquetes de daros que at raviesan la red. Un cortafuegos de permetro tpico esra
implementado con dos (o ms) conexiones de redes (ver Figura 4- 1 ), concretamente:
Una conexin a la red que se est protegiendo y
Una conexin a una red externa.
lr*o .........
Hay diversas variaciones en este modelo, pero a la larga, todos los cortafuegos protegen los
servidores en una red de los servidores de otra red.
Se utili zan para dividir y aislar las reas de red de una organizacin. Por ejemplo, uno
de los usos ms comunes de un cortafuegos sera dividir la red de su organizacin (red
interna) de la red externa (Internet). La red interna qui z podra ser referida como limpia,
segura y local, mientras que la red externa cal vez podra ser referida como sucia, insegura
y remota. Todas se refieren al mismo modelo, pero, ocasionalmente, quiz podra hallar
que necesita ayuda para traducir un trmino particular a una terminologa con la que se
est familiar izado.
En las redes de hoy en da, hallar cortafuegos utilizados para varios propsitos ms all
de slo asegurar el permetro. Por ejemplo, muchas redes de corporat ivos esrn divididas
en zonas aseguradas por ellos. De este modo, tal vez pueda encontrar que los firewalls
de su organi zacin no slo estn asegurando las conexiones de extraner e Internet, sino
tambin creando zonas seguras para sus sistemas financieros , asegurando la investigacin
y desarrollo de servidores o tal vez incluso la red de produccin de las redes de prueba y
desarrollo.
Dados los usos ampliamente variables de los cortafuegos en las redes acruales, hay una
variedad de diferentes tipos. Pero antes de comenzar a hablar de es ros, necesitamos discutir
el modelo OSI.
Figura 4-2
Modelo OSI de siete
capas
*Tome nota
Los estndares
IEEE 802.x definen
una variedad de
tecnologas de redes.
Por ejemplo, 802.1x
define un estndar
para la seguridad
inalmbrica. De
manera similar, el
estndar IEEE 802.3
define el Ethernet
Seguridad en la Red 107
Comprensin del Modelo OSI
Toda discusin respecto a la seguridad de redes requiere una comprensin del modelo de
referencia de interconexin de sistema abierto (OSI). El modelo OSI es un modelo
conceptual, creado por la Organizacin Internacional de Estandarizacin (ISO) en 1978
y revisado en 1984, para describir una arquitectura de red que permita el rrnsiro de
daros enrre los sistemas de computadoras. Aunque nunca se utiliz completamente como
modelo para un prorocolo, no obstante, el modelo OSI es el estndar para discutir cmo
trabajan las redes.
Como se muestra en la Figma 4-2, el modelo OSI est integrado de la misma manera
como se discute generalmente, de abajo hacia arriba. Las siete capas de este modelo son las
siguientes: fsica, enlace de daros, red, transporte, sesin, presentacin y aplicacin. Aqu,
la capa fsica se conoce como capa 1, el enlace de datos como la capa 2, etctera. Esto es
importante para recordar, ya que con frecuencia oir que a los routers (tambin conocidos
como ruteadores o enruteadores) se les dice "dispositivos de capa 3" o tipos especficos de
cortafuegos descritos como "dispositivos de capa 7". Esta nomenclatura hace referencia al
nivel donde interacra el dispositivo en el modelo OSI. Por consiguiente, es importante
familiarizarse con el concepto de aleo nivel del modelo OSI y de lo que sucede en cada
capa.
Apficadn
Presentadn
Sesin
T,.IIIPOrte
..
VInculo de los Datos
f'ISico
.._
Cada capa del modelo OSI tiene su propia funcin especfica. Las siguientes secciones
describen la funcin de cada capa, comenzando con la capa fsica y trabajando hacia arriba.
Capa fsica (capa 1)
La capa fsica del modelo OSI se utiliza para definir las caractersticas fsicas de la red,
incluyendo las siguientes especificaciones:
Medio: Tipos de cables, voltaje, frecuencia de seal, velocidad, ancho de banda,
ere.
Hardware: Tipo de conector, cipo de tarjeta de interfaz de red, etc.
Topologa: La topologa utilizada en la red, como anillo, malla, estrella o bus.
108 Leccin 4
Capa de vnculo de los datos (capa 2)
La capa de enlace de datos conecta la capa de dacos con la fsica, para que puedan transmitirse
a travs de la red. La capa de enlace de dacos maneja la deteccin de errores, su correccin
y la direccin de hardware (es decir, la direccin de la tarjeta de interfaz de la red).
La capa de enlace de daros se divide en dos subcapas:
Subcapa de Control de Acceso al Medjo (MAC): La MAC address se define en
esta capa. Es la direccin fsica o la direccin de hardware plasmada en cada tarjeta
de interfaz de red-NIC (por ejemplo: 96-4C-E5-48-78-C7). Tambin controla el
acceso a los medios de redes subyacentes.
Subcapa de control de enlace lgico (LLC): La capa LLC es la responsable del
los mecanismos de conrrol de Rujo y errores de la capa de enlace de dacos. La capa
LLC esra especifica en el estndar IEEE 802.2.
Capa de red (capa 3)
La capa de red es la principal responsable del enrucamiento. Es ca capa define los mecanismos
que permiten que los datos pasen de una red a orra. Para aclarar, esta capa no especifica
cmo se pasan los datos; sino, define los mecanismos que permiten este trnsitO. El cmo
se pasan los dacos se define mediante los protocolos de enrucamiento (de los cuales se
hablar con ms deralle posteriormente en la leccin). Como resultado, un rourer se conoce
tpicamente como un dispositivo de capa 3.
Tome nota
Es importante recordar que adems del enrutamiento (permitiendo al trfico seleccionar el
mejor camino),la capa de red del modelo OSI especifica otra funcin crtica: direccionar. En
el caso de TCP/IP. sta es la capa donde se especifican las direcciones IP. Aunque la capa
de enlace de datos utiliza direcciones MAC hard-code para comunicar en la capa fsica, los
protocolos de red utilizan direcciones configuradas por software y enrutan protocolos para
comunicarse a travs de la red
Capa de transporte (capa 4)
La capa de transporte hace exacramenre lo que su nombre implica: proporciona los
mecanismos para llevar datos a t ravs de una red. Esta capa utiliza eres mecanismos
principales para cumpli r esra carea:
Segmentacin: Cuando, por ejemplo, se descarga un archivo MP3 de su sitio
favorito de msica, se est tratando con un bloque grande de daros. Con el fin de
obtener este archivo desde el sitio de msica hasta su PC, se necesita fragmentar en
bloques ms pequeos y manejables, para que la red lo pueda manejar. Este proceso
se llama segmentacin y la capa de transporte realiza esta funcin.
Direccionamiento de servicios: Los protocolos de red (TCP/ IP, por ejemplo)
proporcionan diversos servicios de red y escos servicios se identifican por medio de
puerros. La capa de transporte asegura que cuando los datos atraviesen la red, se
pasen al servicio correcto y al puerco adecuado.
Revisin de error: Los protocolos de la capa de transporte tambin realizan la
revisin de error en los datos y aseguran que la informacin se enve y reciba
correctamente.
*Tome nota
Si est familiarizado
con el hardware de las
PC, tal vez reconoce
estos dos mtodos de
control de flujo. Son
los mismos mtodos
utilizados para el
control de flujo en una
PC cuando se mueven
datos dentro y fuera
de los diferentes tipos
de almacenamientos
de datos, incluyendo
discos duros, cach y
RAM
Seguridad en la Red 109
Los protocolos que ver operando en la capa de rransporre son de dos tipos:
Conexin orienrada: Un prorocolo de conexin orientada (como el Prorocolo de
Conrrol de Transmisin [TCP} requiere una conexin de extremo a extremo entre
los servidores anres que se puedan transmitir los daros. Puede pensar en esro como
en una llamada telefnica. Cuando se hace una llamada, no se puede comenzar a
hablar con la persona al otro extremo de la lnea hasta que se conecte exitosamente
con esa persona.
Sin conexin: Un prorocolo sin conexin (como el Prorocolo de Datagrama de
Usuario [UDP}) permite la transmisin de daros sin requerir que se establezca
una conexin. Los protocolos sin conexin se basan en la red para asegurar la
enrrega adecuada de daros de un servidor a orro. Se puede pensar en un protocolo
sin conexin como al enviar un correo electrnico. Obviamente, no tiene que
conectarse directamente con el receptOr antes de enviar el correo; en vez de eso,
escribe y pone la direccin en el mensaje, luego da die en enviar. Aqu, an puede
confar en la red (y no en una conexin existente) para asegurar que el correo llegue
al destinatario.
La capa de transporte tiene una responsabilidad adicional en el modelo OSI: manejar el
control de A u jo de daros. El conrrol de flujo determina cmo el dispositivo receptor acepta
las transmisiones de daros. Existen dos mtodos comunes de conrrol de Aujo:
Buffering: El conrrol de Aujo de buffering almacena daros en un buffer y espera
que el dispositivo del destino est disponible. El buffering puede ser problemtico
si el dispositivo emisor est disponible para transmitir daros mucho ms rpido que
el dispositivo receptor disponible para recibirlos. Una velocidad de transmisin
muy rpida puede sobrecargar un buffer, que tiene un tamao limitado, causando
prdida de daros.
Ventana: En un entorno de venranas, se agrupan los segmentos de datos juntos y,
cuando se envan, adquieren una sola aceptacin. Aqu, los dispositivos de envo y
recepcin determinan el tamao de la ventana (es decir, el nmero de segmentos
que se puede enviar en una vez). En algunos casos, se determina el tamao de la
venrana cuando la conexin se establece; en otros, el tamao de la ventana se basa
en la congestin de la red y los recursos del dispositivo. Esros tipos de ventanas
se conocen como ventanas deslizantes. Las ventanas mejoran el desempeo de la
red, disminuyendo el nmero de aceptaciones que se necesita enviar entre los
dispositivos.
Capa de sesin (capa 5)
La capa de sesin es responsable de la sincronizacin de daros enrre las aplicaciones
en el dispositivo de envo y el dispositivo de recepcin. Esta capa establece, mantiene
y fragmenra sesiones enrre los dos dispositivos. Mientras que la capa de transporte es
responsable de las conexiones enrre los dos dispositivos, realmenre es la capa de sesin la
responsable de transferir daros entre los dos dispositivos.
Capa de presentacin (capa 6)
La capa de presenracin convierte los daros de capa de la aplicacin en un formaro que se
pueda transmitir a travs de la red. Los daros formateados para el transporte a travs de la
red no siempre son legibles para las aplicaciones. Algunos formaros comunes de daros que
son convertidos por la capa de presenracin incluyen los siguienres:
Archivos de grficos
110 Leccin 4
Archivos de daros y texto
Archivos de video y msica
La capa de presentacin es tambin en la que se realiza el cifrado y descifrado de daros.
Capa de aplicacin (capa 7)
Finalmente, en la cima del modelo OSI est la capa de aplicacin. Esta capa coma los
daros del usuario y los pasa a las capas inferiores del modelo OSI para trasportarlos. Las
respuestas son pasadas a travs de las capas y mostradas al usuario.
Tome nota
Es importante recordar que la capa de aplicacin del modelo OSI es no es la aplicacin
actual que se ve en la computadora. Ms bien, se utiliza para definir cmo las aplicaciones
que corren en la computadora pueden tomar ventaja del servicio de red. Por ejemplo, si
quiere imprimir un documento en una impresora de red, su aplicacin de procesamiento
de palabras tomara la informacin del archivo y la pasara a la capa de aplicacin, la cual
luego la mandara a las otras capas en el modelo, de manera que podra transmitirse a la
impresora. Por supuesto, hay aplicaciones (programas de software) que tal vez podran utilizar
la aplicacin o servicio de red que se ejecuta en los servicios de la capa de aplicacin, como
los navegadores web
Aunque el modelo OSI proporciona un marco para clasificar la tecnologa, este modelo
no se implementa rocaJmente en las redes de hoy en da. En vez de eso, las redes de
la aCtualidad siguen un modelo simplificado que consta generalmente de las siguientes
cuatro capas:
Capa de enlace: sta es la capa ms baja del modelo TCP/TP y est diseada
para ser hardware independiente. Es responsable de enlazar con la tecnologa
de red de hardware y transmitir los datos. EL TCP/ IP ha sido implementado
prcticamente en coda tecnologa de hardware de redes existente hoy en da.
Capa de Internet: Esta capa es responsable de conectar las redes mltiples y
enrutar Jos paquetes entre ellas.
Capa de transpone: Esta capa es responsable de que el mensaje de extremo a
extremo transfiera las capacidades independientes de la red subyacente. Tambin
maneja el control de errores, segmentacin, control de A u jo, control de congest in
y direccionamientO de aplicaciones (nmero de puercos).
Capa de aplicacin: El trmino "capa de apli cacin" se refiere a los servicios y
protocolos de red de ai ro nivel, tales como SMTP o FTP.
Ahora que comprende el modelo OSI, se pueden discutir diversas tecnologas de redes y el
impacto en su programa de seguridad de informacin .
...,. Anlisis de Firewalls de Hardware y sus Caractersticas
En el ambiente actual de redes, la gran mayora de produccin de corrafuegos se basa en
el hardware. Es un firewall que se ejecuta en una plataforma dedicada, especficamence
diseada, optimizada y endurecida (el proceso de asegurar un sistema) para ejecutar un
software de la aplicacin.
Aunque hay una variedad de tipos de cortafuegos, cada uno con caractersticas diferentes,
codos comparten algunas funciones bsicas. Una es, que todo el trfico de filtro se basaba en
*Tome nota
No se retrase mucho
con las definiciones de
tipos de cortafuegos.
En vez de eso,
busque comprender
la funcionalidad de
cada uno. Conocer
los diferentes tipos
no es tan importante
como conocer cmo
funcionan
Seguridad en la Red 111
un conjunto de reglas configuradas. Generalmente, estas reglas se basaban en informacin
contenida en los paquetes de daros que viajan a cravs de la red. En panicular, la informacin
que encabeza el paquete de esos daros proporciona a los corcafuegos la informacin que
necesitan para aplicar adecuadamente las reglas. Estas reglas generalmente son definidas
por las polticas de seguridad de la compaa y los requisicos empresariales.
Aunque es posible configurarlos para permitir todo el trfico y slo bloquear trfico
especficos basado en reglas, virtualmente codos los corcafuegos trabajan de acuerdo con
la fi losofa rechaza codo, permite lo especfico. Esco significa que el firewall, por defaulc,
rechazar codo el trfico, de manera que rodo el que est permit ido para atravesarlo debe
ser configurado explcitamente en las reglas de firewall .
Hay una variedad de tipos de fi rewall y, dependiendo quin lo define, tal vez podra incluso
encontrar que diferentes personas definen los tipos de firewall de maneras diversas. La clave
es comprender los principios bsicos, ya que, fuera de aprobar la prueba de certificacin,
generalmente no se le pedir identificar tipos de firewall en sus deberes diarios.
Anlisis del filtrado de paquetes
El primer tipo de corcafuegos es conocido como de filtrado de paquetes. Esta clase se
considera de primera generacin, ya que los primeros funcionaban como filcros de
paquetes. Como se seala, el propsito primordial de un cortafuegos es filtrar el trfico.
Por consiguiente, y como sugiere el nombre, un cortafuegos de filtrado de paquetes
inspecciona los paquetes de datos que intentan atravesarlo y se basa en las reglas que se
han definido en el firewall, este permite o niega cada paquete conforme es adecuado.
Una de las primeras versiones de esre cipo de firewall fue el roucer de fi ltrado de paquetes.
Los roucers tienen la capacidad de hacer algunos fi ltrados rudimentarios, cales como
permitir codo el crfico de salida miencras rechaza todo el trfico entrante, o de bloquear el
paso de los protocolos especficos a travs del router, tales como telnet o ftp.
A diferencia de los routers, los cortafuegos mejoran el fi ltrado de paquetes, aumentando
el control granular. Por ejemplo: tal vez configure uno de estos firewalls para bloquear el
navegador web en Internet excepto el siri o web de su compaa, mientras que, al mismo
tiempo, permite la salida de trfico web de su red interna hacia Internet. O quiz podra
establecer una regla que supri ma rodas las solicitudes de pinga menos que se originen en
la estacin de trabajo de un miembro del equipo de la red.
Cuando configura una regla de cortafuegos de fi ltrado de paquetes, generalmente utilizar
uno o ms de los siguiences atributos TCP/IP:
Direcciones IP de origen
Direcciones IP de destino
Prococolo IP (celnet, ftp, hrtp, https, ere.)
TCP de origen y puercos UDP (por ejemplo: el prococolo http se ejecuta en el
puerro 80 TCP)
TCP de destino y puertos UDP
La incerfaz de red de cortafuegos entrame
La interfaz de red de cortafuegos saliente
112 Leccin 4
Algunos de los puerros y protocolos ms comunes que encontrar en una red de produccin
incluyen los siguienres:
FTP (transferencia de archivo) 20/ tcp y 21 /rcp

Telner (acceso a terminal) 23/rcp

DNS 53/ udp y 53/rcp

HTIP(web) 80/rcp

HTIPS (web) 443/rcp

SMTP (correo elecrrnico) 25/ rcp

POP3 (correo electrnico) ll 0/rcp

IMAP3 (correo electrnico) 220/rcp

JMAP4 (correo electrnico) 143/ rcp

LDAP (servicios de directorio) 389/rcp

Servidor SQL 1433/rcp

RDP (servicios de terminal) 3389/rcp
sta no es una lista ntegra, ya que hay mil es de protocolos y puerros diferentes, pero
sros son los ms comunes que ver cuando configure las reglas en un firewall de filtrado
de paquete. Para una lista completa de los protocolos y puerros, visite hccp://www.iana.
or,:/ass,:nmenrs/port-numbers.
Anlisis de los cortafuegos a nivel de circuito
Los cortafuegos a 1lvel de circuito se consideran tpicamente como una tecnologa firewall
de segunda generacin. Funcionan de modo similar a los de filtrado de paquetes, pero
operan en las capas de sesin y transpone del modelo OSI.
En vez de anaLizar cada paquete individual, monirorea a nivel de circuito las sesiones
TCP/ JP, observando el protocoLo de intercambio encre los paquetes para validar La sesin.
El trfico se filtra basado en las reglas de sesin especficas y podra restringi rse slo a
computadoras autorizadas. Cuando se establece la sesin, el cortafuegos mantiene una
tabla de conexiones vlidas y permite el paso de daros cuando la informacin de la sesin
corresponde con una entrada de la tabla. Cuando se finaliza la sesin, se extrae la entrada de
la rabia y se cierra el circuiro. Una caracterstica nica de los cortafuegos a nivel de circuito
es que las sesiones que cruzan este tipo parecen originarse en el mismo. Esro permite que
se oculte la red imerna de la red pblica.
Un cortafuegos a nivel de circuito tambin se conoce como proxy transparente, porque
(como se mencion) rodas las sesiones parecen originarse ah mismo. Casi siempre se
utilizan en conjunto con otros tipos de cortafuegos, ya que slo esrn disponibles para
permitir las sesiones de las computadoras autorizadas. La granularidad adicional se
requiere tpicamente en la mayora de los entornos de produccin.
Anlisis de los cortafuegos a nivel de aplicacin
Los firewal/s a tlivel de aplicactl (tambin conocidos como proxy) trabajan realizando
una inspeccin profunda de los datos de la aplicacin cuando atraviesan el cortafuegos. Se
establecen las reglas analizando las peticiones del cliente y las respuestas de la aplicacin,
Seguridad en la Red 113
luego, reforzando el comportamiento correcro de la aplicacin. Esros cortafuegos pueden
bloquear actividad malintencionada, registrar actividad del usuario, proporcionar filtrado
de contenido e incluso proteger contra spam y virus. Microsoft Internet Securiry and
Acceleration Server es un ejemplo.
Ahora para desventaja (la inspeccin profunda de los daros de la aplicacin es un recurso)
la actividad intensa y la potencia de procesamiento significativo quiz podra requerir
disminuir las oportunidades de que impactar negativamente en el desempeo de la red.
Cuanto ms profunda sea la inspeccin, mayores son los requisiros de la fuente y mayor
la posibi lidad de un efecto perjudicial. Por lo ramo, cuando se despliega un cortafuegos
a nivel de la aplicacin, es importante que se estime adecuadamente. Simplificar los
procesadores y RAM en el cortafuegos a nivel de aplicacin es una frmula excelente
para originar usuarios molestos, y siempre es mejor idea tener un poco ms poder que las
necesidades inmediatas. Recuerde planear siempre para crecer. El uso de la red pocas veces
disminuye con el paso del tiempo. Generalmente, no se quiere regresar a la gestin en un
ao para consolidar una actualizacin.
Una capacidad disponible en algn cortafuegos a nivel de aplicacin que pueda
compensar los efectos del desempeo negativo de la inspeccin profunda es la adicin
del almacenamiento en cach. Almacenar en cach permite que guarde datos descargados
frecuentemente y los proporcione en respuesta a las peticiones de un usuario en vez de
tener que recuperar los datos de Internet. La mayora de los navegadores web tienen
esta capacidad para el almacenamiento local de pginas utilizadas frecuentemente; un
cortafuegos de almacenamiento en cach extiende esta capacidad para codos los usuarios en
la red. Por ejemplo: si cincuenta empleados leen la primera pgina de la versin en lnea
de Wall Street Journal cuando llegan a la oficina, el cortafuegos almacenar en cach la
primera visita al sirio, luego atender la pgina almacenada para los siguientes cuarenta y
nueve visitantes.
El almacenamiento en cach era una tecnologa mucho ms eficiente durante los primeros
das de Internet, cuando la mayora del contenido era esttico. En aos recientes, con
la llegada de las viseas adaptables al cliente, los mashups y el contenido interactivo, la
eficiencia del almacenamiento en cach se ha vuelto ms y ms limitada.
Anli sis de los cortafuegos con estado Multinivel
Los cortafuegos con estado Multinivel estn diseados para proporcionar las mejores
caractersticas canco de los cortafuegos a nivel de aplicacin como de filtrado de paquetes.
Este cipo provee un filtrado de paquete a nivel de red y tambin es capaz de reconocer y
procesar los datos a nivel de aplicacin. Cuando se configura correctamente, estos pueden
proporcionar el nivel ms aleo de seguridad de todos los tipos de corrafuegos discutidos
aqu; sin embargo, generalmente son los ms caros. Adems, con rodas sus caractersticas
disponibles, rambin pueden ser muy complejos para configurar y mantener .
..,.. Cortafuegos de hardware contra cortafuegos de software
Antes de que consideremos cundo es adecuado utilizar un cortafuegos de hardware en vez
de uno de sofrware, se necesica revisar qu quiere decir es re trmino Hay dos ripos bsicos:
Cortafuegos del host: Este tipo de cortafuegos de software se instala en un hose y
se utiliza para protegerlo de los ataques basados en la red. Un ejemplo de este tipo
de aplicacin es el cortafuegos de Windows, incluido en versiones recientes de los
sistemas operativos Microsoft. Tambin se conocen como cortafuegos personales.
114 Lecci n 4
Cortafuegos de red: Esta categora de cortafuegos de software consra de aplicaciones
que se instalan en servidores utilizados para proteger los segmentos de red de otros.
Esros tipos ofrecen una funcionalidad similar a la de los cortafuegos de hardware.
Los ms populares son aqullos producidos por Cisco.
La nica circunstancia en la cual claramente no tiene sentido utilizar un cortafuegos de
hardware es para proteger un solo servidor. Si se necesita proteger un solo servidor, la
mejor solucin es instalar uno de software en l con un conjunto especfico de reglas
basadas en qu se est intentando proteger. Si el servidor es parte de una red ms grande,
que casi siempre es el caso, entonces cualquier firewall de red desplegado en la red tambin
proteger el hose.
Aparre de los cortafuegos del host, hay una variedad de facrores que impactarn la decisin
de uti lizar o no una solucin de software o hardware para proteger su red. Muchos de esros
factores se relacionan con algunos de los desafos asociados con los cortafuegos de sofrware.
Los cuales incl uyen los siguientes:
Hardware de hose: Los cortafuegos de software se ejecutan en el hardware de
propsiro general del servidor. Esro puede general cuellos de botella (incluyendo
cuell os de botella de la red, memoria o procesador), especialmente si el hardware
no esr calculado adecuadamente para dirigir los requisitos de t rfico relacionados
con el funcionamiento de una aplicacin.
Sist ema operativo del hose: Aunque canto los cortafuegos del hardware como
del software ejecutan sistemas operat ivos, el de hardware ejecuta uno endurecido,
que proporciona una superficie de araque ms pequea que uno dbi l. Con el fin de
que coincida el nivel de seguridad del sistema operativo endurecido proporcionado
por uno de hardware, un servidor de cortafuegos de software debe endurecerse
igualmente. Esro puede requerir experiencia especializada e inversiones adicionales
tanto en tiempo como en recursos. Como resultado, la mayora de los firewalls de
software tienen superficies de ataque ms grandes que sus homlogos de hardware.
Otras aplicaciones: Los cortafuegos de software deben competir por los recursos
con otros procesos que se ejecutan en el hose. En contraste, uno de hardware dedica
sus recursos, esros no se comparten con ningn otro servicio. Como resultado,
cuando se ucihza un cortafuegos de software, cal vez podra darse cuenta que
necesita de hardware adicional para que corresponda el desempeo del mismo,
debido a los requisicos de recursos adicionados.
Disponibilidad/estabilidad: Un rema potencial relacionado con el uso de
cortafuegos de soft ware es que la confiabi lidad se relaciona con la del hardware
asociado y el sist ema operativo subyacente. Aunque los componentes del
hardware en un hose generalmente sern can confiables como los componentes en
un cortafuegos de hardware, no siempre estn disponibles en una config uracin
redundante, como lo estn los de hardware. Los sistemas operat ivos han tenido un
g ran avance en trminos de estabilidad, pero uno de propsito general cal como
se ut ili zara con un cortafuegos de software tpicamente no es can estable como el
sistema operativo uti lizado en un cortafuegos de hardware.
A pesar de los desafos asociados con los cortafuegos de software, an hay un par de razones
convincentes para urilizarlos. Primera, son muy redituables. Segunda, por lo general son
menos complejos para instalar y darles soporte tcnico que sus homlogos de hardware.
Por consiguiente, en un enrorno de red mediana a grande en la cual el desempeo,
disponibilidad y con fiabilidad son crticas, un cortafuegos de este cipo es la mejor solucin.
Es ms, hallar algunos de hardware prcricamente en rodas las redes de la empresa. En
conrrasre, si tiene una red pequea, y est intemando manrener coseos bajos o asegurar un
solo hose, enronces ucilizar uno de sofrware podra ser la respuesra correcta.
Seguridad en la Red 115
lll> Inspeccin Stateful contra la Inspeccin Stateless
Como se discuti ames, la mayora de los sistemas de cortafuegos ms bsicos trabajan
fi ltrando paquetes. Un cortafuegos de filtrado de paquetes inspecciona los paqueres de
daros que intentan atravesarlo, basado en las reglas que se han definido en l, permite o
niega cada paquete. No considera ninguna orra informacin relacionada con los paquetes
cuando determina cules deja atravesar el firewall y cules no. Es re cipo de inspeccin de
paquetes de daros se conoce como inspeccin srareless.
En la inspeccin stareless, los datos que atraviesan el cortafuegos son examinados en busca
de informacin como la siguiente:
La direccin IP del dispositivo emisor
La direccin IP del dispositivo receptor
El cipo de paquete (TCP, UDP, ere.)
El nmero de puerto
La inspeccin Scatefullleva el filtrado de paquetes al siguiente nivel. Adems de examinar
la informacin que encabeza los paquetes que atraviesan el firewall, una inspeccin scacefuJ
considera orros factores al determinar si se debera permitir o no el paso al trfico a travs
del firewall. La inspeccin srareful tambin determina si un paquere es o no parte de una
sesin exisrenre y qu informacin se puede urilizar para decidir si se permite o niega el
paso de un paquete. La sesin existente se conoce como el es cado, que ocurre con frecuencia
en la capa 4 (la capa de transpone) del modelo OSI. Muchos de los firewalls de inspeccin
scaceful act uales tambin pueden rastrear las comunicaciones a travs de las capas 5 a 7.
La inspeccin srateful quiz sonara relarivamence fcil, pero en realidad es un proceso
muy complejo, que es por lo que los firewalls de inspeccin stareful tpicamente son ms
cosrosos y desafiances para configurar. Un firewall de inspeccin stareful manti ene el rasero
de rodas las sesiones actuales en una rabia de estado almacenada en la memoria. En otras
palabras, cuando se inicia una conexin al sirio web de MSN para revisar los rimlares de
hoy, el firewall almacena la informacin respectO a su sesin en una rabia. Lo mismo ocurre
con rodas las conexiones que suceden a travs de firewall. Entonces, como cada paquete
llega al firewall, se analiza para determinar si es paree de una sesin existente (estado). Si
lo es, y si la sesin se permite con base en las reglas actuales del firewall, entonces pasa el
paquete. En contraste, si el paquete no es parte de una sesin existente y no se uciliza para
iniciar una sesin permitida, se desecha.
Otro beneficio de la inspeccin srareful es que una vez que se establece una sesin, el
firewall gestiona el acceso con base en las sesiones en vez de los paquetes. Esro permite un
conjunto ms simple de reglas de firewall cuando se compara con los firewalls tradicionales
de filtrado de paquetes. Un firewall de filtrado de paquetes requiere una regla para cada
paquete autorizado. Por lo canco, si se quiere permitir una conexin entre el Hose A y
Hose B a travs del firewall de filtrado de paquetes, se necesita una regla que permita los
paquetes del Hose A al Hose B, as como orra regla que permita los paquetes del Hose B al
Hose A. En comparacin, cuando se uti liza el firewall srareful, se puede definir una regla
que permita una conexin del Hose A al Hose B y entonces la gesrin de la rabia de esrado
del fuewall permitir auromricamenre el trfico de regreso.
Los firewalls sraceful hacen excelentes firewalls de permetro para proteger una red interna
de Jncerner, para proteger los host basados en zonas desmilitarizadas (discutidas con mayor
detalle posteriormente en esca leccin) de Incernet y para proteger las excranecs de las
conexiones de clientes, proveedores o socios comerciales.
116 Leccin 4
Controlar el acceso con la Proteccin de Acceso a
Redes (NAP)
w EN RESUMEN
Uno de los problemas con los que muchos programas de seguridad luchan es cmo asegurar que las computadoras
conectadas a la red cumplan con las polticas de seguridad de la organizacin. Las compaas quieren estar seguras
de que rodas las computadoras tienen todos los parches, que ejecuten un software de anrivirus actualizado y que
pertenezcan a la organizacin antes de permitirles conectarse a la red. El desafo es hallar un mecanismo que permita
que la red revise todos los sistemas antes de conectarse. Como solucin a este problema, Microsoft ha desarrollado
Network Access Protection como parte de Windows Server 2008.
flJ Listo para la
Certificacin
Cmo puede estar
seguro que todas
las computadoras
de la red tienen un
paquete de antivirus
actualizado y los
parches de seguridad
vigentes de Microsoft?
- 3.2
Reconociendo la necesidad que los administradores deben tener ms control gradual
sobre qu sistemas se conectan a una red, Microsoft introdujo La P1oteccin de Acceso a
Redes (NAP) como parte del sistema operativo Windows Server 2008. La NAP es una
solucin que permite a los administradores tener una manera ms eficiente de controlar
el acceso a los recursos de la red. Los controles de la NAP se basan en la identidad de la
computadora del cliente y si la computadora cumple o no con las polticas obligarorias de
la red configurada.
La NAP es un conjunto complejo de controles, siendo una discusin completa que podra
llenar fcilmente esta leccin encera o incluso este libro. Por lo tanto, para los propsitos
de esta seccin, slo examinaremos la NAP en el nivel ms alto, discutiendo su finalidad,
componentes y reqUisJtos .
..,. El propsito de la NAP
*Tome nota
Si va a implementar
la NAP en su entorno,
asegrese de inverti r
algo de tiempo al
ejecutarlo en modo
monitor. Esto le
permitir obtener una
mejor comprensin del
impacto de la poltica
de acceso limitado
si se implementa
o cuando lo haga.
Aunque la seguridad
es importante, es una
buena idea extender
nuevas capacidades
de seguridad con el
menor impacto posible
a los usuarios
La NAP permite a los administradores de la red definir los niveles graduales ms ateos de
acceso a sta, basados en quin es el cliente, a qu grupos pertenece y cmo cumple con
base en la poltica de la NAP. Si un clienre no cumple, la NAP proporciona un mecanismo
para hacer aucomticamenre que ste cumpla. Entonces, una vez que el cliente cumple
y codos los problemas se han corregido, la NAP dinmicamente aumentar el nivel del
cliente para el acceso a la red.
La NAP ti ene tres componentes distintos:
Validacin del estado de salud: Con el fin de que la NAP valide el estado de
salud de una computadora, el administ rador primero debe definir las polticas de
requisitos de salud. Luego, cuando la computadora intenta conectarse a la red, los
system healrh agents (SHA) y los system health validacors( SHVs) confirman la
su configuracin con la poltica de requisitos de salud. Adems de definir estas
polticas, los administradores tambin deben definir qu accin tomar si una
computadora no cumple con los requisitos. La NAP puede configurarse slo para
monitorear; de esta manera los resultados de La revisin de salud del sistema se
registran para un anlisis posterior. Si La NAP se configura para acceso limitado, las
computadoras que no cumplan las polticas de requisito de salud tendrn un acceso
limitado a la red restringida. Por lo general, esto implicara el acceso a un servidor
de recuperacin, para que se puedan corregir los problemas de la computadora.
En contraste, las que obedezcan las polticas de requisito de salud se les conceder
acceso ilimitado a la red.
Cumplimiento con las polticas de salud: Los administradores pueden garantizar
este requisitO con el cumplimiento de las polticas de salud, configurando la NAP
Seguridad en la Red 111
para actuali zaciones auromricas en las compuradoras que no cumplan con los
cambios de configuracin o la falta de acrualizaciones de software. Es imporranre
comprender que es ros cambios para cumplir con los requisiros se realizan utilizando
el software de gestin de configuracin, no a la NAP originalmenre. Cuando la NAP
se configura slo para monirorear, las computadoras que no cumplen tienen acceso
a la red, de manera que pueden acrualizarse con los cambios de configuraciones o
actualizaciones requeridas. En comparacin, cuando la NAP se configura en modo
de acceso limitado, las computadoras que no cumplen tienen un acceso Limitado
hasta que scas cumplan con los cambios de configuracin y actualizaciones
requeridas. En este caso, los recursos requeridos para actualizar el sistema deberan
incluirse en las parres de la red que pueden accesar a la compuradora. Ya sea que
se configure la NAP en acceso limi tado o de moniroreo, se puede hacer que rodas
las computadoras compati bles con la NAP cumplan auromricamenre. Para las
computadoras que no pueden admitir la NAP (versiones anreriores de Windows,
sistemas operativos que no son Windows, ere.), los administradores pueden definir
excepciones que an puedan permitir el acceso a la red.
Modo de acceso limitado: El componente final que la NAP proporciona
para proteger una red es el modo de acceso limitado. Este modo permite a los
administradores proteger sus redes, limitando el acceso de las computadoras que
no cumplen. Estas computadoras se pueden limitar en base al tiempo (qu tanto
tiempo estn cooecradas) o a qu parees de la red pueden acceder. Si se configuca
con acceso li mitado, se recomienda que esre acceso incluya los recursos necesarios
para el cumpli mienro de la compuradora. Enronces, despus de que la computadora
cumple, la NAP puede abrir su acceso de manera dinmica, si n necesidad de
reiniciar o re-aurenricacin .
.,. Cmo funciona la NAP
Existe una variedad de componenres ut ilizados para hacer que funcione la NAP, incluyendo
los sysrem hea.lrh agenrs (SHA) y los sysrem healrh validarors (SHV). Los SHA se ejecuran
en la computadora del clienre y reportan el esrarus de la misma a los SHV, que se estn
ejecutando en la red y gestionan la configuracin de la NAP.
Esros componenres proporcionan el rastreo del estado de salud y la validacin del
cumplimiento. Ellos son la base del servicio de la NAP, ya que permiten que sra determine
qu accin debe realizarse con base en la configuracin de la compuradora.
Los sistemas operativos del cliente que tienen un Windows Securiry Healrh Validator
SHA para monirorear los ajustes del Windows Security Cenrer incluyen los siguientes:
Windows Vista Business
Windows Vista Enrerprise
Windows Visra Ultimare
Windows 7 Home Prernium
Windows 7 Professional
Windows 7 Ultimare
Windows XP Service Pack 3
Windows Server 2008 incluye su correspondienre Windows Secmiry Health Validator
SHV. Aunque actualmente est muy influenciado por Microsoft, la NAP es extensible
y tiene un API que permite a cualquier vendedor proveer sus propios SHA y SHV para
interoperar con la NAP.
118 Leccin 4
La otra parte importante del rompecabezas de la NAP es la pieza de ejecucin. Con la
NAP, los enforcement client (EC) y enforcement servers (ESs) realizan esta funcin. Estos
componentes necesitan la validacin del estado de salud y, si una computadora no cumple
con los requisitos, stos ejecutan un acceso Limjtado a la red utilizando el Network Policy
Server (NPS), que es un componente en Windows Server 2008.
El NPS es el servidor RADIUS (Remoce Authentication Di al-In User Service) y el servicio
proxy en Windows Server 2008. Cuando el NPS funciona como un servidor RADIUS, ste
proporciona servicios de Autenticacin, Autorizacin y Auditora (AAA) para el acceso
a la red. Cuando se utiliza La autenticacin y autorizacin, y una computadora intenta
una conexin autentificada de 802.lx o una conexin VPN, el NPS interacta con el
Direccorio activo para verificar Las credenciales de La computadora o usuario, as como para
obtener sus respectivas propiedades de cuenta.
El NPS tambin acta como un servidor de polticas de sal ud de la NAP. En particular,
los administradores definen los requisitos de salud del sistema como paree de las polticas
de salud del servidor NPS siendo as como el servidor evala la informacin del esrado de
salud proporcionado por los clientes de la NAP para determinar si los scos cumplen o no
con ellos. Cuando se determina que un cliente no cumple con los requi sitos, el servidor
NPS ofrece un conjunto de acciones de correccin que el cliente de la NAP debe llevar a
cabo para cumplir.
El papel del NPS como un servidor AAA es independiente de su funcin como un servidor
de polticas de salud de la NAP. Estas funciones se pueden ucilizar de manera separada o
combinada, segn sea necesario.
El NPS tambin permice actuar a Windows Server 2008 como servidor de polticas de
salud, ejecutando el acceso limado de las siguientes maneras:
Ejecucin IPsec: La ejecucin IPsec requiere que el cliente que se est conectando
sea configurado para ejecutarla antes de que pueda conectarse con otros hoscs. ste
es el ms estricto de los iliversos mecanismos de acceso limitado, ya que la
computadora del cliente no puede comunicarse con otra computadora hasta
que se configuren las comunicaciones de la fPsec. La ejecucin de la IPsec
permite cumplir cualquier aspecto para el cual se configure el cliente de Windows
IPsec. Puede requerir de comunjcaciones con otras computadoras actualizadas en
una direccin IP o por un nmero de puerco base. sta es una configuracin muy
segura, debido al hecho de que encripta todos los datos que atraviesan la red.
De hecho, rara vez se ver la configuracin de la NAP, a menos que est trabajando
en un ambiente de seguridad muy aleo que encripte codo el trfico de la red.
Ejecucin 802.lx: La ejecucin 802.1x requi ere que el cl iente de la conexin
cumpla para obtener el acceso completo a travs de una conexin de red autentificada
802. l x. Aqu, el cliente no slo debe ser capaz de autenticarse exicosamente
utilizando 802. lx, tambin debe cumplir la poltica de salud activa. La poltica de
salud se ejecuta cada vez que el cliente intenta coneccarse con la red y se autentifica
con 802.lx. Para las computadoras que no cumplen las polticas, el acceso a la
red es limitado por medio de un perfil de acceso restringido en el dispositivo de
la red. El perfil restringido puede especilicar los fi ltros del paquete o forzar a la
computadora para unirse a una VLAN restringida. Es importante recordar que la
ejecucin 802.1x tambin monorear acrivamenre el esrarus de salud del cliente
coneccado y, si el cliente no cumple las polticas, se aplicara el perfil de acceso
restringido a la conexin.
Seguridad en la Red 119
Tome nota
El 802.1 x es un protocolo de autentificacin utilizado para asegurar las redes LAN de las
conexiones del cliente. La autentificacin 802.1 x implica tres partes: un cliente (tambin
conocido como el suplicante), un dispositivo de red (tambin conocido como el autentificador)
y un servidor de autentificacin. Cuando el cliente quiere conectarse a la red, se hace una
peticin al dispositivo de la red. Entonces, ste dispositivo remite esa peticin al servidor de
autentificacin, utilizando el RAOIUS. El servidor de autentificacin a continuacin determina
si se permite el dispositivo del cliente en la red. Si es permitido, entonces el dispositivo de la
red permite que se conecte
Ejecucin VPN: La ejecucin VPN requiere que una computadora cumpla los
requisitos con el fin de obtener acceso il imi tado a rravs de la conexin VPN de
acceso remoro. Esro puede ser un gran beneficio para las organizaciones con gran
nmero de empleados remotos. Uno de los principales reros que enfrenra una
compaa con muchos usuarios remaras es asegurar que esras computadoras de
los usuarios permanezcan con rodas los parches, ejecutando un software anrivirus
actualizado y esrn configuradas de manera segura. La NAP resuelve esta cuestin
con la ejecucin del VPN. Las computadoras que no cumplen los requisitos reciben
el acceso restringido a la red por medio de los fi lrros de paquetes IP aplicados por
el servidor VPN. Al igual que la ejecucin 802.lx, la ejecucin VPN hace respetar
los requisicos de polticas de seguridad cada vez que la compuradora inrenra
urilizar una conexin VPN de acceso remoco para conectarse a la red. La ejecucin
VPN tambin monicorea acrivamenre el esrarus de salud del cliente conectado y,
si el clienre no cumple las normas, se aplicara el perfil de acceso restringido a la
conexin.
Ejecucin DHCP: La ejecucin DHCP requiere que una computadora cumpla
las polticas de salud con el fin de obtener una configuracin de direccin IPv4 de
acceso ilimitado de un servidor DHCP. Para las computadoras que no cumplan
los requisitos, el acceso est limitado por una configuracin de direccin 1Pv4 que
permite el acceso slo a una red restringida. La ejecucin DHCP hace cumplir
los requisitos de las polticas de seguridad cada vez que un clienre DHCP inrenca
descargar o renovar una configuracin de direccin IP. Al igual que con los otros
modos de acceso Limitado, la ejecucin D.HCP tambi n monitorea activamente el
esrarus de salud del cliente de la NAP y renueva la configuracin de la d ireccin
IPv4 slo para accesar a la red restri ngida si el diente no cumpliera con los
requisiros.
El ltimo elemento importante de la instalacin de la NAP es el servidor de correccin.
Estos servidores, que no son un componente formal de la NAP (no hay ningn acrnimo
relacionado con los servidores de correccin), constan de servidores, servicios u otros
recursos que una computadora que no cumple con los requisitos puede utilizarlos para
cumpli rlos. Por supuesto, para que una computadora que no cump la las polticas utilice
los servidores de correccin, sros deben esrar disponibles como paree del acceso Limitado
concedido a la computadora.
Un servidor de correccin tal vez podra contener las firmas de virus y actualizaciones de
software ms recientes, podra ser un servidor web que requiera credenciales de 802.lx
o incluso podra ser un servidor web con instrucciones de cmo configurar la !Psec para
conectarse a la red. La estructura de los servidores de correccin es especfica para su
entorno y sus polticas de salud. Un SHA puede comunicarse directamente con un servidor
de correccin, o en su lugar, puede ut ili zar software instalado por el clience para solucionar
los problemas.
120 Leccin 4
~ Requisitos para la NAP
Como se mencion anteriormente, varios sistemas operativos de Microsoft soporten la
NAP, incluyendo los siguientes:
Windows Server 2008 o Windows Server 2008 R2
Windows Visea Business
Windows Visea Encerprise
Windows Visea Ultimare
Windows 7 Home Premium
Windows 7 Professional
Windows 7 Ulrimace
Windows XP Service Pack 3
Sin embargo, hay diversos componenres adicionales que podran necesitarse con el fin de
implementar exicosamenre la NAP. Estos incluyen:
Active Direccory Domain Conrroller
Active Direccory-based Certificare Auchoricy
Syscem Healch Agencs
Syscem Healch Validacors
Servidor RADIUS
Ejecucin del cliente
Ejecucin del servidor
Necwork Policy Server
802.lx necwork devices
Servidor VPN
Servidor DHCP
Servidores de correccin
No rodas las implemenraciones de la NAP requerirn codos escos componentes, pero debe
ser consciente de que quiz podra necesicarlos, dependiendo de por qu o cmo se est
utilizando la NAP en la organizacin.
Seguridad en la Red 121
Usar el aislamiento para proteger la red
.,., EN RESUMEN
Adems de proteger el. permetro, puede utilizar diversas tcnicas para proteger los recursos informticos de la red
interna. Esras tecnologas permiten aislar partes de la red, proporcionan un uso especial a los cortafuegos e incluso
completar la seguridad proporcionada por sros ltimos. Los rureos y VLAN son tecnologas de red que pueden
ayudar a segregar la red en zonas de seguridad. Se puede implementar tecnologas como Honeypors para ayudar a
distraer a los atacantes de las porciones importantes de la red y los cortafuegos tambin pueden desempear un papel
si se necesi ta crear un DMZ en la red. Las VPN, las NAT, el aislamiento del servidor y el aislamiento del dominio
son algunos conceptos adicionales que se pueden utilizar para asegurar la red .
.,.. LAN virtuales
0 Listo para la
Certificacin
Qu utilizara para
aislar la subred con
todos sus servidores
del resto de la red?
- 3.3
Ames de poder discutir qu es una LAN virrual , tenemos que revisar rpidamente el
concepto de Red de rea local (LAN). Es una red de servidores que cubren un rea fsica
muy pequea, como una oficina, un piso de un edificio o un pequeo grupo de edificios.
Las LAN se utilizan para conectar a varios hosts. Entonces, estas LAN se conectan con
otras utilizando un rourer, q ue (como se discuti) es un dispositivo de capa 3.
Uno de los desafos asociados con LAN es que a medida que sras crecen, cada dispositivo
transmite trfico hacia ellas. Aunque esras transmisiones no atravesarn un rourer, si hay
suficientes hosr, el trfico rora! de las transmisiones puede sarurar la red. Una solucin es
implementar ms rourers como una forma de dividir la red en segmentos ms manejables.
Sin embargo, los rourers aaden latencia al trfico de la red y requieren un protocolo de
enrutamienro (discutido en la siguiente seccin) para que el trfico encuentre su camino
de una parte de la red a orca.
Por consiguiente, las LAN virruales (VLAN) fueron desarrolladas como una solucin
al rernariva a la implementacin de varios rourers. Las VLAN son segmentos lgicos de
red utilizados para crear dominios separados de transmisin, pero an as permite que
los dispositivos en la VLAN se comuniquen con la capa 2 sin necesidad de un rourer. Las
VLAN se crean con interruptores, y el trfico ent re las VLAN se intercambia, no rutean, lo
cual crea una conexin de red mucho ms rpida, ya que no hay necesidad de involucrar el
protocolo de enruramieoro. A pesar de que los hosts se separan de modo lgico, el trfico
entre estos se intercambia directamente como si el hosts escuviera en el mismo segmento
de la LAN.
Las VLAN ofrecen una serie de beneficios a travs de redes enruradas, incluyendo los
siguientes:
Alto rendimiento en Las LAN medianas o grandes, debido a q ue reduce la
transmisin del trfico.
Una mejor organizacin de dispositivos en la red para facilitar su gestin.
Seguridad adicional, ya que los disposit ivos pueden colocarse en su propia VLAN.
Hay varias maneras diferentes de asignar hosts a las VLAN. Estos mtodos son los
siguientes:
Membresa VLAN por puerro: Debido a que los puerros en un interruptor
se definen al pertenecer a una VLAN especfica, cualquier dispositivo que se
conecte a un puerto es asignado a la VLAN correspondiente. Por ejemplo: un
puerro con un interruptor treinta y dos podra tener los puerros l-4 asignados a
la VLANl , los puerros 5-16 asignados a VLAN2 y los puerros 17-32 asignados
122 Leccin 4
a VLAN3. Aunque parece un mrodo sencil lo para organizar los puerros,
puede ser problemtico si trabaja en un entorno en el cual los usuarios cambian
frecuentemente sus ubicaciones en la oficina. Por ejemplo: si asigna puerros en
una seccin de cubculos para el departamento de ventas y, dos semanas despus,
la gerencia decide mover el departamento a orro lado del edificio, tendr que
configurar de nuevo e1 inrerrupror para soportar este movimiento. Sin embargo,
en un entorno relarivameore estable, este modelo funciona bien.
Membresa VLAN por direccin MAC: Con este modelo, la membresa en una
VLAN se basa en la direccin MAC del hose. Cuando la VLAN se configura en
el interruptor, los hosts se asignan con base en su direccin MAC. De esre modo,
cuando una estacin de trabajo se cambia de ubicacin y se conecta a un puerro de
inrerrupror diferente, ste auromricamente asigna el hosr a la VLAN adecuada
con base en la direccin MAC de la esracin de trabajo. Debido a que la direccin
MAC generalmente es altamellle codificada demrode/ host 'S N!C; esre modelo por lo
general es ms utilizado en un entorno en el cual se mueve el hosrs. Una de las
desventajas de esre modelo es que requiere ms trabajo inicial para instalarse, ya
que se necesitan obrener rodas las direcciones MAC de los hosrs y asociarlas con
las VLAN adecuadas.
Membresa por direccin de subred de IP: En este ripo de asociacin de
VLAN,la membresa se basa en el elemento que encabeza la capa 3. El interruptor
lee la direccin IP de capa 3 y asocia el alcance con la VLAN adecuada. A pesar
de que el interruptor riene acceso a la informacin de la capa 3 en el elemento
que encabeza, la rarea de la VLAN se sigue haciendo en la capa 2 del modelo OSI
y no se realiza ningn enruramiento. Esre modelo tambin es propi cio para el
entorno en el cual hay movimientos frecuentes del usuario. El desempeo podra
ser afectado, debido a que el interruptor necesita leer el elemento que encabeza la
capa 3 para determinar a qu VLAN se le asigna el hosrs. Esto generalmente no es
un problema con las tecnologas de los interruptores actuales, pero es bueno esrar
consciente de la sobrecarga adicional asociada a esre modelo.
Membresa por protocolo: Las VLAN tambin pueden ser organizadas en base
al protocolo. Esro fue una solucin til cuando muchas LAN corran mltiples
protocolos de red, pero con el dominio actual de TCP/ IP en prcticamente rodas
las redes, este modelo casi nunca se uriliza.
La siguiente pregunta que se debe pensar es: Cmo ayudan las VLA N con la seguridad?
En resumen, hay dos formas bsicas para aprovechar una VLAN en apoyo a la seguridad.
Primero, debido a que la VLAN es una separacin lgica, el trfico en una no es directamente
accesible a los hosrs de otra. Sin embargo, esto es de uso mnimo, ya que ahora hay tcnicas
llamadas VLAN hopping que proporcionan acceso al trfico en otras VLAN.
El segundo uso de la VLAN desde una perspectiva de seguridad es que permiten organizar
mejor los hosrs para asignar permisos de acceso. Esta tcnica se ut iliza en combinacin
con las lisras de control de acceso o fi rewalls. Por ejemplo: si tiene una seccin del edificio
donde se sientan los administradores, puede crear una VLAN para esa rea y proveer el
acceso por medio de firewalls, de manera que estos empleados puedan acceder a rodas
las secciones de la red. Mieorras ramo, el departamento de venras podra estar en una
VLAN que renga acceso restringido a los servidores de aplicaciones de ventas, con acceso
a finanzas y Recursos Humanos pero con las aplicaciones bloqueadas.
Seguridad en la Red 123
..,. Qu es el enrutamiento
El enrutamieoro se realiza en una etapa arriba del modelo OSI de una VLAN, en otras
palabras, en la capa 3. Recuerde que el en.rutamiento es el proceso de envo de un paquete
basado en la direccin de destino del paquete. En cada etapa de la ruta del paquete a
travs de la red, se debe tomar una decisin respecto a dnde enviarlo. Para tomar estas
decisiones, la capa de IP consulta la tabla de enrutamiento almacenada en la memoria del
dispositivo de enrutamienco. Las ene radas de la tabla de enrutamienco se crean por omisin
cuando se inicia el TCP/IP y se agregan entradas adicionales ya sea de manera manual por
el administrador del sistema o automticamente por medio de la comunicacin con los
routers.
Sin embargo, qu es exactamente un rourer? Previamente, se defini enruramienco como
el proceso de enviar un paquete con base en la direccin destino del ste. Por lo tanto, en
su forma ms simple, un router es cualquier dispositivo que enva paquetes de una interfaz
a otra. Esta es una descripcin muy simple para un proceso muy complicado.
Hay dos ripos bsicos de rourer: software y hardware. Un rourer de software es una
computadora que ejecuta un sistema operativo y mltiples servicios, incluyendo un
servicio de enruramienro. Por ejemplo: Windows Server 2008 soporta enruramienro.
Algunos de los beneficios de utilizar un enruramienro de software son los siguientes:
La estrecha integracin con el sistema operativo: El servicio de enruramienro
se integra frecuentemente con el sistema operativo y otros servicios.
Interfaz de usuario compatible: No se requiere nueva capacitacin en un nuevo
sistema operarivo/inrerfaz: las funciones de enrutamienro se configuran mediante
la interfaz estndar del usuario.
Bajo costo: Si agrega el enrutamiento a un servidor exisrenre, no debe pagar por
el hardware dedkado. Esro disminuye el cosco rotal, aunque si pensaba destinar
un rourer de software para el enrutamienro, cualquier ahorro ser insignificante.
Flexibilidad: Los rourers de software permiten configurar y ejecutar mltiples
servicios en una sola plataforma.
Cundo utilizar el router de software? Generalmente, encontrar el software del
router en oficinas pequeas que buscan soluciones fciles de manejar que no son
costosas. Otra circunstancia en la cual se podra utilizar un router de software es entre
dos segmentos LAN donde se espera que sean bajos los requjsitos de trfico. Un
ejemplo de esto podra ser un segmento de laboratorio donde se qujere aislar de Jos
servidores de ste, pero no se desea invertir en un router de hardware.
Aunque hay beneficios al utilizar routers de software, tambin hay algunas desventajas
importantes cuando se compara con rourers de hardware. Esras incluyen las siguientes:
Bajo desempeo: Debido a los gasros indirectos adicionales relacionados con el
sistema operativo y cualquier orro servicio extra, los routers de software por lo
general son ms lenros que los de hardware.
Baja confiabilidad: Cualquier ro u ter de software tiene el potencial para problemas
con el sistema operativo y otros servicios que se ejecutan, as como para problemas
con diversos componentes de hardware comparados con el rourer de hardware.
Como resultado, son tpicamente menos confiables que los de hardware.
Escalabidad limitada: Al escalar el rourer de software en mltiples interfaces de
alta velocidad, se enfrentar a limi taciones del hardware de la computadora. Puesto
que la mayora de los servidores basados en la PC no estn diseados para enrurar
mltiples tarjetas de interfaz en la red a alta velocidad, generalmente no escalan
con facilidad o tanto como los de hardware. As mismo, el aadir servicios como
124 Leccin 4
lisras de comrol de acceso o servicios de cortafuegos impactar el desempeo del
rourer de software en mayor grado que uno de hardware compadble.
Admisin Limitada del prorocolo: Los rourers de software no soporten tpicamente
un nmero cercano a los protocolos de rureo que un rourer de hardware acepta. Por
ejemplo: Windows Server 2008 se limita al protocolo RIP de enruramienro del IP
y no soporra en ese momenro ningn otro protocolo de enruramienro ms avanzado
basado en el IP, como el BGP4.
Ahora se enciende qu implica un rourer de software, pero, qu hay del rourer de
hardware? Resumiendo, es un dispositivo de hardware dedicado cuya funcin principal es
encucar paquetes. Esta descripcin no es tan precisa ahora como lo fue en aos anteriores,
no obsranre, debido a que muchos de ellos son dispositivos multifuncionales (por ejemplo:
pueden incluir, VPN, DHCP, firewall, almacenamiento en cach o, tal vez, incluso,
servi cios de deteccin de intrusin). Los beneficios en comparacin con los routers de
software incluyen los siguientes:
Alto desempeo: Los rourers de hardware corren en estas plataformas con un
nico propsiro, con sistemas operativos y hardware altamente optimizados.
Alta confiabil idad: Los rourers de hardware son tpi camente ms confiables que
sus homlogos de software, debido en gran parte a las capacidades limiradas del
software en comparacin con el hardware dedicado. Generalmente tienen mayor
modularidad. Tambin pueden utilizarse en pares, de manera que uno se activar si
el otro falla. Aunque esto es tericamente posible con un rourer de software, raras
veces acontece.
Amplio soporte de protocolo de enrut amiento: Los rourers de hardware se
pueden configurar para soportar cualquier protocolo, desde RIP a OSPF a BGP,
siempre que adquieran las funciones adecuadas. Tambin soportan un mayor
nmero de algoritmos de enruramienro que los rourers de software. En un emorno
ms grande de red, podra ser crtico.
Como en otros aspectos, los rourers de hardware tienen sus desventajas, incluyendo las
siguientes:
Alto costo: Tpicamente, los rourers de hardware son plataformas dedicadas,
que por lo general las hace ms cosrosas que los rourers de software que tambin
proporcionan orros servicios. Est lnea es borrosa, ya que las caractersticas
adicionales estn disponibles en rourers de hardware. Es decir, un rourer pequeo
puede ser relativamente baratO.
Poca simpat a con el usuario: Por lo general, los rourers de hardware se
configuran uti lizando una conexin Secure Shell y se gest ionan por medio de una
interfaz de l nea de comando. Aunque hay herramientas grfi cas para la gesti n de
routers, muchas configuraciones de stos se realizan mediante la lnea de comando
que utilizan una lista extremadamente compleja de comandos. Por lo canco, un
ingeniero de soporte con experiencia puede configurar o mediar un rourer de
hardware sin mucha dificultad, pero para alg uien nuevo con los rourers siempre
habr una curva de aprendjzaje muy pronunciada.
Mayor complejidad: Aunque un router de hardware individual podra no ser
realmente mucho ms complejo que su homlogo basado en software, cuando se
escala en grandes redes, hace que un enrornode rourerde hardware puede convenirse
rpidamente en una complicacin extrema. Esta cuestin tambin podra aplicarse
a los de software, pero estos no son can comunes en el mundo real. En la mayora
de los entornos de redes, los de hardware se utilizan casi exclusivamente y los de
software se reservan slo para ubicaciones o redes pequeas.
*Tome nota
Slo porque hay una
ruta al destino no
significa que tambin
haya una ruta de
regreso. Aunque
no es un problema
comn en las redes
con enrutamiento
dinmico habi litado,
puede suceder
particularmente si se
trabaja en un entorno
de red de cortafuegos
muy pesado
*Tome nota
No lo olvide Los
routers tambin
necesitan los parches!
Pues debido a que
ejecutan un sistema
operativo, tienen
actualizaciones
de funcionalidad y
seguridad que se
deben aplicar
Seguridad en la Red 125
Cmo funciona el enrutamiento
Cuando un romer recibe un paquete, debe reenviarlo al hose del destino, entonces el
debe tomar una decisin. En particular, necesita det ermi nar si puede entregar el paquete
directamente al hose de destino o si necesita enviar el paquete a ocro roucer. Para tomar
esca decisin, examina la d ireccin de la red de destino. Si tiene una interfaz que se conecta
con la misma red que el hose de destino, puede entregar el paquete directamente. El
asumo se vuelve interesante cuando el router no est conectado a la misma red que el hose
de destino: aqu, debe determinar la mejor ruca hacia el hose de destino, para que pueda
enviar correctamente el paquete.
Cuando un router necesita enviar un paquete a otro, utiliza la informacin de las tablas de
enrutamiento para elegir el mejor camino para el paquete. Se determina a qu rourer se
enva el paquete mediante diversas variables que pertenecen a la ruta de la red hacia del
hose de destino, incluyendo el numero de hops y el cosco de cada uno, etc. Esta base de
daros se almacena en la memoria del router para asegurar que el proceso de bsqueda se
realice velozmente.
Cuando el paquete viaja a travs de la red hacia su destino, cada router, a lo largo del
camino coma una decisin respecco a dnde enviar el paquete al consultar su rabia de
enrutamiento. Adems, cuando el hose de destino enva un paquete de respuesta, es
posible que el paquete no pueda viajar de regreso al emisor original por la misma ruca.
La ruca tomada por el paquete de respuesta depende de la mtrica de cada trayectoria a lo
largo de la ruca de regreso. En otras palabras, el camino al hose de destino puede no ser el
mejor camino de regreso hacia el bost emisor.
Se puede generar la informacin de la rabia de enrucamiento de una de las dos formas. El
primer mtodo es configurar manualmente la rabia de enrucamiento con las rutas para
cada red de destino. Escose conoce como enrutamienro esttico. El enrucamienro esttico
es ms apropiado para los entornos pequeos en los cuales la cantidad de informacin para
configurar es pequea y Jos gastos indirectos de enrutamienro dinmico son inaceptables.
Los roucers estticos no escalan bien las grandes redes o las que cambian frecuentemente,
debido al requisito de gestin manual.
El segundo mtodo para generar la informacin de la rabia de enruramienro es utilizar
un protocolo dinmico de enruramienco. Debido a que los protocolos de enruramienco
dinmico son un poco ms complejos que los de enruramiento esrrico se necesita echar
un vistazo ms exhaustivo a este cerna.
Una definicin general de '"protocolo'" es un mtodo acordado para intercambiar daros
entre dos dispositivos. Por consiguiente, un protocolo de enruramienro se define como
el mtodo para intercambiar la informacin de enrutamiento entre dos rourers (y un
protocolo de rureo dinmico implica el intercambio de informacin de enrutamiento
que se construye y mantiene automticamente eo una rabia de eoruramienco). En otras
palabras, cuando se uti liza un protocolo de enruramiento dinmico, la informacin se
intercambia entre los romers y se utiliza para acrualizar la informacin almacenada en cada
rabia de enruramiento del disposirivo. Esro se puede hacer peridicamente (en intervalos
programados) o como se necesite. Si al principio se instalan correctamente, los routers
dinmicos requieren poca gestin, fuera de asegurarse que las acrualizaciones del software
se apliquen a tiempo. Debido a que se enceran automticamente de la informacin de
enrutamienco y tienen la capacidad de enrurar alrededor de las fallas cuando la arquitectura
de la red lo admite, los routers dinmicos se utilizan generalmente en el entorno de redes
grandes en las cuales no sera prctico en rutar estticamente.
126 Leccin 4
Protocolos de enrutamiento
Los protocolos de enrucamienco se basan canco en un vector a distancia como en un
algoritmo de estado de enlace. Las diferencias encre los dos mtodos se relacionan en el
momenco cuando se incercambia la informacin de enrucamienco, en qu informacin se
enva durance este incercambio y qu can rpido el protocolo puede enrurar alrededor de los
corres cuando la topologa de la red los soporta. La seleccin de trayectoria implica aplicar
una mtrica de enruraroieoro a las mlripl es rucas para seleccionar la mejor. AJgunas
de las mtricas utilizadas son el ancho de banda, la demora de red, el conteo de hop
(concentrador), el cosco de la rcayecroria, carga, confiabi lidad y coseos de comunicacin.
(El conteo de hop es el nmero de rourers atravesados por un paquete entre su origen y su
destino).
Los protocolos de enrucamiento con base en el vector de distancia requieren que cada
roucer informe a sus vecinos sobre su tabla de enrucamienco. Escose realiza enviandola
completa cuando arranca el rourer, y luego lo enva de nuevo a intervalos programados.
Cada rourer roma las actualizaciones de (roucers vecinos y luego actuali za su propia
tabla de enrucamienco basado en esta informacin. Utili zando la informacin de estas
act uali zaciones, puede construir un mapa de la red en su tabla de enrurami enco y luego
puede utilizar esre mapa para determinar el conteo de hops para cada entrada de red. El
RIP es un ejemplo de protocolo de enrucamiento con base en el vector a distancia que es
admitido por Windows Server 2008.
Las accualizaciones de enruramiento enviadas utilizando el protocolo de enrutamienro con
base en el vector a distancia no son reconocidas ni sincronizadas, lo cual es una de las
desventajas de estos protocolos. Algunas orras desventajas de este tipo de enrutamiento
incluyen los siguientes:
Ateos gastos indirectos: Ya que cada rourer en la red enva su rabia de enruramiento
completa cuando manda una actualizacin,los protocolos de enruramiento con base
en el vecror a distancia produce tablas muy grandes. Esto aade gasros indirectos
a la memoria del roucer requerida para almacenar las rabias, as como el poder de
procesamienco que tiene para mantenerlas. Las grandes rabias de enrucamiento
tambin pueden dificultar las careas de un administrador que incenca determinar
el origen de un problema cuando sce surja.
Falta de escalabilidad: Las redes con base en el vecror a distancia se limi tan a
15 hops (cruces del roucer) para cierta ruta. En una red grande (como Jncernec),
es muy fcil rener segmentos de red que son ms grandes q ue 15 hops (y tales
segmentos estaran fuera del alcance en una red con base en el vector a distancia).
Util izacin intensa de ancho de banda: Los protocolos con base en el vecror a
distancia necesi tan que los routers intercambien la tabla completa de enema m ienco
cuando se actual izan. En una red grande con grandes tablas de enrucamiento,
estas actual izaciones pueden utilizar cantidades importances de ancho de banda,
especialmente a travs de conexiones WAN pequeas, o por enlaces dial.
Ti empo de convergencia Largo: Las convergencias son la cant idad de tiempo que
le coma a un algoritmo de enrutamienro el detectar y encucar alrededor de una
fa lla de la red. Los protocolos con base en el vector a distancia tpicamente tienen
tiempos de convergencia ms largos que los protocolos con base en el estado de
enlace (descritos a continuacin en esta leccin).
Problemas de Bucle de enrutamienro (o ciclo de enrutamieoro): Los
protocolos con base en el vecror a distancia tambin pueden sufrir problemas de
Bucle de enruramieoro cuando hay trayectorias mltiples hacia una red. Es cuando
un paquete se enva o regresa entre dos redes o a travs de mltiples redes donde el
paquete, finalmente, se enva de regreso a la red que lo mand. Ya que es un bucle,
el paquete nunca llega a su desrino. Si uno o ms mecanismos no estn en posicin
Seguridad en la Red 127
para lidiar con esros y los paquetes que estn arrapados en l no son entregados,
la red podra congestionarse eventualmente, ya que se encarga de los paquetes
perdidos.
Problema de la cuenca a infinito: El problema de la cuenca a infinito sucede
cuando hay un corre de red y el algoritmo de enmramiento no puede calcular
un nuevo rourer. Aqui, un rourer transmitir una ruta y aumentar el conteo de
hop, luego el segundo rourer transmitir la misma ruca al primer rourer, tambin
incrementando el conteo de hop, as sucesivamente, hasta que el en rutado mtrico
(conteo de hop) llegue a 16 y la ruca se deseche.
Morrunadamente, algunos protocolos de enruramiento con base en el prorocolo de vector
a distancia tienen mecanismos adicionales que les permiten evitar el problema de la cuenta
a infinito, as como a mejorar la convergencia. Estos mecanismos son los siguientes:
Horizonte divido: El mecanismo de horizonte dividido previene a los routers
de ser transmitidos fuera de la interfaz donde fueron recibidos. El horizonte
dividido elimina la cuenta a infiniro y encuca a los bucle durante la convergencia
en interconexiones de redes de una sola trayectoria y disminuye las oportunidades
del problema de la cuenta a infinito en interconexiones de redes de trayecrorias
mltiples.
Horizonte dividido con envenenamiento reverso: El mecanismo de horizonte
dividido con envenenamiento reverso permite que se transmitan rutas de regreso
a la interfaz de las cuales se recibieron., pero se anuncian en el conteo de hop con
16, que indica que la red est fuera del alcance (en otras palabras, la ruta ha sido
envenenada y es inservible a travs de esa interfaz).
AcruaUzaciones desencadenadas: Las actualizaciones desencadenadas permiten
que un rourer anuncie casi inmediatamente cambios en los valores mtricos, en
vez de esperar el siguiente anuncio peridico. El deronador es un cambio en la
mtrica en una entrada en la tabla de enrutamiento. Por ejemplo: las redes que
no estn disponibles pueden anunciarse con un conteo de hop de 16 a travs de
la acrualizacin desencadenada. Si codos los rourers enviaron inmediatamente las
actualizaciones desencadenadas, cada actualizacin desencadenada podra causar
una cascada de trfico de transmisin a travs de la interconexin de redes de IP.
Las ventajas del enruramiento de vecror de distancia son que requiere de poco
mantenimiento y es fci l de configurar y hacer popular en entornos de redes pequeas.
El enrutamieoto de estado de enlace (el segundo tipo de protocolo de enrutamienco) se
dise para dominar las desventajas del eorutamienco de vector de distancia. Los routers
que utilizan los protocolos de enrutaroienro de estado de enlace aprenden acerca del
encorno de la red "conociendo" los routers vecinos. Esto se realiza mediante un paquete
de "hola", que dice al rourer vecino a qu redes puede llegar el primero. U na vez que
se completa esta presentacin, enviar la nueva informacin de la red a cada uno de los
rourers vecinos, utilizando un anuncio de estado de enlace. El Open Shortest Path First
(OSPF) es un ejemplo de un protocolo de enrutami eoro de estado de enlace. Los routers
vecinos copian el contenido del paquete y envan el anuncio de estado de enlace a rodas
las redes adjuntas, excepto la red donde se recibi el anuncio de estado de enlace. Esto se
conoce como inundacin.
Un router que utiliza un protocolo de enrutamienco del estado de enlace construye un
rbol o mapa, de trayectorias ms corras utilizndose a s mismo como raiz. Este rbol se
basa en codos los anuncios de estado de enlace viscos y contiene la ruta para cada destino
en la red. Una vez que se construye este rbol, se enva la informacin de enruramiento
slo cuando ocurren cambios en la red, en vez de peridicamente como con los protocolos
con base en el vector de distancia.
128 Leccin 4
Hay diversas ventajas para el mtodo de es cado de enlace, especialmente cuando se compara
con los protocolos de enruramiento con base en el vector de distancia. Algunas ventajas
incluyen las siguientes:
Tablas de enruramieoto ms pequeas: Debido a que el rourer slo mantiene
una rabia de estados de enl ace, en vez de una copia de rodas las rucas en la red,
puede mantener rabias de enruramiento mucho ms pequeas.
Aira escalabilidad: Los protocolos de estado de enlace no sufren el problema del
hop 16 que los protocolos con base en el vecror de distancia si padecen, as que son
capaces de escalar redes mucho ms grandes.
Uso ms eficiente de ancho d e banda de la red: Debido a que la informacin
del esrado de enlace no se intercambia despus de que converge la red, las
actualizaciones de enruramienro no consumen el precioso ancho de banda, a menos
que haya un corre que fuerce a la red a converger de nuevo.
Convergencia ms rpida: Los protocolos de enrurami enro de estado de enlace
convergen ms rpido que los protocolos con base en el vector de di stancia porque
las actuali zaciones son enviadas can pronto como sucede un cambio en la red, en
vez de tener que esperar las actualizaciones peri dicas de los protocolos con base
en el vector de distancia.
Una desventaja de los protocolos de estados de enlace es que son ms complejos de
comprender y configurar que los protocolos del vector de distancia. Tambin se necesita
poder de procesamiento adicional en el router, debido a la necesidad de calcular el rbol
de enruramienro.
El enruramienro puede ser un componente clave en la seguridad de la red, ya que permite
determinar qu parte de una red puede ser accesada por otras partes de la red. Por ejemplo:
si se tiene una conexin de socios comerciales con una red de una tercera persona, la red
de la rercera persona necesitar reoer informacin de enrutamienro con el fin de accesar
a cualquier sistema que haya colocado en su DMZ de exrraner. Aunque un firewall es la
mejor manera de asegurar esta conexin, se puede agregar una capa adicional de seguridad,
restringiendo el enrutamienro disponible a la tercera persona. En orras palabras, si slo
se le dice a la red de la tercera persona las ruras a extraner, no podr enviar paquetes a
ninguna otra parte de la red a donde no debe tener acceso.
~ Sistemas de Prevencin y Deteccin de Intrusin
Las tecnologas disponibles para asegurar las redes son los sistemtts de deteccin de
intrusin (JOS) y los sistemas de ptevenci'z de intrusin (ing ls, IPS). Un !OS es
una solucin diseada para derecrar actividades no autorizadas del usuario, ataques y
compromisos de la red. Un sistema de prevencin de intrusin (IPS) es similar al IDS,
excepto que adems de dececrar y alertar, un IPS tambi n puede actuar para prevenir que
suceda una ruptura.
Hay dos tipos principales de lDS/lPS:
Con b ase en la red: Un IDS con base en la red (NIDS) monirorea el trfico de
la red, utilizando los sensores que se ubican en los lugares clave dentro de la red,
a menudo en la zona desmilitarizada o los bordes de red. Estos sensores capruran
trfico de red y analizan los contenidos de los paquetes individuales en busca de
trfico malicioso. Un NIDS accesa el trfico de red, conectndose al hub, switch de
red configurado para el espejo del puerro o la conexin de red.
Con base e n el servidor: Un IDS con base en el servidor (HIDS) generalmente
tiene un agente de software que acta como sensor. Este agente monitorea toda la
Seguridad en la Red 129
acrividad del servidor en los cuales se instala, incluyendo el monitoreo del sistema
del archivo, logs y ncleo para identificar y reportar comportamientos sospechosos.
Un HIDS se uri liza tpicamente para proteger el servidor en los cuales se instala.
Hay dos metodologas de ejecucin comunes utilizadas cuando se coloca un IDS/IPS para
proteger una red a partir de Internet. Cada uno tiene ventajas y desventajas:
No filtradas: La instalacin de IDS/ IPS no filtrado examina la secuencia de daros
de Internet cruda. Esto proporciona la mayor cantidad de visibilidad para detectar
ataques, pero tambin significa que hay un volumen importante ms grande de
daros para monitorear y una posibilidad ms aira de falso positivo. Tambin hay
una posibilidad de que durante los perodos de mucho trfico, IDS/IPS tal vez no
podra ser capaz de procesar todos los paquetes, as que se podra perder algunos
ataques.
Filtrado: Una solucin de IDS/IPS filtrado slo monitorea que el trfico que
pasa por el cortafuegos de filtrado. La ventaja de este modelo es que disminuye
dramticamente la cantidad de informacin que se necesita monitorear, de este
modo tambin reduce los cambios de falsos positivos y paquetes perdidos durante
los volmenes grandes de trfico. Sin embargo, hay una prdida de visibilidad con
este modelo, ya que no se puede ver los ataques en el cortafuegos de filtrado.
Tome nota
Histricamente, los lOS y los IPS se han utilizado para asegurar las conexiones de Internet,
porque estas conexiones representan tpicamente la amenaza ms grande para la red. Sin
embargo, con la interconectividad de las redes ms all del Internet y la amenaza de ataques
de dentro, tiene sentido hacer uso del lOS o IPS en las ubicaciones estratgicas en la red
interna. Se debera considerar especialment e hacerlo si la red interna tiene conexiones a
redes de terceras personas, tales como clientes, vendedores o socios comerciales
..,. Qu son los Honeypots
Los honeypots, honey nets y padded cells son tecnologas complementarias para las
ejecuciones de IDS/IPS. Un honeypot es una trampa para los hackers, se disea para
distraerlos de los verdaderos objetivos, detectar nuevas vulnerabilidades y explorar
y conocer la identidad de los atacantes. Una honey 1 ~ e t es una coleccin de honeypots
utilizados para presentar a un atacante con un entorno de ataque incluso ms realista.
Finalmente, una padded ce// es un sistema que espera un IDS para detectar a un atacante
y luego transfiere al atacante a un servidor especial, donde l o ella no pueden daar el
entorno de produccin. stas son tecnologas relacionadas y rodas pueden utilizarse para
aadir una capa adicional a la infraestructura de seguridad.
Como se mencion previamente, un honeypot es una herramienta de advertencia temprana
y vigilancia valiosa. Sin embargo, "boneypot" es un trmino genrico utilizado para
describir cualquier asunto que podra atraer a un atacante. Por consiguiente, aunque el
trmino generalmente se refiere a un software especial que corre en el servido para detectar
y analizar ataques, algunas veces puede referirse a otras cosas, como archivos, registro de
fechas o incluso espacio de la direccin IP sin utilizar.
Hay una diversidad de tipos diferentes de honeypots, incluyendo los siguientes:
Produccin: Un honeypot de produccin es una solucin relativamente
fcil de utilizar. Se usa para distraer a los atacantes de sistemas de produccin
potencialmente vulnerables y es relativamente fcil de emplear. Estos tpicamente
130 Lecci n 4
capturan la informacin limitada y, por lo general, se pueden encontrar en las redes
del corporativo. Esce cipo de honeypocs se utilizan como el sistema temprano de
adverrencia que mejora un sistema IDS/ IPS.
Investigacin: Un honeypor de investigacin es ms complejo que el ancerior y es
ms difcil de urilizar y mantener. Este cipo de honeypor captura la informacin,
que puede utilizarse para desarrollar firmas de ataque, identificar nuevas tcnicas
de ataque y vulnerabilidades y desarrollar una mejor comprensin del modo de
pensar del aracance. Se urilizan eo primera instancia para investigaciones por parte
de universidades, organizaciones militares u otras del gobierno.
Cuando se hace uso de un honeypor, se debera asegurar que el servidor asociado no
concenga informacin de produccin y no se utilice para propsitos de produccin. Esro
asegura que los daros de produccin estn seguros (y, ya que no hay una razn legtima
para el trfico o act ividad en el sistema, se puede asumir con seguridad que cualquier
actividad que ocurra en el honeypor es actividad malintencionada).
Sin embargo, debera estar consciente de q ue los honeypocs pueden crear riesgos al
encorno. Debido a q ue esencialmente se est ut il izando uno como cebo para un acacanre,
realmente se esc arra yendo a los acacances al entorno de red. Como resul cado, se debe estar
absolutamente seguro de que estn aislados del entorno de produccin. Si no lo estn, un
acacance podra no brincar de un honeypoc al entorno de produccin y poner en peligro los
sistemas crticos o la infraestructura. Es como tratar de atraer un oso hacia un campamento
adjunro para manrenerlo lejos del suyo (siempre hay una posibi lidad de que el oso pueda
enconrear de cualquier modo el campamento).
Un rea en la cual son utilizados especialmente es en la batalla concra el spam. Un desafo
relacionado con es ro y su filtrado es que los spammers cambian conscancemence las tcnicas
que utilizan para evitar Los filtros. Tambin tienen una variedad de tcnicas para cosechar
las direcciones de correo de los sirios web para la inclusin en las listas de objetivo de
spam. Como resultado, las personas que desarrollan filtros invierten mucho tiempo de
trabajo para identificar estas tcnicas y desarrollar nuevos filtros para combatirlos. Los
honeypocs son un componente esencial de esca lucha y hay dos tipos que se pueden utilizar
para combatir el spam:
Honeypot de direccin d e email: Cualquier direccin de emai l que se dedique a
recibi r spam para analizarlo puede considerarse honeypor de spam. Un ejemplo de
esta tcnica es el Proyecto Honeypoc, un proyecto de fuente abierta distribuida que
utiliza las pginas Honeypot instaladas en sirios web alrededor del mundo junco
con direcciones de email etiquetadas nicamente para anali zar no slo la entrega de
spam, si no tambin las tcnicas de cosecha de direccin de email.
Ho neypot de retransmisin abi erta d e e mail: Los re-transmisores abierros de
email son servidores cuyo trabajo es retransmitir los mensajes del servidor de un
servidor de correo a otro servidor de correo. Si alguna vez ha ut il izado POP3 o
IMAP para enviar email por medio de ISP personal, ha uti lizado un servidor de
transmisin de email. En algunos casos, estos servidores se establecen, as que no
necesitan credenciales para enviar email, lo cual es un premio importante para
los spammers porque les permite retransmitir annimamente millones de emails
de spam. Establecer un honeypot que parezca ser un re-transmisor abierro puede
revelar porencialmenre la direccin IP del spammer y proporcionar la caprura del
spam de volumen. Esto permite, para el anlisis a profundidad de las tcnicas del
spammer, URL de respuesta y direcciones de email y otra informacin valiosa.
Aunque rodas stas son tecnologas extremadamente emocionantes, se utilizan en muy
pocos entornos corporativos. En vez de esto, estas tecnologas se utilizan principalmente
por instituciones educativas y firmas de investigacin de seguridad. Los profesionales
de seguridad de la informacin corporativa estn tan ocupados asegurando el entorno
Seguridad en la Red 131
de ataques que no invierten mucho tiempo en la investigacin de parrones de ataque.
Mientras no sea exiroso ningn ataque, esros profesionales estarn satisfechos. An as, en
entornos de alea seguridad en los cuales hay una actividad exrensa con base en Internet y
daros que requieren capas adicionales de seguridad, los honeypors cal vez puedan ser paree
de la defensa de seguridad en capas .
..,. Qu son las DMZ
Figura 4-3
DMZ de sandwich:
Cuando la mayora de las personas oye el trmino DMZ (acrnimo de zona desmilitarizada),
las imgenes de alambre de pas y emplazamientos de armas viene a la mente. Aunque
no completamente segura en el alcance de seguridad de informacin, esra visin no est
lejos de la realidad. En la interconexin de computadoras, una DMZ es una configuracin
de firewall utilizada para asegurar los servidores en un segmeoro de red. En la mayora de
las DMZ, los servidores en la DMZ se conecran detrs de un firewall que se conecta a la
red pblica como Internet. Otra configuracin comn es tener un firewall conectado a una
exrranet que tiene conexiones con los clientes, proveedores o socios comerciales. DMZ se
disea para proporcionar acceso a los sistemas sin poner en poner en peligro la red interna.
Hay dos configuraciones tpicas de DMZ que quiz podra enconrear en los entornos de
produccin:
DMZ de sandwich: En un modelo DMZ de sandwich (ver Figura 4-3), hay canco
cortafuegos exterior, como interior. El exterior asegura el segmento de red de DMZ
de la red (insegura) externa. Los servidores que estn hechos para accesar desde la
red externa (como Internet) tienen reglas adecuadas configuradas para permitir
el acceso seguro. Entonces, el interior se utiliza para agregar una capa adicional
de seguridad enrre los servidores en la red (de seguridad) interna y la DMZ. El
beneficio principal de este modelo es que en caso de que se ponga en peligro el
servidor y/o cortafuegos externo en la DMZ, hay una capa adicional de seguridad
que protege la red interna. Idealmenre, los cortafuegos inreriores y exteriores
provienen de diferentes proveedores con el fin de asegurar que no se utilice la
misma hazaa para poner en peligro ambos. La desventaja mayor de este modelo
es que es ms compleja de implementar y mantener, es ms costosa, debido al
cortafuegos extra y, si tiene diferentes proveedores, se necesitar capacitacin de
personal.
Segmento DMZ de
Sandwich
an
UM
132 Leccin 4
Figura 4-4
DMZ de firewall individual
OMZ de fi rewall individual: En una DMZ de firewal l individual (ver Figura 4-4), la
DMZ es una conexin de red. Esro lleva a una conexin de red externa, una conexin
de red interna y una conexin de red de DMZ, todas coneccadas al mismo. Aunque esta
arquitectura an permite controlar el acceso a los recursos de DMZ, si se pone en peligro,
se podra poner en peligro la red interna. Este modelo es menos costoso que el modelo de
sandwich, pero no proporciona un nivel de seguridad tan aleo.
Un solo segmento DMZ de
cortafuegos
1
~
uv
Ahora que se comprende la arquitectura de una DMZ, tambin debera comprender
qu tipos de servidores o servicios podran utilizarse en una DMZ. Algunos de los ms
comunes incluyen los siguientes:
Servidores web: Los servidores web son los servidores ms comunes hallados en
las redes de DMZ. Accesan utilizando HTTP sobre el puerro 80 o HTTPS sobre
el puerro 443 para el acceso seguro, los servidores web son comnmente accesibles
a lnterner. De hecho, la prxima vez que accese a un servidor web en Internet, se
puede contar con el hecho de que est hospedado en una DMZ en alguna parre.
Los servidores web agregan una capa adicional de complejidad debido al hecho de
que muchas aplicaciones web necesitan comunicarse con una base interna o base
de datos para proporcionar algunos servicios especializados. Estas bases de datos
a menudo contienen informacin sensible, as que no se les debe remplazar en la
DMZ, ya que no se desea que sean accesadas desde la red insegura {Internet). Un
ejemplo de esto podra ser una aplicacin de comercio por Incerner. Cuando llega
a un sitio web del vendedor, los datos del catlogo (incluyendo dispon ibi lidad,
precios y descripciones de productos) se halla en la base de daros (algunas veces
se referida como base de daros subordinada). Si el servidor de la base de daros
tambin contiene la informacin crtica como los nmeros de Seguridad Social,
informacin financiera, daros de tarjetas de crdito, cal vez quiera agregar un
firewall de aplicacin entre el servidor web y el servidor de base de datos. Aunque
esco incrementa el cosco y complejidad de la solucin, se aade una capa extra de
seguridad para proteger la base de daros.
Servidores de retransmisin de email: Los servidores de email son otro cipo
de servidor a lo que se necesita accesar desde Jncerner. En los primeros aos de
interconexin de computadoras, no era comn que el email se restringiera de una
red de corporativos de la organizacin. Sin embargo, una vez que las compaas e
individuos se conectaban de manera ascendente a Internet, la capacidad de enviar
y recibir email de otras compaas de volvi crtico para el xito de la empresa.
Colocando los servidores de retransmisin de email, que se comunican en el puerro
25, en una DMZ, se puede recibir emai l desde Internet y retransmitirlo de manera
Seguridad en la Red 133
segura a servidores de correo en la red interna. Las capacidades de filtrado de spam
se incluyen frecuencemence en estos servidores de retransmisin.
Servidores proxy: Los servidores proxy se utilizan para apoderarse o actuar
como intermediario para las solicitudes del usuario de la red interna a Internet y
generalmente se uti li zan para recuperar informacin del sirio web. Estos servidores
se pueden remplazar en una DMZ para proporcionar seguridad adicional para la
navegacin de la web. Algunos servidores proxy filtrarn el contenido (incluyendo
sirios web inapropiados), aadirn proteccin de virus y seguridad antispyware e
incluso mejorarn el desempeo almacenando en cach las peticiones web.
Servidores proxy inversos: Los servidores proxy inversos se utilizan para
proporcionar acceso seguro a las aplicaciones internas desde una red insegura.
Aunque esros servidores han sido remplazado en gran paree por las tecnologas
VPN, a veces son utilizados para proporcionar el acceso de los empleados a los
servidores de email con base en la web en la red interna, proveer acceso a las
aplicaciones web internas y, en algunos casos, incluso proporcionar conexiones de
servi cios de terminales seguras a una red interna.
IJJJ> Traduccin de Direccin de Red (NAT)
La Traduccin de Direccin de Red (NAT) es una tcnica utilizada para modificar la
informacin de direccin de red de un servidor mientras que el trfico atraviesa un rourer
o cortafuegos. Esta tcnica esconde la informacin de red de una red privada mientras an
permite que se transfiera el trfico a travs de una red pblica como Internet.
NAT se cre originalmente como un sal ro de los problemas de direccin IP. Recuerde que
Incerner se basa en el juego de prorocolo TCP/JP para las comunicaciones entre servidores.
Un componence crtico de esre juego de protocolo es la direccin JP. En los primeros
das de Jncerner, cuando el protocolo TCP/ IP y las direcciones relacionadas estaban
desarrollndose, el esquema de direccin de 32 bits (conocido como IPv4) era considerado
ms adecuado para cualquier crecimienco potencial de la red. Tcnicamente, haba
4,294,967,296 direcciones nicas disponibles utilizando una direccin de 32 bits e incluso
descontando Jos campos reservados, an haba 3 mil millones de direcciones posibles. En
ese tiempo, eso no era suficiente para proporcionar una direccin para cada persona en
el planeta, incluyendo nios. Desafortunadamente, los diseadores de este esquema de
direccin desestimaron dramticamente el crecimiento explosivo de Internet, as como la
adopcin extendida de TCP/IP en las redes de hogar y negocios (ambas amenazadas para
agorar la piscina de direcciones IP de IPv4). Sin direcciones nicas, Internet no podra
enrucar exirosamente el trfico TCP/ IP. NAT era la solucin resultante para mantener la
funcionalidad de Internet, dado el nmero limitado de direcciones JP disponibles.
Hoy en da, un uso prctico de NAT es que permite utilizar un juego de direcciones IP en
una LAN interna y un segundo juego de direcciones IP para la conexin de Internet. Hay
un dispositivo (usualmente un roucer o firewall) ubicado encre las dos redes que proporciona
servicios de NAT, gestionando la traduccin de direcciones internas a direcciones externas.
Esto permite que las compafas utilicen un nmero grande de direcciones internas que
no estn registradas, mientras que slo necesita una fraccin del nmero de direcciones de
Inrerner, por consigujeore, conserva las direcciones. Esro permite reutilizar las direcciones
dentro de redes privadas, mientras asegura que las direcciones Utilizadas en Internet sigan
siendo nicas.
La solucin a largo plazo para los problemas de direccin es IPv6 o Protocolo lnrerner
Versin 6, la siguiente generacin de protocolos para Internet. Este protocolo se disea
para ofrecer diversas ventajas sobre IPv4, incluyendo el soporte para las direcciones de
128 bits de largo. Esto permite 2
128
direcciones IPv6 nicas o ms de 340 mil millones
134 Leccin 4
*Tome nota
Se soporta la
Traduccin de
Direccin de Red
(NAT) bajo el Windows
Server 2008 por el
Servicio de Acceso
Remoto y Enrutamiento
de direcciones. Sin embargo, la adopcin de 1Pv6 ha sido lema, en gran parte debido al
uso exi toso de los servidores proxy y NAT para conservar el nmero de direcciones 1Pv4
utilizadas accualmence en Incerner.
Acrualmence, hay dos tipos principales de NAT:
NAT esttica: La NAT esttica traza un mapa de una direccin IP que no est
registrada en la red privada a la direccin IP registrada en la red pblica, utilizando
una base de uno a uno. Este mtodo se utiliza cuando el dispositivo traducido
requiere ser accesible desde la red pblica. Por ejemplo: el servidor web en su red
DMZ podra rener una direccin no registrada de 1 0.20.30.40 que se t raduce por
el dispositivo NAT comperence a una direccin que da a lncerner de 12.4.4.234.
De este modo, el usuario que erara de coneccarse a ese sicio web puede ingresar
12.4.4.234 y el rourer o firewall en el ocro extremo traducir esa direccin como
10.20.30.40 cuando el p a q u e n ~ llegue. Esta versin de NAT se utili za de manera
tpica junco con las redes exuanet o zonas desmilitari zadas.
NAT dinmi ca: La NAT dinmica craza un mapa de una direccin IP que no
est registrada en la red privada a una direccin IP registrada que se selecciona
en rutando el dispositivo proporcionando el servi cio de N AT desde una piscina
de direcciones registradas. Este mtodo se utili za comnmente cuando un gran
nmero de sistemas en la red interna necesitan accesar a Incernet , pero no ti enen el
requisito para una direccin esttica. Aqu, una direccin de estacin de trabajo se
traduce a la siguience direccin registrada disponible en la piscina can pronto como
inicia una conexin a la red pbli ca.
Hay dos implicaciones de seguridad importantes relacionadas con el uso de NA T. Primera,
la NAT puede utilizarse para esconder las decciooes de red privadas, lo cual dificulta que
un atacante penetre exi tosamente en la red privada. Las direcciones que son visibles para
un atacance con base en lnceroet son las direcciones de NAT que se almacenan de modo
rpico en el firewall, lo cual podra ser uno los dispositivos ms seguros de la red.
La NAT tambin presenta un problema nico cuando trabaja con el protocolo IPsec
(discutido a mayor detalle posteriormente en la leccin). Las implemencaciones tempranas
de IPsec no soportaron la NAT, as que el protocolo IPsec podr a no utilizarse cuando se
permiti NAT en el entorno. La capacidad de recorrido de NAT se agreg en versiones
posteriores del prorocolo IPsec, pero IPsec an requiere que se realicen algunos pasos para
funcionara exitosamente con NAT.
..,. Redes Privadas Virtuales {VPN}
VPN (Red Privada Virtual) es una tecnologa que utiliza tneles codificados para crear
conexiones seguras a travs de las redes pbli cas como Internet. Hay una variedad de usos
para esta tecnologa, pero se muestran tres de las ms comunes en la Figura 4-5.
Figura 4-5
Usos de la tecnologa VPN
Seguridad en la Red 135
Los empleados a distancia utilizan comnmente las VPN para accesar a la red interna,
para crear conexiones seguras de red en red para conexiones de socios comerciales o
sucursales o incluso para crear conexiones seguras de extremo a extremo para aislamiento
y seguridad adicional en una red interna. Las VPN utilizan codificacin y autentificacin
para proporcionar confidencialidad, inregridad y proteccin de privacidad de los daros.
Los VPN de acceso a distancia fueron los primeros en inrroducirse a finales de la dcada de
1990 y se utilizaron inicialmente junto con mdems para proporcionar una conectividad
ms flexible y segura a las redes de los corporativos. Todo lo que se requera era una
conexin de Internet de acceso telefnico y un cliente de VPN y se podra conectar a la
red del corporativo sobre una conexin codificada. En resumen, a partir de entonces, con la
llegada de las conexiones de Internet de alta velocidad, explot el uso de tecnologas VPN.
Ahora era posible en algunos casos obtener una conexin ms rpida en casa va Inrernet de
alta velocidad que en una sucursal va conexiones de red tpicas. Esta tecnologa tambin
permite a los negocios migrar de conexiones de red costosas a conexiones de VPN con base
en Inrernet menos caras.
Las primeras VPN con base en estndares se basaba en el protocolo IPsec. Las VPN con
base en IPsec adelantaron rpidamente algunas VPN con base en el propietario que fueron
los primeros productos comercializados .
..,. Internet Protocol Security {IPsec)
Inrernet Prococol Secmity (IPsec) es un conjunto de protocolos con base en estndares
diseados especficamente para asegurar las comLtnicaciones del Protocolo de Inrernet
(IP). Tambin es un componenre de 1Pv6, la siguiente generacin del protocolo IP. IPsec
auteorifica y codifica cada paquete de JP en una secuencia de daros de IP. Adems, IPsec
tiene protocolos que pueden utilizarse para establecer la negociacin de claves criptogrficas
y autenrificacin mutua durante la sesin. IPsec opera en la capa de red del modelo OSI.
IPsec se dise para proporcionar seguridad basada en criptografa de alta calidad e nter-
operable para IPv4 y IPv6. Hoy en da, ofrece un conjuoco completo de servicios de
seguridad, incluyendo los siguientes:
Conrrol de acceso
Revisin de inregridad de daros sin conexin
136 Leccin 4
*Tome nota
Porqu importan las
capas? El hecho de
que IPsec opera en la
capa 3 del modelo OSI
significa que se puede
utilizar para codificar
cualquier trfico en
las capas 4 a travs
de las 7 del modelo.
En trminos prcticos,
significa que IPsec
puede uti lizarse para
codificar cualquier
trfico de la aplicacin
Autentificacin de origen de datos
Rechazo y deteccin de repeticin
Confidencialidad utilizando codificacin
Confidencialidad de flujo de trfico
El protocolo IP tiene tres componentes importantes:
Cabecera de autentificacin: (AH): AH proporciona proteccin de integridad
para las cabeceras de paquetes, datos y autentificacin del usuario. Puede
proporcionar opcionalmente proteccin de transmisin y proteccin de acceso.
AH no puede codificar ninguna porcin de paquetes. Para que AH funcione en
conjunto con NAT, el protocolo IP nmero 51 necesita ser permitido a travs del
firewall.
Encapsultating Security Payload (ESP): ESP proporciona proteccin de
confidencialidad, integridad y autenticidad de los paquetes de dataos. A diferencia
de AH, ESP no puede proteger las cabeceras de paquetes (slo protege los daros).
Para que ESP funcione en conjunto con NAT, el protocolo IP nmero 50 necesita
ser permi t ido a travs del firewall.
I nternet Key Exchange (IKE): lKE se utiliza para negociar, crear y gestionar las
asociaciones de seguridad (SA), lo cual significa que es el protocolo que establece
el canal de comunicacin de seguridad a los servidores de la red. Para que IKE
funcione en conjunto con NAT, el puerco 500 de User Datagram Protocol (UDP)
necesita ser permitido a travs del firewall.
IPsec puede utilizarse en dos modos diferentes:
Modo de t ransporte (Hosc- a-Hose): En modo de transporte, slo se puede
encapsular los paquetes de carga til. Debido a que la cabecera del paquete queda
intacta, la informacin de encucado original se utiliza para transmitir los datos
desde el emisor hasca el receptor. Cuando se utiliza junco con AH, este modo
puede no utilizarse en un entorno NAT, ya que la codificacin de la cabecera no es
compatibl e con la direccin traducida.
Modo tnel (gaceway-a-gateway o gateway-a-host): En modo tnel, el paquete
de IP se encapsula completamente y se le da una nueva cabecera. Un servidor/
gateway especfica en la nueva cabecera IP des-encapsula el paquete. ste es un
modo utilizado para asegurar el trfico para una conexin VPN de acceso
a distancia desde un servidor a distancia a un concentrador VPN en la red
interna. ste tambin es el modo utilizado para asegurar las conexiones IPsec
de sitio a sitio.
Seguridad en la Red 137
..., Otros Protocolos VPN
Aunque JPsec se considera el protocolo predominante asociado con las VPN, hay otros
protocolos que tambin pueden util izarse para construir VPN o proporcionar conectividad
parecida a la de VPN.
Uno de los protocolos VPN clave utilizado hoy es SSL/TLS, que es la alternativa principal
para que IPsec implemente Ltna solucin VPN.
El estndar del protocolo SSL fue propuesto originalmente como estndar por Nerscape.
Aunque esre protocolo se utiliza ampliamente para asegurar los sirios web, se ha
formalizado desde entonces en el estndar IETF, conocido como Seguridad de la Capa
de Transporte (TLS). El protocolo SSL/TLS proporciona un mtodo para asegurar las
comunicaciones cliente/servidor a travs de una red y previene escuchar secretamente y la
alteracin con daros en trnsito. SSL/TLS tambin proporciona autentificacin de extremo
y confidencial idad de comunicaciones por medio del uso de la codificacin.
Si alguna vez se ha conecrado con un sirio web ut ilizando HTTPS, la versin segura
de navegacin web HTTP, se ha utilizado el protocolo SSL. Esce protocolo proporciona
codificacin de 128 bies y actualmente es el mecanismo de seguridad destacada para la
proteccin de trfico web en el banco, comercio en lnea, emai l y esencialmente cualquier
sirio seguro que podra encontrarse. En el uso de navegador/usuario final, la autentificacin
SSL/TLS es en un sentido. Aqu, slo el servidor se autentifica cuando el cliente se compara
con la informacin ingresada para accesar un servidor para informacin en el certificado SSL
en el servidor (el cliente sabe la ideoridad del servidor), pero no viceversa (el cliente sigue no
auceocilicado o annimo). Sin embargo, SSL/TLS tambin puede realizar la autentificacin
bidireccional, utilizando certificados con base en el cliente. Esco es particularmente til
cuando este protocolo se utiliza para accesar una red protegida, porque agrega una capa
adicional de aucencificacin para el acceso.
Como se discuti en la seccin en IPsec, una VPN crea un tnel seguro a travs de la red
pblica como Incernec. Aunque las VPN de SSL an influencian el concepto de hacer
un tnel, crean los tneles de manera diferente que IPsec. Una VPN de SSL establece
conectividad utilizando el protocolo SSL. IPsec trabaja en la capa 3 del modelo OSI,
mientras SSH funciona en las capas 4 y 5. Las VPN de SSL tambin pueden encapsular
informacin en las capas 6 y 7, lo cual hace muy flexibles las VPN de SSL.
Una caracterstica adicional de una VPN de SSL es que generalmente conecta utilizando
un navegador web, en canco que la VPN de IPsec generalmente necesita que el sofcware
del cliente se instale en el sistema a distancia.
Las VPN de SSL se milizan de modo predominante para conexiones de VPN de acceso
a distancia en las cuales un cliente se conecta a las aplicaciones en una red interna, al
con erario de las conexiones de sirio a sirio en los cuales los gaceway se ucil izan para conectar
una red privada disrinra por medio de Imeroer.
Algunos beneficios de la VPN de SSL/TLS sobre las VPN de IPsec incluyen los siguientes:
Cosco ms bajo: Debido a que VPN de SSL generalmente no tiene clientes, no
se ciene los coseos de presentacin, soporte y actualizacin de software del cliente:
138 Leccin 4
1 ndependencia de plataforma: Debido a que el acceso a una VPN de SSL se ocorga
por medio del inrerfaz escndar de SSL, que es un componence de vircualmence
cada navegador web, se soporta prcticamente cualquier siscema operativo que
corra un navegador.
Flexibilidad de cliente acrecentada: Como regla general, los cliences de IPsec
generalmenre se inscalan slo en los sistemas del corporativo. En comparacin,
debido a la flexibilidad adicional, las VPN de SSL puede configurarse para permicr
el acceso desde una divecsidad de clientes, incluyendo los siscemas de corporativo,
sistemas de hogar, sistemas de proveedores o clienres o incluso mquinas de quiosco
en bibliotecas o cafs Iocernet. Este acceso ms amplio puede incrementar mucho
la satisfaccin del empleado.
Soporte de NAT: Histricamente, la Traduccin de Direccin de Red (NAT) ha
causado problemas con las VPN de IPsec. Virtualmente codos los vendedores de
IPsec han creado soluciones alternativas para este asumo. Aun as, con una VPN
de SSL, no se debe tener estos problemas porque SSL trabaja en una capa ms alta
que IPsec.
Control de acceso granular: Dependiendo del entorno, esro podra considerarse
ya sea una ventaja o desventaja. Las VPN de SSL requiere una granularidad ms
grande de acceso que una VPN de IPsec tpica. En particular, en lugar de crear un
tnel del servidor hasta la red interna, las VPN de SSL necesican que cada recurso
al que se acceda se defina explcitamente. El lado positivo es que a menos que se
defina explciramence una fuenre, un usuario de VPN de SSL puede accesar, lo
cual ofrece beneficios de seguridad. Sin embargo, en un encorno complejo, podra
aadi r gasros indirectos significativos al soporte de VPN.
Se necesitan pocas reglas de firewall : Con el fin de accesar a un gareway de IPsec
a travs del fi rewall, se necesita abrir varios puerros para soporrar los protocolos
individuos para autentificacin y el tnel. Con una VPN de SSL, slo se necesita
abrir el puerro 44,lo cual general menee es fcil debido al predominio del protocolo
HTTPS.
Secure Shell (SSH)
Secure Shell (SSH) es un protocolo para la ent rada segura a distancia y ot ros servicios
seguros de red en una red. SSH puede utilizarse en diversas aplicaciones a travs de
plataformas, que incluyen UNIZ, Microsoft Windows, Apple Mac y Linux. Algunas de
las aplicaciones soportadas con SSH incluyen las siguientes:
Entradas seguras
Ejecuciones seguras de comandos a distancia
Transferencias seguras de archivos
Espejos, copias y respaldos seguros de archivos
Creacin de conexiones de VPN (cuando se utilizan junto con el cliente y servidor
de Open SSH)
El protocolo SSH consca en eres componentes principales:
ProtOcolo de capa de transporte Proporciona integridad, confidencialidad y
autentificacin del servidor con secreto perfecro a plazo.
Prococolo de autentificacin del usuario: Proporciona autentificacin del
cliente en el servidor.
Protocolo de conexin: Hace una multi-plexacin del tnel codificado en var ios
canales lgicos.
Seguridad en la Red 139
Ahora que se han revisado algunos protocolos que se utilizan para asegurar el trfico en la
red, y generalmente a travs de las redes pblicas como Internet, revisemos una tcnica
para proporcionar seguridad adicional en la red interna .
.,.. Aislamiento del Dominio y del Servidor
*Tome nota
Si desea aprovechar
el aislamiento en su
entorno, asegrese
de tomar el tiempo
para planearlo
adecuadamente.
Puede ser una
implementacin
compleja y se debe
comprender las
necesidades antes de
comenzar a permitir los
protocolos
A los profesionales de la segLtridad constantemente se les pide en las empresas permitir
mayores accesos a los recuxsos para facilitar los requisitos del negocio. Aunque el acceso
ms fcil y amplio a los recursos puede aumentar la produccin de una empresa, tambin
representa desafos importantes de seguridad. El riesgo de un ataque de virus, dispositivos
y usuarios deshonestos y accesos sin autorizacin a informacin sensible relacionada con
dispositivos sin gestionar o sin autorizar son suficientes para mantener despierto por la
noche a cualquier profesional de seguridad de la informacin.
Un ejemplo podra ser la estacin de trabajo de un desarrollador. Muchos desarrolladores
sienten que tienen privilegios nicos para hacer su trabajo y, como resultado, quiz podran
ejecutar configuraciones personalizadas, sistemas operativos sin soporte y/o aplicaciones de
fuente abierta y tal vez no participaran de los parches del corporativo y de los programas
de gestin de configuracin. Desde que esras computadoras estn conectadas a la red de la
organizacin para accesar a los recursos internos y estas estaciones de trabajo quiz podran
representar desafos adicionales de seguridad, el aislamiento del dominio y del servidor
proporcionan opciones de seguridad adicionales.
El aislamiento de dominio y del servidor es una solucin basada en la IPsec y en Microsoft
Directorio activo que permite a los administradores segmentar dinmicamente el entorno
de Windows en redes lgicas aisladas ms seguras. Estas redes lgicas segmentan con base
en la poltica y se realizan sin necesidad de utilizar los firewalls, implementar VLAN o
hacer otros cambios en la red. Los servidores y los dominios pueden asegurarse a travs del
uso de autentificacin y encripcacin. Esto crea una capa adicional de proteccin de poltica
y proporciona otra alternativa para los controles de seguridad discutidos previamente en
esta leccin.
El aislamiento de dominio y del servidor no debera confundirse con Network Access
Protection (NAP). La NAP se enfoca en asegurar que los clientes que estn adscritos a la
red estn configurados de manera adecuada y autorizada. En comparacin, el aislamiento
de dominio y del servidor crea zonas de seguridad lgicas dentro de la red y controla
quines pueden tener acceso a ellas. Ambas son soluciones de seguridad viables, pero
tienen objetivos y tecnologas muy diferentes para asegurar el entorno. En una de las
configuraciones de alta seguridad, quiz podra utilizar ambas tecnologas para asegurar la
proteccin de la red y sus daros.
La Figura 4-6 proporciona un ejemplo de aislamiento de dominio y del servidor en el
cual se puede tener acceso a la red aislada mediante computadoras con la configuracin
apropiada de Directorio activo y la IPsec.
140 Leccin 4
Figura 4 6
Aislamiento de dominio y
del servidor
Cmo funciona el proceso de aislamiento? En resumen, la autentificacin del enromo
aislado se basa en las credenciales de la computadora. Las credenciales pueden ser la
expedicin de un bolero Kerberos o el Directorio activo puede ser un certificado X.509
distribuido a la computadora mediante una Poltica de Grupo. Una vez la mquina ha
sido autentificada, las polticas de aislamiento relacionadas se hacen cumplir mediante la
funcionabilidad de la IPsec dentro de Windows.
Aqu, es importante recordar que la IPsec soporta dos modos. El modo tnel es el modo
utilizado con ms frecuencia, porque soporta el acceso a distancia utilizado ampliamente
y las soluciones de VPN de sirio a sitio que se vuelve ubicuo en el mundo corporativo. El
modo de transporte se utiliza para el aislamiento de dominio y del servidor, ya que es un
modo que admire con seguridad las comunicaciones de host a hose.
Seguridad en la Red 141
Proteger los datos con la seguridad del protocolo
..V EN RESUMEN
En esta leccin, se discurirn diversos protocolos de seguridad, tales como las IPsec, SSL/TLS y SSH. En esta seccin,
se revisarn varios protocolos adicionales que se utilizan para asegurar los datos. stos incluyen un examen de
spoo1ing de protolos, sniffing de red y algunos otros mtodos comunes de ataque que podra encontrarse cuando se
trabaja para asegurar un entorno de computacin corporativo.
1?1 listo para la
Certificacin
Qu protocolo se
puede utilizar para
proteger datos
confidenciales que
se envan entre
servidores?
-3.4
Uno de los temas ms desafiances para cualquier profesional de seguridad de la informacin
es abordar la idea de la seguridad del protocolo. sta ha sido durante mucho tiempo el
rea de los profesionales de la interconexin, y aunque coinciden en parte obviamente
entre la seguridad de informacin e interconexin, comprenden que la seguridad
de protocolo puede ser un verdadero reto para los profesionales de la seguridad
de la informacin, tanto para los principiantes como para los expertos. Con el fin
de desarrollar una apreciacin de cmo los protocolos de la red pueden impactar
exactamente la seguridad, se necesita comenzar la discusin con una revisin del
tnel.
..., Qu es el Tnel
*Tome nota
Qu es PPP? El PPP o
Point-to-Point Protocol
era un protocolo
definido a finales de
la dcada de 1990
que proporcion
un mecanismo de
transporte estndar
para conexiones
de datos point- to-
point. Este protocolo
principalmente
se utilizaba en
conjunto con las
conexiones de mdem
y se han retirado
paulatinamente, ya
que las conexiones
de mdem han sido
remplazadas en gran
parte por conexiones
de Internet de alta
velocidad
Tnel se define como la encapsulacin de un protocolo de red dencro de otro. El tnel
se utiliza para enrurar un protocolo sin soporte a travs de una red o para enrucar con
seguridad el trfico a lo largo de una red insegura. Las VPN emplean una forma de tnel
cuando los datos se encapsulan en el prorocolo de la IPsec.
Un ejemplo de tnel que se utiliza para mover el trfico sin soporte a travs de la red es
el prorocolo Generic Roucing Encapsulation (GRE). El GRE es un prorocolo con base IP
utilizado frecuentemente para ll evar paquetes de direcciones IP no ruteables a travs de
una red IP.
Con el fin de comprender por qu se utiliza el protocolo GRE, se necesita discutir la
direccin IPv4. Un componente del esquema de direccin de 0Pv4 es un conjunto de
direcciones conocidas con alcances de direcciones reservadas o privadas. Estos alcances
incluyen 10.0.0.0 a travs de 10.255.255.255, 172.16.0.0 a travs de 176.31.255.255
y 192.168.0.0 a travs de 192.168.255.255. Estos alcances se asignaron para ayudar a
demorar el agotamiento de todas las direcciones de TP de IPv4 y se utiliza tpicamente
canco para redes de oficina como de hogares donde no hay un requisito para que se en ruten
las direcciones a travs de una red pbli ca como Incerner. Estas redes utilizan general menee
la NAT para permitir el acceso a Inrerner.
Otra rea donde estas direcciones se utilizan es para las redes de desarrollo/ laboratorio
en un entorno empresarial. Algunas veces hay un requisito para encucar el trfico de una
red de desarrollo/laboratorio a otra, pero como estas redes utilizan direcciones privadas,
podran no ser enrucables a travs de La red de la empresa. Aqu es cuando el GRE se vuelve
ti l. El trfico enrre los laborarorio puede encapsularse en un tnel GRE, que se puede
enrurar sobre la red empresarial sin requerir redireccin.
PPTP (Poinc-ro-Poinc Tunneling Protocol) es un protocolo de VPN patentado
desarrollado originalmente por el PPTP Forum, un grupo de vendedores que incluyen
Ascend Communications, Microsoft Corporation, 3Com, ECI Telemacics y U.S. Robtica.
El PPTP se dise como una extensin de Poinc-to-Point Protocol (PPP) para permitir
142 Leccin 4
que PPP se tunelice por medio de una red IP. En un tiempo, PPTP era el protocolo VPM
utilizado ms ampliamente, pero el estreno de la IPsec tuvo un efecro importante en el
uso de PPTP.
Orro protocolo de tnel que alguna vez se utiliz ampliamente es L2TP (Layer 2 Tunneling
Protocol), que combinaba las mejores caractersticas del protocolo PPTP y L2F (Layer Two
Forwarding), que era un protocolo de competencia temprana para PPTP desarrollado por
Cisco Systems. Como PPTP, L2TP se disearon como una extensin de PPP para permitir
que PPP se runelice por medio de una red IP. El soporre L2TP ser incluy primeramente
en el producro de Microsoft Server con el lanzamiento de Windows Server 2000. Antes de
Windows Server 2000, el PPTP era el nico prorocolo admitido. Diversos vendedores de
hardware VPN, incluyendo Cisco, tambin admitian el protocolo L2TP .
..,_ Extensiones de Seguridad del DNS (DNSSEC)
Si alguna vez se ha conectado a un sirio web por nombre, ha utilizado el Sistema de
Nombre de Dominio (DNS). El DNS es un servicio utilizado en Internet para resolver
direcciones de nombres de dominio completamente calificados (FQDN) a su Prorocolo de
Internet (JP), uti lizando una red distribuida de servidores de nombre. Aqu, se ingresa el
nombre del servidor (como www.espn.com) y el DNS asegura que la conexin se dirija a
los servidores adecuados. Aunque este servicio es invisible en gran parte para los usuarios
finales, el DNS es un elemento crtico de cmo funciona el Internet.
Digamos que se desea revisar los resultados de su deporte favorito uti lizando el sirio web de
ESPN. Antes del DNS, cuando pregunta: "Cul es la direccin del sitio web de ESPN?",
la respuesta podra ser 199.181.132.250. Si es como la mayora de las personas, olvidara
esos nmeros en menos de 30 segundos, as que probablemente nunca encontrara los
resultados de los depones. En comparacin, con el DNS, se puede decir simplemente a la
computadora que vaya a www.espn.com y la infraestructura del DNS de Internet traducir
este nombre a la direccin correcta. En otras palabras, el DNA es ms como un directorio
telefnico: Se escribe un nombre y le da el nmero correcto.
Sin embargo, el DNS se desarroll durante los primeros aos de Internet, cuando la
funcionabilidad era la meta, no la seguridad. Como resultado, el DNS se construy sin
seguridad. En aos recientes, se ha explotado esta falca de seguridad con los daros del DNS
falsificados, que, entre orros aspectos, redirige las conexiones a sirios web malintencionados.
Digamos que escribe la direccin de su banco y, en breve, parece que lleg a su destino.
Ing res su nmero ID y contrasea para accesar la cuenca, pero no puede ent rar. Ahora,
digamos que un mes despus, averigua que su cuenta est vaca. Lo que pas fue que la
conexin ini cial era el resu lcado de una mala entrada del DNS. En lugar de conectar con
el sitio web del banco, se conect con un duplicado ingenioso que caprur la informacin
de ingreso y dej que personas malas robaran sus ahorros.
Afortunadamente, el DNS Sewrity Extensiom (DNSSEC) aade prOVISIOnes de
seguridad al DNS, para que las computadoras puedan verificar que han sido redireccionados
a los servidores adecuados. Este nuevo estndar se public en marzo de 2005 y lentamente
se est adoptando en Internet. El DNSSEC proporciona autentificacin e integridad,
revisando bsquedas del DNS, asegurando que el trfico de Internet saliente siempre se
enve al servidor correcro. Esto elimina el problema de los daros de DNS falsificado, ya
que no hay manera de falsificar l.a autentificacin adecuada. No slo encara el problema de
redireccin de sitios web, sino que tambin disminuye algunos desafos relacionados con
spam y el uso dominios de correo falso.
El DNSSEC proporciona revisin de integridad y autentificacin mediante el uso claves
pblicas de encripcacin. La estructura de nombre de dominio proporciona una jerarqua
Seguridad en la Red 143
de claves de aurentificacin, creando una cadena de confianza desde la raz de la jerarquia
del DNS hasta el dominio que se consulta. El DNSSEC dirige muchos de los asuntos de
seguridad ms problemt icos relacionados con la infraesrrucrura de ncleo de Internet,
pero conlleva un costo significativo. Como con cualquier implementacin de clave pblica
a gran escala, hacer funcionar el DNSSEC en Internet ser un proyecto enormente complejo
e intenso de recursos. Tambin hay desafos relacionados con el manrenimienro web de
confianza, creado utilizando claves pblicas a una escala de ese tamao .
..., Protocol Spoofing
Otra rea de preocupacin con respecto a los protocolos es el concepto de prorocol spoofing.
La palabra "spoof' se puede utilizar para referirse a un engao. Por lo tanto, prorocol
spoofing es el mal uso de un protocolo para perpetrar un engao en un dispositivo de red
o servidor. Algunas formas comunes de prorocol spooling son las siguientes:
ARP spoofing: ARP (Address Resolurion Prorocol) spooling (tambin conocido
como ARP Poisoning) es un ataque en el protocolo utilizado para determinar la
direccin de hardware del disposi t ivo (direccin MAC) en la red cuando se riene
su direccin IP. Es crtico para la entrega adecuada de daros de la red una vez que
los daros llegaron al segmento adecuado de LAN. Un ataque de ARP spoofing
ocurre cuando un atacante modifica los cachs de ARP de la red y susti tuye
la direccin IP del servidor de la vctima. Esto permite que el atacante reciba
cualquier dato deseado por el servidor original.
DNS spoofing: DNS spoofing sucede cuando un aracanre puede interceptar una
peticin de DNS y responde la responde ames que el servidor DNS pueda hacerlo.
Como resultado, el servidor vctima se dirige al sitio web equivocado, donde
pueden realizarse actividades malintencionadas adicionales. Este ataque se utiliza
con frecuencia junco con el sniffing de red, que se discute en la siguiente seccin.
IP address spoofing: En un ataque de IP address spoofing, el atacante crea
paquetes IP con una direccin IP de fuente falsificada, ya sea para ocultar la
identidad del servidor del atacante o hacerse pasar por la identidad del servidor de
la vctima. Este tipo de ataque era muy popular en los primeros das de firewalls
de anlisis de paquetes. Aqu, un atacante husmeara una direccin IP interna
desde en firewall exterior, el firewall permitira el acceso del atacante a la red
interna.
Es importante notar que el trmino "protocolo spoofing" tambin t iene otra definicin
dentro del mbito de la computacin. En particular, el trmino a veces se utiliza para
representar una tcnica relacionada con la comprensin de los daros y empleada con el
desempeo y rendimiento de la red. Aunque una herramienta valiosa en circunstancias
adecuadas, esca forma de spoofing de prorocolo no tiene ninguna implicacin de seguridad
de informacin .
..., Sniffing de Red
Snifling de red es un tipo de anlisis que es ril para los administradores responsables de
mantener las redes e identificar los problemas de red. Implica conectar un disposi t ivo a
una red con el software adecuado para permitir el acceso a los detalles de los paquetes que
atraviesan la red. La Figura 4-7 muestra un ejemplo de Wireshark, una herrami enta de
sniffing de red de fuenre abierra urilizada comnmente.
144 Leccin 4
Figura 4-7
Wireshark
..
.
.. .
Como se puede observar en la figura, esta herramienta revela una cantidad importante
de informacin respecto paquetes que se analiza. Para un administrador de red con
una comprensin profunda de interconexin, esra informacin se puede utilizar para
identificar problemas de aplicacin, latencia de red y variedad de orros errores de red.
Desafortunadamente, para un acacance con habilidades similares, la informacin ofrecida
por el sniffing de red proporciona igualmente daros valiosos que se pueden utilizar para
propsicos de araque. Por ejemplo: cualquier dato enviado en cexro claro(es decir, sin
codificacin) generalmente se puede leer directamente desde la red. En los primeros das
de Internet, era una cantidad importante de trfico. En aquella poca, leer contraseas
desde paqueces de daros era un ejercicio trivial. Sin embargo, hoy en da, con el uso
generalizado de la codificacin a cravs de sirios web seguras y el uso de VPN para acceso
remoto, los riesgos representados por el sniffing de red se mitigan ligeramente porque los
atacantes ya no pueden leer los contenidos de daros de paquetes. Sin embargo, los aracantes
an pueden obtener informacin importante respecto a los paquetes de datos que puedan
ser tiles en ataques.
Es importante estar conscienres de que el husmeador de la red slo puede ver el trfico que
cruza el puerco al cual se conecta. Por lo canto, un husmeador colocado en la LAN en una
sucursal no puede capcu.rac el trfico desde la red de la oficina cenera!. Y, en un enrocno
de conmutador (switch) que VLAN influencia, se puede limitar la cantidad de trfico
que pasa por cualquier puerto. Los puercos que ofrecen la mayora de informacin son
puntos de ingreso/egreso de la red, donde se concentra codo el trfico desde la subred. Esco
significa que un atacante no puede capturar directamente el trfico desde la red, pero no
significa que sea seguro. Por ejemplo: un sistema en la red interna que no esc infecta con
un virus puede terminar corriendo el sniffer de red y proporcionando el trfico capturado
a un servidor a distancia.
Oc ro desafo de seguridad asociado con los sniffers de red es que hay dispositivos pasivos. A
menos que un atacante hay hecho modificaciones a la red para accesar a ms informacin,
casi es imposible dececcar un sniffer de red. De hecho, podra haber un sniffer de red en un
nodo de red ms all de la red interna que podra capturar paquetes respecto al acceso de
Internet. En esta circunstancia, incluso no se ciene acceso a la infraestructura de red para
buscar cambios.
Seguridad en la Red 145
Tambin se necesira estar consciente de que las redes inalmbricas son particularmente
susceptibles a araques de sniffi ng de red, debido a la falta de un requisito de puerto. Una
vez conectado a una red inalmbrica, un atacante tiene acceso a rodo el trfico en esa red.
Por eso es una idea excelente utilizar solamente conexiones codificadas para cualquier cosa
que se haga en una red inalmbrica ms all de La navegacin general de red.
IJt> Mtodos Comunes de Ataque a la red
*Tome nota
Un botnet es una
red distribuida de
computadoras que
han sido puestas en
riesgo por software
malintencionado y
est bajo control de un
atacante
Se ha cubierto los desafos de seguridad de informacin relacionada con la interconexin
de computadoras en toda esta leccin. La pieza final del rompecabezas de seguridad de red
es comprender los tipos de ataques que se espera ver cuando se trabaja para proteger redes
de computadoras. Aunque nunca se pueda completar una lista de mtodos de ataque, slo
porque los atacantes se presentan constantemente con nuevos tipos de ataque, esta lista
cubre las categoras ms comunes:
Negacin de servicio/negacin distribuida de ataques de servicio (Dos/
DDoS): El objetivo de una negacin de ataque de servicio es inundar la red que
se esr aracando con cantidades abrumadoras de trfico, de este modo desconecta
infraestructura como un rureador o firewall. Ya que el atacante no esr interesado
en recibir respuesta a sus paquetes de a raque, los ataques de DoS son oportunidades
ideales para utilizar direcciones spoofed. Las direcciones spoofed son ms difciles
de filtrar, porque cada paquete spoofed parece venir de direcciones diferentes, por
consiguiente, ocultar la fuente verdadera del ataque. Esro hace retroceder el ataque
de manera excremadamente difcil. El nuevo truco para DoS es el DoS distribuido,
que influencia los bornees para generar ataques de DoS desde fuentes mltiples.
No slo hace que sea ms difcil defenderse del ataque, ya que las computadoras
mltiples pueden generar mucho ms trfico que una sola computadora, sino que
tambin dificultan mucho ms el rastreo del origen del araque.
IP spoofing para hacer bypass en la seguridad de la red: Como se discuti
previamente, el spoofing de IP es la modificacin de paquetes de daros, para que
los paquetes de daros de una computadora atacante parece ser una computadora
de confianza. Al aparecer como una computadora de confianza, el atacante puede
hacer un bypass en las medidas de seguridad de la red, como los filtros de paquete
u otras soluciones que se basan en la direccin IP para autentificacin. Utilizar este
mtodo de ataque en un sistema remoto puede ser extremadamente difcil , porque
el atacante puede modificar mi les de paquetes con el fin de completar exitosamente
el ataque. Este tipo de ataque generalmente funciona mejor cuando hay relaciones
confiables enrre mquinas. Por ejemplo: no es comn en algunos entornos tener
servidores UNIX en una red de corporativo donde confen unos en orcos. En esos
ejemplos, una vez que el usuario aurenrifique exirosamente un servidor, l o ella
son validados automticamente en los otros servidores y no necesira una conrrasea
o ID de usurario para entrar en el sistema. Si un aracante puede hacer spooging
exitosamente en una conexin desde una mquina de confianza, l o ella pueden
ser capaces de accesar en la mquina objetivo sin una autentificacin. Identificar la
mquina de confianza se lleva a cabo frecuentemente va sniffing de red.
Ataques Man--in- rhe-middle: Un ataque Man-in-rhe-middle es un tipo
de ataque en el cual el atacante se mere en la comunicacin entre los extremos
de una conexin de red. Una vez que el atacante ha entrado en la secuencia de
comunicacin, l o ella pueden interceptar los daros que se esrn transfiriendo e
incluso inyectar informacin fa lsa en la secuencia de daros. Esros tipos de ataques
se utilizan frecuentemente para interceptar ramo las conexiones HTTP y HTTPS.
Los sistemas que se conectan a una red .inalmbrica son especial mente susceptibles
a esra forma de ataque.
Ataque de puerta trasera: Los ataques de puerta trasera son ataques contra una
pieza funcional que se dej abierta en el software que permite el acceso al sistema
146 Leccin 4
o la apli cacin de sofrware sin el conocimiento del propietario. Muchas veces,
los desarrolladores de la aplicacin dejaron abiertas estas puercas craseras, pero
la prueba de cdigo actual ha disminuido dramticamente el nmero de puercas
craseras encontradas en un software comercial. Una versin ms comn de esce
ataque sucede cuando los administradores del sistema crean cuencas que pueden
utilizar en caso de que se les pida dejar una compaa. Por consiguiente, como
profesional de seguridad de informacin, uno de los objetivos debera ser validar
todas las cuencas del sistema que pertenecen a los empleados por lo menos una vez
al ao.
Envenenamiento DNS (DNS poisoning): Un ataque DNS poisoning es un
araque conrra la informacin almacenada en memoria en el servidor de DNS.
Cuando se realiza una solicitud de DNS, el resultado de la peticin se almacena
en el servidor de DNS, de manera que se regrese con ms rapidez las solicitudes
posteriores para el mismo servidor, sin pedir una bsqueda por paree del servidor
de DNS exrerno. Desafortunadamente, estos archivos almacenados en cach no
son particularmente seguros y los atacantes pueden dirigirse a los archivos para
insertar una direccin de IP falsos para una entrada de servidor especfico en el
cach. Cuando esto sucede, cualquier servidor que hace una solicitud para ese sitio
desde el servidor de DNS envenenado ser direccionado al sicio equivocado. La
entrada falsa en el cach continuar hasta que expi re el cach y se actualice.
Ataque de reinyeccin (SQL inj ect ion attack): Este ocurre cuando un atacanre
puede capturar una secuencia de daros intacta desde una red, urilizan un sniffer de
red, modificar ciercos componentes de la secuencia de datos y luego retransmite
el rrfico de regreso a la red para completar el ataque. Por ejemplo: un atacante
quiz podra capturar una sesin en la cual se est haciendo una comprar, modificar
la direccin de entrega y retransmitir el trfico para colocar una orden que sera
entregada a su direccin.
Claves de codificacin dbiles: Un ataque conrra claves de codificacin dbiles es
exitoso cuando las claves tienen un valor que permite romper la codificacin. Una
vez que ocurre, el atacanre es capaz de accesar los daros que se supone que estn
codificados. Probablemente el ejemplo de ms alto perfil de ataque fue la debilidad
explotada en el estndar de seguridad Wired Equivalenc Privacy (WEP) utilizado
junco con las redes inalmbri cas. Pensada para utilizarse en las redes inalmbricas
de seguridad, se descubri que las claves WEP eran dbi les y que se podran
romper si se caprurac 5 10MB de trfico inalmbrico. Este trfico quiz podra
correr a travs de una de muchas herramientas publicadas por la comunidad hacker
y el resultado sera la clave WEP, que permite que u atacante lea la informacin
protegida con WEP. ste es otro ejemplo de un ataque exicoso que se basa en un
sniffer de red.
Ingeniera socia.!: Los ataques de ingeniera social ocurren cuando un atacante
contacta con un empleado de la organizacin e intenta extraer informacin ti l
de esa persona. Esta informacin quiz pueda utilizarse para ayudar a conseguir
un araque diferente. Con la ingeniera social, un atacante generalmente intenta
aparecer can inofensivo o respetuoso como sea posible. General menee, l o ella harn
varias preguntas en un intento de identificar vas posibles para explorar durante
un ataque. Si un atacante no recibe suficiente informacin de un empleado, l o
ella podran llegar a otros hasta que tenga suficiente informacin para la siguiente
fase del acaque.
Acaque de agujero de seguridad: Esca categora de acaque explora un agujero
conocido o no en una aplicacin o sistema operativo para realizar actividades
malintencionadas. Probablemente es una de las vas ms comunes de ataque
y frecuencemence es utilizada por virus y gusanos. Una prctica de gestin de
conexin slida es la mejor defensa contra este cipo de ataque, especialmente si se
asocia con el programa de gestin de agujeros de seguridad.
Seguridad en la Red 147
Ataque de desbordamientO de bfer: Un ataque de desbordamiento de bfer
explota pobremente el cdigo escrito, inyectando daros en campos variables e
influencando la respuesta para accesar a informacin de la aplicacin. Este ataque
es posible cuando el desarrollador de aplicacin no se limita o revisa el tamao
de los daros que se ingresan en el campo de aplicacin. Cuando se ingresan datos
muy largos para el campo, se crea un error el atacante puede explotar para realizar
acciones maliciosas contra la aplicacin.
Ataque de ejecucin de cdigo remoto: Los ataques de ejecucin de cdigo
remoro comnmente corren contra aplicaciones web. Cuando una aplicaicn se
codifica de manera inadecuada, un aracante es capaz de correr un cdigo arbi trario
a nivel de sistema por medio de la aplicacin y uti lizar los resultados para accesar
los datos o realizar otras acciones no planeadas contra la aplicacin o el servidor de
aplicacin.
Ataque de inyeccin SQL: Los ataques de inyeccin SQL son uno de los ms
antiguos contra las aplicaciones web que utilizan la aplicacin de base de daros del
servidor SQL. En este cipo de ataque, Jos caracteres se ingresan en la aplicacin web
y, dependiendo de la configuracin del servidor de la base de datos, los resultados
del ataque pueden alcanzar desde la recuperacin de informacin a partir de la base
de daros del servidor web hasra permitir la ejecucin del cdigo o incluso acceso
completo al servidor. Este ataque se basa en las debilidades de la base de daros, as
como en las de codificacin.
Ataque cross-site script iog (ataque XSS): Los ataques cross-sice scripting
son, por mucho, los ms comunes y potencialmente el mtodo de ataque actual
ms peligroso conrra los usuarios de web. Estos ataques permiten a los hackers
hacer bypass en los mecanismos de seguridad proporcionados por el navegador
web. Mediante la inyeccin de scripts malintencionados en las pginas web y la
obtencin de usuarios para ejecutarlos, un atacante puede conseguir privilegios
de acceso elevados para el contenido de pginas sensibles, cookies de sesin y una
variedad de informacin mantenida por el navegador.
Otros mtodos de ataque incluyen el password cracking, ataque de diccionarios y los
ataques de fuerza bruta, que se cubrieron en la Leccin 3.
El componente final de la seguridad de red con el que debe familiarizarse es la seguridad
inalmbrica.
148 Lecci n 4
Asegurar Redes Inalmbricas
-1.- EN RESUMEN
Las LAN inalmbricas se han convertido en una de las formas ms populares de acceso de red, rpidamente de
extendieron por hogares a negocios y horspors inalmbricos de acceso pblico como los que se encuentra en Srarbucks
o McDonalds. Las redes inalmbricas ofrecen un gran traro de conveniencia, pero sta debe balancearse con Las
implicaciones de seguridad de una red que no es contenida en las paredes del edificio. En esta seccin, se discute
esas implicaciones y se describe algunas de las tcnicas que se pueden utilizar para asegurar la red inalmbrica,
incluyendo claves codificadas, SSID y filtros de direccin MAC.
0 listo para la
certificacin
Qu mtodos puede
utilizar para asegurar
una red inalmbrica?
- 1.4
Una LAN inalmbrica (WLAN) permite a los usuarios conectarse a una red permaneciendo
mvil es. Aunque sta proporciona a los usuarios acceso fci l a la red desde reas como las
salas de confe rencia, ofi ci nas, comedores y orras reas donde las conexiones almbricas no
existen, tambin proporciona a los atacantes potenciales acceso simil ar a la red. Muchas
redes inalmbricas de corporativos pueden ser accesadas realmente por cualquiera con una
laptop y una tarjeta inalmbrica. Si ha utilizado alguna vez una conexin en un vecindario,
cal vez ha notado que su computadora detecta redes inalmbricas diferentes de las que est
uti lizando. Las empresas tienen la misma cuestin que sus vecinos: Esrn transmiti endo
su red a cualquiera dentro del alcance. De hecho, con amenas especializadas, se puede
accesar a las redes inalmbricas desde distancias sorprendentemente largas y, si no se t iene
cuidado, ese acceso podra ocurrir sin su conocimiento.
En los primeros das de redes inalmbricas, implementar esta tecnologa era fcil, pero
asegurarla no. Como resulrado, hubo batallas entre los usuarios que queran la facilidad
de acceso y la movilidad incrementada que la red inalmbrica prometra y personal
de seguridad que estuviera consciente plenamente de los riesgos que introduca la
interconexin inalmbrica. Como resultado, la mayora de los corporativos tuvo polticas
estrictas que prohiban el uso de redes inalmbricas a redes inrernas de acceso di recto,
que requeran frecuentemente que los usuarios emplearan VPN para conectarse desde
la red inalmbrica de produccin a la red interna. Como consecuencia, algunos usuarios
instalaran punros de acceso inalmbrico bajo sus escritorios y desearan que nadie de
seguridad lo notara. Los atacantes manejaran alrededor de estacionamientos buscando
estos puntos de acceso inseguro, de manera que rompieran los permetros de las redes del
corporat ivo y atacaran las redes inrernas si n proteccin. Las organizaciones de seguridad de
corporat ivos tambin real izaran ejercicios similares con esperanza de encont rar conexi ones
inalmbricas solitarias antes de que lo hicieran lo atacantes. Si n embargo, actualmente,
con algunas capacidades nuevas de seguridad disponibles con las redes inalmbri cas, ahora
es posibl e ofrecer bien el acceso inalmbrico a las redes internas, disminuyendo tanto la
frecuencia de puntos de acceso solitarios, as como el nmero de recursos requeridos para
encont rar y desactivar esos puntos de acceso.
Otra capacidad que se discute cuando se ut ili zan redes inalmbricas es asegurar que se
sintonice adecuadamenre la fuerza del radio de punto de acceso. Aunque hay alguna
capacidad para si ntonizar la seal inalmbrica para disminuir el riesgo de usuarios sin
autorizacin, no es una buena idea confiar en este mtodo, ya que es la primera lnea de
defensa cuando se inreora mantener segura la red. Con frecuencia, se enconrear que se
impacra negacivamenre el uso mucho ms de lo que se mejora la seguridad.
Seguridad en la Red 149
..,. Service Set ldentifier (SSID)
El componente ms bsico de una red inalmbrica es el Service Ser Identifier (SSID). Se
define un SSID en el estndar lEE 802. 11 como un nombre para la WLAN. No proporciona
ninguna capacidad de seguridad inherente, aunque especificando el SSID de la WLAN a la
que se desea conectar asegurar que se conecta a la WLAN correcta.
Aunque no hay ninguna capacidad de seguridad especfica relacionada con un SSID,
definitivamente hay algunas consideraciones que deben tomarse en cuenca:
Elegir un SSID: Lo primero que debe hacerse cuando se establece una WLAN es
elegir un SSID nico. Cada punto de acceso WLAN viene con un aparato de SSID
por omisin. Si utiliza el de omisin, hay un riego de que alguno de los vecinos
tambin tenga se, causando confusin y conflictos. Por consiguiente, asegrese de
seleccionar un SSID nico, pero fcil de recordar.
Convenciones de nombre: Ahora que se eligi un SSJD, hay algunas medidas
que se debe comar para hacer un poco ms desafiame para un atacante identificar
al dueo de la WLAN. Generalmente, no es una buena idea para los corporativos
transmitir el hecho de que son los dueos de una red inalmbrica particular. Por
lo tanto, se debe evitar seleccionar un SSID con base en el nombre de la compaa,
lneas de producto de una compaa o cualquier cosa que pudiera permitir que
un atacante confirme quin es dueo de la WLAN. En vez, se selecciona un SSID
que los empleados puedan recordar, pero que no invite a los ataques. Temas como
nombres de ciudades, deportes, personajes mitolgicos u otros nombres genricos
de SSID generalmente son elecciones de seguridad.
Apagar el SSID: El SSID se uciliza para identificar la WLAN y permite a las
computadoras conectarse a l. Si transm ire esta informacin, entonces los
sistemas del cliente pueden buscar redes inalmbricas disponibles y el nombre
de la WLNA aparecer en la lista. Con tan slo unos clics, se puede conectar a la
WLAN. Aunque extremadamente conveniente para los usuarios aucorizados, la
retransmisin de un SSID hace igualmente fci l para el atacante conectarse del
mi smo modo. Para prevenir que suceda, se puede apagar la transmisin de SSID
para la red, hacindolo invisible a los navegadores de red inalmbrica ocasional.
Sin embargo, el problema con hacer esto es doble. Primero, djficulta a los usuarios
autorizados conectarse a la red y, segundo, cualquier atacante que intente entrar
por medio de la red inalmbrica probablemente tendra un sniffer inalmbrico,
que le mostrara la SSID de la WLAN, ya sea de transmisin o no, ya que esta
informacin est en paquetes inalmbricos. En este caso, generalmente es prudente
seleccionar la disminucin del uso en vez de ocultar el SSID (es decir, seguridad
por medio de oscuridad).
Ahora, veamos algunas tcnicas para asegurar una WLAN .
..,. Comprender las Claves
El mejor mecanismo disponible para asegurar una WLAN es utilizar la autentificacin
y codificacin. Las WLAN ofrecen mecanismos de seguridad con base en tres claves para
este propsitO.
Wired Equivalency Privacy (WEP)
La primera capacidad de seguridad disponible para los usuarios de WLAN fue WEP
(Wired Equivalency Privacy). WEP se inclua como parte del estndar IEEE 802.11
original y se pens para proporcionar la privacidad. Se recomendaba ampliamente en
150 Lecci n 4
los primeros das de uso de WLAN, WEP dej actuar a favor cuando un defecto con el
mecanismo de codificacin. Este defecto hace relativamente fcil para un atacante crackear
la codificacin y accesar la red inalmbrica, as que WEP se utiliza generalmente slo si no
hay otra solucin disponible o si se utiliza WLAN con dispositivos (como PDA o juegos
de mano) o dispositivos ms antiguos que requieren WEP.
Uno de los otros desafos relacionados con WEP era la mezcla confusa de claves utilizada por
los vendedores. Algunos vendedores implementaron las claves en HEX, algunos utilizaron
caracteres ASCII y algunos emplearon frases de contraseas. Dependiendo de la versin de
WEP, la longitud de claves tambin podr a variar. Esto era parcicularmence problemtico
para los usuarios en hogares que queran utilizar equipo a partir de vendedores mltiples.
Con frecuencia, los consumidores terminaban con el equipo que no soportara la WEP de
la misma manera.
Acceso Protegido Wi-Fi (WPA) y Acceso Protegido Wi-Fi Versin 2 (WPA2)
El Acceso Protegido Wi-Fi (WPAA) se dise como un sucesor interi no de WEP. El
protocolo WPA implementa la mayora del estndar I EEE 802. 1 li , q ue se incl uy en el
estndar WLAN actuali zado. WPA ofrece un nuevo protocolo de seguridad, Temporal
Key l ntegricy Protocol (TKJP), que aunq ue est relacionado con WEP para asegurar la
compatibi lidad hacia atrs, aade caractersticas nuevas para ayudar la direccin los
problemas relacionados con WEP. Desafortunadamente, debido a que THIP utili za
el mis mo mecanismo s ubyacente que WEP, tambin es vulnerable a una variedad de
ataques similares (aunque la posibil idad de ataque es menos importante que WEP).
Acceso Protegido Wi -Fi Versin 2 (WPA2) es la versin con base en estndares de WPA2
implementa codos los estndares IEEE 802.1li.
WPA!WPA2 funciona e dos modos:
WPA de clave compartida: En un WPA de clave compartida, se configura una
frase de contrasea y se ingresa canco en la red del cliente como en la inalmbrica.
Es similar a cmo funciona WEP, pero la proteccin de la frase de contrasea de
WPA es mucho ms segura debido al uso de codificacin fuerce con el cambio
automtico de claves. Este modo generalmente generalmente es para usuarios en
hogares.
I EEE 802. lx: En modo 802. lx, WPA/WPA2 uti liza un servidor de autentificacin
externo conectado con el estndar EAP (Extensible Auchencicacion Protocol) para
permit ir la autentificacin fuerce para la conexin a WLAN. Un proceso t pico de
autentifi cacin incluye los siguientes pasos:
J. I nicializacin: En la deteccin de un servidor, el puerco en el swich se permi te
y establece en estado "sin autorizacin". Slo el t rfico 802.lx se permite
mientras el puerco est en este estado.
2. I ni ciacin: El servidor que est intentando conectarse a la WLAN transmite
luego los cuadros de EAP-Requesr Identiry para una direccin especial de capa
2 en el segmento de red local. Esto se conoce como aurencificador. Luego, el
aurentificador enva los paquetes al servidor de autentificacin RADIUS.
3. Negociacin: El servidor de autentificacin manda una respuesta al
aucencificador. Entonces, el aurenrificador transmite los paquetes al servidor
que se conecta. Esros paquetes se utilizan para negociar el mtodo de
autentificacin EAP.
llll> Filtros MAC
Seguridad en la Red 151
4. Autentificacin: Si el servidor de autentificacin y el servidor que se conecta
acuerdan en el mtodo de autentificacin de EAP, entonces se autentifica
el servidor que se conecta. Si la autentificacin es exitosa, el autentificador
establece el puerto en el estado ''aurorizado" y se permite el trfico normal.
Si no es exirosa, el puerro contina en estado "si n autorizacin" y servidor no
puede conectarse.
El uso de autentificacin 802.lx para asegurar una WLAN generalmente es reservado
para grandes entornos corporativos donde hay recursos suficientes para soportar servidores
adicionales y soporte requerido por esre modo de operacin. La autentificacin IEEE
802.lx, particularmente cuando se utiliza junco con una solucin de autentificacin con
base en un token, permite una implementacin muy segura de WLAN.
Como se discuti al principio en esta leccin, una direccin MAC la nica direccin de
hardware de un adaptador de red. Esta informacin se puede utilizar para controlar qu
sistemas pueden conectarse a una WLAN por medio del uso de filtros MAC. Encendiendo
el fi ltrado MAC, se puede limitar el acceso de red slo para los sistemas ingresando la
informacin de direccin MACen los fi ltros MAC. Los punros de acceso inalmbrico se
mantienen en la rabia de direcciones MAC permit idas.
llll> Pros y Contras de tipos de seguridad especficos
Ahora que se ha discutido diferentes mecanismos de seguridad disponibles cuando se
trabaja con las WLAN, consideremos algunas de las ventajas y desventajas de cada una:
WEP: WEP es una solucin que, aunque mejor que ninguna seguridad, no es
particularmente segura. Las vulnerabilidades dentro del esquema de codificacin
WEP facilita mucho el intento. WEP evitar que los vecinos se conecten a la
WLAN del hogar, pero no entorpecer a un atacante determinado.
WPA/WPA2: WPA/WPA2 es el mejor mrodo de seguridad canco para seguridad
de WLAN de corporat ivos como de hogares. En el modo clave precomparrido,
WPA/ WPA2 puede asegurar una WLAN con una frase de contrasea que se
comparte con los clientes y punros de acceso inalmbrico. Siempre que se seleccione
una frase de contrasea, sra es una solucin muy segura para las redes pequeas. Las
redes de corporativos, donde se p uede comprar la infraestructura de autentificacin
adicional, la seguridad 802.lx disponible dencro de WPA/WPA2 permite una
implementacin de WLAN ms segura. La desventaja de esta propuesta es que
es ms costosa y significativamente ms compleja que otra solucin. Este mtodo
tambin requiere soporte significativamente ms alto, porque se necesita mantener
las cuencas de los usuarios, se debe soportar los servidores adicionales y la ubicacin
y correccin de fallas es ms desafiante. Sin embargo, esros restos pueden esrar
abrumadas con una arquirecrura redundante y bien diseada para la WLAN.
Filtrado de direccin MAC: El filtrado de direccin MACes una buena solucin
para un entorno de oficina pequea o de hogar, pero riene desafos significativos,
ya que aumenta el dispositivos permitidos. El mantenimiento manual de una rabia
de direcciones MAC se vuelve un reto importante cuando se tiene ms de 10
20 dispositivos, especialmente en los entornos donde los sistemas se compran y
decomisan regularmente. Cualquier cambio en la lista de dispositivos permitidos
requieren acrualizar la tabla de filtrado de direccin MAC, que generalmente es un
proceso manual. Otro asumo con el filtrado de direccin MACes que las direcciones
MAC pueden sufrir spoofing por paree de alguien con suficiente conocimiento o
capacidad para realizar una bsqueda de Internet de una herramienta para cambiar
una direccin MAC. Si los hackers pueden obtener la direccin MAC de un sistema
152 Leccin 4
autorizado, pueden reserear la direccin MAD a esa direccin y, de este modo,
obtener acceso a la WLAN. Los filrros de direccin MAC son una buena solucin
para enrornos pequeos y estticos como hogares u oficinas pequeas. Aunque
no detendrn cierto ataque, son un impedimenro para asegurar al cual slo un
aracanre motivado verdaderamente intentara hacerle bypass.
La buena noticia cuando se revisa los mecanismos de seguridad disponibles para la red
inalmbrica es que hay soluciones disponibles para cualquier situacin. En los primeros
das de red inalmbrica, las WLAN ofrecan gran conveniencia para los usuarios, pero no
seguridad para la proteccin de una red de compaa. Utilizar el acceso inalmbrico era can
fcil como comprar un punto de acceso inalmbrico y conectarse a la red. Como resultado,
se oblig a los departarnenros de seguridad a dedicar recursos al rastreo de punros solitarios
de acceso inalmbrico. Afortunadamente, ahora hay herramientas mltiples que se puede
utilizar para identificar puntos de acceso solitario. As que, aunque an existe el problema,
no es can frecuente como lo era en aos pasados.
Resumen de Habilidad
En esra leccin se aprendi que:
Un firewall es un sistema que se disea para proteger una computadora o red de
computadoras de ataques con base en la red. Un firewall hace esto, filtrando los
paquetes de daros que atraviesan la red.
Los firewalls que se basan en el filtrado de paquetes inspeccionan los daros cuando
inrencan atravesar el firewall. Con base en reglas rudimentarias, esros firewalls
permiten codo el trfico de salida aunque niegan el codo el trfico que entra o
bloquean la entrada de protocolos especficos, como relner o frp, a travs del
rureador.
En lugar de analizar cada paquete individual, un firewall a nivel de circuito
monitorea las sesiones TCP/IP, moniroreando el protocolo de intercambio entre
paquetes para validar una sesin.
Los firewalls a nivel de aplicacin (carnbin conocidos como servidores proxy)
rrabajan realizando una inspeccin profunda de daros de aplicacin cuando
atraviesan el firewall. Se establece las reglas analizando las peticiones del cliente y
las respuestas de aplicacin y luego se hace respetar la aplicacin correcta.
Los firewalls de niveles mltiples con memoria de estado anterior se disearon
para proporcionar las mejores caractersticas tanto de firewalls a nivel de aplicacin
como de filtrado de paquetes.
Nerwork Access Protection (NAP) proporciona al ad mini st rador una manera ms
poderosa para controlar el acceso a los recursos de red. Los controles de NAP se
basan en la identidad de la computadora del clience y si la computadora cumple las
polticas de gobierno de la red configurada.
Las LAN virtuales (VLAN) se desarrollaron como una solucin alterna para utilizar
rureadores mltiples. Las VLAN son segmencos lgicos de red utilizados para crear
dominios de transmisin separados, mientras se permiten an los dispositivos en
las VLAN para comunicar a la capa 2 sin un rureador.
Un sistema de deteccin de intrusos (IDS) es una solucin diseada para detectar
peligros de red, ataques y actividades del usuario sin autorizacin.
Un sistema de prevenci6n de intrusos (IPS) es similar a un IDS, excepro que ademlis
de la deteccin y alerta, un IPS tambin puede tomar acciones para prevenir que
ocurra una ruptura.
Honeypors, honey ners y padded cells son tecnologas complementarias para usos
de IDSIIPS. Un honeypor es una trampa para los hackers.
Seguridad en la Red 153
Una zona desmilitarizada es una configuracin de firewall utilizada para asegurar
servidores en un segmento de red. En la mayora de Las zonas desmi litarizadas,
los servidores en la zona desmilitarizada se conectan detrs de un firewall que se
conecta a una red pblica como Internet.
Nerwork Address Translation (NAT) es una tcnica uti lizada para modificar la
informacin de direccin de red de un servidor mientras el trfico atraviesa un
ruteador o cortafuegos. Esta tcnica oculta informacin de red de una red privada,
aunque permite que se transfiera trfico por medio de una red pblica como
Interner.
DNS Security Extensions (DNSSEC) agrega provisiones de seguridad para DNS,
de manera que las computadoras puedan verificar que han sido direccionadas a los
servidores adecuados.
El protocol spoofing es el mal uso de un protocolo para perpetrar un engao en un
dispositivo de red o servidor.
Un araque de servicio de negacin (DoS) desborda la red objetivo con cantidades
abrumadoras de trfico, desconectando la infraestructura como un ruteador o
firewall.
Un ataque man-in-the-middle es un tipo de ataque en el cual el atacante se mete en
la comunicacin entre los extremos de una conexin de red. Una vez que el atacante
ha entrado en la secuencia de comunicacin, l o ella pueden interceptar los daros
que se estn transfiriendo e incluso inyectar informacin falsa en la secuencia de
datos.
Los ataques de puerta trasera son ataques contra una pieza funcional que se dej
abierta en el software que permite el acceso al sistema o la aplicacin de software
sin el conocimiento del propietario.
Un ataque DNS poisoning es un ataque contra la informacin almacenada en
memoria en el servidor de DNS.
Un ataque de replay ocurre cuando un atacante puede capturar una secuencia
de datos intacta desde una red, utilizan un sniffer de red, modificar cierros
componentes de la secuencia de daros y luego retransmite el trfico de regreso a la
red para completar el ataque.
Un ataque de desbordamiento de bfer explota pobremente el cdigo escrito,
inyectando daros en campos variables e influenciando la respuesta para accesar a
informaci n de la aplicacin.
Los ataques de inyeccin SQL son uno de los ms antiguos contra las aplicaciones
web que utilizan la aplicacin de base de datos del Servidor SQL.
Una LAN inalmbrica (WLAN) permite a los usuarios conectarse a una red
permaneciendo mviles.
Service Ser Idencifier (SSID) es el nombre de una WLAN. Un servidor que se
conecta debe conocer un SSID de WLAN para conectarse.
Wired Equivalency Privacy (WEP) es el prorocolo de codificacin de red
inalmbrica ms antiguo que cay de gracia cuando se hall LLO defecto con el
mecanismo de codificacin.
El Acceso Protegido Wi-Fi (WPAA) se dise como un sucesor interino de WEP.
Acceso Protegido Wi -Fi Versin 2 (WPA2) es la versin con base en estndares
WPA. A diferencia de WPA, WPA2 implementa codos los estndares IEEE
802.lli.
Una direccin MAC la nica direccin de hardware de un adaptador de red.
Encendiendo el filtrado MAC, se puede li mitar el acceso de red slo para los
sistemas ingresando la informacin de direccin MAC en los fi ltros MAC.
154 leccin 4
Evaluacin de Conocimientos
Eleccin mltiple
-------
Marque con tm crculo la(s) letra(s) que correspondan a /a(s) mejor( es) respuesta(s).
Cul de los siguientes elementos o problemas se debera considerar cuando se decide
utilizar o no un cortafuegos de hardware o software? (Elija rodas las opciones que
apliquen.)
a. Sistema operativo del servidor
b. ConAicros de aplicacin
c. Versin del sistema operativo
d. Eficiencia de servicio de cortafuegos
t. Estabilidad
2. Cules de las siguientes son capas del modelo OSI? (Elija todas las opciones que
apli quen.)
a. Fsica
b. Con e rol
Aplicacin
J Red
(; Codificacin
) En qu capa de modelo OSI se hace el ruceado?
a Fsica
b Enlace de daros
e Transpone
J. Sesin
Red
Cul es los siguiences es un cipo de firewall vlido? (Elija la mejor respuesta.)
a. Vircual
b. Red
c. Pilrrado de paqueres
d. !Psec
t. Aplicacin
5. Cul de las siguientes piezas de infomaci6n es examinada rpicamenre por el l:irewall
de inspeccin con memoria de estado anterior?
,1 Direccin IP del servidor emisor
b Direccin IP del servidor receptor
Direccin IP del ruteador
J Tipo de paquetes de daros
t Tipo de paquetes de daros
6. Cul es el propsito de NAP? (Elija la mejor respuesta.}
a NAP traduce direcciones IP privadas a direcciones IP ruteable en Internet.
b. NAP permite a un 6rewall realizar una inspeccin profunda en los paquetes.
Seguridad en la Red 155
c. NAP proporciona un mecanismo para realizar un anlisis de red en los paquetes
capturados.
d. NAP conrrola qu sistemas se permiten para conectarse a la red.
Qu ripo de araque es uno que se basa en que un usuario ejecute un scripr
maliorencionado inserrado en la pgina web? (Elija la mejor respuesta.)
a. Man-in-rhe-middle
b. Fuerza bruta
e Cross-sire scripring
d. Inyeccin SQL
H. Acaba de comprar un nuevo punro de acceso inalmbrico para su compaa de
servidores de computadoras y quiere asegurar que slo los sistemas capaces se
conecten a la red inalmbrica. Con ese 6n, permite el filtrado de direccin MAC y
pone las direcciones MAC de rodas las computadoras en la tabla. En qu capa de
modelo OSI sucede este filtrado?
a. Fsica
b. Enlace de daros
c. Red
d. Transporte
(;. Sesin
9. Es el funcionario de Seguridad de Informacin de una compaa industrial de tamao
mediano y el equipo de venras utiliza una nueva aplicacin de comercio en lnea para
permitir ventas directas de los productos a los clienres. Para asegurar esta aplicacin.
hace uso de un lirewall de aplicacin. En qu capa de modelo OSI sucede este
filtrado? (Seleccione todas las respuestas que apliquen.)
J Fsica
b. Enlace de daros
e Red
d Presenracin
t Aplicacin
1 O. Cules de los siguientes son componentes de Necwork Access Proceccion? (Elija
todas las opciones que apliquen.)
a. Conformidad de direccin MAC
b. Conformidad de las polticas de salud
c. Modo de acceso limitado
d. Modo de direccin JP
e. Validacin de estado de salud
11. Cul de los siguientes son ataques con base en la contrasea? (Elija rodas las
opciones que apliquen.)
,\ Ataques de reinyeccin
b. Ataquess de sniffer de red
e Ataques de fuerza bruta
d Ataques Man- in-the-middle
<: Ataques de diccionarios
156 leccin 4
1' Qu cipo de ataque se basa en que el atacante engae el servidor emisor para que
piense que su sistema es el servidor receptor y que el servidor receptor piense que es
el servidor emisor? (Elija La mejor respuesta.)
a Ataque de reinyeccin
b Ataque de fuerza bruta
e Ataque Man--in-the-middle
Ataque cross-sice scripcing (ataque XSS)
Ataque de inyeccin SQL
1 i Cul de los siguientes sistemas no puede participar en la implementacin de NAP?
(Elija todas las opciones que apliquen.)
a Wi ndows 7 Home
b Windows 7 Home Premium
c. Windows XP Service Pack 2
d Windows Vista Ultimare
c. Wi ndows 7 Professional
1 i. Cul de los siguientes es un uso comn de una VPN?
a Acceso a distancia
b. Ai slamiento del servidor
e Deteccin de intrusos
d Conexin exrraner
t Aislamienro de dominio
15 Cules de los siguientes son ripos comunes de protocolos de ruceo? (Elij a todas las
opciones que apliquen.)
a. Vector de enlace
b. Enlace dinmico
e Enlace de distancia
d Vector de distancia
e Estado de enlace
Llene los espacios
l. Es un administrador de red y lo acaban de poner a cargo de registrar el nombre de
dominio de la computadora y establecer la DNS, para que la gence pueda accesar a
la pgina de fncerner. Aqu, se puede utilizar para asegurar que las
encradas de DENS no sean envenenadas por un atacante.
2. Los dos prorocolos ms comunes que pueden urilizarse para crear una VPN son
______________ y ____________ __
.) Los tres ripos comunes de spoo6ng de prorocolo son-----------
______ y ____ __
1 El ripo de ataque que se basa en una debilidad en un sistema operativo o aplicacin
se conoce como ---------------
5 Un araque que se basa en el acceso al segmenco fsico de LAN se conoce como araque
6 Un ataque que registra la ecuencia de daros, los modifica y luego los reenva se
conoce como ataque----------------
Seguridad en la Red 157
7. Los dos tipos comunes de Network Address Translation son----------
Y---------------
8. Si se establece una WLAN en un entorno de corporativo y se desea utilizar un
servidor RADIUS y 802.1x para asegurar las conexiones, se necesita uti lizar claves
9. Los cuatro mecanismos uti lizados por NAP para restringir el acceso y hacer
cumplir las polticas son ____________________ _
__________ y ________ _
10. Un(a) _______ se puede utilizar para distraer a un atacante de los sistemas
crticos de la red.
Evaluacin de competencias
Escenario 4-1: Utilizando el cortafuegos de Windows
Trabaja para Corporativo ABC. Necesita decirle a los usuarios c6mo abrir la consola
Firewall de Windows en una computadora que corre Windows 7 y crea una regla de
entrada de Firewall de Windows que permite que Internet Explorer se comunique en los
puerros 80 y 443. Qu pasos debe seguir este usuario?
Escenario 4-2: Revisando la Tabla de Ruteo
Trabaja para Corporativo Conroso, donde tiene una computadora que corre Windows 7.
Ejecute los comandos necesarios para mostrar las rutas actuales. Ahora, aada una ruta a la
red 10.24.57 .O utilizando el gateway 192.168.50.1 y mostrar las rutas para confirmar que
se haya agregado. Pinalmenre, elimine la nueva ruca.
Evaluacin de Habilidades
Escenario 4-3: Paquetes de Sniffing
Decidj6 que quiere desarrollar una mejor comprensi6n de los paquetes y c6mo operan.
Por lo tanto, eligi6 utilizar un sniffer de protocolo, proporcionado por Microsoft llamado
Network Monitor para analizar estos paquetes. Cuando se revisa los paquetes, se desea
identificar las cuatro partes principales que componen la mayora. Qu pasos debera
realizar para hacerlo?
Escenario 4-4: Revisando los Puertos
Est hablando con el Oficial en Jefe de Informaci6n de la compaa. Uno de los programas
que necesira accesar es un servidor que est en una zona desmilitarizada que utiliza los
siguientes protocolos:
Secure Shell (SSH)
Nerwork News Transfer Protocol
Protocolo Simple de Admirustraci6n de Red (SNMP)
NetBIOS
Network Time Protocol
El Oficial en Jefe de Informaci6n quiere saber qu puerto es y qu puertos estn implicados
con estos protocolos. Qu debera decirle?
158 Leccin 4
Estacin de trabajo lista
-7 Defensa a Profundidad
Recuerde de la Leccin l que el concepto de defensa a profundidad implica proporcionar
capas mltiples de seguridad para defender los valores. Es ro asegura que aunque un acacanre
viole una de las capas de la defensa, todava renga capas adicionales para manrenerlo(a)
fuera de las reas crticas del enrorno. Para utilizar el control de acceso, debe establecer
seguridad fsica que prevenga que los individuos rengan acceso direcro a los servidores sin
pasar por la red. Tambin debera rener cortafuegos y rureadores que limiren el acceso en
ell a. Entonces, puede utilizar cortafuegos de servidor, Control de Cuentas de Usuario y
otros componentes para protegerlo.
Adems de revisar el control de acceso, renga en mente la necesidad de aurenrificacin,
autori zacin y cuenca. Para proteger los recursos de la red, an necesita establecer un
sistema que permita el acceso con base en la autentificacin y aucorizacin. Y para asegurar
que esa violacin de seguridad no haya ocurrido, tambin debe establecer medidas de
cuencas que necesiten revisarse reg ularmente.
Matriz de Habilidades de la Leccin
Habilidad Tecnolgica
Cmo proteger su computadora de
Malware (software malicioso)
Cmo proteger la computadora Cliente
Cmo proteger el Correo Electrnico
Cmo proteger el Servidor
Cmo asegurar Internet Explorar
Trminos Clave
Adware
Puerca trasera (back door)
Filtro bayesiano
Zonas de comen ido
Cookie
Software mali cioso (malware)
Microsoft Baseline Security
Analyzer (MBSA)
Archivos fuera de lfnea
Pharming
Dominio del Objetivo
Entender el malware
Entender la proteccin del cliente
Nmero de Dominio
del Objetivo
2.6
Entender la proteccin del correo electrnico
Entender la proteccin del servidor
4.1
4.2
4.3
1.3 Entender la seguridad para Internet
Phishiog
Ventana emergente
Roodcir
Secure Sockets Layer (SSL)
Seoder Pocy Framework (SPF)
Spam
Spyware
Troyano
Control de Cuenta de Usuario
(UAC)
Virus
Virus hoax
Windows Defender
Corrafuegos de Windows (firewall
de Windows)
Windows Server Updace Server
(WSUS)
Windows Updace
Gusano
Digamos que habla con el Director de sistemas (CIO) de su compaa sobre la seguridad de
su red. Particularmente, est tratando de explicarle que ha establecido un mtodo multi-nivel
en la seguridad. Tiene cortafuegos y otros dispositivos que protegen los lmites de la red en su
organizacin. Tambin tiene proteccin configurada para los servidores y los dientes. De este
modo, si un hacker evade el nivel externo de seguridad, l o ella necesitarn pasar por otro nivel
para entrar a los recursos de la red y a la informacin confidencial.
160 Lecci n 5
Cmo proteger la computadora cliente
-!- EN RESUMEN
los usuarios utilizan las computadoras Cliente para conectarse a servidores y aplicaciones de la red. Debido a que
esras estn conectadas a la red de una organizacin, por lo ramo deben ser protegidas.
0 Listo para la
Certificacin
Qu se necesita
para asegurar la
computadora Cliente?
-4.1
Si ha estado trabajando con computadoras por mucho tiempo, sabe que proteger la
computadora Cliente puede ser bastante complicado. La mayora de estas funcionarn con
un sistema operativo de Windows e incluso dentro de una sola organizacin, tendr un
amplio rango de aplicaciones de software y servicios de red. Debido a que es lo que usan
los usuarios para conectarse normalmente a la red de una organizacin, es importante que
las computadoras Cliente se mantengan seguras de malware e intrusiones.
liJ>- Cmo proteger su computadora de Malware
El software malicioso, llamado algunas veces malware, es un soft ware que est diseado para infi ltrarse o afectar
al sistema de una computadora sin la aceptacin informada del propietario. El trmino "malware" normalmente se
asocia con virus, gusanos, rroyanos, spyware, roorkirs y adware engaoso. Como Admi nistrador de redes o Tcnico
en informtica, necesita saber cmo identificar el malware, cmo eliminarlo y cmo proteger a una computadora de
este.
0 listo para la
Certificacin
Sabe cmo es
explotado el buffer
overflow (almacenaje
temporal)?
- 2 .. 6
Tipos de Malware
Debido a que ahora es bastante comn que las computadoras se conecren a Internet,
existen ms oportunidades que nunca de que las de su organizacin resulren infectadas por
malware. De hecho, duranre los ltimos aos, se ha producido una cantidad impresionaore
de malware. Como profesional en seguridad, es responsable de proteger a las computadoras
de su organizacin de infecciones. Adems, si una en su red resulta infectada de algn
modo por malware, debe asegurarse de que esra infeccin no se disemine a otras.
Muchas formas anteriores de malware se escriban como experimentos o bromas. La mayor
paree del tiempo, estas pretendan ser inofensivas y simplemente molesras. Sin embargo,
con el paso del tiempo, el malware se convirti cada vez ms en una herramienta del
vandalismo o para compromet er informacin privada. Actualmente, el malware incluso
puede ser usado para lanzar ataques de negacin de servicio (DoS) en contra de otros
sistemas, redes o sirios Web, que causan que dichos sistemas tengan problemas de
desempeo o que se vuelvan inaccesibles.
Como se mencion anteriormente, el malware puede ser dividido en diversas categoras,
incluyendo las siguientes:
Vi rus
Gusanos
Troyanos
Spyware y adware engaoso

Roorkirs

Puercas traseras (back doors)
Un virm informtico es un programa que puede copiarse a s mismo e infectar una
computadora sin la aprobacin o el conocimiento del usuario. Los virus anteriores
normalmente eran alguna forma de cdigo ejecutable que se ocultaba en el sector de inicio
de un disco o como un archivo ejecutable (por ejemplo, un nombre de archivo con una
Cmo proteger al Servidor y al Cliente 161
extensin .exe o .com). Ms adelante, a medida que los lenguajes macro comenzaron a ser
usados en aplicaciones de software (como procesadores de palabras y programas de hojas de
c.lculo), los creadores de virus se aferraron a esta tecnologa, inregrando macros maliciosos
en documentos de diversos tipos. Desaforrunadamente, debido a que un cdigo macro
es ejecutado auromticamente cuando se abre un documento, esros documenros pueden
infectar a otros archivos y causar un amplio rango de problemas en sistemas informticos
afectados. Actualmente, los sitios Web tambin presenran una amenaza de virus, ya que
pueden estar escritos en diversos lenguajes de programacin y escritura y pueden incluir
programas ejecutables. Por lo ramo, en cualquier momento en que accede a Internet, su
sistema est bajo una constante amenaza de infeccin.
Un gusano es un programaauco-reproduciblequese copia as mismo en otras computadoras
en una red sin ninguna intervencin del usuario. A diferencia de un virus, un gusano no
corrompe ni modifica archivos en la computadora Objetivo. En vez de esto, consume su
ancho de banda, y los recursos de su procesador y su memoria, reduciendo la velocidad
del sistema o causando que este sea inutilizable. Los gusanos normalmente se diseminan
por medio de brechas en la seguridad de los sistemas operativos o de implementaciones de
software de TCP/ IP.
El nombre de los Troyanos deriva de la historia del caballo de Troya en la mitologa
griega. En resumen, un troyano es un programa ejecutable que aparece como un programa
deseable o til. Debido a que parece ser deseable o til , los usuarios son engaados para
descargar y ejecutar el programa en sus sistemas. Despus de que el programa es cargado,
este puede causar que la computadora de un usuario se vuelva inmilizable, o puede evadir
la seguridad del sistema, permitiendo que su informacin privada (incluyendo concraseas,
nmeros de tarjetas de crdito y nmero de seguro social) sea accesible para una persona
externa. En algunos casos, un cabal lo de Troya incluso puede ejecutar adware.
El spywate es un tipo de malware que es instalado en una computadora para reunir
informacin personal de un usuario o detalles sobre sus hbitos de exploracin, con
frecuencia sin conocimienro del usuario. El spyware tambin puede instalar software
adicional, redirigir su explorador de Web a otros sitios, o cambiar su pgina de inicio.
Un ejemplo de spyware es el capturador de teclado (keylogger), que registra cada tecla
presionada por un usuario. Cuando se instala en su sistema, cada vez que escriba nmeros
de una tarjeta de crdico, los nmeros de su seguro social, o contraseas, esa informacin es
registrada y enviada eventualmente o leda por alguien sin su conocimiento. (Sin embargo,
debe indicarse que no codos los keyloggers son malos, ya que algunas corporaciones los
usan para monicorear a sus usuarios corporati vos.)
El Ad1vare es cualquier paquete de software que reproduce, muestra o descarga
automticamente anuncios a una computadora despus de que el software es instalado o
mientras la a pi icacin est siendo usada. An cuando el adware podra no ser necesariamente
malo, este se usa con frecuencia con intenciones hostiles.
Un rootkit es un software o dispositivo de hardware diseado para obtener el control a
nivel de administrador de un sistema informtico sin ser detectado. Los rootkits pueden
tener como objetivo el, un bipervisor (hypervisor), el cargador de arranque, el ncleo del
sistema operativo, o menos comnmente, bibliotecas o aplicaciones.
Una Ptterta trasera (back door) es un programa que le da a alguien conrrol remoto no
aurorizado de un sistema o inicia una tarea no autorizada. Algunas puertas traseras son
instaladas por virus u otras formas de malware. Ocras puercas traseras pueden ser creadas
por programas en aplicaciones comerciales o con una aplicacin personalizada hecha por
una organizacin.
162 Leccin 5
Los virus y gusanos con frecuencia exploran lo que se conoce como buffer overAow (bfer).
En codos los programas de aplicacin, incluyendo al mismo Windows, existen buffers
que contienen dacos. Escos buffers tienen un tamao fijo. Si se envan demasiados dacos
a escos buffers, ocurre un buffer overflow (desbordamiento). Dependiendo de los dacos
enviados al desbordamienco, un hacker puede ser capaz de usar el desbordamienco para
enviar contraseas a s mismo o a s misma, alterar archivos del sistema, instalar back
doors, o causar errores en una computadora. Cuando se ponen en circulacin parches para
reparar un buffer overflow potencial, el parche agrega un cdigo para revisar el tamao de
los datos enviados a.l buffer para asegurarse de que este no se desborde.
Cmo Identificar Malware
El primer paso para eliminar malware es detectar que lo tiene. Algunas veces, es fcil
ver que est infectado con malware. Otras veces, qui z nunca sepa que lo tiene. Algunos
s momas comunes de malware incluyen los siguientes:
Mal desempeo del sistema
Niveles inusualmence bajos de memoria disponible
Mal desempeo mientras se est conectado a lncernec
fndices disminuidos de respuesta
Tiempos ms largos de encendido
Ocasiones en las que su buscador se cierra inesperadamente o deja de responder
Cambios en la pgina predeterminada o pginas predeterminadas de bsqueda de
su explorador
Ventanas emergentes de anuncios inesperadas
Adicin de barras de herramientas inesperadas en su explorador
Ocasiones en las que programas inesperados se inician automticamence
Inestabi lidad para iniciar un programa
Anomalas en los componentes de Windows u otros programas
Programas o archivos faltantes
Mensajes o proyecciones inusuales en su monitor
Sonidos o msica inusuales reproducidos en momentos aleacorios
Creacin y/o instalacin de programas o archivos desconocidos
Aparicin de complementos desconocidos en el explorador
Archivos corruptos
Cambios inesperados en los tamaos de los archivos
Desde luego, para ver esros snromas, necesita buscarlos activamente. Por ejemplo, cuando
su mquina con Windows se vuelva lenta, podra ini ciar el Administrador de Tareas para
ver la utilizacin del procesador y de La memoria. Entonces, podr observar el proceso
cont inuo para ver qu proceso esr usando la mayor cantidad de recursos del procesador
y la memoria. Tambin podra revisar los procesos y servicios en la memoria (de nuevo,
puede usar el Administrador de Tareas). Adems, puede usar la Configuracin del Sistema.
Por supuesto, para poder determinar qu procesos y servicios son falsos, necesita tener un
punto de partida sobre qu procesos y servicios se escn ejecutando acrualmente en su
sistema saludable para propsitos de comparacin. Finalmente, para detectar malware,
deber usar un programa de antivirus actualizado y un paquete de antispyware actualizado,
que juncos pueden escanear su sistema completo y buscar malware en tiempo real a medida
que abre archivos y accede a sirios Web.
*Tome Nota
Aunque esta lista
puede ser de
conocimiento comn
para el personal
de TI, todos los
usuarios deben
recibir recordatorios
y capacitacin de
concientizacin para
ayudar a proteger su
red
Cmo proteger al Servidor y al Cliente 163
Con ramas herramientas que los agresores pueden usar ahora para enviar malware, es fcil
ver la imporrancia de proteger su compuradora de todos los tipos de amenazas de malware.
Desde luego, al protegerse a s mismo, tendr que usar un poco de su propio sentido
comn.
Actualizaciones de Seguridad y Software de Antivirus para los Clientes
Algunos virus, gusanos, rootkits, spyware y adware obtienen acceso a un sistema por
medio de la explotacin de huecos de seguridad en Windows, Internet Explorer, Microsoft
Office o algn otro paquete de software. Por lo tamo, el primer paso que debe dar para
protegerse a s mismo contra malware, es mantener su sistema actualizado con los ltimos
paquetes de servicio, parches de seguridad y otras reparaciones crticas.
El segundo paso para proteger su computadora de malware es usar un paquete de software
de anrivirus actualizado. Adems, si su software de anrivirus no incluye un componente
anrispyware, tiene que instalar uno. Adems, deber asegurarse de llevar a cabo una
exploracin de rodo el sistema con su software de anrivirus por lo menos una vez a la
semana.
Windows Defender es un producto de software de Microsoft que est diseado para
prevenir, eliminar y poner en cuarentena spyware en Microsoft Windows. Esre programa
le ayudar a proteger su computadora en conrra de ventanas emergentes, desempeo lento
y amenazas de seguridad causadas por spyware u orro software no deseado detectando y
eli minando spyware conocido. Windows Defender presenra proteccin en tiempo real,
un sistema de moniroreo que recomienda acciones en conrra del spyware en el momenro
de ser detectado e interrupciones mnimas para ayudarle a mantener su equipo en
funcionamiento. Desde luego, como con cualquier paquete de anrivirus, debe mantener
Windows Defender actualizado.
Descargar
Para Windows XP, Windows Defender puede ser descargado del siguiente sitio Web:
http:Uwww.microsoft.com/windows/products/winfamily/defender/default.mspx
~ Cmo Usar el Sentido Comn con el Malware
Para evitar malware, tambin es importante el uso del sentido comn. Por lo tanto, siempre
debe seguir los siguientes pasos:
1. No instale software desconocido o software de origen no acreditado.
2. No abra archivos adjuntos de correos electrnicos extraos.
3. No d clic en hipervnculos de personas desconocidas cuando no sepa qu se supone
que hagan los vnculos. Esto se aplica no slo para hipervnculos enviados por correo
electrnico, sino tambin para hipervnculos enviados usando servicios de mensajera
instantnea.
4. Si su cliente de correo electrnico soporta activacin automtica, desactvela. De otro
modo, podra activar automticamente un virus informtico slo con abrir un correo
electrnico.
5. No visite sitios Web dudosos, especialmente sitios pornogrficos o sitios que le permitan
descargar software, msica o videos piratas.
164 Leccin 5
*Tome Nota
Asegrese de que su
software de antivirus
est actualizado. Si no
est actualizado, no
podr detectar virus
ms nuevos
*Tome Nota
Si ha adquirido un
paquete de software
de antivirus y est
teniendo problemas
al eliminar malware.
no tenga miedo
de contactar a la
compaa del software
para obtener ayuda
*Tome Nota
Debido a que algunos
malware tienen
capacidades de
keylogger, quiz
desee actualizar
su informacin de
inicio de sesin en
sus cuentas en lnea
cuando encuentre y
elimine malware
6. Si su explorador de Web te alerta de que un sitio en particular es conocido por hospedar
malware, ponga atencin a esta advertencia.
7. Al navegar por Internet, si encuentra ventanas emergentes del buscador que le digan
que necesita descargar el controlador ms actual o revisar su sistema en busca de virus,
proceda con precaucin.
8 No olvide llevar a cabo respaldos con regularidad. De ese modo, si contrae un virus y
pierde algn dato, puede restaurar su sistema a partir de su respaldo.
Cmo eliminar Malware
Cuando comience a ver cualquiera de los sntomas en listados anteriormente en esta leccin,
debe moverse rpidamente paca detectar y (si es necesario) eliminar cualquier malware
presente en su sistema. Nuevamente, el primer paso en la eliminacin del malware es
ejecutar un paquete de software de antivirus y llevar a cabo una exploracin completa.
Si an no tiene un software de antivirus, este es un buen momento para adquirirlo. Si no
puede descargar este software con su computadora, intenta descargarlo en otra mquina,
despus copiarlo en un disco ptico (como un CD o OVO) o una memoria porttil paca
transferirlo a su sistema. Si el software encuentra mahvare y lo elimina, deber reiniciar su
computadora y ejecutar el programa una vez ms para asegurarte de que su sistema est
limpio. Si el programa sigue encontrando diferente malware despus de reiniciar, deber
seguir repitiendo el proceso hasta que su mquina est limpia.
Microsoft ofrece Microsoft Securiry Essentials (MSE), un producto gratuito de software
de antivirus que brinda proteccin coocca malware incluyendo virus, rootkirs, spyware y
Troyanos. Para descargar MSE, visite el siguieoce sitio Web:
http://w\vw.microsofr.comlsecuncy essenralsf
Si su paquete de software de anrivirus sigue enconreando el mismo malware una y orra
vez, necesi ta asegurarse de que no est accediendo a un disco u orro dispositivo que siga
infectando su sistema. Quiz tambin necesite reiniciar Windows en modo seguro e
intentar otra exploracin. Si tiene la opcin de hacerlo, tambi n puede intentar iniciar
desde un CD o OVO y ejecutar la exploracin.
Si su software no puede eliminar un virus en particular, haga un poco de investigacin
en Tntcrner. Con frecuencia, puede encontrar instrucciones paso a paso para eliminar
malware, incluyendo borrar archivos y claves en el registro. Por supuesro, asegrese de
que las instrucciones provengan de una fuente confiable y de que las sig ue con precisin.
Recuerde, si su paquete de ancivirus no cuenta con un componente de antispyware, deber
instalarlo por separado. Tambin puede usar Windows Defender.
Microsoft tambin ofrece la Microsoft Windows Malicious Software Removal Too!,
que revisa computadoras ejecutando Windows en busca de infecciones por ma1ware
especfico y predominante. Microsoft pone en circulacin una versin actualizada de esta
herramienta el segundo marres de cada mes y segn se requiera para responder a incidentes
de seguridad. La herramienta esr disponible en Microsoft Update, Windows Updare y en
el Cenero de Descarga de Microsofr.
Finalmente, no olvide usar Las siguientes herramientas al intencar eliminar malware
desconocido:
Use el Administrador de rareas para ver y detener procesos desconocidos y para
detener servicios desconocidos o dudosos.
Cmo proteger al Servidor y al Cliente 165
Use Services MMC para detener servicios desconocidos o dudosos.
Use la Configuracin del Sistema para desactivar servicios y programas de inicio
desconocidos o dudosos.
En I nternet Explorer, asegrese de desactivar cualquier complemento desconocido
o dudoso.
Cmo examinar un Virus Hoax
Un vinJ.s hoax es un mensaje que advierte al receptor de una amenaza inexistente de
virus informtico, usua.lmente enviado como un correo electrnico en cadena que le dice
al receptor que lo reenve a todas las personas que l/ella conozca. Esca es una forma de
ingeniera social que juega con la ignorancia y el miedo de las personas. Algunas alarmas
falsas pueden decirles que borren archivos clave del sistema que hacen que su sistema
funcione apropiadamente. Otros pueden aconsejarle descargar software de Internet para
protegerle contra el supuesto virus, cuando en realidad, el software descargado es alguna
forma de malware. Los especialistas en antivirus estn de acuerdo en que los receptares
siempre deben eliminar alarmas falsas de virus cuando las reciban, en vez de reenviarlos .
...,. Cmo utilizar Windows Updates
Despus de instalar Windows, debe revisar si Microsoft ha puesto en circulacin alguna actualizacin de Windows,
incluyendo reparaciones, parches, paquetes de servicio y controladores de dispositivos actualizados. Si existen, deber
aplicarlos a su sistema de Wi ndows. Al agregar reparaciones y parches, mantendr a Windows estable y seguro. Debe
sabe que en algunos casos, Microsoft pondr en circulacin diversas reparaciones o parches juncos en forma de un
paquete de servicio o paquete acumulativo.
Figura 5-1
Windows Update
Una manera para mantener Windows accua.l izado es usar el programa Windows Update.
Este programa explora su sistema para determinar qu actualizaciones y reparaciones
necesita su sistema. Despus, cendr la oportunidad de seleccionar, descargar e instalar
cada act ualizacin. Vea la Figura 5-l.
_____ ...._
.......
..,., ..... _ . . ~ ......
--
1
llln< ~ ... ~ rw t'f flll.l ro
....... _ ... .....__ .............. ,.,._
._-,,;-. .. _
...._-... - ~ - - I!S./ao'DI.. It,... ..
k......_.,,__ a-a- wl ....
.. ~ . . . """
._..._, ..... _..._ ..... _
~
166 Leccin 5
Para corporaciones, tambin puede usar el Wi11dows Se,'ver Update Setvice (WSUS) o el
Sysrem Center Configurarion Manager (SCCM) para mantener sus sistemas actualizados.
L'l ven raja de usar uno de es ros dos es que le permiten comprobar un parche, programar las
actualizaciones y dar prioridad a las actualizaciones de los clientes. Una vez que determine
si un parche es seguro, puede activarlo para su implementacin.
Microsoft con regularidad pone en circulacin actualizaciones de seguridad el segundo
marres de cada mes, conocidas comnmente como Patch Tuesday. La mayora de las orcas
actualizaciones son puestas en circulacin segn es necesario; estas son conocidas como
actualizaciones "out ofband". Debido a que las computadoras son usadas frecuentememe
como sistemas de produccin, deber comprobar cualquier actualizacin para asegurarse
de que esras no le causen problemas. Aunque Microsoft lleva a cabo pruebas intensivas,
ocurren problemas ocasionalmente, ya sea como un bug o como un problema de
compatibilidad con software externo. Por lo canco, asegrese siempre de tener un buen
respaldo de su sistema y archivos de daros antes de instalar parches, de modo que cuente
con un plan de retirada si es necesario.
Microsoft clasifica las actualizaciones como Importantes, Recomendadas u Opcionales:
Actualizaciones importantes: Estas act uali zaciones ofrecen beneficios
significativos, como seguridad, privacidad y confiabi lidad mejoradas; adems
deben ser instaladas a medida que estn disponibles y pueden ser instaladas
automticamente con Windows Update.
Actualizaciones recomendadas: Abordan problemas no crticos o ayudan
a mejorar su experiencia informtica. Aunque estas actualizaciones no abordan
problemas fundamentales con su computadora o con el software de Windows,
pueden ofrecer mejoras significativas.
Actualizaciones opcionales: Estas incluyen actualizaciones, controladores o
nuevo software de Microsoft que mejoran su experiencia informtica. Necesita
instalarlas manualmente.
Dependiendo del tipo de actualizacin, Windows Update puede ofrecerle lo siguiente:
Actualizaciones de seguridad: Una actualizacin de seguridad es una reparacin
puesta en circulacin de manera general para una vulnerabi lidad relacionada con
la seguridad de un producto en especfico. Las vulnerabi lidades de seguridad son
clasificadas con base en su severidad, que se indica en el boletn de seguridad de
Microsoft como crtica, importante, moderada o baja.
Actualizaciones crticas: Una actualizacin crtica es puesta en circulacin de
manera general para un problema especfi co que aborda un bug crt ico sin relacin
con la seguridad.
Paquetes de servicio: Un paquete de servi cio es un conjunco comprobado
y acumulativo de hocfixes (parches que at ienden problemas especficos),
acruali zaciones de seguridad, actualizaciones crticas y acruali zaciones, as como
reparaciones adicionales para problemas encontrados internamente desde la ltima
puesta en ci rculacin del producto. Los paquetes de servicio tambin podran
contener un nmero limitado de cambios o caractersticas de diseo solicitadas
por el cliente. Despus de que un sistema operativo es puesto en circulacin,
muchas corporaciones consideran el primer paquete de servicio como el momento
en que el sistema operativo ha madurado lo suficiente para ser usado a lo Largo de
la organizacin.
No rodas las actualizaciones pueden ser recuperadas a travs de Windows Update. Algunas
veces, Microsoft puede ofrecer la reparacin para un problema especfico en la forma de
un horfix o parche acumulativo que pueda instalar. Un horfix es un paquete nico y
acumulativo que incluye uno o ms archivos que son usados para abordar un problema en
Figura 5-2
Cmo cambiar las
configuraciones de
Windows Update
Cmo proteger al Servidor y al Cliente 167
un producto de software, como un bug de software. Comnmente, los hotfixes son creados
para abordar una situacin especfica de un cliente y con frecuencia no han pasado por
pruebas extensivas como los parches recuperados a travs de Windows Updates.
Para encornos pequeos, puede configurar su sistema para ejecutar Auro Update
(Actualizaciones Automticas) para asegurarse de que se rengan disponibles actualizaciones
crticas, de seguridad y de compatibilidad para ser instaladas automt icamente sin afectar
significativamente su uso regular de la Internet. Auto Update trabaja en un segundo plano
cuando est conectado a Internet para identificar cuando existen nuevas actualizaciones
disponibles y para descargarlas en su computadora. Cuando una descarga es completada, se
le notifica y solicita instalar la actualizacin. En este punto, puede instalar la actualizacin,
obtener ms detalles sobre lo que se incluye en la actualizacin, o permitirle a Windows
recordarle sobre la actualizacin en un momento posterior. Algunas actualizaciones
requieren que reinicie su equipo, pero algunas otras no.
Para cambiar sus configuraciones de Windows Update, d die en la opcin Cambiar
Configuraciones en el panel izquierdo de la ventana de Windows Update. Vea la Figura
5-2. Aqu puede especificar qu ripos de actualizaciones desea descargar e instalar
automticamente o puede desactivar Windows Update del todo. Tambin puede
especificar si Windows Update buscar actualizaciones para otros productos de Microsoft
y/ o si instalar cualquier otro software que Microsoft recomiende.
,.

tli,. ' futnw quo: w..su ... , AIC'dc lf!!Uiilr
... .... -...... -.. ....-. ........ __ ..,,_
...... 4 ........... ,..
< ........... . ......... ,
lro!t.A - T-N dtH
.....
Ofo<_KI ___ klo......,.t_.,_ __ _
... ,.... .....
QWto .-1 ,.....,,., ..,.....,..,._ ,_.,. ______ .. __
-u-
01- ,.........W.di'k-1 <.._, ... ,.N,..., ___ ..,._ ....
___ ... _
......................
fl _...,,< __ ._,._, ..,...
............. _ ........ .......... _...._ .. _ . .,..._._
., ........
Si Windows Updare no logra recuperar alguna actualizacin, deber revisar sus
configuraciones de proxy en Internet Explorer para ver si el programa puede pasar a travs
de su servidor proxy (si eJtisre alguno) o firewall. Tambin debe revisar si puede acceder a
Internet, como por ejemplo entrando a hrrp://www.microsofr.com.
Para ver todas las actualizaciones que han sido instaladas, de die en Ver Historial de
Actualizaciones en la pantalla principal de Wiodows Update. Si sospecha de un problema
con una actualizacin especfica, puede dar die en Acrualizaciones Instaladas en la parte
168 Leccin 5
superior de la pantalla para abrir los programas del Panel de Conrrol. Desde aqu, ver
todos los programas y actualizaciones instalados. Si la opcin est disponible, puede
eliminar la actualizacin.
~ Control de Cuenta de Usuario (UAC)
Control de Cuenta de Usmtrio (UAC) es una caracterstica que comenz con Windows Vista y est incluido con
Windows 7. UAC ayuda a prevenir los cambios no autorizados en su computadora y al hacerlo, le ayuda a proteger
su sistema de malware.
Figura 5-3
Confirmacin de UAC con
Secura Desktop
Si inicio sesin como admi nistrador, UAC le pide permiso ances de realizar acciones que
podran afectar porencialmeme la operacin de su computadora o cambiar configuraciones
que afecten a orros usuarios. De manera similar, si inicio sesin como usuario estndar,
UAC le pedi r una contrasea de administrador antes de realizar dichas acciones. Debido
a que UAC est diseado para prevenir cambios no autorizados (especialmente aquellos
creados por software malicioso que quiz no sepa que est ejecutando) necesita leer estas
advertencias cuidadosamente y asegurarse de que la accin o programa que est a punto de
ini ciarse es una que pretenda iniciar.
Como usuario estndar, en Wiodows 7, puede hacer lo siguiente sin permisos o derechos
de administrador:
Instalar actualizaciones de Windows Update.
Instalar controladores de Windows Update o controladores que estn incluidos con
el sistema operativo.
Ver configuraciones de Windows.
Conectar dispositivos de Bluetooth con una computadora.
Restaurar el adaptador de red y realizar ocras rareas de diagnstico y reparacin de
la red.
Cuando una aplicacin le solicite ascenso o se esr ejecutando como administrador, UAC le
pedir una confirmacin, y si se le autoriza, esco le permitir el acceso como administrador.
Vea la Figura 5-3.
Figura 5-4
Configuraciones de UAC
Cmo proteger al Servidor y al Cliente 169
UAC puede ser activado o desactivado para una cuenca de usuario individual. Desde
luego, si desactiva UAC de una cuenta de usuario, su computadora estar en mayor
riesgo. Si n embargo, si lleva a cabo muchas tareas administrativas en una computadora,
los avisos repetidos de UAC pueden ser molestos y detenerle al hacer ciertas actividades,
incluyendo guardar en un directorio de raz de una unidad si tiene una aplicacin que no
sea compatible con ella.
Activar o Desactivar UAC
. . . .
PREPRESE. Para activar o desactivar UAC, siga estos pasos:
1. En el Panel de Control, d clic en Cuentas de Usuario.
2. En la pgina de Cuentas de Usuario, d clic en Cuentas de Usuario.
3. Haga clic en Cambiar las configuraciones del Control de Cuentas de Usuario.
4. Deslize la barra de deslizamiento a las opciones deseadas, como se muestra en la Tabla
5-1. (Vea la Figura 5-4.)
.
.............. -----
, ........... _.. .... .............. ...... --... . --.... 1_
W. rttnr,V "'"' k "rf!SN'Q;nft crem "mM"" itr ii
-1-
- -
....... 18..-e cCII.u# c..w.. .. ., .....
ti ...,..._.. , _...._, ..............
,...,'!/' .... ,.. .. -
A-dil.ll>lliiN...,.,....,,CI,_It_t..,., .. a
, ................ _ ......
5. Cuando se le pida reiniciar la computadora, d cl ic en Reiniciar Ahora o Reiniciar Ms
Tarde segn sea apropiado para los cambios que tendrn efecto.
170 Leccin 5
Tabla 5-1
Configuraciones de UAC
Configuracin
Notificarme siempre
Notificarme slo
cuando un programa
intente realizar
cambios en el equipo
Descripcin
Se le notificar antes de que
los programas realicen cambios
al equipo o a la configuracin
de Windows que requieran los
permisos de un administrador.
Cuando se le notifique, el
escritorio aparecer atenuado
y deber aprobar o denegar
la solicitud en el cuadro de
dilogo de UAC antes de poder
cualquier realizar cualquier
accin en el equipo. La
atenuacin del escritorio se
denomina escritorio seguro
porque no se pueden ejecutar
otros programas mientras est
atenuado.
Se le notificar antes de que
los programas realicen cambios
al equipo que requieran los
permisos de un administrador.
Se le notificar si trata
de realizar cambios en la
configuracin de Windows que
requieran los permisos de un
administrador.
Se le notificar si un programa
que se encuentra fuera trata
de realizar cambios en una
configuracin de Windows.
Impacto de Seguridad
sta es la configuracin
ms segura.Cuando
se le notifique, debera
leer detenidamente el
contenido de todos los
dilogos antes de permitir
que se realicen cambios
en el equipo.
Por lo general es
seguro permitir que
se realicen cambios
en la configuracin
Windows sin que se le
notifique. Sin embargo,
determinados programas
incluidos con Windows
pueden recibir comandos
o datos. El software
malintencionado se
aprovecha de esta
situacin y usa estos
programas para instalar
archivos o cambiar la
configuracin del equipo.
Deber tener siempre
cuidado a la hora de
permitir qu programas
se pueden ejecutar en el
equipo.
Notificarme slo
cuando un programa
intente realizar
cambios en el equipo
(no atenuar el
escritorio)
No notificarme
nunca
Cmo proteger al Servidor y al Cliente 171
Se le notificar antes de que
los programas real icen cambios
al equipo que requieran los
permisos de un administrador.
Se le notificar si trata
de realizar cambios en la
configuracin de Windows que
requieran los permisos de un
administrador.
Se le notificar si un programa
que se encuentra fuera trata
de realizar cambios en una
configuracin de Windows.
No se le notificar antes de
realizar cambios en el equipo.
Si ha ini ciado sesin como
administrador, los programas
pueden realizar cambios en el
equipo sin que sepa nada.
Si ha iniciado sesin como
usuario estndar, se denegarn
los cambios que requieran los
permisos de un administrador.
Si selecciona esta
configuracin, tendr que
reiniciar el equipo para
completar el proceso de
desactivacin de UAC. Una
vez que UAC est desactivado,
los usuarios que inicien sesin
como administrador tendrn
siempre los permisos de un
administrador.
La configuracin es la
misma que "Notificarme
slo cuando un programa
intente realizar cambios
en el equipo" pero no se
le notifica en el escritorio
seguro.Debido a que el
cuadro de dilogo de
UAC no se encuentra
en el escritorio seguro
con esta configuracin,
es posible que otros
programas puedan
interferir con el aspecto
visual del dilogo. Esto
supone un pequeo
riesgo para la seguridad
si ya tiene un programa
malintencionado
ejecutndose en el
equipo.
sta es la configuracin
menos segura. Cuando
establece UAC para
que no notifique nunca,
expone el equipo a
riesgos potenciales en su
seguridad.
Si establece UAC para
que no notifique nunca,
deber tener cuidado con
qu programas ejecuta,
porque tendrn el mismo
acceso al equipo que el
que tiene, incluyendo la
lectura y la realizacin
de cambios en reas
del sistema protegidas,
los datos personales,
archivos guardados
y cualquier dato
almacenado en el equipo.
Los programas tambin
podrn comunicar y
transferir informacin
entre cualquier elemento
con el que se conecte el
equipo, incluido Internet
172 Leccin 5
~ Usar el Firewa/1 de Windows
Otra herramienta importante para el cliente es un firewall. Como se coment en la Leccin 4, un firewall es un
sofrware o hardware que revisa la informacin proveniente de la lorerner o de una red, y puede ser que la bloquee
o le permita el paso a travs de su computadora dependiendo de sus configuraciones de firewall. Un firewall puede
ayudar a prevenir que hackers o sofrware malicioso (como gusanos) obtengan acceso a su computadora a travs de
una red o la Inrernet. Un firewall tambin puede ayudar a evirar que enve software malicioso a orcas computadoras.
*Tome Nota
An cuando su red
pueda contar con un
firewall para ayudarle
a protegerse del trfico
de Internet no deseado,
es una buena idea
tener un firewall de
servidor para brindarle
un nivel adicional
de proteccin. Esto
se recomienda
especialmente cuando
la computadora del
cliente es una porttil
que puede ser llevada
fuera de la red de su
organizacin
Microsoft recomienda que siempre use Cortafuegos de \Vindows (/irewa/1 de \f1i11dows).
Sin embargo debido a que algunos paquetes de seguridad y paquetes de ami virus incluyen
su propio firewall, se puede elegir ejecutar uno alterno (pero deber usar nicamente un
cortafuegos).
Adems del Firewall de Windows enconreado en el Panel de Control, versiones ms
actuales de Windows incluyen cortafuegos de Windows con Seguridad Avanzada
(Advanced Security). Firewall de Windows con Seguridad Avanzada combina un
cortafuegos de servidor y seguridad para el Prorocolo de Internet (IPSec). Aunque Firewall
de Windows con Seguridad Avanzada estn unidos estrechamente, esre ltimo permite un
mayor conrrol. Adems, Firewall de Windows con Seguridad Avanzada tambin brinda
seguridad de conexin de una computadora a otra permitindole requerir aurenricacin y
proteccin de datos para comunicaciones por medio de JPsec.
- ~ - ~ - . ~ 1 cortafuegos de Windows (firewall de Windows)
PREPRESE. Para activar o desactivar el cortafuegos de Windows,lleve a cabo los siguientes
pasos:
Abra el Panel de Control.
2. Si est en vista de Categora, d clic en Sistema y Seguridad, y despus seleccione
Firewall de Windows. Si est en vista de Iconos, d doble clic en Firewall de Windows.
3. En el cuadro a la izquierda, d clic en Activar o Desactivar Firewall de Windows. Si se le
solicita una contrasea o confirmacin de administrador, escriba la o acptela.
4. D clic en Activar Firewall de Windows debajo de la ubicacin apropiada de red
para activar Firewall de Windows, o d clic en Desactivar Firewall de Windows (no
recomendado) debajo de la ubicacin apropiada de red para desactivar Firewall de
Windows. Vea la Figura 5-5. Usualmente desea bloquear todo el trfico de entrada cuando
se conecta a una red pblica en un hotel o aeropuerto o cuando un gusano informtico
se est diseminando en la Internet. Cuando bloquea todas las conexiones entrantes, an
podr ver la mayora de las pginas Web, enviar y recibir correos electrnicos, y enviar y
recibir mensajes instantneos.
Figura 5-5
Firewall de Windows

c... ........
c.. ......... , ........

Cmo proteger al Servidor y al Cliente 173
pr '\lllquipoCJQn T1nwi lldl'Wirdlwr
,.,._..,.._ ""-- ... ""' ............ .,.,1,.,,....._.., __ .......
...,.,.- t !MM. Wt"' ww ....
,u.... .... ..,ud.t ........
*""' ,. __ .._,.,...__._
r ........ ...
(er'...,.._ .. ......... .,
_,.,
....... ......................... _
w.. .. __

............. ,..... .....
---.. ---,..-
.............. ,._._
.,..._ ... _ ,...,. .....
5. Si lo desea, seleccione Bloquear todas las conexiones entrantes, incluyendo aquellas en
la lista de programas permitidos y Notificarme cuando Firewall de Windows bloquee un
nuevo programa.
6. Haga clic en OK.
Por predeterminacin, la mayora de los programas son bloqueados por Firewall de
Windows para ayudar a que su computadora sea ms segura. Para rrabajar apropiadamente,
algunos programas podran requerir que les permira comunicarse a rravs del cortafuegos.
7 Permitir un programa a travs de cortafuegos de Windows (firewalls de
Windows)
PREPRESE. Para permitir que un programa se comunique a travs de Firewall de Windows,
lleve a cabo los siguientes pasos:
1. Abra Firewall de Windows.
2. En el recuadro a la izquierda, d clic en Permitir un programa o caracterstica a travs del
Firewall de Windows.
3. D clic en Cambiar configuraciones. Si se le solicita una contrasea o confirmacin de
administrador, escriba la contrasea o acepte la confirmacin.
4. Seleccione el recuadro de seleccin junto al programa que desea permitir, seleccione las
ubicaciones de red sobre las que desea permitir la comunicacin, y d cl ic en OK.
174 Leccin 5
Figura 5-6
Opciones de Reglas de
Entrada
-7 Puertos en Firewall de Windows
PREPRESE. Si el programa que desea permitir no est en la lista, quiz necesite abrir un
puerto. Para abrir un puerto, lleve a cabo los siguientes pasos:
Abra Firewall de Windows.
2 En el recuadro a la izquierda, d clic en Configuracion avanzadas. Si se le pide una
contrasea o confirmacin de administrador, escriba la o acptela.
3. En el recuadro izquierdo del recuadro de dilogo del Firewall de Windows con Seguridad
Avanzada, d clic en Reglas de Entrada; despus, en el recuadro derecho, seleccione
Nueva Regla.
4. Seleccione Puerto y d clic en el botn Siguiente. Vea la Figura 5-6.
--
-...... - - - - ~
-
.... _________ ...,..
-
.._ _____ .._ .. _
-
--
5. Especifique TCP o UDP y especifique los nmeros del puerto. D clic en el botn
Siguiente. Vea la Figura 5-7.
Figura 5-7
Cmo abrir un puerto
Cmo proteger al Servidor y al Cliente 175
--
.........................................
-
--
--
-
-
............... v. "
....
...................
. ........... ___ _ . - - - - - - - ~
,...... .... _ ..
6. Seleccione Permitir la conexin, Permitir la conexin si es segura, o Bloquear la
conexin. D clic en el botn Siguiente.
7. Por predeterminacin, la regla se aplicar a todos los dominios. Si no desea que la regla
se apl ique a un dominio, elimine la seleccin del dominio. D clic en el botn Siguiente.
8. Especifique un nombre para la regla y una descripcin si lo desea. D cl ic en el botn
Terminar .
..,. Usar Archivos Off/in e
Los Archivos Offline son copias de archivos de red que son almacenados en su computadora de modo que pueda
acceder a ellos cuando no est conectado a la red o cuando la carpeta de red que contenga los archivos no est
conectada.
Los archivos offiine no estn encriptados a menos que elija que lo estn. Quiz desee
encriptar sus archivos offline si estos cont ienen informacin delicada o confidencial
y desee que estos estn ms seguros restringiendo el acceso a ellos. La encriptacin de
sus archivos offline le brinda a un nivel adicional de proteccin de acceso que trabaja de
manera independiente de los permisos del sistema para archivos NTFS (Nuevo Sistema
de Archivo Tecnolgico). Esto puede ayudar a sal.vaguardar sus archivos en caso de que su
computadora se pierda o sea robada en algn momenro.
176 Leccin 5
-7 Activar archivos fuera de lnea
PREPRESE. Para activar los archivos fuera de lnea, lleve a cabo estos pasos:
1. D cl ic en el botn de Inicio y abra el Panel de Control.
2. Busque Archivos en el cuadro de texto Buscar en el Panel de Control y d clic en
Administrar archivos fuera de linea.
3. D clic en Activar archivos fuera de linea.
4. Si se le pide, reinicie su computadora.
EncriJ!tar Archivos Fuera de lnea
PREPRESE. Para encriptar sus archivos fuera de lnea, lleve a cabo estos pasos:
1. D clic en el botn de Inicio y abra el Panel de Control.
2. Busque Archivos en el cuadro de texto Buscar en el Panel de Control y d clic en
Administrar archivos fuera de lnea.
3. Haga clic en la ficha Encriptacin.
4. 4. D clic en Encriptar para cifrar sus archivos fuera de lnea y despus oprima OK.
Si elige encriprar sus archivos fuera de lnea, encriprar nicamente los archi vos
almacenados en su computadora, no Las versiones de red de los archivos. No es necesario
desencri ptar un archi vo encriptado o carpeta almacenada en su computadora ames de
usarlos. Esto se hace automticamente para s mismo .
..,. Bloquear la computadora de un Cliente
Si trabaja con usuarios finales por un extenso periodo de tiempo, pronto aprender que algunos usuarios son sus
peores enemigos. Por lo tanto, en algunos casos, deber considerar bloquear una computadora, de modo que un
usuario no pueda daarla.
A menos que los usuarios individuales tengan la necesidad de ser admini stradores de sus
propias computadoras, ellos debern ser nicamente usuarios estndar. Esro prevendr
que los usuarios instalen software no autorizado y que realicen cambios en el sistema
que podran hacer que el sistema sea menos seguro. Adems, si estos usuarios resultan
afectados por malware, el malware nicamente tendr un acceso mnimo al sistema. Desde
luego, se recomendara usar las opciones de "Ejecutar como" si es necesario, como se
comenta en la leccin 2.
Al trabajar denrro de una organizacin es frecuentemente beneficioso estandarizar cada
computadora de la compaa. Por lo tanto, al cambiarse de una computadora a orra, codo
ser si milar. Para mantenerlas estandarizadas, una organizacin puede elegir usar Polticas
Grupales, de modo que los usuarios no puedan acceder a cierras caracrersticas (incluyendo
el Panel de Control) ni realizar cambios en el sistema que pudiera ser perjudicial.
Permitir a los usuarios instalar software puede:
Introducir malware a un sistema.
Evadir las protecciones ya colocadas para protegerse contra virus maliciosos y otras
amenazas como los troyanos.
Cmo proteger al Servidor y al Cliente 177
Causar confliccos con software que ya est en una computadora principal dentro de
una organizacin.
Si no permite a sus usuarios iniciar sesin como administradores, limitar qu software
pueden instalar. Tambin puede usar polticas grupales para restringir qu software puede
ser ejecutado en la computadora de un cliente.
Windows 7 soporta dos mecanismos para resrringir aplicaciones, los cuales estn basados
en polricas grupales. Escos son:
Pol ticas de restriccin de software
AppLockerS
Cmo Proteger Su Correo Electrnico
..V EN RESUMEN
El correo electrnico se ha convertido en un serviCIO esencial para prcticamente todas las corporaciones.
Desafortunadamente, muchos de los correos electrnicos recibidos por los empleados de una compaa consisten en
mensajes no solicitados llamados spam o correo electrnico basura, algunos de los cuales pueden contener malware
y pueden conducir a fraudes o estafas.
0 listo para la
Certificacin
Sabe cmo preveni r
que se enven virus
a travs del correo
electrnico?
-4.2
La idea detrs del spam es enviar una gran cantidad de mensajes a granel no solicitados de
manera indiscriminada, esperando que unas cuancas personas abran el correo electrnico,
naveguen a un sirio Web, compren un producto, o caigan en una esrafa. Para las personas
que lo crean, el spam riene coseos operativos mnimos. Durante los ltimos aos, las
cantidades de correo elecrrnico basura se han incrementado exponencialmente, y
acrualmenre, representa al menos 90 por cienro de todos los correos electrnicos en el
mundo.
Adems del riesgo de malware y fraude asociado al spam, existe tambin una prdida
de productividad para los recepcores de los correos electrnicos a medida que tienen que
revisar correos electrnicos no solicitados. Adems, el departamento de TI necesitar
instalar almacenaje adicional y proveer de suficiente ancho de banda para acomodar
el correo electrnico adicionaL Por lo ramo, siempre debe de instalar un dispositivo o
software de bloqueo de spam que incluya proteccin anrivirus. El programa le brindar un
segundo nivel para proteger su red de virus.
lit> Tratar con el Spam
Para mantener sus sistemas en ejecucin sin problemas, como administrador de redes deber bacer un esfuerzo por
bloquear el spam.
La mejor manera de establecer un sistema de filtrado de spam es en un servidor o dispositivo
dedicado o como parte de un dispositivo o servicio de cortafuegos. Puede dirigir codos los
correos electrnicos al filrro de spam cambiando su registro de Inrercambiador de Correo
DNS (MX) para apuntar al servidor o dispositivo anrispam. Cualquier correo electrnico
que no sea considerado basura ser reenviado a sus servidores de correo electrnico internos.
Al establecer un sistema de filtrado de spam, tenga dos cosas en menee. Primero, los
sistemas de filtro no arraparan todos los mensajes de spam. Como un paquete de ami virus,
una solucin de filtrado necesita ser mancenido actualizado y consrancemente ajustado.
Tambin podra necesitar agregar direcciones de correo electrnico, dominios de correo
178 Leccin 5
electrnico, rangos de direcciones IP, o palabras clave en una lista negra. Cualquier correo
electrnico que aparezca en la sra negra ser bloqueado automticamente. Desde luego,
necesira tener cuidado al usar una sta negra para asegurarse de que no haga el criterio tan
amplio que comience a bloquear correos electrnicos legtimos.
Muchas soluciones antispam tambin usan una lisra negra (blackhole) en tiempo real
(RBL), o lista negra en DNS (DNSBL) que puede ser accedida gratuitamente. Las RBLs
y DNSBLs son listas de spammers (personas que envan spam) que son acrualizadas
frecuentemente. La mayora del software de servidores de correo puede ser configurada
para rechazar o marcar mensajes que han sido enviados desde un sitio listado en una o ms
de dichas listas. Debido a que los spammers buscan maneras para evadir estas listas, esta es
slo una herramienta que puede ayudarle a reducir la cantidad de spam que logra ingresar.
Al identificar un correo elect rnico como spam, este usualmente es puesto en cuarentena o
almacenado temporalmente en caso de que un correo electrnico haya sido puesto por error
en esta categora. Aunque que el nmero de mensajes categori zados errneamente debe de
ser relativamente bajo, necesitar capacitar a su personal de servicios de asistencia tcnica
y posiblemente a sus usuarios para acceder a los correos electrnicos puestos en cuarentena
de modo que puedan liberar mensajes colocados errneamente en su buzn destinado de
correo electrnico. Adicionalmente, necesitar agregar la direccin o el dominio de correo
electrni co del remitente en una lista blanca de modo que este no sea identificado como
spam en el futuro.
Detectar spam puede resultar una labor desalentadora si alguna vez lo ha tenido que hacer
de manera manual. Adems de las frases obvias de publicidad y otras palabras clave, los
sistemas de spam rambin observarn el encabezado de un correo electrnico para analizar
la informacin sobre el correo elecrrnico y su origen. Por ejemplo, si tiene su correo en
Ourlook 2003, abra un mensaje de correo electrnico, abra el men Ver, y seleccione
Opciones. Debajo de Encabezados de Internet, podr ver el historial para una trayectoria
de entrega de correos electrnicos. Para hacer esto en Ourlook 201 O, primero seleccione
el mensaje, despus d die en el men Archivo y seleccione Propiedades, debajo de
Informacin.
Para hacer que un mensaje spam se vea como un mensaje legtimo, algunas veces los
spammers intentan falsificar una direccin de correo electrnico o direccin IP de donde
viene un mensaje. Por ejemplo, si un correo electrnico fue enviado desde un dominio
yahoo.com, un sistema anrispam podra realizar una bsqueda en reversa usando el
regisrro DNS PTR para ver la direccin IP del dominio yahoo.com. Si esa direccin IP
no concuerda con aquella de donde dice el correo electrnico que sali, el mensaje es
considerado spam y ser bloqueado.
Sender Policy F1amework (SPF, Convenio de Remitentes) es un sistema de validacin
de correos electrnicos diseado para prevenir spam de correos que usen spoofing
(falsificacin) de direcciones de origen. SPF permite a los administradores especificar en los
registros DNS SPF en el DNS pblico qu servidores tienen permiso para enviar correos
electrnicos desde un dominio en especfico. Si no se envan correos electrnicos para un
dominio desde un servidor listado en el DNS SPF, se considerar spam y se bloquear.
Actualmente, los paquetes anrispam usan algoritmos especiales, como filtros Bayesianos,
para determinar si un correo elecrrnico es considerado spam. Estos algoritmos usual menee
analizan correos elecrrnicos recibidos anteriormente y crean una base de datos usando un
nmero de atriburos. Despus, cuando una computadora recibe un correo electrnico, este
comparar ese correo elecrrnico con los atributos que ha recolectado para determinar si
el mensaje es spam.
Cmo proteger al Servidor y al Cliente 179
..,.. Transferencia de Correos Electrnicos
Protocolo de Transferencia Simple de Correo Electrnico (SMTP,) es uno de los principales protocolos para correo
electrnico. SMTP se usa para transferir correos electrnicos de un servidor a otro, y es responsable por el transporte
de correo de salida. SMTP usa el puerto TCP 25.
Aunque podra pensar que sus servidores de correo electrnico funcionan nicamence para
que los usuarios enven y reciban correos electrnicos, estos tambin pueden ser usados
para transferir correos electrnicos. Por ejemplo, los servidores Web y de aplicaciones
pueden transfer r correos electrnicos a travs de sus servidores de correo electrnico, como
cuando ordena algo por Internet y se le enva un correo electrnico de confirmacin.
Normalmente, nicamente desea que sus servidores internos transfieran correos
electrnicos a travs de sus servidores de correo. Desafortunadamente, los spammers
buscan frecuentemente servidores SMTP no protegidos para transferir sus correos
electrnicos a travs de ellos. Como resultado, no slo los spammers usan sus servidores
SMTP para enviar correos electrnicos, sino que otras organizaciones pueden marcar su
servidor o dominio como spammer y podra ser colocado en una de las RBLs o DNSBLs.
Para salir de esta lista, necesirar cerrar su hueco de seguridad de modo que otras personas
no puedan transferir correos electrnicos a travs de su servidor. Despus, podr contactar
a las organizaciones que poseen las RBLs o DNSBLs para hacer que lo saquen de su lisra.
Cmo Asegurar Internet Explorer
-1- EN RESUMEN
Debido a que la exploracin de un sirio Web puede exponerlo a un amplio rango de riesgos, tambin necesita
observar su explorador cuidadosamente para ayudarse a protegerse a s mismo y a su sistema. Los exploradores
actuales incluyen bloqueadores de ventanas emergentes, zonas, y otras caractersticas integradas de seguridad .
..,.. Cookies y Configuraciones de Seguridad
Cuando usa un explorador para acceder a Internet, podra estar revelando informacin personal y mucho sobre su
personalidad. Por lo tanto, necesita tomar medidas para asegurar que esta informacin no pueda ser leda o usada sin
su conocimiento.
0 listo para la
Certificacin
De dnde cree que
viene la mayor parte
del malware?
- 1.3
Una cookie es un pedazo de rexro almacenado por el explorador Web de un usuario. Este
archivo puede ser usado para un amplio rango de propsitos, incluyendo identificacin
del usuario, autenticacin, y almacenaje de las preferencias de un sirio y contenidos de
un carrito de compras. Aunque las cookies pueden darle a un sitio Web gran capacidad,
estas tambin pueden ser usadas por programas de spyware y sitios Web para rastrear a las
personas. Desafortunadamente, algunos sitios Web no operarn sin cookies.
180 Leccin 5
Figura 58

archivos temporales
-7 Borrar las Cookies en Internet Explorer 8
PREPRESE. Para borrar cookies,lleve a cabo estos pasos:
Abra Internet Explorer.
2. D clic en el botn de Herramientas, y despus d clic en Opciones de Internet.
3. En la ficha General, bajo Historial de Exploracin, d clic en Eliminar. Vea la Figura 58.
4. Seleccione el recuadro de seleccin Cookies, y despus d clic en Eliminar s no se
ha seleccionado an. Retire la seleccin o seleccione los recuadros de seleccin para
cualquier otra informacin que tambin desee borrar. S desea conservar las cookies
de sus favoritos guardados, seleccione el recuadro de seleccin de datos de sitios Web
Conservar Favoritos.
c....,.. ..................... .....
............ --....... -----..
_ .. , __
.... -.... - ....
-=.......... ....-....... ... ..... _
]
Estar consciente de cmo se usa su informacin privada cuando se explora la Web es
tambin importante para ayudarle a prevenir publicidad enfocada, fraudes e identificar
robos. Aqu, es importante usar Las configuraciones apropiadas de privacidad.
-7 Cambiar las Configuraciones de Privacidad
PREPRESE. Para cambiar las configuraciones de privacidad de Internet Explorer,lleve a
cabo estos pasos:
1. Abra Internet Explorer.
2. D clic en el botn Herramientas, y despus d clic en Opciones de Internet.
3. D clc en la ficha Privacidad. Vea la Figura 59.
Figura 5-9
Ficha de Privacidad
Cmo proteger al Servidor y al Cliente 181
------
.,---,---..
---......--
Para ajustar sus configuraciones de seguridad, ajusre la barra de deslizamiento a una nueva
posicin en la escala de privacidad. El nivel predeterminado es Medio; se recomienda que
configure sus configuraciones en Medio o ms al ro. Si da die en el botn Avanzadas, puede
controlar cierras configuraciones, y si da die en el botn Editar, puede permitir o bloquear
cookies de sirios Web individuales.
Las ventanas emergentes son muy comunes en Interner. Aunque algunas ventanas
emergentes son controles ti les de un sirio Web, la mayora son simples anuncios
publicitarios molesros, y unos cuantos pueden intentar cargar spyware u orros programas
maliciosos. Para proteger su computadora, Internet Explorer tiene la capacidad de
suprimir algunas o rodas las ventanas emergentes. Para configurar el bloqueador de
ventanas emergentes, use el siguiente procedimiento:
~ Configurar el Bloqueador de Ventanas Emergentes
PREPRESE. Inicie sesin en Windows 7, y despus lleve a cabo estos pasos:
1. D clic en Inicio, y d clic en Panel de Control. Aparecer la ventana de Panel de Control.
2. Seleccione Redes e Internet y despus Opciones de Internet. Aparecer la pgina de
Propiedades de Internet.
3. D clic en la pestaa Privacidad. Asegrese de que la opcin Activar Bloqueador de
Elementos Emergentes est seleccionada.
4. D clic en Configuraciones. Aparecer el cuadro de dilogo de Configuraciones de
Bloqueador de Elementos Emergentes.
182 Leccin 5
5. Para permitir las ventanas emergentes de un sitio Web especfico, escriba la direccin del
sitio en el recuadro de texto Direccin de sitio Web para permitir y d clic en Agregar.
Repita el proceso para agregar sitios adicionales a la lista de sitios Permitidos.
6. Ajuste la lista desplegable de niveles de Bloqueo en una de las siguientes
configuraciones:
Alto: Bloquea todas las ventanas emergentes
Medio: Bloquea la mayora de las ventanas emergentes automticas
Bajo: Permite las ventanas emergentes de sitios seguros
7. D clic en Cerrar para cerrar el cuadro de dilogo de Configuraciones del Bloqueador de
Elementos Emergentes.
8 D clic en OK para cerrar la pgina de Propiedades de Internet.
...,. Cmo Examinar las Zonas de Contenido
Para ayudarse a administrar la seguridad al visitar sirios, Internet Explorer divide su conexin de red en cuatro zonas
o tipos de contenido. Para cada una de estas zonas, est asignado un nivel de seguridad.
La seguridad para cada zona es asignada con base en los peligros asociados con la zona. Por
ejemplo, se supone que cuando se conecta a un servidor en su propia corporacin, est ms
seguro que cuando se conecta a un servidor en Imernet.
Las cuatro zonas predeterminadas de contenido son las siguientes:
Zona de Internet: Esta zona es usada para codo lo que no est asignado a otra
zona y a nada ms que no est en su computadora o en la red de su organizacin
(imranec). El nivel predeterminado de seguridad de la zona de l mernet es Medio.
Zona de imranec local: Esta zona es usada para sirios que son parte de la red de
una organizacin (intranec) y que no requieren de un servidor proxy, segn las
definiciones del administrador del sistema. Estos incluyen sitios especificados en la
ficha de Conexiones, la red, crayecrorias como \\nombre de PC\nombre de carpem,
y sirios de la imranet local como http://interno. Puede agregar sirios a esta zona. El
nivel predeterminado de seguridad para la zona de imranet Local es Medio-Bajo,
lo que significa que Internet Explorer permitir que todas las cookies de los si rios
Web en esta zona sean guardadas en su computadora y que sean ledas por el sitio
Web que las cre. Finalmente, si el sitio Web requiere de NTLM o autenticacin
integrada, este usar automticamente su nombre de usuario y comrasea.
Zona de sitios de confianza: Esta zona cont iene sirios desde los que cree que puede
descargar o ejeC1.lrar archivos sin daar su sistema. Puede asignar sitios a esta zona.
El nivel predeterminado de seguridad para la zona de sirios De Confianza es Bajo,
lo que significa que Imernet Explorer permitir que rodas las cookies de los sirios
Web en esta zona sean guardados en su computadora y que sean ledos por el sirio
Web que las cre.
Zona de sirios restringidos: Esta zona contiene sirios en los que no confa y desde
los que descargar o ejecutar archivos podra daar su computadora o sus datos.
Estos sitios son considerados un riesgo de seguridad. Puede asignar sirios a esta
zona. El nivel predeterminado de seguridad para la zona de sirios Restringidos es
Alto, lo que significa que Inrerner Explorer bloquear rodas las cookies de los sitios
Web en esra zona.
Para decidir en qu zona cae una pgina Web, observe el lado derecho de la barra de estado
de r mernet Explorer.
Figura 5-10
Cmo configurar las
zonas de contenido de
seguridad
Cmo proteger al Servidor y al Cliente 183
7 Nivel de Seguridad para la Zona de Contenido Web
PREPRESE. Para modificar el nivel de seguridad para una zona de contenido Web, lleve a
cabo estos pasos:
1. D clic en el botn Herramientas, y despus seleccione Opciones de Internet.
2. En el cuadro de dilogo de Opciones de Internet, en la ficha de Seguridad, d clic en la
zona en la que desea establecer el nivel de seguridad. Vea la Figura 5-10.
3. Arrastre la barra de deslizamiento para establecer el nivel de seguridad en Alto, Medio, o
Bajo. Internet Explorer describe cada opcin para ayudarle a decidir qu nivel elegir. Se
le pedir confirmar cualquier reduccin en el nivel de seguridad. Tambin podr elegir el
botn de Nivel Personalizado para un control ms detallado.
4. D clic en OK para cerrar el cuadro de dil ogo de Opciones de Internet.
.... ..., ........... ,...
_________ ....._
--
.,., .................. ..
,.__ . ._,.. ___ .
- ~
,.,.-..-.._ .... _
Para cada una de las zonas de contenido Web, existe un nivel predeterminado de seguridad.
Los niveles de seguridad disponibles en Internet Explorer son los siguientes:
AJeo: Excluye cualquier contenido que pueda daar su PC
Medio: Le advierte antes de ejecutar contenido potencialmente daino
Bajo: No le advierte antes de ejecut ar contenido potencialmente daino
Personalizado: Una configuracin de seguridad de su propio diseo
La manera ms fci l de modificar la configuracin de seguridad que I nternet Explorer
impone sobre un sirio Web especfico es agregar manualmenre el sirio a una zona de
seguridad. El procedimiento usual es agregar un sirio a la zona de si rios De Confianza para
incrementar sus privi legios, o en vez de ello agregarlo a la zona de si rios Rest ri ngidos para
reducir sus privilegios. Para hacer esco, use el siguiente procedimiento:
184 Leccin 5
-7 Agregar un Sitio a una Zona de Seguridad
PREPRESE. Inicie sesin en Windows 7, y despus lleve a cabo estos pasos:
1. D clic en Inicio, y seleccione Panel de Control. Aparecer la ventana del Panel de
Control.
2. Seleccione Redes e Internet y despus Opciones de Internet. Aparecer la pgina de
Propiedades de Internet
3. D clic en la pestaa Seguridad.
4. Seleccione ya sea la zona de Sitios de Confianza o Sitios Restringidos a la cual desee
agregar un sitio.
5. D clic en Sitios. Aparecer el cuadro de dilogo de Sitios de Confianza o Sitios
Restringidos.
6. Escriba la direccin del sitio Web que desee agregar a la zona en el cuadro de texto
Agregar este sitio Web a la zona, y d clic en Agregar. Aparecer la direccin en la lista
de sitios Web.
7. D cl ic en Cerrar para cerrar el cuadro de dilogo de Sitios de Confianza o Sitios
Restringidos.
8. D clic en OK para cerrar la pgina de Propi edades de Internet.
Para modificar las propi edades de seguridad de una zona, use el siguiente procedimiento:
PREPRESE. Inicie sesin en Windows 7, y despus lleve a cabo estos pasos:
1. D clic en Inicio, y elija Panel de Control. Aparecer la ventana del Panel de Control.
2. Seleccione Redes e Internet y despus Opciones de Internet. Aparecer la pgina de
Propiedades de Internet.
3. D clic en la ficha Seguridad.
4. Seleccione la zona para la cual desea modificar las configuraciones de seguridad.
5. En el cuadro de Nivel de seguridad para esta zona, ajuste la barra de deslizamiento
para incrementar o disminuir el nivel de seguridad para la zona. Al mover la barra de
deslizamiento hacia arriba se incrementa la proteccin para la zona, y al mover la barra de
deslizamiento hacia abajo se disminuye.
6. Seleccione o retire la seleccin del recuadro de seleccin Activar modo protegido, si lo
desea.
7. Para ejercer un control ms preciso sobre las configuraciones de seguridad de la zona,
d clic en Nivel personalizado. Aparecer el cuadro de dilogo de Configuraciones de
Seguridad para la zona.
8. Seleccione los botones de seleccin para las configuraciones individuales en cada una de
las categoras de seguridad. Los botones de seleccin usualmente hacen posible activar
una configuracin, desactivarla, o avisar al usuario antes de activarla.
9. D clic en OK para cerrar el cuadro de dilogo de Configuraciones de Seguridad.
10 D clic en OK para cerrar la pgina de Propiedades de Internet.
Cmo proteger al Servidor y al Cliente 185
IJt> Phishing y Pharming
Phishing y pharming son dos formas de ataque usados para atraer con engaos a los individuos a sirios Web
fraudulentos en un inrenro por diseminar malware o recopilar informacin personal.
Phishing es una tcnica basada en ingeniera social. Con el pbishing, se les pide a
los usuarios (normalmente a travs de correos electrnicos o sirios Web) suministrar
informacin personal en una de dos maneras:
Contestando a un correo electrnico en q ue se les pregunte su nombre de usuario,
contrasea y orra informacin personal, como nmeros de cuenca, PINs y nmeros
de Seguro Social.
Navegando a un sitio Web que parece convincente que les incita a sumi nistrar su
informacin personal, como comraseas y nmeros de cuenca.
Por ejemplo, digamos que recibe un correo electrnico dicindole que la cuenca de
su tarjeta de crdjro acaba de expirar o que necesi ta validar su informacin. El correo
electrnjco le ofrece un vnculo al que acceder dando dic. Cuando da die en el vnculo,
accede a un sirio Web falso. Sin embargo, al "iniciar sesin" en el sirio con su informacin
real, de hecho estar proveyendo su nombre de usuario y contrasea al hacker, que despus
podr usar esta informacin para acceder a su cuenta.
Para ayudarle a protegerse contra el phishing, Internet Explorer 8 incluye el Fi ltro
SmarrScreen, el cual examina el trfico en busca de evidencia de actividad de phishing y
muestra una advertencia al usuario si encuentra alguna. Este tambin enva la direccin
de regreso al servicio de SmartScreen de Microsoft para realizar una comparacin contra
las Listas de sitios conocidos de phishing y malware. Si el Filtro SmartScreen descubre que
un sitio Web que est visitando est en la lista de sirios conocidos de malware o phisbing,
Internet Explorer mostrar una pgina Web de bloqueo y la barra de Direccin aparecer
en rojo. Desde la pgina de bloqueo, puede elegir evadir el sitio Web bloqueado e ir a su
pgina de inicio, o puede cominuar su ingreso al sirio Web bloqueado, aunque esto no se
recomienda. Si decide conti nuar su ingreso al sirio Web bloqueado, la barra de Direccin
conti nuar apareciendo en rojo.
Una de las mejores maneras de evi tar dichas tcticasessaber q ueexisten. Consecuentemente,
cuando reciba un correo electrnico que le solicite informacin personal, busque seales
de que el correo electrnico es falso y que los vnculos dentro de este le llevan a sitios
fraudulentos (por ejemplo, en vez de entrar en ebay.com, un vnculo ingresa a ebay.com.
como a ebay_ws-com). No confe en hipervnculos. Nunca suministre una contrasea u
ocra informacin confidencial a un sirio Web a menos de que mismo escriba la direccin y
est seguro de que es correcta.
Pharmi1zg es un ataque enfocado en redirigir el trfico de un sitio Web a un sitio Web
fraudulento. Esto normalmente se logra cambiando el archivo del servidor (un texro que
provee la resolucin del nombre para nombres de servidores o dominios a la direccin IP)
en una computadora o explorando una vulnerabilidad en un servidor DNS. Para protegerse
cenera pharming, necesita asegurarse de que su sistema cuenta con los parches de seguridad
ms acruales y que cuenca con un paquete de software de anrivirus actualizado. Adems,
UAC le ayuda a proteger el archivo del servidor, ya que este se localiza en la carpeta
System32, que es una de las reas que UAC ayuda a proteger.
186 Leccin 5
Cmo Proteger Su Servidor
-------------------------- .. - ................................................................................................................................... ..
.... EN RESUMEN
Al considerar la seguridad, recuerde que necesita asegurar su red, a sus clientes y sus servidores. Al asegurar estos
eres, adopta un mtodo en niveles que hace ms difcil que los hackers y el malware violen su organizacin. En las
lecciones anteriores, hablamos sobre cmo mantener su red segura. Anteriormente en esca leccin, hablamos sobre
cmo mantener a sus clientes seguros. Ahora, en esra paree de la leccin, nos enfocaremos en cmo asegurar el
servidor.
0 listo para la
Certificacin
Sabe cmo proteger
sus servidores de
manera que siempre
estn funcionando
adecuadamente?
-4.3
Como ya sabe, los servidores son computadoras cuyo objet ivo es brindar servicios y
aplicaciones de red para su organizacin. A diferencia de una estacin de trabajo, si un
servidor fa lla, esto afectar a mltiples usuarios. Por lo canco, es importante mantener a un
servidor ms seguro que a una estacin de eraba jo.
Cmo Colocar el Servidor
El primero paso para asegurar un servidor es determinar dnde colocarlo. Desde luego, el servidor debe ser mantenido
en una ubicacin segura. Adems, los servidores deben estar en su propia subred y VLAN para reducir el trfico que
llega a ellos, incluyendo transmisiones.
En algunos casos, puede requerir colocar los servidores en una oficina subsidiaria. En
situaciones en las que necesite instalar un controlador de dominio en un ambiente de
seguridad fsica baja, deber considerar instalar un Controlador de Dominio de Slo
Lectura (RODC) que cont iene una copia no editable del Directorio activo y redirige todos
los incenros de escritura a un Controlador de Dominio Toral. Este dispositivo duplica
todas las cuencas, excepto aquellas sensibles. Por lo ramo, si el controlador de dominio est
comprometido, los atacantes son limitados en lo que pueden hacer al escribi r informacin
en Directorio activo .
..,. Cmo Fortalecer al Servidor
El siguiente paso en la seguridad de un servidor es fortalecerlo para reducir la superficie del ataque, reduciendo as
las vulnerabilidades del servidor. Para fortalecer a un servidor, deber buscar los lineami entos y mejores prcticas
en seguridad para servidores de Windows y los servicios especficos de red que est instalando, como Microsoft
Exchange o Microsoft SQL Server.
Uno de los pasos ms importantes en la seguridad de un servidor es verificar que Windows,
las aplicaciones de Microsoft y otras aplicaciones de red sean mantenidas actuales con los
parches de seguridad ms novedosos. Como con los clientes, puede hacer esto usando
Windows Updaces, WSUS y SCCM. Desde luego, antes de aplicar parches a un sistema de
produccin, asegrese de comprobar las acrualizaciones de seguridad.
Para reducir la superficie de ataque de un servidor, deber desactivar cualquier servicio que
no sea necesario, de modo que ese servicio no pueda ser explorado en el fururo. Adems,
deber considerar usar firewalls de servidores (como Firewall de Windows), que bloquear
todos los puerros que no estn siendo usados.
Cmo proteger al Servidor y al Cliente 187
Para reducir el efecto de prdida de un servidor, deber separar los servicios. Nunca
instale todos sus servicios en un solo servidor! Tambin necesita planear el resro y esperar
lo mejor. Esto significa que necesita anricipar que un servidor fallar evenrualmente. Por
lo tamo, debe considerar usar suministros de energa redundante, discos RAID (Con junco
Redundante de Discos Independientes, por sus siglas en ingls), rarjeras de red redundante
y clsrers.
Tambin deber desactivar o borrar cualquier cuenca innecesaria. Por ejemplo, aunque
no pueda borrar la cuenca de administrador, puede cambiarle el nombre a algo ms de
modo que sea ms difcil para un hacker adivinarlo. Adems, no deber usar la cuenta
de administrador para codo. Por ejemplo, si debe ejecutar un servicio especifico, cree una
cuenta de servicio para ese servicio y otrguele los derechos y permisos mnimos que
necesite para ejecutarse. Desde luego, la cuenta de invitado debe ser desactivada.
Adems de desactivar o borrar cualquier cuenca innecesaria y nicamente asignar los
derechos y permisos mnimos necesarios para que los usuarios hagan su trabajo, tambin
deber minimizar quin puede iniciar sesin localmenre en el servidor.
Adicionalmente, deber desactivar cualquier prorocolo de autenticacin no seguro. Por
ejemplo, no deber usar un Protocolo de Autenticacin de Contraseas (PAP) al usar
protocolos de acceso remoto. No deber usar FTP con contraseas. En vez de esto, use
un annimo que no requiera de contraseas (suponiendo que su contenido no necesite ser
seguro) o use FTP seguro, que encriptar la contrasea y el contenido cuando est siendo
transmitido sobre la red. Por razones similares no deber usar telner. En vez de esto, use
SSH (Secure Shell).
Finalmente, deber habi litar una fuerce poltica de auditora e inicio de sesin y revisar
esros registros en una base regular. Si alguien intenta atacar un servidor o hacer algo que
no debera estar haciendo, tendr un registro de las actividades de esa persona. Esro deber
incluir inicios de sesin de cuencas exitosos y fallidos.
Microsoft Baseline Secmity Analyzer (MBSA, Analizador de Segmidad Bsica
de Microsoft) es una herramienta de software puesta en circulacin por Microsoft para
determinar el estado de seguridad de un sistema evaluando las acrualizaciones faltantes
en seguridad y las configuraciones de seguridad menos seguras dentro de los componentes
de Microsoft Windows como Internet Explorer, el servidor Web liS, y producros como
Microsoft SQL Setver y las configuraciones de macros de Microsoft Office. Vea la Figura
5-11.
188 Leccin 5
Figura 5-11
Analizador de Seguridad
Bsica de Microsoft
............. _,. ......... _.._ __ .. ,.._ ..... ,.r.c
"
t "" f ... St'<unty Analy:t>r
Report for CORPOAATE VMSHAR.EONETEST (201().07-25 21 55 OS)
--

'--
-
---
--
---- -
__ ....,
.,_
_.,...._ __
ar&aJ
-

:a.uw..a
--

.... _ ....... ----.. -
....,..., ............................. ....
-
. ._ __ .. _
....,.. .........
-
---
-----
--
9-
.....
.. ..__ ..................... ..-...... ............. ........ ...,.... ....
.. ------
Microsoft frecuentemente publica guas de seguridad y guas de las mejores pracncas
para diversos producros. Adems, Microsoft ha publicado las Amenazas y Contramedidas
(Configuraciones de Seguridad en Windows Server 2008 y Windows Visea), que pueden
encontrarse en hrrp: www.macrosofr.com downloads dnaals.aspx
1
dasplaylang -= en&Famil
>ID 0Hd908d-6a Lc-41
Cmo Asegurar DNS Dinmico
Desde Windows Server 2003, los servidores de Windows han provisto de soporte para la funcionalidad de
actualizaciones dinmicas de DNS. DNS Dinmico permite que las computadoras de los clientes actualicen
dinmicamente sus registros de recursos en DNS. Cuando use esta funcionalidad, mejorar la administracin de
DNS reduciendo el tiempo que le roma administrar manualmente los registros de zonas de DNS. Puede usar la
funcionalidad de actualizaciones de DNS con DHCP para actualizar los regist ros de recursos cuando se cambie la
direccin IP de una computadora.
Con actuali zaciones tpicas dinmicas no aseguradas, cualquier computadora puede crear
registros en su servidor DNS, lo que lo deja abierto a actividad maliciosa. Para proreger su
servidor DNS, asegrelo de modo que nicamente miembros de un dominio de Direcrorio
activo puedan crear registros en el servidor.
Cmo proteger al Servidor y al Cliente 189
Matriz de Habilidades de Resumen
En esta leccin aprendi:
Debido a que las computadoras de los clientes estn conectadas a la red de una
organizacin y pueden tener acceso directo e indirecto a los servidores y a los
recursos de red, es importante que estas computadoras sean protegidas.
Un virus es un programa que se puede copiara s mismo e infectar una compucadora
sin aprobacin o conocimiento del usuario.
Una backdoor en un programa otorga control remoto y no aurorizado de un sistema
o inicia una tarea no aurorizada.
Algunos virus, gusanos, roorkirs, spyware y adware trabajan explorando las brechas
de segmidad en Windows, Internet Explorer o Microsoft Office.
El primer paso para protegerse mismo en contra de malware es mantener su
sistema Windows (as como otros productos de Microsoft, como Internet Explorer
y Microsoft Office) accualizado con los ltimos paquetes de servicio, parches de
seguridad y otras reparaciones crticas.
Una falsa alarma de virus es un mensaje que advierre al receptor sobre una amenaza
no existente de virus informtico, enviado normal mente como un correo electrnico
cadena que le dice al receptor que lo reenve a codos los que conozca. Esta es una
forma de ingeniera social que juega con la ignorancia y el miedo de las personas.
Control de Cuentas de Usuario (UAC) es una caracterstica que ayuda a prevenir
malware. UAC fue introducida primero con Windows Vista y esr incluida con
Windows 7.
Microsoft recomienda que siempre use el Firewall de Windows.
Los archivos ofAine no son encriprados a menos que elij a que as sea. Puede
optar por encriptar sus archivos offline si escos contienen informacin sensible o
confidencial y desea hacerlos ms seguros restringiendo el acceso a ellos.
Si no permite que los usuarios inicien sesin como administradores, puede limitar
qu software instalan escos usuarios y puede proteger mejor el sistema de malware.
Tambin puede usar Polticas Grupales para restringir qu software puede ser
ejecutado en la computadora de un cliente.
La mayora de los correos electrnicos son no solicitados; dichos mensajes son
llamados spam o correo elect rnico basura.
El mejor lugar para establecer un sistema de filtrado de spam es en la transferencia
de correo electrnico en un servidor o dispositivo dedicado, o como parte de un
dispositivo o servicio de firewall.
Para hacer que un mensaje spam se vea como un mensaje legtimo, algunas veces
los spammers intentan falsificar una direccin de correo electrnico o direccin IP
de donde viene un mensaje.
Los spammers buscan servidores SMTP no protegidos para transferir sus correos
electrnicos a travs de ellos.
Aunque algunas ventanas emergentes son controles tiles de sirios Web, la mayora
son simplemente anuncios publicitarios molestos, y unos cuantos intentan cargar
spyware u otros programas maliciosos.
Para ayudarle a administrar la seguridad al visitar sitios Web, Internet Explorer
divide su conexin de red en cuatro zonas o tipos de contenido. Cada una de estas
zonas tiene asignado un nivel de seguridad.
Phishing y pharming son dos formas de ataque usados para atraer con engaos a
los individuos a sirios Web fraudulentos en un intento por diseminar malware o
recolectar informacin personal.
190 Leccin 5
Todos los servidores deben ser mantenidos en una ubicacin segura. Adems, los
servidores deben estar en su propia sub red y VLAN para reducir el trfico que llega
a ellos, incluyendo transmisiones.
Tambin debe asegurar un servidor fortalecindolo para reducir la superficie de
ataque. Al fortalecer un servidor, busque guas de seguridad y las mejores prcticas
para servidores de Windows, as como los servicios especficos de red que est
instalando.
Para asegurar su servidor DNS, hgalo de tal modo que nicamente los miembros
de un dominio de Directorio activo puedan crear registros en el servidor DNS.
Evaluacin de Conocimiento
Opcin Mltiple
Encierre en ttn crculo la letra qt1e corresponda a la mejor tespuesta.
l. Qu tipo de malware se copia a s mismo sobre otras computadoras sin la aprobacin
del propietario y con frecuencia borrar o corromper archivos?
a. Virus
b. Gusano
c. Troyano
d. Spyware
2. Qu ripo de malware recopila informacin personal o historiales de exploracin, con
frecuencia si n el conocimienro del usuario?
a. Virus
b. Gusano
c. Troyano
d. Spyware
3. Su computadora parece estar lenta y nora que tiene una pgina Web predeterminada
diferente a la usuaL Cul es la causa ms probable de problemas?
a. Su ISP ha disminuido la velocidad de su conexin de red.
b. Su computadora ha sido infectada con malware.
c. No actualiz su computadora.
d. Accidentalmente dio clic al botn de turbo.
4. Adems de instalar un paquete de software de ancivirus, siempre debe _____ _
para proteger su computadora contra malware.
a. mantener su mquina actualizada con los ltimos parches de seguridad
b. reiniciar su computadora con regularidad
c. cambiar su contrasea con regularidad
d. falsificar su direccin IP
5. Un conjumo acumulativo cabalmente comprobado de hocfixes y otros parches es
conocido como:
a. una actualizacin recomendada.
b. un paquete de hodixes.
c. un paquete de servicio.
d. una actualizacin crtica.
Cmo proteger al Servidor y al Cliente 191
6. Qu tecnologa usa Windows para prevenir cambios no aucorizados en su sistema?
a UAC
.,
b. Modo protegido
e Windows Defender
d ProtectGuard
Al usar UAC, cul de los siguientes requiere permisos o derechos administrativos?
a. Instalacin de actualizaciones desde Windows Update
b. Cambio de la fecha y hora
e. Restauracin del adaptador de red
d. Instalacin de conrroladores desde Windows Update o adjuntos con el sistema
operativo
8. Qu mecanismo est trabajando cuando intenta cambiar las configuraciones de
panralla de una compuradora y aparece una ventana emergente pregunrando si desea
continuar?
a. Firewall de Windows
b. Modo Protegido
c. Windows Update
d. UAC
9. Qu software de firewall en el servidor viene con versiones acruales de Windows?
a. Firewall de Windows
b Modo Protegido de Windows
e UAC
d. Windows Guardlt
1 O Qu programa usara para configurar IPsec en una computadora que ejecura
Windows Server 2008?
a. Firewall de Windows con Plugin de IPsec
b. Monicor IPsec
c. Windows con Seguridad Avanzada
d. Consola de Configuracin de IPsec
11. Si tiene informacin sensible o confidencial almacenada en sus archivos fuera de
lnea, se recomienda que:
a. Elimine su cach.
b. Encripte los archivos fuera de lnea.
c. Elimine sus cookies.
d. Ejecute ipconfig lrenewip.
12 Determina que correos electrnicos legtimos estn siendo bloqueados por su
dispositivo de bloqueo de spam. Qu debe hacer?
.1 Eliminar los elementos en cuarentena
b. Reiniciar el djspositivo de bloqueo de spam
e Agregar La direccin o el dominio para escos correos electrnicos a la lista blanca
d Agregar la direccin o el domjn.io para estos correos electrnicos a La lista negra
192 leccin 5
1 ) SMTP usa el puerco TCP:
a 43.
b 25.
( 80.
d 443.
1 l Cuntas zonas de contenido existen en Internet Explorer?
..
b 2
t 4
d 8
1 S Digamos que recibe un correo electrnico que dice que su cuenca acaba de expirar
y le pide que inicie sesin en un sirio Web que parece legtimo para arreglar el
problema. Esre es el ejemplo ms probable de:
a phishing.
b. pharming.
c. phaking.
d falsificacin/spoofing de direcciones IP.
Llene el Espacio en Blanco
Complete las s i g ~ t i e t l t e s oraciotles escribiendo la palabra o palabras correctas en los
espacios en blatlCO provistos.
_ ____ es software que esr diseado para infiltrarse en o infectar una
computadora, normalmente con malas incenciones.
2 Un es un programa auro-copiance que se copia a s mismo a otras
computadoras miencras que consume recursos de red.
") El programa ancispyware de Microsoft se llama --------
. Para que un sofrware de ancivirus sea efecrivo, debe ser mancenido _____ _
S. Un ejemplo de ------es un mensaje que le dice que borre el archivo win.
com porque es un virus.
6. Si desea concrolar qu actualizaciones son impuestas a los clienres dencro de su
..,
8.
organizacin, usara _____ o _____ _
_ ____ es cuando se le pregunca si desea continuar con una accin y su escritorio
es opacado y orros programas son detenidos cemporalmence hasra que aprueba el
cambio.
-----son copias de archivos de red que son almacenados en su computadora de
modo que pueda acceder a ellos cuando no est conectado a la red.
9 _ __ es orro nombre para correo electrnico basura.
O es un sistema de validacin de correos electrnicos que esr
diseado para verificar que un correo electrnico esr llegando desde un servidor
apropiado de correos electrnicos.
Cmo proteger al Servidor y al Cliente 193
Evaluacin de Competencia/Capacidad
Escenario 5-1: Revisin de Seguridad Fsica
Acaba de ser contratado como administrador TI para la Compaa ABC. Al otro lado de su
escritorio est una mesa con siete servidores fsicos. Se acerca a su jefe y le pregunta por qu
los servidores estn afuera y no bajo llave. l dice que estn colocados en la mesa de modo
que puedan ser moniroreados y observados fcilmente. Cmo debera responder a su jefe?
Escenario 5-2: Programacin de Puertas Traseras
Ha sido contratado como consultor de seguridad para una Corporacin Costosa. Un
da, est trabajando con el Jefe de Servicios de Informacin en una nueva poltica de
seguridad integral para la compaa. Aunque el Jefe de Servicios de Informacin no es un
programador, desea comprender cmo puede evitar que los programadores creen una back
door en los programas que ellos crean para la compaa. Qu le dira?
Evaluacin de Destreza
Escenario 5-3: Exploracin con el Analizador de Seguridad Bsica de
Microsoft
Descargue e instale la versin ms actual del Analizador de Seguridad Bsica de Microsoft
en un servidor de Windows, y despus explore la computadora en busca de acrualizaciones
de seguridad faltances y configuraciones de seguridad menos ptimas.
Escenario 5-4: Observacin de Windows Updates
Vaya a hnp://www.microsofr.com/rechnet/securiry/bulletin/advance.mspx. Lea la
notificacin de avances ms recientes o el resumen de boletines de seguridad ms recientes
y revise el resumen ejecutivo. Determine cuntos boletines de seguridad existen para el
mes ms reciente. Despus, ejecute Windows Update para actualizar su sistema con los
parches ms recienres.
Cmo proteger al Servidor y al Cliente 193
Evaluacin de Competencia/Capacidad
Escenario 5-1: Revisin de Seguridad Fsica
Acaba de ser contratado como administrador TI para la Compaa ABC. Al otro lado de su
escritorio est una mesa con siete servidores fsicos. Se acerca a su jefe y le pregunta por qu
los servidores estn afuera y no bajo llave. l dice que estn colocados en la mesa de modo
que puedan ser moniroreados y observados fcilmente. Cmo debera responder a su jefe?
Escenario 5-2: Programacin de Puertas Traseras
Ha sido contratado como consultor de seguridad para una Corporacin Costosa. Un
da, est trabajando con el Jefe de Servicios de Informacin en una nueva poltica de
seguridad integral para la compaa. Aunque el Jefe de Servicios de Informacin no es un
programador, desea comprender cmo puede evitar que los programadores creen una back
door en los programas que ellos crean para la compaa. Qu le dira?
Evaluacin de Destreza
Escenario 5-3: Exploracin con el Analizador de Seguridad Bsica de
Microsoft
Descargue e instale la versin ms actual del Analizador de Seguridad Bsica de Microsoft
en un servidor de Windows, y despus explore la computadora en busca de acrualizaciones
de seguridad faltances y configuraciones de seguridad menos ptimas.
Escenario 5-4: Observacin de Windows Updates
Vaya a hnp://www.microsofr.com/rechnet/securiry/bulletin/advance.mspx. Lea la
notificacin de avances ms recientes o el resumen de boletines de seguridad ms recientes
y revise el resumen ejecutivo. Determine cuntos boletines de seguridad existen para el
mes ms reciente. Despus, ejecute Windows Update para actualizar su sistema con los
parches ms recienres.