Está en la página 1de 53

Seguridad Informatica.

Capitulo Uno: (Pilares Básicos para un Admin


Novato)

· PRÓLOGO ·

Hola que tal, antes que nada agradecer a todos aquellos que gastan de su valioso tiempo en leer
estos papers. He recibido buenas criticas sobre como esta empleado y explicado los temas, y
realmente animan a crear mas y mas notas. Creo que no hay otra forma de aprender y practicar
sin que primero tengamos que leer, pero no solo basta leer cualquier texto, sino realmente que se
nos quede en la cabeza, disfrutar de lo que leemos y ademas que no sea tan tecnico aunque
aveces es inevitable, sino que sea legible y se entienda lo que uno trata de decir.
Espero que esto siga asi por mi parte de escritor y bueno sigan leyendo sin aburrirse.

Voy a comenzar con una serie de nuevos papers sobre lo que respecta a seguridad informatica, y
sobre todo va destinado a aquellas personas que se vean interesadas y deseen ser administradores
de verdad, responsabilizandonos de la seguridad de los datos.
Antes que nada aclarar que es a lo que me dedico por el momento y estudio, el dia de mañana
espero poder ejercer profesionalmente en alguna empresa grande y disfrutar de mi trabajo como
lo hago al escribir (creo que es lo que todos en este mundo deseamos, hacer lo que realmente nos
gusta).

Hagamos de cuenta que somos un futuro Administrador de Seguridad Informatica, que esta
entusiasmado en aprender y aprender, y arranca desde cero.
Lo primero es aprender conceptos basicos, y voy a tratar de orientar y recorrer los distintos pasos
que una persona que se dedica a la seguridad informatica podria afrontar situaciones y
planeamientos en un puesto importante, en una empresa grande.
Ya que al hablar de seguridad informatica no estamos hablando solamente de hackers sino que
abarca mucho mas que eso y se expande fuera de una pc tambien.

|| Escrito por: ÇonfusedMind . || Jueves 09 de abril de 2009.


|| Web: http://confused.vndv.com. || Contact: allmenage[at]gmail[dot]com .
|| Para una mejor lectura: http://confused.vndv.com/security/sec05.html
#############################################################
# [-] Conceptos: SEGURIDAD INFORMATICA.
# [-] La Tríada C.I.A: Tres Pilares Fundamentales de la Seguridad.
# [-] Lo opuesto a C.I.A.
# [-] ¿Que es lo que queremos Proteger?.
# [-] Creando un Plan de Seguridad.
# [-] Creando grupo de trabajo y determinando Responsabilidades.
#############################################################

# Conceptos: SEGURIDAD INFORMATICA.


Bueno lo primero es saber que significa la palabra SEGURIDAD para tener un concepto nocivo
sobre como emplearla luego. Un profesor llamado Zeballos definio de forma interesante el
concepto de seguridad:

SEGURIDAD: "Es un estado de alto contenido subjetivo, que nos hace sentir adecuadametne
exentos de riesgos reales o potenciales, dentro de un marco lógico de euilibrio psíquico."
Interesante no?.
INFORMATICA: "Es la ciencia que estudia el fenomeno de la informacion, los sistemas
aplicados a ella y su utilizacion, principalmente, aunque no necesariamente con la ayuda de
computadores y sistemas de telecomuniaciones como instrumentos, en beneficio de la
humanidad."
Entonces podriamos dar el concepto final de SEGURIDAD INFORMATICA: "Es el conjunto de
medidas preventivas, de deteccion y correccion destinadas a proteger la integridad,
confidencialidad y disponibilidad de los recursos informaticos."

Una de las cosas que siempre tenemos que tener en mente es que la seguridad no es para nada
"ABSOLUTA". Y esto es algo que tenemos que tener en cuenta, que la seguridad intenta
prevenir y minimizar el impacto o riesgo.
Esto se debe a que lamentablemente aunque nos gustara, no podemos impedir y eliminar de por
vida el factor riesgo y miedo.
Pero si podemos disminuir ese riesgo y miedo, si aumentamos la seguridad.
Nosotros como especialistas en el tema, debemos intentar llevar esa prevencion a un nivel alto y
para ello necesitamos una efectiva organizacion las cuales las basaremos en 3 pilares
fundamentales de la SI (Seguridad Informatica desde ahora SI).

# La Tríada C.I.A: Tres Pilares Fundamentales de la Seguridad.


Las tecnicas o metodos que se utilizan para tener una correcta organizacion estan basadas en
estos pilares que vienen del inglés: ("Confidentiality, Integrity, Availability") que significan
[Confidencialidad, Integridad y Disponibilidad].
Confidencialidad: Esta caracteristica asegura que los usuarios que no sean autorizados no tienen
acceso a determinados datos a menos que estos se autorizen.
Integridad: Cuando nos referimos a esta palabra significa que estamos seguros de que la
informacion de la que disponemos no ha sido borrada, ni modificada ni copiada.
Disponibilidad: Es la caracteristica que asegura que determinados recursos de un sistema e
informacion, estaran disponibles a los usuarios autorizados siempre que estos sean requeridos.
Siguiendo estas caracteristicas o reglas por decirlo de una forma indirecta, podemos organizar y
fundamentar mejor nuestra seguridad.

# Lo opuesto a C.I.A
Siempre debemos estar preparado para lo peor y saber muy bien que hay polos opuestos para
todo.
En este caso ante un ataque con exito nuestro archivo que era confidencial puede revertirse
mediante la "REVELACION" por lo tanto nuestro archivo que pensabamos que estaba
plenamente seguro ahora ha sido alterado y por lo tanto lo contrario a integridad seria
"MODIFICACION" y ese archivo que brindaba informacion y era un recurso disponible para
usuarios de todo el mundo ya no esta debido a la "DESTRUCCION". Por lo tanto estas tres
acciones son las que tenemos que prevenir al maximo nivel que podamos siendo administradores
de un sistema es el peor riesgo que puede pasar con nuestros archivos.

# ¿Que es lo que queremos Proteger?


Bien, esta es una pregunta que todos los administradores de sistemas, tendrian que hacerse.
Estamos bajo el mando de una pc o red, como Admin de Seguridad Informatica, y ahora ¿que
hacemos? ¿que protegemos?.
Tenemos mucho por proteger pero dependiendo el lugar, la empresa, el ambiente y area en el que
estemos debemos planificar que proteger y como.

1. Hardware
2. Software
3. Datos
4. Elementos Consumibles

Con lo que respecta a Seguridad Informatica tenemos 4 categorias numeradas arriba, de las
cuales la mas importante al momento de proteger es la de los DATOS.
Un hardware como puede ser un disco rigido, puede ser cambiado o reemplazado por otro.
Inclusive comprado nuevamente.
Un Software puede ser borrado, y luego puede ser instalado nuevamente.
Los elementos consumibles como papeles para el fax y la impresora, tinta para imprimir o
escanear, y demas cosas pueden ser cambiadas y compradas.

Pero los datos no. Debido a que estos van modificandose mediante el paso del tiempo, y son
resultados de quizas un trabajo extenso realizado. Por eso es necesario para un Administrador,
emplear determinadas politicas de seguridad con esos datos, como sincronizar horarios para
realizar determinados Backups, archivar estos datos en diferentes lugares para que esten
disponibles en caso de que sufra un percanse el original, ponerlo de forma privada y confidencial
mediantes cifrados, etc.

# Creando un Plan de Seguridad

Como habiamos dicho antes, para crear un plan de seguridad efectivo hay que ir paso a paso.
Claro esta y remarque que la politica de seguridad que adopte cada Admin es relativo a cada
empresa ya que cada una tiene sus prioridades.

1] Para iniciar el armado de la politica de seguridad hay que preguntarse ¿Que es lo que vamos a
proteger?.

2] El segundo paso es preguntarnos de ¿quien hay que protegerse?. Dependiendo de que tan
importante sea la empresa y la informacion valiosa que posea podremos darnos una idea
paranoica del nivel de riesgo al que nos enfrentamos.
En este paso ponemos en practica lo que llamaremos "RESTRICCIONES", por ejemplo: a un
grupo de empleados determinados les restringimos el acceso a internet y el modo de ejecuccion y
escritura en los archivos, que simplemente tengan permisos para abrirlos. Esto es por dar un
ejemplo, se pueden aplicar diferentes restricciones dependiendo la funcion del usuario o
empleado.

3] El tercer paso es el del factor "RIESGO" Es necesario adoptar ciertas responsabilidades y no


solo informaticamente hablando, es sin mas palabras, al "pedo" matarnos protegiendo la base de
datos de clientes si a estos no les demostramos que tan segura es nuestra empresa.

4] Este es el paso en el cual mediante implementaciones de medidas de seguridad combinadas


con software podremos aumentar la seguridad y asi proteger los recursos de la empresa. La
implementacion de las medidas de seguridad consta en una combinacion de: Firewalls, IDS,
Restricciones a usuarios, Caducaciones de Contraseñas, Archivos cifrados mediante criptografia,
etc.

5] El ultimo paso seria el de Actualizar el sistema, la gente no se da cuenta que tan importante es
actualizar un sistema. Por preferencias de comodidad con versiones anteriores o de
acostumbramiento con estas, abren una brecha de inseguridad terrible.
Tambien hay que decir que no todo lo nuevo, es para mejor, y mas seguro.
Pero generalmente es para mejor, una actualizacion de un firewall, que quizas repara algunas
vulnerabilidades o fallas de versiones anteriores.
Por eso debemos crear una enumeracion de los programas que tenemos instalados y luego
verificar sus versiones, para posteriormente buscar actualizaciones. Esto generalmente se
chequea en un periodo de cada 10 a 15 dias.

# Creando grupo de trabajo y determinando Responsabilidades.


Bien nuestro Administrador, ha avanzado bastante, y ya dispone de suficiente experiencia como
para hacerse cargo de una red grande en su empresa importante, y solo le falta crearse un grupo
de trabajo y determinar las responsabilidades para cada uno.

Todo lo que se planea generalmente repercute en el futuro, para eso se logra un plan, para
prevenir lo que viene o podria venirse, o para realizar una determinada accion. Por este motivo es
necesario realizar una politica de seguridad pensada y con experiencia que avalen este tema.
Realizar un plan de seguridad informatica en una pc donde se utilize para jugar puede resultar
algo sencillo. Pero crear un plan de seguridad para una empresa la cual tiene mas de 100 pcs en
red con salida a internet puede ser algo delicado y complejo.
Y mas sabiendo que no todos los empleados que utilizan esa computadora entienden 100% de
computacion, incluyendo los jefes que aunque ellos tengan la culpa si pasa algo, la van a echar
ante nosotros y no podremos decirles nada porque siguen siendo nuestros jefes .

La clave esta en dividir tareas, y elegir un grupo efectivo para llevar a cabo la tarea de
planeamiento. Este grupo tiene que estar integrado por personas dedicadas a auditar las redes.
Cada persona que integre el grupo debe tener una responsabilidad acorde con el plan que se vaya
a realizar. Una persona dedicada a la seguridad fisica de las pcs no se va a dedicar tambien a
problemas de red.
Es por eso que se dividen las tareas en las empresas, y es muy comun crear un organigrama.

+ Seguridad Informatica Capitulo Dos: (Diseñando Redes Seguras)

|| Author: ÇonfusedMind. ||
|| Contact: allmenage@gmail.com
|| Martes 14 de Abril de 2009.
#############################################################
# [-] Conceptos: Internet, Intranet, Extranet.
# [-] ¿Que es una DMZ?.
# [-] Uso de VLANs - (Virtual LAN).
# [-] ¿Que es una VPN? y ¿Porque Usarlas?.
# [-] Tipos de VPN.
# [-] Seguridad en las VPN.
#############################################################

Que tal, continuamos con el segundo capitulo y en este paper vamos a intentar ayudar a que
nuestro admin novato, ahora no tanto ya que en el capitulo uno, entendimos varios conceptos
de seguridad, de como planificar una politica de seguridad y demas medidas a implementar.
En este capitulo nuestro admin ya tiene todo listo para implementar una red, pero de que
modo?, de que forma? y como implementar una red sino tiene conceptos de las diferentes
formas que puede adoptar una red. Pues Veamoslo..

# Conceptos: Internet, Intranet, Extranet.

Estos conceptos basicos son necesarios saberlos y son requeridos a la hora de armar una red.

Como bien sabemos, no es lo mismo una pc conectada en red a otra que esta al lado en el
mismo espacio fisico, en la misma habitacion, que una pc que se comunica mediante red a otra
pc en otra provincia, pais u otro continente. Las diferencias y distancias son abismales.
En cuanto a distancias geografias se refiere, podemos decir que existen dos areas importantes.
la LAN y la WAN.

LAN: Es una red de area corta ("Local Area Network", es decir, "Red de Area Local")
WAN: Es una red de area extensa (Wide Area Network o WAN, del inglés, "Red de Area
Amplia") y permite una distancia de entre 100km a 1000km

Bien era una aclaracion que queria hacer para dar pie a los siguientes conceptos.
INTERNET: Creo que a esta altura todos los que se interesan por seguridad informatica tendrian
que saber cual es el concepto de internet, pero por si algun dormilon o despistado no sabe
diriamos que INTERNET es una gran red que une muchas redes.

INTRANET: Es como una INTERNET pero en una red privada, LAN mayormente, aunque WAN
tambien puede ser. Cuya funcion es detallar documentos, instrucciones y servicios a los
empleados de una empresa. Depende la importancia de la empresa la intranet sera mas grande
o mas chica.

EXTRANET: Son redes de acceso externo, aplicadas por proveedores o asociados a la empresa.

!# Me he salteado las topologias de red porque ya las he profundizado en la sección Redes


Informaticas y no seria comodo repetir todo y hacerlo tan extenso porque hay que hablar
demasiado. Link directo a tres capitulos de redes http://confused.vndv.com/redinfo.html.

# ¿Que es una DMZ?.


Creo que muchos de los que leen este paper han oido hablar sobre la DMZ, es un importante
concepto de seguridad a nivel diseño de red.
Significa la ZONA DESMILITARIZADA y es una zona aparte en la cual colocaremos nuestros
servidores los cuales se acceden mediante la Extranet.
Los firewalls (que por cierto mas adelante hablaremos) incluyen una interfaz ademas de sus
internas y externas, extra para ubicar nuestra DMZ.

Como ya dijimos el papel de nuestro querido Administrador novato va a ser proteger la


informacion ¿verdád? que se encuentra en nuestra LAN.
Entonces explicare el porque aislamos la red, en realidad no es que protegemos la DMZ por los
intrusos en si, sino para que nuestra LAN no se vea afectada.

Ya que sino la aislamos podrian usarla de puente para ingresar a la LAN que es donde tenemos
nuestra informacion valiosa.
En caso de no aislarla, esto provocaria que si se llega vulnerar nuestros servicios, tienen acceso
directo a la LAN, por eso se creo la DMZ para poder separarla de nuestra red LAN mediantes
interfaces fisicas o subredes, restringiendo que si ingresan a nuestra Extranet/Internet no
entran en nuestra LAN.
# Uso de VLANs (Virtual LAN).
Al momento de crear una red los administradores planifican segun el potencial de la empresa y
sus dimensiones que seria mas conveniente. Y muchos eligen aplicar el uso de Vlans.
Esta es una forma mas compleja y mas segura sin duda para casi cualquier tipo de topologia.

Esto se debe al uso de routers y switchs de capa nivel 3. Lo positivo es que mediante los routers
se puede nivelar el trafico de banda ancha, por lo tanto se puede configurar una restriccion de
maximo de velocidad especifica usada y asi mejorar el rendimiento de la banda ancha para la
LAN.
Otra de las caracteristicas de los Switch y Routers es el poder armar una VLAN.

Las Virtual LAN son algo asi como segmentos logicos de la misma LAN. Su funcionamiento sirve
para mejorar la seguridad y el poder de filtrar trafico entre segmentos.

# ¿Que es una VPN? y ¿Porque Usarlas?.


Las VPN significan Redes Privadas Virtuales.
Que es eso de virtuales? bien.. digamos que existe dicha virtualidad porque a veces las
distancias geograficas impiden que las redes sean de forma FISICA, entonces mediante la
tecnologia logramos virtualizarlas y hacer que se conecten remotamente.
La informacion como vemos en la imagen.. que va desde por ejemplo MI OFICINA claramente
vemos como para llegar a destino pasa por internet, y en internet hay de todo, gente
husmeando, espias por demas, pero gracias a una tunelizacion que realizan las VPN se envia
encriptada la informacion hasta llegar a destino como podria ser a los SERVIDORES.

Para utilizar una VPN solo basta tener una conexion de banda ancha. Nos ahorramos cablerios,
debido a que no podemos conectar una pc punto a punto si la otra pc esta en la china y
nosotros en argentina.
Como dije los datos pueden cifrarse de varias formas y nos conectamos a la red de una manera
muy facil como si estuvieramos en la misma red fisica. Sin duda es una solucion mas en el
mundo de Internet.

Para resumir el concepto si lo que necesitamos es que nuestra empresa se comunique con otras
sucursales, o nuestros proveedores con nosotros, la VPN es una excelente metodologia de
comunicacion.

# Tipos de VPN
Bien nuestro administrador novato de a poco se va profundizando mas en el tema de las VPN, y
necesita un poco mas de informacion acerca de como trabajan, veremos que hay dos tipos de
VPN. Las Site-to-site y las Client-to-site.

Site-to-site [ sitio a sitio ]: Generalmente las pcs que se van a interconectar dependen de una IP
fija, esto se debe a que los cortafuegos trabajan mediante IP y no por host.
Las redes se conectan entre si mediante firewalls, routers u otro dispositivo especifico.
No esta de mas aclarar que sea cual fuese el dispositivo usado, necesitaremos la IP del otro.
Abajo dejo un diagrama muy malo pero es para ejemplificar mejor esto... [no se rian soy malo
en diseño grafico .]

Client-to-site [ Cliente a sitio ]: Bien como el nombre lo dice es de cliente a sitio, porque
logicamente deducimos que solo con un software que trabaje como cliente, autentificando
nuestro user & password, practicamente estariamos conectados.
Y asi es, generalmente es usado para empleados de las empresas que estan lejos de la oficina e
incluso es muy comun y lo he visto por conocidos, Administrar la Seguridad Informatica de una
red en otro lugar del continente.

Otra cosa a tener en cuenta, el software es quien se encarga a la hora de conectarnos al sitio
mediante la creacion de un tunel vpn, el cual encapsula toda la informacion y la encripta.

NOTA A TENER EN CUENTA: Algo interesante lei en un libro sobre VPNs, y era que en caso de
que no se posea una IP FIJA y se requiere hacer un Tunel Continuo al estilo site-to-site, se
podria improvisar de forma "media bruta" un constante trafico mediante "ping" para que el
time out no haga caer el tunel.
Interesante... aunque no lo he probado.

# Seguridad en las VPN


La seguridad en las VPN es algo relativo dependiendo que tipo de vpn es.
Con respecto al Cifrado que hay cuando se concreta la conexion, podemos decir que hay
disponibles varios algoritmos, como el AES, 3DES, DES comun, y no se si otros... pero estos son
los principales.

En el caso de site-to-site el Protocolo usado es el IPSec, que tiene varios mecanismos de


seguridad, demostrando que posee la suficiente confianza con respecto a confidencialidad,
integridad y autenticidad.
El protocolo IPSec posee una IKE -Internet Key Exchange- que permite intercambiar informacion
entre los dispositivos como los firewalls routers etc, tambien estos son conocidos como -peer-
(negociadores).
La cabecera de los datagramas esta compuesta por:

* AH (Authentication Header): Protege parte de la cabecera IP, como las direcciones de


origen y destino.
* ESP (Encapsulating Security Payload): Este elemento se ocupa de la confidencialidad de los
datos, osea protegiendo al paquete que sigue a la cabecera.

En el caso de client-to-site no hay un protocolo default o alguno que sea muy frecuente, hay
varios como el L2TP (Layer 2 Tunneling Protocol) usado generalmente en Windows XP y creo
que 2000. Es muy superior el L2TP a diferencia del PPTP (Point to Point Tunneling Protocol) que
se encuentra en todas las versiones de Windows.
Tercera Parte del Curso

Seguridad Informatica Capitulo


Trés
(Dispositivos de Seguridad)
|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Martes 28 de Abril de 2009.

###############################################
##############
[-] * Implementando seguridad mediante los distintos tipos de Firewalls.
[-] * Filtrado de Paquetes.
[-] * Firewall de Enlace de Aplicaccion o de Servidor Proxy.
[-] * Analisis de paquetes con estado SPI.
[-] * ¿Donde implementarlos dependiendo de las plataformas?.
[-] * (IDS) Sistema de Deteccion de Intrusos.
[-] * Diferentes tipos de IDS, el NIDS & HIDS.
[-] * (IPS) Sistema de Prevencion de Intrusos.
###############################################
##############

Buenas, nuevamente tipeando este tercer paper de Seguridad Informatica,


quiero agradecer por los buenos comentarios obtenidos.
Asique sin dar mas vueltas arranquemos con esta tercera edicion :].
Nuestro novato Administrador ha evolucionado mucho desde el primer y
segundo paper, aprendiendo conceptos, creando un diseño de red seguro,
etc.. En este tercero trataremos de que aprenda lo necesario sobre como
establecer “Filtros” no solo rigurosos sino tambien necesarios.
Ok, comencemos….

# Implementando seguridad mediante


FILTRADOS.
Una vez que armamos nuestra red, diseñamos cada detalles, viene el toque
final que es el mas importante de todo, y es el fin en si de nuestro trabajo,
IMPLEMENTAR SEGURIDAD.
Como hacemos esto?, pues bien, tenemos varias formas independientes,
que si las fusionamos se complementan formando la seguridad de la red
total.

Cuando hablamos de implementar seguridad, no estamos diciendo que hay


que poner un policia o un grupo swat enfrente de la pc las 24hs sino que se
implementa de una forma mas sencilla, como el poder “FILTRAR”
informacion que no nos sirve, o que no es util para nuestra red.
Por ejemplo si solo tenemos un servidor el cual unicamente es util y sirve
para un determinado cliente, osea que servimos informacion para una
determinada IP nada mas en todo el mundo, lo que deberiamos hacer es
filtrar el resto de conexiones menos esa ip unica que pertenece a nuestro
cliente.. en “pseudocodigo” seria algo asi:
“Aceptar unicamente conexion de ["IP-UNICA"] en determinado puerto y
bloquear todo el resto de conexiones que no sean la de nuestro cliente”

Cuando hablamos del filtrado de informacion, deducimos “informacion” como


“datos”.
Algunos dispositivos de Seguridad que realizan estos filtros son:
[+] Los Firewalls principalmente (Tambien llamados Cortafuegos) y pueden
ser implementados tanto via Hardware como Software.
De esta rama de Firewalls resaltan dos sistemas importantes:

· Los IDS (Sistemas de Deteccion de Intrusos).


· Los IPS ya sea mediante Hardware o Software (Sistema de
Prevencion de Intrusos).
[*] Una cosa a aclarar es que muchas de las empresas y organizaciones
importantes (y serias sobre todo) usan mas de una pc destinada a la
seguridad de sus propias redes.
Recordemos que en lo que respecta a la seguridad siempre, ya sea de forma
virtual o forma fisica. Se implementa mediante CAPAS, imaginemos un anillo
rodeada de otro anillo mas grande, y otro mas grande, y otro mas y mas y
mas… y cada anillo es una capa de seguridad por lo tanto que si desde el
exterior queremos ingresar al centro del anillo tenemos que saltear varias
capas.
Eso es lo que se hacen con respecto a la Seguridad Informatica, todo esta
empleado en capas.
# Filtrado de Paquetes
Es el filtrado mas basico, este firewall se basa en la lectura de las cabeceras
de los paquetes y compara con las reglas establecidas previamente. (se
acuerdan el primer ejemplo en pseudocodigo que di? bueno…esa era una
regla, claro en pseudocodigo, pero es basicamente lo que hace este firewall).
El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE
(TCP/UDP). (en caso de perderse, re-leer capas de MODELO OSI).
El firewall determina una regla de acceso mediante seis elementos o
requisitos:
IP DE ORIGEN IP DESTINO PUERTO DE ORIGEN PUERTO
DESTINO PROTOCOLO ACCION
Bien, veamos un ejemplo de como se ve una regla de acceso en un firewall.
(Puede que varie en el de ustedes la sintaxis pero el fin es el mismo).

Esto seria basicamente una regla de un firewall. Asi de sencillo, con la


practica se ira haciendo casi de forma automatica el tipeo.. no hay mejor
forma de aprender que con la practica!.
Pasemos a explicar el recuadro:
1- En la primer linea vemos como en ip de origen figura ANY, esto quiere
decir “cualquiera/alguno” Pero en este caso se usa como Cualquiera (reglas
del querido inglés).

Entonces estamos diciendo que CUALQUIER IP, que se conecte a


NUESTRA IP (IP DESTINO) desde CUALQUIER PUERTO (PUERTO DE
ORIGEN, generalmente no es importante el p.origen) hacia un PUERTO QUE
TENEMOS ABIERTO (PUERTO DESTINO) (que en este caso es un servicio
de proxy ya que el protocolo y puerto nos manifiestan esto), entonces la
ACEPTAMOS.

2- En la segunda linea vemos como bloqueamos una determinada IP en este


caso 24.232.2.2 si intenta ingresar a nuestro servicio ftp que estamos
corriendo. Automaticamente el firewall denegaria el acceso.

# Firewall de Enlace de Aplicacion o de


Servidor Proxy
Veamos las caracteristicas de este siguiente firewall.. es logicamente algo
mas complejo que la simple filtracion de paquetes.
Este firewall como indica el nombre se enlaza con las capas de arriba de
todo, las de aplicacion que son las que los usuarios tenemos contactos
constantemente.
Basicamente el cortafuegos de aplicacion lo que hace es dividir las dos
redes…permitiendo que la LAN se comunique con la WAN, y viceversa.
Tiene puntos ventajosos y en contras como todo software, su seguridad es
quizas simple pero es bastante confiable, su autenticacion es mediante IP.
Tiene ventajas como la de guardar informacion en cache, lo cual impica una
menor carga, se puede restringir acceso a los usuarios o a determinado
recursos que estos quieran acceder.
Un usuario puede autenticarse mediante Telnet, FTP, etc, y una vez que se
autoriza se muestran todos las posibilidades de accesos a servicios, que
realmente no se ven cuando se carece del usuario y contraseña.
DESVENTAJAS
· Si hablamos de Vulnerabilidades puede que cuente con algunos
puntos en cuanto a este sistema, que esta basado en las capas
superiores por lo tanto no puede interactuar de la misma forma que
otros cortafuegos, osea que puede recibir ataques de inundacion de
SYN, Spoofing, no advierte de programas que pueden instalarse y
editar registros o incluso borrarlos, etc.
· El uso de hardware es importante, ya que emplea muchos
recursos, por lo que es preferencial, solamente emplearlo en un pc
dedicado a este proposito.

# Analisis de paquetes con estado SPI


Deje para el final esta explicacion porque es quien generalmente se gana la
atencion.
Sin dudas es el tipo de firewall que se lleva todos los premios y confianza, su
complejidad es muy robusta. Su trabajo es compatible en casi todas las
capas del modelo TCP/IP, lo que lo hace ser muy inteligente comparandolo
con otros patrones de filtracion.
Con SPI se compara una tabla que se crea con las conexiones ya
establecidas, es muy importante esto ya que un spoofing algo basico no
daria los mismos resultados.
(a diferencia de la “filtracion de paquetes” que se comparaba mediante el
estado del bit SYN)
Segun sea el protocolo, el Firewall SPI tambien puede analizar por dentro del
paquete recibido con el objetivo de intentar detectar acciones maliciosas.
El estado de las conexiones en la tabla, puede guardar para uso posterior
multiples datos que son definidos a traves del firewall, como la ip origen, ip
destino, puertos, tiempo de conexion, etc

# ¿Donde implementarlos, dependiendo de


las plataformas?

Bueno una vez que nuestro administrador ya va aprendiendo mas cosas, y


en este caso aprendio a reconocer tres tipos de firewalls que funcionan con
patrones diferentes tiene que aprender y pensar en DONDE PODER
IMPLEMENTAR ESTOS FIREWALLS dependiendo de las diferentes situaciones
y plataformas que se le presente.
El primero que voy a arrancar nombrando es el firewall hogareño debido a
que es el mas basico, y es el mas conocido por todos nosotros. (Quizas
tambien lo reconozcan por el nombre “domestico” es exactamente lo
mismo…)

# Firewall Hogareño o Domestico.


[Zone Alarm]
Es el software mas conocido por los usuarios finales, en la actualidad se
escucha hablar mucho de estos firewalls, los cuales se implementan en una
pc hogareña y para ese unico fin de proteger ese determinado host.
Los firewalls mas modernos, o en su defecto, en versiones FULL, o PRO,
ademas del motor de cortafuegos, vienen con complementos adicionales
como pueden ser un Antivirus, un Anti-Spam, Anti-Phishing, Anti-Spyware,
etc etc..
Algunos ejemplos de estos son: Zone Alarm (en foto arriba), Comodo
Firewall, BlackICE, etc.
Como ya aclare arriba, si vos te dedicas a sentarte, escuchar musica,
navegar y navegar, este dispositivo es el indicado para tu plataforma.
(siempre que hablemos de windows).

# Firewall de Servidores.
Esta es otro dispositivo bastante eficaz que se ve comunmente instalado
en medianas empresas. Se basa en instalar un software que ejecute
funciones de un firewall dentro de un determinador servidor, mediante el
cual asegura toda la red y el mismo equipo.
Una de las mas conocidas a momento de hablar del sistema ”Windows” es el
ISA (Internet Security and Acceleration Server) es un gateway integrado de
seguridad perimetral. El cual permite proporcionar seguridad a los usuarios
mediante un acceso remoto seguro a todas las aplicaciones de la empresa.
[Microsoft ISA 2006]

# Firewall en los Routers.


Seguimos nombrando dispositivos, y este es uno de los mas conocidos y
baratos..
Cisco fue quien resalto en lo que respecta de routers, creo su sistema
operativo PIX, agrego opciones a toda la gama de routers para que
funcionen como firewalls, este se lalamo el Firewall Feature Set, esto se
agrega al sistema operativo del router cirsco.
Si hablamos de que tan dinamico puede ser, es proporcional a la
configuracion que nosotros los admins le demos, segun las caracteristicas
del hardware que poseemos podemos decir que puede ser mas flexible o
menos… Tiene varias funciones de seguridad como la de analisis de
transacciones de protocolos, permite logearse como syslog, puede bloquear
java, etc etc..
[Router con Firewall integrado]

# IDS (Sistema de Deteccion de Intrusos)


Luego de terminar con las explicaciones de algunas variantes a la hora de
filtrar informacion, que incluso se pueden complementar una con otras.. en
diferentes capas para hacer mas dificil el trabajo de un supuesto
cyberdelincuente.. Ahora veremos algo mas complejo que son los IDS.
Una cosa a aclarar desde el vamos, es que un FIREWALL no es igual que un
IDS. Generalmente la gente se equivoca y compara como si se tratase de lo
mismo y en realidad son dos cosas diferentes, que se pueden comlementar,
en cuanto el firewall nos protege y el ids nos vigila.
Estos dispositivos de Deteccion de Intrusos estan a cargo de alertar de
posibles instrusiones al sistema de nuestro querido enemigo el
cyberdelincuente.
Algunas caracteristicas que poseen los IDS, es el envio de alertas mediante
correo electronico, mensajes de texto, mediante un programa, etc.

# Diferentes tipos de IDS, el NIDS & HIDS.


En este sector de Sistemas de Deteccion de Intrusos, podemos dividir la
situacion en dos grandes caminos que ayudan a complementar
conjuntamente la seguridad en nuestro servidor.
Por un lado tenemos el “NIDS”, que es el Sistema de Deteccion de
Intrusos en una Red
como el nombre lo indica es capas de analizar la red y comparar paquete por
paquete en una base de datos de ataques o blacklist, y alerta en caso de
que sea positivo.
Hay que aclarar que el funcionamiento es basicamente un “Sniffing” al
momento de captar todos los paquetes de la red.
Es muy usado por empresas de mediano y alto nivel, de esta manera
podemos no solo asegurar un equipo sino la red entera.
Por otro lado tenemos el HIDS, Sistema de Deteccion de Intrusos en un
Host.
Este sistema de lo contrario al NIDS, solo analiza el trafico en un
determinado host.
Simplemente se instalan en equipos puntuales independientes, puede
analizar a usuarios y hacer un seguimiento ya sea el acceso a ficheros o
carpetas no permitidas, borrado de archivos criticos que pongan en peligro
el sistema.
[Bien para dar un repaso mas por arriba de esto, porque la idea no es en si
explicar el TODO de todo los detalles... sino asimilar conocimientos, para
que nuestro querido admin, eliga, sepa de que estamos hablando, y luego se
enfoque su pensamiento en expandir el conocimiento para implementar un
determinado sistema por cuenta suya]

Los IDS tienen dos formas de reconocer un ataque producido por nuestro
enemigo el “cyberdelincuente”.
El primero es mediante las tan conocidas FIRMAS que logicamente se
trabaja mediante la “COMPARACION”.
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas
predeterminadas que comentan supuestos ataques.
Un ejemplo de un IDS, es el SNORT (Para mas informacion ingresar a la web
principal http://www.snort.org) este IDS implementa un lenguaje de
creacion de reglas flexibles que lo hace bastante potente y sencillo.
El SNORT avisa cuando se produce un ataque, desde que ip se produce hacia
que ip, puertos utilizados, es muy veloz y no necesita procesar informacion,
pero como dije la idea no es adentrarnos en cada dispositivo y explicarlo
detalladamente eso lo dejo a el que intente implementar algun dispositivo
como estos..

El Segundo se llama Analisis de Protocolo, el cual se divide en dos


mecanismos, el primero puede crear estadisticas mediante un determinado
aprendizaje, en determinado cantidad de tiempo. Digo lo del tiempo porque
el ids va a analizar el trafico “x” tiempo, la rutina de nuestro trafico de red,
cuanto mayor tiempo tiene de aprendizaje, menos falsos positivos nos
entregara.
El segundo mecanismo es de forma manual, simplemente nosotros debemos
ingresar la informacion para que nuestro IDS quede configurado.

Esta bastante piola esto de los IDS, ya que podemos rebuscarnolas y buscar
por internet ayuda, o consejos de como implementar reglas propias, incluso
gente en el ambito profesional y tecnico sube su gran “base de datos” de
reglas o tips para intentar permitir estar al dia en lo que respecta a
seguridad y a las ultimas vulnerabilidades.

Algunas recomendaciones:
# Snort
# Manhunt
# NID

# IPS (Intrusion Prevention System)


Para ir cerrando este paper que bastante largo me salio… vamos a hablar de
lo que para mi respecta y para la mayoria tambien je, la evolucion del IDS.
Este mecanismo es realmente complejo, o lo intenta ser. Su funcionamiento
tiene como objetivo la Deteccion, el Analisis y el Bloqueo de ataques.
Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar
los ataques que pueden ser explotados mediante vulnerabilidades desde el
nivel 2 (control de acceso) del modelo OSI hsata la capa 7 (la de
aplicaccion).
z

Una caracteristica resaltadora es la de la inspeccion a fondo, en la cual los


paquetes pueden ser clasificados y analizados en su totalidad mediante
todos los filtros que posee.
Esa clasificacion de paquetes se basa en la conocida configuracion de
cabecera de los paquetes, direcciones origen y destino, etc.
Si hablamos de los filtros que posee podemos decir que estan formados por
un conjunto de reglas que definen determinadas condiciones que son
necesarias cumplirse para informar si un paquete es o no es dañino.
Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que
mediante el Analisis de Protocolo que comente mas arriba, lo transforma en
algo asi como un sistema inteligente, el cual permite detectar y tomar
acciones sobre una vulnerabilidad que todavia no ha sido anunciada.
Para resumir el funcionamiento de un IPS podemos señalarlo con 4 puntos
fundamentales:
· El paquete que entra es clasificado por la cabecera y la info de
flujo que se asocia.
· Segun la funcion de como se clasifique el paquete, se aplicaran
determinados filtros.
· Los filtros relevantes se aplican en paralelo, y si hay un positivo,
se etiqueta como sospechoso.
· Si es sospechoso, se desecha y se actualiza la base de estado
sobre el flujo relacionado para descartar restos de dicho flujo entrante.
Algunas recomendaciones:
# RealSecure
# Netscreen
# Proventia G
# Defense Pro

Cuarto Capitulo: 1 Parte.

Seguridad Informatica.
Capitulo Cuatro
(Seguridad Fisica, Controles de Acceso y
Seguridad Biométrica
Parte 1)
|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Lunes 11 de Mayo de 2009.

“Un nuevo capitulo en marcha


Nuevos comentarios y nuevas reflexiones
ojala disfruten de lo que leen
Gracias una ves mas por los comentarios recibidos”.

###############################################
##############
[-] Prologo Seguridad Fisica.
[-] Reglas a tener en cuenta sobre la Seguridad Fisica y Ambiental.
[-] Amenazas que puedan afectar a nuestros equipos.
[-] Seguridad Fisica Perimetral.
[-] Seguridad Perimetral: Dispositivos de Monitoreo.
[-] [Controles de Acceso] Concepto.
[-] ··· Fin de la primera parte ···
###############################################
##############

# Prólogo de Seguridad Fisica


Este capitulo va a tratar temas que respectan a la Seguridad Fisica de una
Empresa, y a los tipos de Dispositivos Biometricos, que estan relacionados
con el Control de Acceso, que con un fin u otro el objetivo es aplicar
seguridad y restricciones a nuestros datos, ya sea de forma digital o fisica.
Durante el curso, nuestro Administrador novato aprendio a tener conceptos
de seguridad, conceptos para intentar aplicar la seguridad a la informacion,
al mundo virtual, a mantener siempre la triada de Confidencialidad,
Integridad y Disponibilidad de la informacion, hemos podido enseñarle a
desarrollar redes seguras, lo ayudamos a que implemente distintos tipos de
firewall en diferentes ocaciones… y ahora vamos a intentar salir de esa red
virtual y tratar de proteger en capas (esto nunca olvidarse) el exterior fisico
que rodea nuestra valiosa informacion virtual.
Un administrador de sistemas tiene que lograr ser lo mas paranoico posible
“Mi empresa esta premiada como la mejor administrada en lo que respecta a
seguridad en internet, ningun hacker nos puede hacer daño, somos inmune
externamente (?) pero que pasaria si hay un infiltrado dentro de la
empresa?, que pasaria si por causas indeterminadas se prende fuego todo
un piso donde tenemos nuestro mainframe que es utilizado para hacer
transacciones bancarias” al demonio nuestra confianza con los clientes, al
demonio toda relacion con nuestros superiores y nuestra credibilidad frente
a problemas reales se extingue.
La seguridad fisica es uno de los puntos mas olvidados a la hora de diseñar
un sistema informatico, como ya dije se dedican mas a ver cuantas
vulnerabilidades puede tener y en gastar plata y plata en consultores, y no
se dedican a emplear una seguridad equilibrada tanto virtual como externa.
De nada sirve gastar miles y miles en consultores, analistas y criptologos, si
tenemos un intruso enfrente nuestro y no tomamos contramedidas de
control.

# Reglas a tener en cuenta sobre la Seguridad


Fisica

Estas reglas “recomendativas” son tanto para una persona como nuestro
Admin novato que va a administrar una determinada red (y queda a cargo
de esta con permisos de sus jefes para aplicar modificaciones tanto
internamente en las pcs como fisicamente haciendo que la seguridad de esta
sea mas eficiente), o tambien para un ejecutivo que intenta crear una
empresa pequeña, mediana o grande.
· Lo mas conveniente al momento de instalar nuestro datacenter/mainframe
o sucursal es ubicarnos en un lugar geografico con ventajas comerciales,
serviciales y urbanas.
Es decir, es conveniente para nosotros y para nuestros empleados que el
datacenter este ubicado en un lugar urbanizado, con suficientes locales de
recursos a mano, con servicios estatales tanto para un caso de incidente
como vias de flujo para que nuestros empleados lleguen de una
forma eficaz a trabajar.

· Regla principal y que nunca tenemos que olvidarnos: “ASEGURAR LA VIDA


HUMANA ANTE TODO”
· Proteger tanto la informacion vital que posea la empresa como las
instalaciones que permiten que nuestro datacenter y red funcionen en
condiciones.
· Una regla a tener en cuenta para no tener problemas, y mas si nuestra
empresa es grande (y aunque no lo sea tambien) y llama la atencion del
publico es que deberemos RESPETAR EL MEDIO AMBIENTE, Y PROTEGERLO.
· Reglas basicas sobre la Seguridad Ambiental que debemos
implementar entre otras son:
– Protecciones electricas, de agua y gas.
– Instalaciones de Aire Acondicionado y Sistemas de Refrigeracion
y ventlicacion fluida.
– Proteccion ante Incendios y metodos eficaces de Evacuacion guiados.
– Sistemas de Deteccion en casos de accidentes ambientales, como fuego por
ejemplo.
– Personal de Seguridad y Sistemas de Monitoreo.
s
Estas son reglas basicas que toda empresa mediana y dependiendo lo
complejo que sea el establecimiento deberian cumplir. Penosamente (no
involucro otros paises, pero si el mio) en la mayoria de situaciones
simplemente estas cosas se dejan de lado, y muchas de las reglas no se
cumplen arriesgando de forma directa al personal, a los datos, a la
seguridad general.
# Amenazas que puedan afectar a nuestros
equipos

Es algo logico pensar que estamos en un riesgo continuo de que pasen


cosas.
Desde que salimos a la calle, al cruzar una calle una avenida, a que nos
roben, nos lastimen, nos caigamos, los riesgos dependiendo el ambiente
pueden ser varios y diferentes, pero nunca buenos.
Como ya hable en el primer paper nuestro Admin nunca podra eliminar
todos los riesgos, porque de hecho la seguridad no trata de eso, sino que
trata de prevenir futuros riesgos..
Uno pone un agente de seguridad en la puerta de su casa para intimidar a
ladrones y bajar el riesgo de que nos roben, pero no significa que la
seguridad este al 100% y estemos seguros que nunca nos robaran. Nada es
imposible y mas a esta altura de la vida…
Lo que si se puede hacer es como siempre dije, implementar capas de
seguridad para que el riesgo sea lo menor posible. Si a nuestra casa le
ponemos alarma antirrobo, tres agentes en falta de uno en la puerta,
sistema de camaras, etc. El riesgo efectivamente estaria bajando en un gran
porcentaje. Y la seguridad estaria aumentando.
Bien en una empresa dedicada a la tecnologia, a sistemas informaticos, o
cualquier empresa inclusive lo mas valioso que generalmente se tiene que
proteger es la INFORMACION.
Y como buen admin que somos sabemos que la triada Confidencialidad ,
Integridad y Disponibilidad no debe faltar. Por eso debemos preparanos
antes posibles amenazas.
Para bajar el riesgo y subir al maximo la seguridad.
Tenemos varias Amenazas y quizas no sean las unicas expresadas en este
paper, pero si las mas comunes e importantes a tener en cuenta:
–> Daños Fisicos en nuestros sistemas informaticos.
–> Intrusos fisicos que pueden permitir al robo de nuestros datos vitales.
–> Inestabilidad en el sistema, ya sea por corte de luz, amenazas
ambientales,etc.
–> Empleados poco capacitados, para resolver un determinado problema
mediante decisiones propias,
–> Empleados ignorantes a determinados temas, dejandose llevar
mediante la ingenieria social de terceros con malas intenciones.

A estas amenazas se acoplan otras que pueden ser catalogadas como


Humanas, Naturales o Casuales:
# HUMANAS
–> Sabotaje o Vandalismo.
–> Errores o equivocaciones propias.
–> Ingenieria Social.

# NATURALES
–> Fuertes Vientos como Huracanes o Tornados.
–> Tormentas con descargas Electricas
–> Terremotos
–> Inundaciones

# CASUALES
–> Fuego
–> Corte de Luz que impida con la ejecucion de servicios escenciales.
–> Liquidos Quimicos altamente destructivos
–> Cortocicuitos que produzcan descargas electricas y
posteriormente fuego.

# Seguridad Perimetral
Este es un apartado a tener en cuenta que quiero hacer. Si bien nosotros
como profesionales o futuros administradores de un sistema, pocas veces
necesitemos encargarnos de lo que respecta a la seguridad en una empresa
en general, es bueno tener conocimientos y saber que nos pueden pedir
recomendaciones o planificaciones de como llegar a tener determinado
servidores protegidos.
Como siempre aclaré la mejor forma tanto en la vida cotidiana en general
como en la informatica,
es aplicar la seguridad mediante capas, asi disminuiremos el riesgo y
prevenimos con mayor seguridad malos imprevistos.
En lo que respecta a perimetro lo primero que hay que tener en claro es el
tipo de material que va a formar la estructura de nuestro datacenter,
tenemos que tener en cuenta el TECHO, las PAREDES y el PISO
logicamente no vamos a poner pisos o paredes que tengan alta
conductividad de electricidad. O techos y paredes altamente combustibles
para que a la primer amenaza de fuego que haya se prenda todo en 2
minutos.
Otro punto que tenemos que tener en cuenta es si hacemos el techo bajo,
ante algun tipo de incendio es mas probable que el oxigeno se agote mas
rapido, ahora si lo hacemos mas alto, tendremos unos minutos mas de
ventaja en el cual el humo sube y podemos salir sin ahogarnos en pocos
segundos.

Es bueno agregar como complemento de seguridad, REJAS, permiten una


detencion de un intruso casual que andaba por ahi, ya que la mayoria no se
animaria a trepar porque facilmente cualquiera podria darse cuenta que si
una persona esta trepando una reja es por que algo no anda bien, porque
trepar si podria estar entrando caminando?.

* PUERTAS: Las puertas tienen que estar eficazmente instaladas. Si


tenemos una puerta en un lugar de constante acceso y poco restringido, no
es necesario que estas sean abiertas mediante identificacion, o cerradura,
sino podrian ser giratorias de esta forma entrarian y saldrian rapidamente
agilizando el paso.
Las puertas en general tendrian que estar diseñadas para una correcta
combustibilidad, resistencia a fuerza brusca, reforzar el tipo de bisagras y
cerradura dependiendo al acceso que se tenga mediante esta, etc.
Una buena implementacion son las Mantraps, que son dos puertas que
estan ubicadas entre un pasillo, y solamente se puede abrir una a la vez, lo
que significa que al pasar por la primer puerta solamente se abrira la
segunda si esta primera se cierra. O viceversa en caso de que la segunda
puerta este abierta la primera no se abrira.
Este sistema es importante y muy implementado en pasillos que transmiten
a accesos restringidos o de valiosa informacion u operabilidad.

* VENTANAS: Podemos tener diferentes tipos de ventanas para que ayuden


a nuestros empleados a trabajar de una manera mas eficaz. Si estan en un
lugar con constante ruido o luz solar, podemos aplicar protecciones contra
estas, tambien para viento o radiaciones.
Existen tipos de vidrios para estas cosas como el laminado, mallado, con
sensores, etc etc.
* ENERGIA ELECTRICA: Es algo fundamental por no decir el corazon de
todo tipo de accion dentro de una empresa, sin esta no habria ningun
datacenter funcionando, ni luz, ni nada que imaginemos. Entonces es
necesario la correcta verificacion y comprobacion de que los sistemas
electricos funcionan y ademas de que se puede prevenir ante algun tipo de
accidente.
· Algo a tener en cuenta son las dos importantes
interferencias, la Electromagnetica y la Radio Frecuencia.

Deberemos controlar de forma correcta todo tipo de acceso a Paneles que


distribuyen la electricidad, transformadores y todo tipo de cableado electrico.
Deberemos tener en cuenta el tipo de voltaje que manejamos para evitar
cortes o quemaduras en nuestro hardware, la grabacion del voltaje nos
permitiria en caso de que pase algo y se nos queme gran cantidad de
hardware, de saber si la empresa encargada de brindar el servicio nos dio
mayor cantidad de la predestinada.
· Indispensable tener en toda empresa una fuente de
alimentacion alternativa, un UPS (Uninterruptible Power
Supply)

Siempre pensando que si nuestro datacenter es grande, tener suficiente


backup de electricidad para mover todo tipo de sistemas como telefonicos,
de aire acondicionado para la correcta resfrigeracion del enorme hardware, a
esto sumarle computadores y demas servidores, y una correcta iluminacion,
entre otras cosas.
Vean lo estructurado y complejo que tiene que ser todo para que funcione
en buen estado.
* AGUA: Es algo letal para nuestro hardware, conductora de la electricidad
en definitiva sin un buen mantenimiento podria destrozar nuestra empresa.
Es necesario proteger efectivamente el lugar contra todo tipo de agua que
caiga, las tipicas goteras de las tuberias, recubrir con proteccion los caños
mas criticos, instalar sistemas de deteccion de humedad.
La humedad nos trae varios factores de riesgos uno podria ser la conocida
electricidad estatica, y otro riesgo a conexiones electricas.

# Seguridad Perimetral: Dispositivos de


Monitoreo
Dependiendo el nivel de la empresa, y logicamente el presupuesto que esta
puede afrontar, y cuan valiosa puede ser la data que manejemos en la
entidad, implementaremos a partir de ello determinados controles.
Algunos ejemplos de estos pueden ser:

· Sistemas de deteccion de intrusos.


· Deteccion de sonidos o vibraciones.
· Deteccion mediante sistemas de infrarrojos/laser.

Bien la empresa esta armada… disponemos de un lugar seguro, con algunos


guardias que vigilan en un perimetro determinado de la empresa. Vigilan las
entradas principales, donde el acceso de personas (si es una empresa nivel
medio-alto) va a ser constante tanto en las entradas como salidas.
Para empezar algo que no puede faltar para que nuestro grupo de seguridad
pueda prevenir y tener un mayor control sobre toda esa multitud de
personal que entra y sale de acá para allá, es el monitoreo mediante
“Camaras”.

Mediante las camaras (como en la foto en este caso es una wireless cam),
nos permitimos tener un control de Movimiento, de Monitoreo, y tambien
permite Grabacion, algo totalmente importante, en caso de que pase algo y
tengamos que volver cinta atras para hacer un reconocimiento del origen del
problema. (hay que aclarar tambien, que el hecho de grabar, requiere
invertir en mayor capacidad de almacenamiento para los videos que
logicamente tendrian que archivarse por determinada cantidad de
dias/meses/inclusive años.)
Mediante el uso de Camaras se puede crear lo que se llama “CCTV”
traducido seria un Circuito Cerrado de TeleVision. Permite al igual que las
camaras, tener un control en vivo de Deteccion, Reconocimiento, e
Identificacion de personas determinadas.
Como la palabra lo dice es un circuito, osea un conjunto de camaras
ubicadas en puntos claves de toda la empresa, estacionamiento, exterior,
etc. Donde cada camara independiente, envia su señal por un cable coaxial y
esta es recibida mediante un Multiplexor el cual muestra en el monitor, y si
permite grabacion puede hacerlo mediante un VCR por ejemplo.

# Deteccion de Intrusos mediante presencia


de RUIDOS/LUZ.
A medida que avanza la tecnologia se facilita cada vez mas las cosas que
antes parecian imposible, o muy costosas.
Como ya dije podriamos implementar sistemas tanto de video como de
sonidos pero dependiendo el presupuesto del que contemos instalaremos
una determinada prevencion.
Si disponemos de una zona la cual es totalmente restringida o que durante
la noche nadie deberia tener acceso a un servidor, podriamos instalar un
sistema de deteccion de intrusos pero con presencia de ruidos.
Es algo mas economico y sencillo. Un ejemplo seria el de crear un sistema
de deteccion que nos avise mediante un mail por ejemplo a un determinado
administrador, o al personal de seguridad nocturno, cualquier tipo de
anomalia que pueda ocurrir en aquel servidor.
Esto permite tambien que podramos saber que pasa desde una PDA, una
laptop, desde un cyber o desde cualquier acceso a internet, solo con
chequear el mail.
Generalmente para esto se usa un microcontrolador Basic Stamp, unos
sensores de Luz, y una simple computadora conectada a Internet.
El funcionamiento para que quede mas en claro seria colocar unos sensores
que enviaran informacion al Basic Stamp, este interpreta la informacion y la
envia a la computadora en caso de alguna anomalia, la cual esta nos avisara
mediante un log via mail.
De esta forma con un sistema sencillo y sin gastar mucha plata podremos
detectar cuando en nuestra oficina aislada con servidores dedicados se ha
abierto una puerta, o cuando se ha encendido una luz, cuando realmente
nada de eso deberia haber sucedido.
NOTA: Algo que hay que aclarar es que este sistema basico de deteccion y
poco economico, debe implementarse en lugares tanto hogareños como
oficinas donde realmente este aislada o bien donde estemos totalmente
seguros que durante la noche o dia, nadie deberia acceder a esa habitacion
a menos que nos avisen previamente.
Es un sistema bastante efectivo. Y detectivo.

# Controles de Acceso – Concepto

Bueno ahora se pone mas entretenido este capitulo, vamos a adentrarnos en


todo lo que tiene que ver sobre los diferentes tipos de controles que existen,
desde un simple password a un control biometrico.

Primero vamos a dar un concepto sencillo de que es para nosotros como


“Administrador de Seguridad Informatica” esto de Controles de Acceso.
· CONTROL DE ACCESO:
Es considerada como la Habilidad en la que se puede permitir o
denegar acceso a un determinado recurso en una determinada entidad
(notece, como oficina, empresa, datacenter, algun lugar mediante el
cual brinde servicios requeridos por usuarios).
Por ejemplo estos dispositivos se usan para proteger recursos fisicos como
puede ser el acceso a donde esta instalado el Mainframe, puede protegerse
tambien recursos digitales como un determinado archivo el cual solo tiene
derecho de ser leido y no posee permisos para escribirse, sino que hay que
respetar la integridad de tal.
A lo largo de este paper vamos a ir detallando los diferentes tipos de
Controles de Acceso.
Tanto Fisicos como digitales por eso será largo este tema…

Cuarto Capitulo: 2da Parte

Seguridad Informatica.
Capitulo Cuatro
(Controles de Acceso y Seguridad Biométrica
Parte 2)
|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Jueves 28 de Mayo de 2009.

“Solo hay dos cosas infinitas: el universo y la estupidez humana.


Y no estoy tan seguro de la primera.”

– Albert Einstein.

###############################################
##############
[-] Prólogo.
[-] Accediendo al Sistema. (Conceptos e Identificadores)
[-] Lo que uno puede SABER: Password.
[-] Lo que uno puede POSEER: Tokens & Tarjetas (Proximidad, Magneticas,
CHIP, RFID)
[-] (Apartado) RFID & Polemica por tal.
###############################################
##############

# Prólogo
Bien llegamos a la segunda parte ya, de este cuarto capitulo. Intentare
hablar un poco de lo que respecta a controles de acceso y algunos
dispostivos biometricos usados actualmente.
Y como siempre, gracias por seguir estos papers, y por enviar buenas
criticas de tales.

Para repasar y refrescar memoria voy a volver a dar el concepto de que es


un control de acceso y arrancaremos con esta segunda parte desde ahi.
· CONTROL DE ACCESO:
Es considerada como la Habilidad en la que se puede permitir o
denegar acceso a un determinado recurso en una determinada entidad
(notece, como oficina, empresa, datacenter, algun lugar mediante el
cual brinde servicios requeridos por usuarios).

# Accediendo al Sistema
Cada acceso a un sistema ya sea windows, linux, mac, etc. Depende de al
menos una persona la cual llamaremos en este caso Administrador. La
funcion de este es realizar un mantenimiento rutinario y administrar a los
usuarios que contiene ese sistema, que pueden ser varios.
El administrador prepara una presentacion al sistema el cual esta basado en
un simple “control de acceso” cada vez que un usuario nuevo requiere un
lugar en el sistema. Esto se puede aplicar a todo tipo de sistema. Desde un
sistema de E-Mails, como “Hotmail – GMail – Yahoo!” a un acceso mediante
FTP.

El Acceso a un sistema tiene tres pasos fundamentales:


· Identificacion
· Autenticacion
· Autorizacion
Y las formas mediante las cuales nos podemos identificar tambien son tres:
· Lo que una persona puede SABER
· Lo que una persona puede POSEER
· Lo que una persona puede SER
Bien creo que es bastante claro no?. Por las dudas aclaro. Una persona antes
de ingresar a una sala privada por ejemplo se tiene que IDENTIFICAR con el
guardia. Dicho guardia Autentifica la identidad de esta persona y le da
AUTORIZACION, en caso de que no la tenga lo rechaza e impide el paso.
La identificacion en una persona se puede expresar de tres formas
diferentes, mediante lo que uno sabe, cuando se intenta identificar en un
Sistema Operativo Windows por ejemplo con una determinada contraseña, lo
que uno posee, cuando lleva encima un token, o tarjetas inteligentes que al
pasar autogestionan todo y se identifica la persona con su tarjeta personal o
lo que uno puede ser respecto a un sistema biometrico como puede ser un
identificador dactilar, o mediante iris, el cual realiza un chequeo de
determinados patrones para identificar con su base de datos quien es la
persona a autentificar.
Vamos a dar ejemplos de los tipos de identificadores que puede saber, tener
y ser una persona.
# Lo que una persona puede SABER:
- Contraseñas o Passwords
- Passphrase
- PIN’s

# Lo que una persona puede POSEER:


- Llaves a determinados lugares
- Tokens
- Tarjetas de Acceso o Smart Cards
# Lo que una persona puede SER:
- Identificacion mediante Sistemas Biometricos

A continuacion voy a explicar y basarme en algunos ejemplos de las


diferentes categoria de identificadores.

# Lo que uno puede Saber: Passwords

Los passwords o contraseñas son una forma de autenticacion en un sistema


para poder controlar dicho acceso a un recurso brindado.
El passwords es el sistema de autenticacion mas basico y mas barato a la
hora de implementarlo.
Tambien hay que declarar que es el sistema mas “vulnerable a los ataques”
y que este mecanismo es usado junto a otros complemenos de
autenticacion.
A la hora de Implementar este sistema en una entidad es necesario poder
cubrir o cumplir determinadas pautas de administracion para el personal:
· Que la contraseña que se tipea cuando se esta accediendo no sea mostrada
· Que a un determinado tiempo la contraseña tenga que ser renovada y
cambiada
· Que cumpla con una determinada politica de seguridad, que la longitud sea
maor a 8 letras e incluso que sea alfanumerica.
· Que el sistema mismo pueda determinar contraseñas para determinados
usuarios asi se evita la revelacion de esta mediante deducciones de tercero hacia
esa persona o ingenieria social.
· Comprobar que la clave nueva otorgada o modificada por el usuario no sea
de igual caracteristica que la anterior y que no contenga el nombre de usuario ya
que seria altamente insegura.
Tambien se debera informar a todo usuario que tenga acceso al sistema,
datos de su ultimo logeo, desde que IP o Computadora se realizo, los
ultimos 5 errores fallidos con sus respectivas fechas y horarios. Esto es
fundamental ya que se podra llevar un control, o prevenir futuros hackeos al
sistema debido al nivel de alerta entre los usuarios.

# Ataques destinados al mecanismo Password


Estos pueden ser variados, pero entre los mas importantes resaltaremos:
# Por Fuerza bruta
# Por Diccionario
# Por Sniffing (Capturacion de Datos)
# Por Ingenieria Social
# Por Sistemas de Login Falsos o comunmente conocidos como Fake
# Por el simple hecho de espiarnos cuando escribimos el Password.

# La psicología de los usuarios aplicada a los


Passwords.
Que queremos decir con esto de la psicologia?, bien hay muchas estadisticas
e informes hechos en varias empresas que determinan que la mayoria de los
usuarios en un casi 50% utiliza passwords debiles y ademas es posible
aplicar ingenieria social con exito a esos usuarios.
// Recomendacion: Es recomendable que a la hora de ingresar un password,
sea complejo.
Mezclar caracteres, ya sea numeros, espacios, letras, simbolos. Es el mejor
enemigo del Brute Force (fuerza bruta), por ejemplo, en el mecanismo AES-
256 el crecimiento es exponencial, es decir, si tenemos un password de una
longitud de 5 caracteres un tiempo estimado para crackearlo dependiendo de
un procesador aprox de 2ghz y el diccionario usado es en minuscula es de
1hora y 40minutos en caso de ser con mayusculas, y numeros incluidos
seria de 6 Horas!

Fijense como cambio notablemente de 1 hora a 6h. Por eso es tan


importante ingresar un password complejo. Con una buena longitud de 10 a
15 caracteres y buen algoritmo como es AES imaginense cuanto tardarian en
desencriptar dicho password. //

# Lo que uno puede Poseer: Tokens &


Tarjetas

# TOKENS
Un token es un dispositivo electronico que sirve para que personas como
nosotras que estemos autorizadas a un determinado servicio o recurso nos
permita facilitar el proceso de autenticacion al sistema. Estos permiten
almacenar claves criptografias como podria ser una firma digital por
ejemplo.
Los tokens son facilmente portables, son similares a un “pendrive” lo que
permite llevarlo en cualquier bolsillo, o incluso en un llavero como en la
imagen que es lo ideal.
Entre los tipos de Tokens tenemos los Sincronicos que se basan en
determinado tiempo o por un contador y los Asincronicos que trabajan de
forma “desafio-respuesta”.

# TARJETAS
Existen varias tarjetas que permiten la autenticacion a un sistema.
Voy a tratar comentar algunas pero sin entrar en muchos detalles para que
no sea extremadamente largo.
· Tarjetas de Acercamiento o Proximidad
· Tarjetas de CHIP (inteligentes o no)
· Tarjetas Magneticas
· Tarjetas RFID

# TARJETAS DE PROXIMIDAD
Estas tarjetas tienen un gran alcance de lectura hacia los lectores que
esperan la señal.
Este sistema usa un protocolo llamado “Wiegand” este protocolo bastante
interesante de la sociedad “SEC” -sensor engineering company-, permite
transmitir datos entre dos dispositivos que esten alejados entre si.
Entonces ya sabran como es posible la comunicacion de estas Tarjetas de
Proximidad, estas tarjetas estan formadas por un circuito integrado y un
circuito de bobina y capacitor en serie.
El lector carga la bobina mediante un campo magnetico y este genera
energia al capacitor, luego este carga a la bobina y esta carga el integrado,
el integrado transmite la informacion a un lector que espera la señal via la
bobina.
La lectura puede ser a una distancia maxima de 1,5 metros y una frecuencia
de 13.56 MHz.

# TARJETAS DE CHIP

Existen dos tipos de tarjetas chip, inteligentes que son con procesamiento y
sin procesamiento que son de memoria.
Las tarjetas con procesamiento: Trabajan a 13,56 mhz, tienen la funcion de
guardar claves, algoritmos de cifrados, informacion vital y confidencial, entre otras
cosas.
Las tarjetas sin procesamiento: De baja frecuencia 125 kHz y son usadas para el
almacenamiento de datos y no tienen ningun tipo de capacidad de proceso.

# TARJETAS MAGNETICAS
Estas tarjetas conocidas comunmente y usada por sistemas bancarios como
“visa, mastercard, american express” etc, estan compuestas por particulas
ferromagneticas que estan incrustadas en una matriz de resina.
Se almacena informacion con una codificacion que polariza estas particulas.
La infromacion es organizada en diferentes tipos de pista de 1 a 3,
generalmente se codifican en pista 2, su uso mas extendido es en empresas
publicas y privadas y esta pensada para un CONTROL de PRESENCIA y de
ACCESO.

# TARJETAS RFID -Radio Frequency Identification-


Como el nombre lo dice estas tarjetas de Identificacion por Radiofrecuencia,
tienen un sistema de almacenamiento y lectura remoto. Todo sistema RFID
esta compuesto de un sistema base que lee y escribe datos en los
dispositivos y un transmisor que responde al interrogador..
Basicamente y resumido (no soy un gran ingeniero electronico y mucho
menos estudie en una tecnica pero bueno) funcionaria asi:
- El interrogador genera un campo de radiofrecuencia, junto a una bobina de
alta frecuencia.
- El campo de radiofrecuencia que dije genera una corriente electrica sobre dicha
bobina de recepcion, esta corriente alimenta al circuito.
- Cuando la alimentacion es suficiente el circuito transmite los datos.
- Y el interrogrador detecta los datos transmitidos por el circuito como una perturbacion
del mismo nivel de la señal.

# (Apartado) RFID & Polemica por tal


Es muy “piola” esto del RFID, podria ayudar a evolucionar y a permitir una
sencillez mayor en muchas de las actividades cotidianas, por ejemplo una de
las aplicaciones con mas futuro son las etiquetas identificadoras, las cuales
en el futuro reemplazaran a las conocidas etiquetas de Codigos de Barra,
mediante este mecanismo.
Esto podria permitir entre otras cosas identificar envios de cartas en correos,
los chips de nuestras queridas mascotas son de este tipo de mecanismo
generalmente.
Algo muy interesante para mi punto de vista seria implementar RFID en las
cadenas de los supermercados, de forma que marcaria todos sus productos
con etiquetas RFID lo cual permitiria que al llenar el carrito y pasar por un
lector/detector (como el de metales) automaticamente nos darian el total de
la compra (algo realmente rapido! y genial). Sobre todo para todos aquellos
que les molesta formar la gran cola de personas los fines de semana, o en
epocas navideñas, de reyes, etc.
Pero claro todo esto es muy bueno en un mundo de gente “honesta, buena,
de cuentos fantasticos”, pero ya hay una gran polemica por la privacidad de
RFID y no está tan errados estos personajes que conforman este grupo
protestante.
Hace un tiempo se creo un grupo protestante ANTI-RFID, exponiendo como
causa principal que la tecnologia RFID puede atentar contra la privacidad de
las personas.
Esto seria algo asi como un “spyware” para nuestra pc pero donde el
spyware son las etiquetas RFID y las pcs somos nosotros. Al ir
expandiendose con gran escala las etiquetas RFID se esta haciendo cada vez
mas facil seguir los habitos de una determinada persona.
Una persona compradora de un determinado articulo no puede saber de la
presencia de esta etiqueta ni eliminarla. Ademas este mecanismo permite
como aclare, una lectura a cierta distancia sin autorizacion alguna.
Otra consecuencia podria ser la de que al pagar sea posible enlazar id’s con
la identidad de la persona que realiza la compra.
Y lo que resumiria para globalizar todo esto es que la “EPCGlobal” (la
empresa encargada de desarrollar, supervisar la Red de codigo electronico
de producto y asignar dichos codigos para estos productos en la cadena de
abastecimiento), pretende crear numeros de Serie UNICOS MUNDIALMENTE.
Se los dejo a su criterio y libre pensamiento…

Cuarto Capitulo: 3ra Parte.

Seguridad Informatica Capitulo


Cuatro (Seguridad
Biométrica – Parte 3)
|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Jueves 25 de Junio de 2009.

“No legacy is so rich as honesty”

— William Shakespeare.

###############################################
##############
[-] Introduccion a Sistemas Biometricos.
[-] Diferentes dipositivos biometricos.
[-] Ventajas y Desventajas de estos dispositivos biometricos.
[-] Analizando sistema biometrico de -> HUELLA DACTILAR.
[-] Analizando sistema biometrico de -> GEOMETRIA DE LA MANO & VENAS.
[-] Analizando sistema biometrico de -> PATRONES DE IRIS.
[-] Analizando sistema biometrico de -> RECONOCIMIENTO DE VOZ.
[-] Analizando sistema biometrico de -> ROSTRO/CARA.
###############################################
##############

Este es el tercer y ultimo paper de este cuarto capitulo


Si bien se retraso un poco, aqui esta…
Espero les sea de su agrado. Muchas gracias por las buenas criticas.

# Introduccion a Sistemas Biometricos


Antes de adentrarnos en el mundo biometrico, tenemos que entender
logicamente que son los Sistemas Biometricos, bueno veamos una breve
descripcion.

Los seres humanos poseemos caracteristicas que nos hacen diferenciar de


unos y otros. Es lo que nos hace ser unicos, por ejemplo: Las huellas
dactilares, la cara, la voz, el iris del ojo, la retina… entre otras cosas, estas
son las que se destacan.
Entonces con grandes caracteristicas como estas porque no aprovecharlas
verdad?, en vez de andar pensando una contraseña, llevando tokens,
pensando en numeros, PIN, palabras claves y mas cosas… bien.
Algo similar se les ocurrio a los cientificos y profesionales electronicos hace
ya varios años, en conjunto formaron lo que hoy conocemos como
BIOMETRÍA.
Los Sistemas Biometricos se basan en “identificar o verificar” la identidad de
una persona determinada mediante sus caracteristicas anteriormente
numeradas, como la voz, la retina, o la mano, etc.

# Diferentes dispositivos biometricos.


Personalmente divido en dos grupos a los sistemas biometricos.
# Sistemas Fisicos & Sistemas Psicologicos
SISTEMAS FISICOS: Permiten el analisis y la verificacion en diferentes
partes de nuestro cuerpo.

· Mano: Ya sea Palmar, Digital, o Geometrica.


· Ojos: Iris & Retina.
· Cabeza: Cara o Geometria de esta.
· ADN
· Olor corporal
SISTEMAS PSICOLOGICOS: Estos evaluan de una forma “psicologica” tres
caracteristicas fundamentales de un ser humano.
· Mediante la Voz.
· Mediante la Firma textual.
· Mediante el tipeo electronico.

# Ventajas y Desventajas de estos


dispositivos biometricos.
Depende de como miremos estos sistemas biometricos pueden presentar
algunas ventajas, aunque tambien pueden presentar varias desventajas.
Que algo sea moderno, y utilize de la ultima tecnologia disponible por
cientificos de otro mundo, no significa que sea seguro.. Siempre va a haber
una mente inquieta, hackers que quieran sobrepasar esa barrera del limite,
y de la seguridad del sistema.
Algunas ventajas de estos sistemas biometricos podrian ser las siguientes:
# VENTAJAS
· La primer ventaja que podremos observar es que al ser una tecnologia
dentro de todo ‘moderna’, depende como se implemente esta, presenta
dificultad ante los intrusos. Ya que son mucho mas dificil de falsificar que
una contraseña o un token (aunque despues con un buen analisis
revertiremos esto..pero no para todos los casos de identificacion)
· Otra ventaja es que nos libramos de todo peso de encima, es decir no
necesitamos llevar algo encima, o pensar algun tipo de clave, solamente
necesitamos nuestro lindo cuerpo, y que el sistema haga su trabajo.
# DESVENTAJAS

· Una desventaja podria ser a fecha de hoy, que estos sistemas dependiendo
que es lo que busquemos implementar y el rango de seguridad que
necesitemos, son demasiados caros.
Esto se debe a la gran inteligencia artificial que tienen que aplicarse
dependiendo lo que busquemos, sin contar la CANTIDAD que necesitemos, si
es una empresa de 50 pisos, imaginense simplemente lo que costaria ya que
con tantos pisos el personal seria grandisimo, por lo tanto 1 aparato solo en
la entrada no nos bastaria..
· Otras desventaja podrian ser lo que se conoce como factores o medidas de
aceptacion.
Donde a veces nos traeria un dolor de cabeza debido a que todavia la
implementacion no esta calibrada de tal manera y podria darnos algunos
factores como: Un FRR -false rejection rate- seria un resultado negativo para
un sujeto valido, o un FAR -False Acceptance Rate- que seria lo contrario
una aceptacion para un usuario no valido o no registrado en el sistema.
A continuacion nos meteremos mas en lo que es el corazon de este paper,
en analizar algunos de los Sistemas biometricos mas utilizados, o de ‘moda’,
para entender como funcionan.

# Analizando sistema biometrico de Huella


Dactilar.

Entre todos los dispositivos biometricos que existen, este es el mas viejo de
todos. Seguramente donde mas lo hayamos visto es en las peliculas. Donde
“pepito” si identifica solamente al ingresar su pulgar, indice o algun dedo de
la mano, si este es validado, tiene acceso.
El proceso de este sistema es muy sencillo de explicar.
Previamente debemos “Registrar nuestras huellas” para que el sistema
posteriormente pueda reconocernos a la hora de ingresar a determinado
lugar donde este implementado.
Este proceso elabora un mapa, en este mapa se encuentran detalles pre-
establecidos sobre la huella que tenemos los seres humanos. Veamos estos
detalles con algunas imagenes y sus nombres:

ISLA BIFURCACION FINAL PUNTO LAGO


Creo que no tendria que decirlo pero por si acaso cada ser humano posee
una huella dactilar UNICA.
- Veamos ahora como se realiza el trazado de estos detalles:

- Como vemos en la imagen mediante determinados patrones, se localizan


los detalles pre-establecidos, sobre la huella dactilar.
Para darles una vaga idea.. el que no llegue a esta altura a entender como
podria implementarse esto, podriamos imaginar en un eje cartesiano.. donde
esos redondeles rojos, serian puntos en el eje “X” and “Y” :D.

# Analizando sistema biometrico de la


Geometria de la Mano
& Venas.
Estos dos dispositivos los pongo juntos ya que se tratan de una misma parte
fisica y que aveces se pueden unificar o fusionar el analisis, ojo que no
siempre aunque uno calcule la geometria de la mano tiene que realizar la
verificacion mediante el plano de lectura de venas.

- El proceso de la Geometria de la mano es sencillo, se apoya la mano sobre


el lector.
- Este lo que hace es tomar una screen / imagen de la palma y otra lateral,
la cual se extraen los patrones de esa mano.
- Esos patrones se transforman en lo que seria el algoritmo matematico..
como bien dijimos en el anterior ejemplo: esos puntos tranquilamente se
podrian aplicar a un eje carteciano..
NOTA: Una cosa a aclarar es que la geometria de la mano no es algo que
sea UNICO, puede darse colisiones con otros seres humanos, es decir puede
pasar que en una empresa de 500 empleados 2 tengan el mismo tamaño y
geometria de la mano, y esto puede producir varios -FAR- False Acceptance
Rate-.
Mediante analisis de VENAS
Esta forma es casi similar a la anterior, nada mas que el objetivo es
diferente y tiene claro algunos detalles como que utiliza un LED infrarrojo y
un elemento CMOS para que se capture la fotografia de las venas, ya sea del
dedo o puede ser toda la mano depende como este implementado el
mecanismo. Sony hace poco habia lanzado uno, por febrero, donde su tasa
de error decian que no pasaba el 0,1% y que no requeria de un gran
procesador, sino con el de una pc hogareña bastaba.. Sin dudas es un futuro
a plazo medio-largo la identificacion por sistemas biometricos, de las cuales
las empresas quieren sacar provecho cuanto antes.

# Analizando sistema biometrico de los


Patrones del IRIS.
El iris como todos sabemos o imaginamos, es un organo interno del ojo..
ubicado detras de la cornea. Este organo tiene una caracteristica muy
importante y es que fisicamente dicho “No existe alteracion genetica en lo
que respecta a la expresion del organo mas alla de la forma anatomica,
fisiologica, de color y de apariencia”. [wiki]
Bien con este mini discurso podemos imaginarnos que el iris como vimos
tantas veces en las peliculas, brinda algunas ventajas sobre otros sistemas
biometricos y variables. Tiene 2 caracteristicas (logicamente mas) pero para
mi las 2 mas importantes:
- Una es que con el pasar del tiempo de vida del ser humano este no se
deteriora y pertenece ESTABLE.
- Y otra es la facilidad en la que se puede llegar a registrar la imagen sin
necesidad de tener algun contacto fisico.. aunque muchas personas le teman
al hecho de exponer su ojo, y no todos los empleados de las empresas
aceptan esto por miedo o ignorancia al dispositivo.
PROCESO: Cuando el iris de una persona (logicamente no va a ser de un
caiman :P, a menos que este entre y salga de su oficina a diario), se ve
afectado y reacciona ante la luz, una vez que el iris se ve afectado,
rapidamente algoritmos matematicos son los que hacen el trabajo de
analizar cada punto y bordes tanto externos como internamente del iris,
para formar un patron.

Para realizar esta operacion con exito, se emplean lo que se conoce como
“demodulacion matematica”, las cuales se emplean mediante ondas en 2d
de “Gabor”. [Referencia Gabor:
http://iie.fing.edu.uy/investigacion/grupos/gti/timag/trabajos/2003/huellas/
html/node16.html]
Una vez que los bordes fueron localizados y se excluyen los papados se
realizan funciones matematicas como integro-diferenciales, se definen
coordenadas bidimensionales, etc..
Asi quedaria el mapa del iris con un codigo arriba a la izquierda generado
automaticamente de 256bytes. El cual posteriormente se guardaria en la
base de datos…para una mayor velocidad de comparacion de identificacion.

# Analizando sistema biometrico de


Reconocimiento de VOZ.
El analisis de la vos es algo muy conocido tambien, y es mas barato que
implementar otros tipos de
dispositivos, aunque tambien a esta altura muy “falsificable”.
Su funcionamiento se basa en:
- La comparacion de distintos parametros de la voz.
- Logicamente mediantes funciones matematicas
En el reconocimiento de la voz se realizan varias cosas, un filtrado anti-
aliasing, se detecta el inicio-fin de la señal enviada, hay un pre-enfasis, se
realiza una conversion analogica a digital.
Se divide la señal en cuadros, se comparan parametros finales y se realiza
un limite de decision el cual adoptara por calcular la verosimilitud de la voz y
definir la decision final, positiva o negativa.

# Analizando sistema biometrico de


ROSTROS/CARAS.
El reconocimiento de rostros o caras, se pueden realizar de dos maneras,
esta la parte tradicional, la que simplemente sacamos una foto, e
identificamos visualmente a la gente de manera natural.
Es poco costoso y este sistema de identificacion es bastante bueno, primero
que la gente lo toma como algo amigable, estamos acostumbrados a que
nos saquen una foto de frente, por lo que es amigable para los empleados y
bien recibido socialmente.
Despues vienen las TECNICAS de reconocimiento de rostro.
Que claramente aca aplicamos la matematica pura.
- El reconocimiento se puede realizar mediante una tecnica llamada Elastic
Graph Matching -EGM- u otros algoritmos populares como el: eigenface,
modelo de Markov, fisherface, neuronales, etc..

Algo que esta surgio hace tiempo y esta pisando mas fuerte, es el
reconocimiento facial en 3D.
Utiliza sensores 3d para recibir la informacion sobre la forma de un rostro, la
informacion que percibe es utilizada luego para identificar y comparar rasgos
distintivos en la superficie de una cara, como los ojos o la nariz.
Tambien existen similares tecnicas para el reconocimiento mediante la
textura de la piel, esta utiliza detalles visuales de la piel, como localizar
manchas en una persona, tonos de color de la piel, y demas patrones
TçTHE END

[+] Analizando Herramienta de Anonimato: TOR


[+]
. :: By ConfusedMind :: .
. :: allmenage@gmail.com :: .
. :: confused.vndv.com :: .
. :: 02/07/2009 :: .
.::##############################################
##############::.
[-] ¿Que son los Anonimizadores?.
[-] ¿Que es el proyecto TOR?.
[-] Funcionamiento de TOR: Mix Network.
[-] Caracteristicas y principios de TOR..
[-] Deteccion de Ataques en TOR *.
* (1)Monitoreando los OR del Circuito.
* (2)Obstruyendo el Ataque.
* Referencia a (3)Packet Spinning Attack by Institute of Computer
Science..
.::##############################################
################::.
Antes de comenzar quiero comentar el porque de este paper, que se me
ocurrio instantaneamente al leer en un foro, un comentario sobre proxys,
TOR, y demas chucherias.
En donde un determinado usuario, comentaba que preferia realizar todo tipo
de conexiones mediante su aplicacion proxy web preferida TOR. Bien yo
estoy de acuerdo en que se pueden hacer grande cosas con TOR, y tener
‘una privacidad’ con un rango mayor al determinado o acostumbrado de los
que entendemos del tema.
Inclusive escribi un paper basico, de como podriamos instalarlo y usarlo en
firefox o internet explorer. Pero he leido cosas en foros que me incentivaron
a escribir esto, debido a grandes ignorancias de parte de los usuarios de
dichos foros. Bueno basta de quejas y veamos que tal sale este analisis
antes de que me olvide. Aclarar que la parte de Ataques es algo complejo y
encima que me estoy durmiendo veremos que sale :D :\.

.:: ¿Que son los Anonimizadores?.


Mucha gente que comprende un poco del tema, sabe muy bien que como
esta la situacion en el mundo, a la hora de navegar en internet lo que menos
se tiene es ‘Privacidad’, hay muchos usuarios que realmente no les interesa
esto.. Pero otras personas que si, entonces lo que buscan son alternativas, y
soluciones a la hora de navegar por internet y no ser identificados por
determinados servidores, o paginas webs.
Cuando hablamos de identificacion lo fundamental y principal es el hecho de
cambiar el numero IP de nuestra maquina o salida a internet. Un claro
ejemplo es en los ‘hackers’ cuando defacean un sitio y este sitio quedan
logicamente logs de lo que manipuló dicho hacker y desde que direccion se
hizo. Al usar una solucion alternativa mediante un anonimizador o proxy, la
direccion que quedaria registrada en ese servidor atacado seria la IP Publica
del Proxy o host afectado que funciona como proxy y no la del verdadero
hacker… bien. Pero este paper se va a basar en todas estas cosas pero no
desde el punto de vista de un hacker, sino de una persona en general la cual
quiere tener un poco de privacidad y a veces comete errores de tercerizar su
informacion exponiendola a internet ante uno de estos fenomenos llamados
‘proxy webs’… como un simple logeo a GMAIL por ejemplo, o facebook.com.
Una herramienta muy conocida de momento y mas que herramienta es un
gran proyecto, y mis respeto hacia ellos es TOR. Y es una herramienta muy
utilizada tanto en ambitos ‘normales’ como en ambitos ‘hackers’..
.:: ¿Que es el proyecto TOR?.

Tambien conocido como The Onion Routing y creado por el Laboratorio de


Investigaciones Navales de los EEUU -ONR- & TFHP.. Y actualmente es
mantenido por EFF -Electronic Frontier Foundation- quien financio el
proyecto…TOR lo que intenta como objetivo es proteger la informacion de los
usuarios y brindarle una mayor confidencialidad.
Generalmente se acude a TOR cuando usuarios requieren privacidad, para
no ser rastreados por sitios webs que visitamos, o usuarios descontentos
cuando su ISP de Internet les prohibe el acceso de mensajeria u otros
servicios.
Otras ideas podrian ser la de uso mediante Usuarios Protestantes, los cuales
quieren realizar denuncias de empresas pertenecientes al gobierno, o quejas
y no quieren exponer su identidad por miedo a amenazas.. al igual que un
usuario podria usar TOR para manejar las conexiones con un Servidores
Web, y subir a su pagina de forma anonima cosa que no sea rastreado y sea
imposible la localizacion de su ubicacion geografica..

Sin embargo no todo es color de rosa en esta vida, y es logico que con un
proyecto asi, puede llamar la atencion a usuarios con intenciones no legales,
o maliciosas, desde atacar a un sitio web, defacearlo, o atacar una
determinada computadora personal y asi poder ocultarse.
Tambien podria ser el hecho de ser usado por un pedofilo el cual sube fotos
a internet y asi complicar mas la situacion de rastreo de esta persona. O una
persona que vende droga y demas cosas ilegales o robadas, estariamos en
el mismo caso.
.:: Funcionamiento de TOR.
El funcionamiento de TOR se basa en Mix Networks y en Proxys Anonimos.
Al hablar de Mix Networks, hablamos de un concepto muy parecido al del
enrutamiento, pero nada mas que esta forma permite mayor cantidad de pcs
entre una comunicacion de un emisor y un receptor. Esta comunicacion se
realiza mediante 3 LLAVES PUBLICAS de la siguiente manera (pk1, pk2,
pk3).

1- Supongamos que Confused le manda un mensaje a Seba, de una forma


que terceros no entiendan lo que yo le mando, entre otra forma intentar
mandar el mensaje ‘cifrado’.
2- Yo voy a cifrar el mensaje tres veces, con pk1, pk2 y pk3, el pk deriva de
Public Key, lo que significa Llave Publica.
3- Una vez el mensaje fue cifrado 3 veces, envio el mensaje, el cual va a
pasar por un host(proxy), el cual remueve la primer pk1, y este lo envia al
segundo host(2do proxy), luego este remueve la segunda pk2, y este envia
el paquete al tercer host(3er proxy) el cual se encarga de descifrar y envia el
mensaje al destinatario en este caso Seba.
Una ejemplificacion de esto seria algo asi de sencillo (no se rian por el
esquema es para ser quickly):

Ahora se daran cuenta porque generalmente al navegar se toma un ‘retardo’


o conocido como latency con tor activado?. Al igual que si conectaramos con
un proxy de la china, la conexion iria hasta china y luego a el lugar
geografico donde este ubicada la web que naveguemos, lo mismo para la
respuesta de la web, volveria hasta china donde esta nuestro proxy y luego
hasta nosotros.
Bien, una vez comprendimos como funciona el envio de paquetes mediante
este metodo veamos que son los proxys anonimos.
.:: Proxys Anonimos.
Un proxy es una ‘computadora’ mas en la red.. o tambien conocido como
‘NODO’.
Lo que hace el proxy no es mas que recibir y enviar la informacion que pasa
por el a otro destino.
Como si se tratase de un intermediario o mensajero. Algo asi:
[ YO ] ———> PROXY—->SERVIDOR DESTINO <- ENVIO DE DATOS -
[ YO ]<—-PROXY<———SERVIDOR DESTINO <- RECIBO DE DATOS -

El uso de proxys tiene puntos positivos y negativos.


El positivo puede ser que si es rapido a nivel banda ancha, estaremos
‘comodos ‘ y ’seguros’,
permite una buena porcion de trafico esto quiere decir que permite lo que se
conoce como datos estaticos o dinamicos… como aclare antes mandar un
mail seria un dato estatico mientras que navegar por internet debido a la
informacion enviada y recibida seria ‘dinamico’.
El punto negativo es que si por ‘x’ casualidad hackean el servidor proxy, y
bueno nuestra conexion puede ser manipulada por terceros antes de incluso
ser enviada al host destino, o quizas incluso la respuesta del host que
pasaria por el proxy a nosotros no llegaria nunca ya que los hackers la
tomarian y hasta nos realizarian tecnicas phishing por ejemplo.
Bueno..creo que ira cerrando como funciona TOR, por si todavia no se
imagina, lo que hace TOR es combinar tanto el Mix Network con Proxys
Anonimos.
.:: Caracteristicas y principios de TOR.
Antes de explicar los posibles ataques hacia TOR, voy a explicar de una
forma mas tecnica el grafico anterior del funcionamiento TOR podemos decir
que:

- Tor esta formado por 3 o mas OR, (onion routing) es dinamico el numero.
- Una vez que el cliente tor(el usuario con tor corriendo en su navegador)
navega los datos son encapsulados en celdas TOR.
- Estas celdas cuentan con capas cifradas mediante el usuario, las cuales
como vimos en el grafico de funcionamiento, cada OR(host) descifran a
medida que ingresan en cada uno.
- El ultimo OR descifra y envia al destinatario, pero es el unico que no puede
identificarse en la posicion del circuito de mix network.
.:: Deteccion de ataques en TOR.
Hay formas para ‘aprender’ a defender y detectar un ataque via TOR:
# Monitoreando los Onion Routing del circuito.
Suponiendo que la victima atacada mediante TOR, posee conocimientos del
IP sobre el ULTIMO OR, es decir el ultimo ‘host’ antes de entregar al
destinatario, si es asi, la victima podria aplicar un monitoreo hacia ese
ROUTER o implementar un OR falso que le permitiria verificar el trafico que
llega a dicho OR..
Es muy dificil, pero no imposible, poder llegar a determinar de esta forma
mediante el analisis, cual era el OR anterior, y asi con el anterior, y asi,
hasta llegar a identificar al que envia los paquetes mediante ese circuito tor.
# Obstruyendo el Ataque.
Suponiendo que el atacante haya sido detectado por nosotros, podriamos
crear una ruta con el ultimo OR como habiamos dicho anteriormente, y
enlazar la ruta hacia otros nodos al azar, de esta forma saturariamos la ruta
con muchas solicitudes.
Si de esta forma vemos como resultado una fuerte decrecion en el
rendimiento del envio de los paquetes, podriamos deducir por logica que
alguno de esos nodos que se seleccionaron al azar estaria siendo usada por
el atacante.
# Compromising Anonymity Using Packet Spinning
Bueno para finalizar, voy a dejar un breve comentario sobre este ataque
aunque no voy a explicarlo yo sino que voy a dejar una referencia donde no
podria estar mejor explicado que un paper propio dedicado a este ataque por
los Investigadores de este ataque.
El ataque este es un estudio perteneciente a investigadores del Institute of
Computer Science.
Este estudio nos revela que a partir de 2 fundamentos el atacante puede
manipular el comportamiento de TOR a gusto del atacante.
Los dos fundamentos por los que hay que partir segun el ICS, son:
- Que mientras todo el circuito TOR no sea detectado por todos los Onion
Routing, los circuitos circulares no son detectables.
- Un OR legitimo, siempre va a tardar un determinado tiempo realizando
calculos criptograficos.
:: REFERENCIAS ::
..: COMPROMISING ANONYMITY USING PACKET SPINNING
http://isc08.twisc.org/slides/S4P2_Compromising_Anonymity_Using_
Packet_Spinning.pdf
..: TOR PROJECT
http://www.torproject.org

Introducción a IP-Tables en 30 minutos


############################################
#################

$> Introducción a IP-Tables en 30 minutos.


############################################
#################

|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.


|| Contact: allmenage@gmail.com || Lunes 6 de Julio de 2009.
Triste época la nuestra!
Es mas fácil desintegrar un
átomo, que un prejuicio.
-- Albert Einsten

###############################################
##############
[-] Introduccion a Firewall, Reglas y Politicas de Seguridad.
[-] ¿Que es Iptables?.
[-] El orden para aplicar reglas.
[-] Analizando las Politicas de Seguridad.

###############################################
##############

# Introduccion, Reglas y Politicas de


Seguridad.
Algo que acompleja mucho a los usuarios con basicos conocimientos en
internet y redes, es el hecho de navegar de alguna forma segura, de que
nuestros datos, nuestra informacion este sana y salva.
Una de las formas de implementar una gran capa de seguridad y filtrado es
un FIREWALL.
Un firewall es una herramienta de seguridad que permite dependiendo el
sistema operativo, ser configurado y modificado de una forma determinada
con objetivos determinados.
Esto quiere decir que lo vamos a modificar para que nos brinde una capa de
seguridad mas a nuestro servidor, pc hogareño etc, entre otras funciones y
para casos diferentes.
El funcionamiento del firewall esta basado en lo que se conoce como REGLAS
o POLITICAS DE SEGURIDAD.
UNA REGLA no es mas que una forma de decirle al Firewall que es lo que
debe hacer en ‘x’ caso que suceda ‘x’ cosa. Por ejemplo, hablando en
pseudocodigo podriamos hacer que nuestro firewall lea la siguiente regla y
proceda a filtrar -> “Filtrame todos los pings que sean enviado desde
internet hacia mi host”.
Entonces lo que haria esta linea filtraria todos los pings que sean ejecutados
por terceros hacia nuestro host, para ver si nuestro pc esta corriendo o vivo.
Estas reglas rigen sobre el control de trafico que INGRESA o SALE de
nuestro pc. Podemos configurar para que nuestra pc no reciba conexiones
msn desde tal puerto, o prohibir la salida de un determinado software para
que sea bloqueada la salida a internet.
UNA POLITICA es por asi decirlo el conjunto de reglas de seguridad que es
implementado en un sistema tanto hogareño o empresarial. No
necesariamente el Administrador de dicho sistema es quien cree esas reglas
porque se le ocurra, sino que a veces puede venir de una orden superior por
lo tanto hay que adaptarse a esa politica de seguridad implementando
determinadas reglas para que concluya con exito. Un ejemplo seria restringir
el acceso a determinados puertos para que los empleados de la empresa no
puedan acceder…

# ¿Que es Iptables?.
En linux disponemos de varios firewalls, para instalar, dependiendo de la
experiencia del usuario, se podra instalar para ser manejado por consola o
con un entorno grafico.
Pero en este caso nos vamos a dedicar exclusivamente a la maravilla de
Iptables, es el firewall de linux, que viene de forma predeterminada en la
mayoria de los kernels 2.4.x y 2.6.x ademas de ser usado por la mayoria de
Distribuciones GNU/Linux que contengan estos kernels. La web oficial por si
necesitan mas documentacion es -> .: http://www.netfilter.org :.
Antes que nada para mas informacion seria bueno que en la shell ejecuten
$> man iptables
y tambien iptables –help, para ver como funciona y la documentacion
original.
Como viene incluido en su nombre, iptables utiliza ‘tablas’ para saber que
hacer con los paquetes de red. Bien estas tablas, imaginenselas como una
hoja en blanco de un cuaderno.. donde cada tabla es una hoja diferente con
nombre diferente.
En la tabla principal llamada “filter table” o -tabla de filtro- tenemos tres
CADENAS PRINCIPALES DE REGLAS. Veamos al tipear en la shell como root
lo que nos saldria con el comando “iptables -L” :
(-L hace que se alisten las reglas definidas)

# Algo que hay que aclarar es que los cambios realizados a iptables, se
guardan en memoria, no en un archivo fisico, por lo tanto al reiniciar, o
apagar la maquina, estos son borrados.
Lo recomendable es guardar todas las reglas en un archivo bien prolijo, y
luego al iniciar la pc ejecutar el script. Preferiblemente antes de levantar
todos los servicios.
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Ok, ahi vemos las tres cadenas principales de las reglas.
La primera llamada INPUT, la segunda llamada FORWARD, y la tercera
OUTPUT.

* INPUT -> Es la primer cadena de reglas y es aca donde vamos a


determinar todo lo que se refiere al trafico entrante a nuestro pc.
* FORWARD -> Es la segunda cadena de regla y aca influye todo el trafico
de paquetes que ‘pasa por nosotros’ pero que no es para nosotros, sino para
ser reencaminados. Tipico ejemplo es un servidor proxy.
* OUTPUT -> Es la tercer cadena y aca se definen las reglas para el trafico
que salga de nuestra pc.
Muchas personas piensan que es dificil, pero todo lo que no conocemos
parece dificil, es cuestion de practica y lecturas, muchas lecturas.
La sintaxis basica de iptables esta formada de la siguiente manera a la hora
de ejecutarla en una shell.
iptables [DEFINICION] [CADENA] [OPCIONES] [ACCION]
El primer parametro [DEFINICION], es un parametro usado de forma
general, y se puede ingresar de la siguiente manera -A para agregar una
nueva regla, -D para eliminar una regla, -L como lo usamos en la
demostracion anterior para alistar las reglas definidas.
En el segundo parametro [CADENA], es donde logicamente ingresamos la
cadena, por ejemplo “input”, “output” o “forward”.
El tercer parametro es [OPCIONES], aca ingresaremos nuestros filtros, es
el corazon de la regla junto a la accion por asi decirlo y es donde se va a
basar lo que queremos filtrar, por ejemplo -> ‘q todo lo que entre de la ip
20.20.20.2 sea bloqueado, o que todo lo que venga de la ip 13.13.13.13 al
puerto 80 se permita’.
Y por ultimo, tenemos el parametro [ACCION], y es aca donde describimos
que hacer si una regla se cumple, si permitimos ‘x’ conexion, si no
permitimos, entre otras cosas.
En este parametro generalmente podemos optar por tres cosas
ACCEPT(aceptamos), REJECT(responder que ese paquete no puede pasar
al que nos envia), DROP(simplemente, eliminar el paquete como si nunca
hubiera llegado sin avisar nada).
Bien teniendo en claro como funciona todo esto, vamos a implementar algo
muy comun, para entender de que va todo esto :).Lo que vamos a hacer
como primer regla es evitar que maquinas de terceros nos envien un ping
para determinar si nuestro pc esta vivo o no de la siguiente forma:
$> iptables -A INPUT -p icmp -j DROP
Si hacemos un iptables -L veremos que se ha agregado la nueva regla.

Chain INPUT (policy ACCEPT)


target prot opt source destination
DROP icmp – anywhere anywhere
Bien explicare brevemente aunque deberian haber entendido, pero veamos:
-A -> le decimos que vamos a agregar una regla
INPUT -> definimos que la regla sera para trafico entrante a nuestra pc
-p -> generalmente se aclara mediante que protocolo sera, en este caso
como es un ping, ICMP.
-j -> permite saber que accion tomara el parametro que le sigue
DROP -> en este caso el parametro es que filtraremos cualquier ping desde
cualquier destino.
Creo que la cosa empieza a cambiar verdad?, bueno, veamos ahora como
hacer que todo el trafico que entre de cualquier direccion al puerto 80 sea
aceptado.
$> iptables -A INPUT -p tcp –dport 80 -j ACCEPT
Como vemos no es muy dificil, veamos rapidamente, le decimos a iptables
que agregue una nueva regla con -a que sera de trafico entrante, mediante
el protocolo tcp y que (–dport sirve para definir un puerto destino, –sport
para un puerto Origen) todo el trafico destinado al puerto 80 sera aceptado.
Veamos otros ejemplos, si queremos rechazar todo tipo de salida
supongamos de nuestra ip a otra ip y usa el port 1456, por dar un ejemplo y
queremos bloquear esa salida seria asi:
$> iptables -A OUTPUT -p tcp -d 100.100.100.100 –dport 1456 -j REJECT

Analicemos, le decimos que agregamos una regla -a, esta vez SALIENTE, por
lo tanto OUTPUT, mediante el protocolo tcp, como ip destino -d
100.100.100.100, y como puerto destino 1456, finalmente si se cumple
esto, que se RECHACE.
Veamos un ejemplo mas complejo.. en este caso vamos a aceptar una
conexion proveniente de una determinada IP al puerto 22.
$> iptables -A INPUT -p tcp -s 192.168.10.10 -d 192.168.0.255 –dport 22 –
j ACCEPT

Si describimos esto, le decimos que agregue una nueva regla


INPUT, mediante el protocolo tcp,
-s de SOURCE aca va la IP ORIGEN de donde proviene la conexion SSH, y -d
seguido del destino de nuestro servidor SSH, por el puerto 22, y si se
cumple ACEPTAMOS.

# El orden para aplicar reglas


Algo que hay que tener en cuenta es el orden en el que debemos aplicar las
reglas.
Es decir iptables, lee las reglas de arriba para abajo.. como ya les dije
imaginense las tablas como una hoja de cuaderno, el cual agregamos
oraciones.
Veamos un ejemplo de lo que NO se deberia hacer:
$> iptables -A INPUT -p tcp –dport 21 -j ACCEPT
$> iptables -A INPUT -p tcp –dport 21 -j DROP
Esto logicamente estaria mal y seria contradictorio, primero aceptamos el
trafico entrante a el puerto 21 en este caso que permita que se logueen al
FTP, y luego lo negamos.
Bien lo que haria iptables seria solo ejecutar la primer regla, porque?,
porque iptables saltearia esta segunda regla contradictoria… Se debe a que
no vuelve a procesar reglas con filtros identicos.
Espero que quede claro el porque es importante aplicar reglas bien
ordenadas.

# Tipos de politicas a implementar


Como ya sabes lo que es una politica de seguridad, vamos directamente a
aprender que las politicas son reglas que se definen de forma
predeterminada, por ejemplo por defecto que
[ SE NIEGUE TODO ] o que [ SE ACEPTE TODO ].
- Si implementamos la primera logicamente negariamos todo acceso a
nuestra maquina, pero mediante ‘excepciones’ podriamos abrir determinados
puertos para permitir un acceso.
El problema de esto es que si estamos en una red bastante concurrida,
donde usuarios requieren constantemente usar servicios diferentes, como
msn en un puerto, bittorrent en otro, vnc en otro, se nos va a complicar y
vamos a tener que ‘laburar’ bastante.
- Si implementamos el segundo caso de politica el de ACEPTAR TODO, tiene
sus consecuencias tambien, ya que si aceptamos todo lo que entra de trafico
a nuestra pc, tenemos que tener bien en cuenta cuales son los puertos
abiertos, para ser usado por los usuarios locales y remotos.
Si aceptamos conexiones remotas, como sabemos si son o no
malintencionadas, configurar que las conexiones sean solamente desde una
ip determinada, y definir varias reglas para que los que no tienen que poder
accesar a nuestro sistema, finalmente no puedan hacerlo.
Para usar el parametro de politicas debemos agregar un -P de la siguiente
manera.
$> iptables -P INPUT DROP -> DENEGAMOS TODO LO QUE INGRESA
$> iptables -P INPUT ACCEPT -> ACEPTAMOS TODO LO QUE INGRESA
Bueno como veran con iptables se puede manejar todo como queramos,
desde montar una DMZ en pocos pasos hasta rutear el trafico a diferentes
pcs, compartir el ancho de banda, bloquear servicios como msn, etc etc..
Claro que no voy a poner uno por uno, porque cada uno tendra pensado
realizar acciones diferentes.. Igual tranquilos que mas adelante actualizare a
una segunda parte de este paper.
Por el momento THE END!