Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mecanismos de Control y Seguridad PDF
Mecanismos de Control y Seguridad PDF
INFORME ESCRITO
POR:
INSTRUCTOR RESPONSABLE:
Angélica Rodríguez
Instructora líder
2016
"EL CENTRO CLÍNICO Y DE REHABILITACIÓN" Se tendrá en cuenta los
siguientes factores para lograr un mejor avance en cada una de las dependencias
que se tendrán y el usuario logre acceder fácilmente a nuestros servicios.
“Hoy en día la interconexión entre redes es más común de lo que parece, desde
una simple conexión a internet, ya estamos sumergidos en un sin fin de
conexiones, de las que muchas veces como usuarios ni nos damos cuenta de todo
lo que acontece detrás de un simple cable de red.
Precisamente para mantener un orden detrás de ese cable existe algo que permite
la comunicación entre redes, que permite una mejor distribución de todos los datos
que por allí viajan, permite un mejor manejo del ancho de banda utilizado por cada
usuario en la red, a esa distribución la llamamos Segmentación de Redes.”
Hay dos motivos fundamentales para dividir una red en segmentos. La primera es
aislar el tráfico entre segmentos. La segunda razón es lograr más ancho de banda
por usuario mediante la creación de dominios de colisión más pequeños.
Sin la segmentación, las redes más grandes que un pequeño grupo de trabajo
podría atascarse rápidamente con el tráfico y las colisiones.
“Cabe destacar que el tipo de red común hoy en día es la red basada en IPV4, es
la versión 4 del protocolo IP, debido a su implementación a gran escala, su
crecimiento se desbordo al que inicialmente se esperaba en su diseño, cuyo límite
en el número de direcciones de red admisibles está empezando a restringir el
crecimiento de Internet y su uso, debido a este auge y dado que el requerimiento
de grandes velocidades en internet en mayor dado el contenido que se maneja
actualmente (multimedia, vos sobre ip, video sobre ip, telefonía por ip etc ), es que
hoy en día le está dando paso a una versión mejorada que distribuye y maneja
mejor el número de direcciones para el mejor uso de la Internet, el llamado IPV6,
que no es más el reemplazo mejorado de su antecesor IPV4.
Autenticación clásica
En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema
o login y una clave o password; ambos datos se almacenan generalmente en el
fichero /etc/passwd. Este archivo contiene una línea por usuario donde se indica la
información necesaria para que los usuarios puedan conectar al sistema y trabajar
en él, separando los diferentes campos mediante
Al contrario de lo que mucha gente cree, Unix no es capaz de distinguir a sus
usuarios por su nombre de entrada al sistema. Para el sistema operativo lo que
realmente distingue a una persona de otra (o al menos a un usuario de otro) es el
UID del usuario en cuestión; el login es algo que se utiliza principalmente para
comodidad de las personas (obviamente es más fácil acordarse de un nombre de
entrada como toni que de un UID como 2643, sobre todo si se tienen cuentas en
varias máquinas, cada una con un UID diferente).
Para cifrar las claves de acceso de sus usuarios, el sistema operativo Unix emplea
un criptosistema irreversible que utiliza la función estándar de C crypt, basada en
el algoritmo DES. Para una descripción exhaustiva del funcionamiento de crypt.
Esta función toma como clave los ocho primeros caracteres de la contraseña
elegida por el usuario (si la longitud de ésta es menor, se completa con ceros)
para cifrar un bloque de texto en claro de 64 bits puestos a cero; para evitar que
dos passwords iguales resulten en un mismo texto cifrado, se realiza una
permutación durante el proceso de cifrado elegida de forma automática y aleatoria
para cada usuario, basada en un campo formado por un número de 12 bits (con lo
que conseguimos 4096 permutaciones diferentes) llamado salt. El cifrado
resultante se vuelve a cifrar utilizando la contraseña del usuario de nuevo como
clave, y permutando con el mismo salt, repitiéndose el proceso 25 veces. El
bloque cifrado final, de 64 bits, se concatena con dos bits cero, obteniendo 66 bits
que se hacen representables en 11 caracteres de 6 bits cada uno y que, junto con
el salt, pasan a constituir el campo password del fichero de contraseñas,
usualmente /etc/passwd. Así, los dos primeros caracteres de este campo estarán
constituidos por el salt y los 11 restantes por la contraseña cifrada.
Otro método cada día más utilizado para proteger las contraseñas de los usuarios el
denominado Shadow Password u oscurecimiento de contraseñas. La idea básica de este
mecanismo es impedir que los usuarios sin privilegios puedan leer el fichero donde
se almacenan las claves cifradas.
Envejecimiento de contraseñas
En casi todas las implementaciones de Shadow Password actuales se suele incluir
la implementación para otro mecanismo de protección de las claves denominado
envejecimiento de contraseñas (Password Aging). La idea básica de este
mecanismo es proteger los passwords de los usuarios dándoles un determinado
periodo de vida: una contraseña sólo va a ser válida durante un cierto tiempo,
pasado el cual expirará y el usuario deberá cambiarla.
Realmente, el envejecimiento previene más que problemas con las claves
problemas con la transmisión de éstas por la red: cuando conectamos mediante
mecanismos como telnet, ftp o rlogin a un sistema Unix, cualquier equipo entre el
nuestro y el servidor puede leer los paquetes que enviamos por la red, incluyendo
aquellos que contienen nuestro nombre de usuario y nuestra contraseña.
Sintaxis del archivo de configuración
El archivo (/etc/pam.conf) está formado por una lista de reglas (típicamente una
por línea). Cada regla es un conjunto de campos separados por espacios (los tres
primeros son case-sensitives):
Service type control module-path module-arguments
La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo que no existe el campo
"service". En este caso "service" es el nombre del archivo en el directorio
/etc/pam.d/ (el nombre del archivo debe estar en minúsculas)
Usualmente service es el nombre del servicio o aplicación comúnmente usado,
ejemplo de esto son login, su y ssh.
type especifica a que grupo de administración está asociada la regla. Las entradas
válidas son:
session: este módulo está asociado con hacer tareas previas y/o
posteriores al inicio del servicio mismo (pueden ser cosas como montar
un directorio, activar logueos, etc).
El tercer campo control especifica que hacer si falla el control
aplicado. Existen dos sintaxis para este campo, una sencilla de un
campo y otra que especifica más de un campo dentro de corchetes
rectos [] Para la básica, las opciones son:
3DES
Triple DES (3DES) es una mejora del simple DES que aplica el método de cifrado
DES a los mismos datos tres veces para aumentar el nivel de cifrado. Triple DES
aumenta la longitud de la clave de cifrado de 192 bits, pero es más lento que otros
métodos de cifrado. Sin embargo, 3DES reemplazó a DES como el algoritmo de
cifrado simétrico en el año 1999, de acuerdo con Federal Information Processing
Standards (FIPS).
AES
Advanced Encryption Standard (AES), que en realidad es una implementación de
un algoritmo de cifrado simétrico conocida como Rjindael, es el último estándar
recomendado por el NIST. AES utiliza una clave de cifrado que varía en longitud
de 128 bits a 256 bits y cifra los datos en bloques de 128 bits. El algoritmo AES es
aplicado a los datos 10, 12, o 14 veces, conocido como "rondas", lo que es muy
seguro. De hecho, sólo un ataque de fuerza bruta, en el que el atacante prueba
todas las combinaciones posibles de la clave de cifrado, ha demostrado ser eficaz
contra AES. Sin embargo, AES es rápido, flexible y puede ser implementado en
una variedad de diferentes plataformas.